用免費wifi上網購物的風險性

　　用商家提供的免費WiFi上網購物和操作網銀安全嗎？

　　不安全。

　　你會用那些免費WiFi上網購物和操作網銀嗎？

　　有可能。不過我會准備一張銀行卡專門用於這種情形下的網絡購物，這張卡余額不會超過1000元，並使用和其它銀行卡完全不同的密碼。

　　明知不安全你還用？

　　如我在《安全風險漫談之一：後門和借錢》中所述，處理不同價值的資產時，對風險的態度是不一樣的。通過控制風險涉及的資產價值，可以實現方便和安全之間的平衡。不因噎廢食，也不因食忘噎。

　　免費WiFi為什麼不安全？

　　很多免費WiFi傳輸都不加密，加密的那些密碼也很容易得到——問店員。最重要的是：當你接入一個叫“Starbucks”的接入點時，你無法確認這是星巴克提供的，還是猩疤客提供的。需要強調的是：這些是WiFi的通病，免費不免費都一樣存在這些問題。

　　網銀不是都HTTPS通信嗎？HTTPS不是安全的嗎？

　　網銀不是有“U盾”嗎？用“U盾”還不安全嗎？

　　這類問題大概相當於“穿防彈衣還會被槍打死嗎”？

　　HTTPS是一個大概念，其中包含了若干種算法和子協議，這些算法和子協議中的某些已經被找到了攻擊方法。例如BEAST、CRIME、Padding、Lucky 13等技術。

　　設計的理想和實現的完美是兩回事。據我們測試，特別是一些手機上的浏覽器，在HTTPS的具體實現上有比較嚴重的問題，很容易受到攻擊。

　　最重要的是：攻擊網銀根本用不著和HTTPS或是U盾直接對抗。

　　面對一座固若金湯的城池，只能硬拼強攻？攻擊者的目標並非突破城牆，而是進入城內。所以三千年前希臘人就選擇了另一條路，讓認為自己有HTTPS和U盾就可高枕無憂的特洛伊人吃了一驚，然後把他們都殺了。

　　當你連接了一個“猩疤客”的WiFi接入點，攻擊者有非常非常多的方法在你的系統上植入木馬（就像3000年前希臘人干的那樣）。

　　而在系統被植入的木馬控制後，當希臘士兵藏在木馬裡進入特洛伊城之後，一切就是另一回事了。

　　我們協助某銀行處理過一個案件：用戶在使用了U盾的情況下，通過網銀被盜轉近百萬元。這事沒有公開報道，我也不能透露具體犯罪手段，不能提供當事人姓名聯系方式家庭住址等細節來證明真有其事，我甚至都不能告訴你是哪家銀行，因為要替客戶保密。不過，如果公開報道可以讓你相信此事——2011年4月15日《新京報》第A14版刊載過一起案件：某用戶在使用了U盾的情況下，被盜轉30萬元。

　　如需要看更多案例請搜索關鍵字“U盾 + 仍被盜”。

　　注1：前些年我們和國內一些銀行合作，對網銀安全進行過長時間的研究，結論是：至少對當時的網銀來說，攻擊者入侵用戶電腦後，在有U盾的情況下仍然可以實現盜取。銀行後來根據我們提交的報告進行了改進，現在好多了。譬如在使用了有顯示屏和按鍵的新型U盾後，類似前面提到的《新京報》所刊載那起案件中的犯罪手法就無效了。

　　注2：“U盾”是用於身份認證的有存儲數字證書等安全功能的USB安全設備的俗稱之一，本文中泛指所有此類設備。