焦點

保護 Wi-Fi 網絡以防黑客入侵和偷窺

你曾在餐廳、食肆、商場、學校或公眾地方使用 wi-fi 無線上網嗎?你知道這些場所的無線網絡通常都不安全嗎?

家用及小型機構網絡在架設上相對簡單,但這也意味著用戶很可能在安裝時不會特別謹慎,令網絡變得不安全,讓資料陷入危險。

眾所周知,Wi-Fi 通訊協定以及無線網絡設備都可能存在著已知的安全漏洞,包括系統管理帳號安全性不足以及內建功能的漏洞,這些都是殭屍程式最喜歡利用的入侵途徑。舉例來說,網頁式系統管理介面經常會出現可略過認證步驟的漏洞,令任何人都能進入管理介面。

連網裝置預設組態不佳、出廠預設密碼太弱、加密強度不足,這些都是 IoT 裝置甚至網絡遭到攻擊最常見的因素。每個上網裝置都是黑客可能利用的入侵點。例如,假使監視攝影機在連上 Wi-Fi 網絡時並未使用加密傳輸,那麼黑客就能偷窺攝影機所拍到的內容。

無線網絡可說天生就不安全,因為任何陌生人只要能接收到訊號,就有可能攔截傳輸內容。儘管目前已發展出許多安全通訊協定來保護無線網絡,但多年來這些通訊協定的弱點也逐漸浮現。例如 WEP 加密通訊協定已經被發現多項資訊保安漏洞,而且很容易被破解。採用 AES 加密的 WPA2 通訊協定過去同樣也被視為一項安全無虞的無線通訊協定。但現在也被發現漏洞,可能影響所有的 Wi-Fi 裝置。

歹徒攻擊時只需具備下列幾項條件就能成功:

  • 適當的裝置與工具。這些工具通常是可公開取得的開放原始碼軟件。而 Wi-Fi 網絡卡最便宜的也才不過 20 美元左右。
  • 足夠的網絡流量。如果網絡流量太少,有可能會接收不到足夠的封包來解出密碼。
  • 密碼不能太長。密碼越短,破解密碼的速度就越快。例如,像「hackm」這樣一個 5 個字母的簡短密碼大約只需 4 分鐘就能破解。

攻擊時,黑客可以假裝坐在大廳等人,或者正在享受咖啡,或是假裝在殺時間,或是站在附近假裝講電話。就算是調閱監視錄影畫面也看不出什麼端倪,因為他們的活動看起來就像正常人一樣:隨意瀏覽網站,然後將裝置藏在袋子裡,或者用其他方式掩護。

黑客只要帶著一部智能手機,再安裝一個合法的 Wi-Fi 監控程式,然後四處亂晃,就能找到各種開放的無線網絡,並且知道其 GPS 座標、網絡名稱 (SSID)、加密方式、使用頻道以及訊號強度 (SSID 若被隱藏則會顯示空白)。當黑客進入不安全的網絡之後,通常就會開始擷取網絡流量並偷窺連線內容,包括:用戶在網絡上分享的資訊、瀏覽的網站,甚至輸入的帳號密碼。如此一來,他們就能進一步在網絡內四處遊走,控制更多裝置,甚至監控用戶活動。

如何避免無線網絡遭到入侵?

儘管入侵 Wi-Fi 無線網絡已是一種老舊的攻擊手法,但用戶和企業若未妥善加以防範,對資料及隱私仍將帶來威脅。用戶和企業只需採取一些最佳實務原則並注意前述的資訊保安問題,就防止歹徒攻擊無線網絡的漏洞。

一般用戶可採取以下幾項作法來盡可能避免無線網絡遭到攻擊:

  • 變更出廠預設的 Wi-Fi 網絡名稱 (SSID) 及密碼,尤其是服務供應商提供的路由器,請改用更複雜的密碼來防止他人不當存取。
  • 每當 Wi-Fi 或其他裝置推出韌體更新時,請盡速安裝更新。假使遇到嚴重的漏洞,在完成修補之前,甚至可以考慮暫時改用有線的乙太網絡。
  • 啟用裝置內的防火牆來提升安全,或者使用虛擬私人網絡 (VPN) 來連線,尤其是從遠端連線時。

至於提供公共Wi-Fi 網絡的機構,包括學校,則最重要的是 IT 人員應該制定嚴格的使用政策,如:

  • 提升員工對不安全連線以及在公司或家中使用無線網絡的安全意識。
  • 建置網絡監控措施來掌握連線裝置和網絡流量的狀況。
  • 定期檢查裝置的記錄檔與監控資料看看是否有任何可疑狀況,此外也可將這項作業自動化。
  • 使用安全性較高的認證機制 (如雙重認證) 來管制連上無線網絡的用戶,而不是光靠密碼。除此之外,採用一套可讓網絡系統管理員在發生資訊保安事故時立即追蹤並封鎖入侵點的認證機制,也有助於確保網絡安全。

還有一項不錯的作法是控制 Wi-Fi 基地台的訊號強度。流動裝置與筆記型電腦通常不具備高增益天線,因此基地台的訊號不需發射太遠。如此一來,一旦用戶離開了辦公室,Wi-Fi 訊號就自然太弱而無法收訊。不過,黑客還是有可能使用高增益天線來從稍遠的地方連上網絡,不過要成功入侵無線網絡,歹徒還是得在訊號可及的範圍之內。

作者:趨勢科技「兒童及家庭網絡安全」顧問林志堅

科普快遞科學演示比賽接受報名
AirMap 為無人機愛好者發布免費空域地圖工具
So Steven

Copyrighted Image