近日,比利时学术与安全研究人员 Mathy Vanhoef刚刚发现了一系列印象 WiFi 标准的漏洞,他表示:“有三个漏洞源于 WiFi 标准的设计缺陷,因而会影响大多数设备,其余漏洞则是由 Wi-Fi 产品标准实施中广泛存在的编程错误引起的”。


据悉,此类“碎片攻击”(Frag Attacks)使得 WiFi 信号覆盖范围内的攻击者能够收集用户的信息,并运行恶意代码来破坏设备(比如联网的计算机、手机或其它智能设备)。

糟糕的是,由于缺陷存在于 WiFi 标准本身,即使激活了 WEP 或 WPA 等标准安全协议,设备仍然很容易受到攻击。

5c6b70379f04d5db9f2cd01ee29cdef0.jpg


01   WiFi安全漏洞早就有迹可循

此前, Mathy Vanhoef就曾披露过 KRACK 和 Dragonblood 攻击,为 WiFi 标准的安全改进做出了实质性的贡献。

特别是在2017年曝出名为KRACK的漏洞,更是让美国国土安全部的电脑紧急应变小组发布安全公告指出:黑客可能利用这个漏洞,窃听或劫持使用无线网络的装置,

2e879472e23740c30dfe321c7d091b39.jpg

我们使用的手机、电脑、电视、智能音箱、运动手表等一切智能设备都与WiFi有关联。KRACK会影响现代WiFi设备中广泛使用的WPA2(WPA2是用于保护现代Wi-Fi网络的安全协议),我们都知道连接到大多数WIFI是要输入密码的,这一过程不止用于防止蹭网,WPA2安全协议所做的更重要的是验证你的手机和路由器之间的通信没有被别人窃取。

报告中展示的漏洞曝露了 WPA2 的一个基本问题。WPA2是一个通用协议,大多现代无线网络都用到了该协议。攻击者可以利用漏洞从 WPA2 设备破译网络流量、劫持链接、将内容注入流量中,或者通过漏洞获得一个万能密钥,不需要密码就可以访问任何 WAP2 网络。一旦拿到密钥,就可以窃听网络信息。

总结一句话就是:改了WiFi密码也没用!

02   “潜伏”了24年的安全漏洞

近日披露的 Frag Attacks 碎片攻击,涉及基本所有的WiFi安全协议,包括最新的WPA3规范,让行业面临着更为尴尬的局面。因为新发现的漏洞位于 WiFi 协议的较早部分,并且已持续部署了 20 年,行业惯性导致修补措施很难溯及过往。这次被发现的漏洞,却在WiFi最底层的协议中,“潜伏”了24年。

43c4c6f30e0f149fe4affe87456be76b.jpg

Mathy Vanhoef 说到:“这些漏洞的发现很让人震惊,在过去的几年里,WiFi 的安全性其实已经得到了极大的改善”。

幸运的是,这些缺陷并不是那么容易被利用,因为这样做需要用户互动,或者在不常见的网络设置时才可能。所以这也是为什么这些漏洞能”潜伏“了24年,直到近期才被发现。

大数据时代,信息安全成为企业和个人都不得不重视的问题。想象一下:如果企业的客户数据被劫持,个人手机被窃听……这些信息一旦被泄露,企业的用户会对企业产品不良印象,从而造成不可估量的损失,个人信息更像是在“裸奔”,我们该如何有备无患地降低安全风险?

03   大势所趋:HTTPS成为必选项

与此前披露的两个漏洞一样,Mathy Vanhoef 已经及时地向 WiFi 联盟报告了他的相关发现,但每一次WiFi的超级安全漏洞的曝出,都让企业和个人对信息安全产生新的焦虑。虽然微软已在 2021 年 5 月的星期二补丁(Patch Tuesday)中通报了 Frag Attacks,目前已经修复了 12 个影响 Windows 操作系统的相关漏洞的其中3个,但没人能保证未来WiFi还会不会曝出其他安全漏洞,让数据安全再次受到威胁。

不可否定的是,现在能确保数据传输安全的有效方法就是必须使用HTTPS访问业务。

◆ 为什么HTTPS是每个网站的必选项?


HTTP是互联网上应用最为广泛的一种网络协议,可以在Web浏览器和网站服务器之间传递信息。但是HTTP明文协议是不安全的传输协议,无法进行服务器端真实身份校验,也不能为传输数据提供加密保护,通过HTTP协议传输的数据时刻处在被窃听、篡改、冒充的风险中,对隐私信息来说有着巨大安全隐患。

早在1994年,Netscape网景公司便针对网络身份验证这一需求开发了一种网络安全协议,即安全套接字层(SSL,Secure Socket Layer)协议。

2446d67318d3928b019ffd8835fa5cd6.jpg

HTTPS超文本加密传输协议)就是由SSL(安全套接字层协议)+HTTP(超文本传输协议构建而成,是一种可进行加密传输、身份认证的网络协议,为浏览器和服务器之间的通信进行加密,确保数据传输到正确的服务器端,防止中间人窃取传输数据。

HTTPS的安全基础是SSL协议,通过SSL证书来验证服务器的身份,为浏览器和服务器之间的通信加密以防止数据中途被窃取;维护数据的完整性,确保数据在传输过程中不被改变。因此,SSL证书已经成为了众多网站的安全标配。

◆ SSL证书居然也有”等级划分”?

HTTPS在提供对通信双方的身份认证和保护通信数据安全的同时,部署SSL证书更要确保加密互联网流量的接收者为正确的对象。尽管SSL/TLS在互联网中已经非常普及了,出乎意料的是,权威机构统计结果表明,目前仍有超过40%的国内网站在使用不安全的SSL/TLS协议。这些不安全的SSL/TLS一旦被黑客利用,将导致企业发生严重的数据泄露,从而带来经济损失。

TrustAsia品牌SSL证书根据行业内加密的最高标准,为企业和个人提供安全可靠的加密数据传输和身份验证服务。实现了互联网数据从用户端到服务器端加密传输和网站身份认证的双重安全保障,防劫持、防篡改、防监听,有效防止各种数据泄露和数据滥用犯罪。

8d7cfbea67751b4c60244075ea1b70f6.jpg

04    MySSL.com省心、省时、省力

数据就是金钱的时代,伴随着SSL证书有效期再次缩短的政策实施,以及证书需求量的逐年递增,MySSL.com已经成为运维管理者们必不可少的证书部署检测工具。

MySSL.com是亚洲诚信推出的一款免费应用于HTTPS最佳实践的SSL安全评估和在线证书检测工具集,广泛应用于HTTPS网址、SSL CDN网络、邮件服务器检测,帮助各大站长或运维人员快速检测服务器SSL证书部署中存在的问题,除了大家广为熟知的DNS诊断工具、CSR生成、证书格式转换等小工具,近期还升级了IPV6检测、国密HTTPS检测等新晋高需求功能。界面简洁,灵活易用,检测输出一键完成,自推出以来就备受好评。

83230ba85c081bafb0e5444b11301676.jpg
访问网址 https://myssl.com查看详细站点报告

作为领先的数字证书厂商,亚洲诚信将坚持以核心技术为依托,不断引领网络安全技术创新,优化安全产品与服务,也将积极与合作伙伴携手同行,提供更兼容、易管理、体验优良的安全解决方案,铸造网络传输安全的“铜墙铁壁”,有我在,HTTPS更快更安全!