Wi-Fi用户请注意，黑客软件来了

　　核心提示：电子边界基金会的鲍默认为WiFi网络安全问题不是WiFi连接存在漏洞所致，而是因为网站设计得太粗劣。

　　你以为只有政府情报机构或是哪个在自家地下室电脑前的天才少年黑客能够嗅探自己的网络活动吗？一些操作简单的软件就可以让咖啡厅某个坐在你身旁的人浏览你的访问纪录，甚至在线盗用你的身份。

　　加州里奇蒙德市一家航空航天公司的系统管理员戴伦凯辰（Darren Kitchen）说：“不管你喜不喜欢，我们都生活在网络朋克新时代。”戴伦凯辰同时也是一个与黑客和安全有关的视频播客Hak5的主持人。他说：“当人们发现他人可以多么简单容易地窥视甚至改动自己的在线活动时，他们吓坏了。”

　　以前，只有知识渊博、目的明确、掌握了合适的工具而且还有大把时间的黑客才能在WiFi热点区窥视他人的笔记本电脑或智能手机，但是最近情况变了。去年十月，一款名为Firesheep的免费软件被发布出来，任何人都能够很容易地利用那款软件窥视非加密WiFi网络上的其他用户正在做什么，甚至假冒其他用户登录他们已经访问过的网站。

　　网站管理员们没有发布任何警告消息，但一直在忙着加强网站的防护措施。

　　Firesheep的开发者、西雅图的自由软件开发员埃里克布特勒（Eric Butler）称：“我发布Firesheep的目的是为了说明人们一直忽略了网站安全中普遍存在的一个核心问题。 那就是缺少端到端加密。”

　　他的意思是，虽然你第一次在Facebook、Twitter、Flickr、亚马逊、eBay和纽约时报等网站输入的密码是经过加密的，但网络浏览器的cookie通常并不是加密的。Firesheep可以提取那些cookie文件，那样其他人或恶意黑客就可以假冒你的身份登录那些网站并获得你的账户的所有权限。

　　在过去的3个月里，已有一百多万人下载了那款软件（包括对电脑并不太精通的笔者）。 笔者发现，那款软件很容易使用。

　　只有那些使用了加密协议传输层安全或安全协议套层的网站才不会被他人嗅探到。PayPal和许多银行都是这么做的，但有相当多一部分深受用户信任的网站却没有那么做。 如果在浏览器的角上出现了一个锁的标记或者网址打头的字符是“https”而不是“http”的话，那么你才能确定你的网络活动不会被他人窥视。

　　旧金山电子权利提倡组织电子边界基金会（Electronic Frontier Foundation）的技术主管克里斯鲍默（Chris Palmer）称：“网站之所以不对所有通讯信息进行加密，原因通常是因为那样会拖慢网站的浏览速度，而且还要花费一大笔技术费用。 确实，操作上存在一定的困难，但它们都是可以解决的。”

　　Gmail在2010年1月将端到端加密设为默认设置项目。Facebook也从上个月开始提供类似的保护措施，但到目前为止，只有很少一部分用户可以使用那项保护功能，而且保护也比较有限。例如，它不能跟许多第三方应用软件兼容。

　　布特勒称：“值得一提的是，Facebook虽然采用了这项措施，但它也不能高枕无忧。因为https并非网站的默认设置。大多数人要么是不知道这项功能，要么认为它不重要，还有一些人是因为这项功能与自己使用的应用软件不兼容而不想使用它。”

　　Facebook首席安全官乔苏利文（Joe Sullivan）称，公司准备专门展示如何使用这项功能以及解决任何意料之外的问题。他说：“我们希望所有用户都可以在未来几周内使用这项功能。”他补充说，公司正在努力解决这项功能与第三方应用软件不兼容的问题，以及将https定为默认设置。

　　许多网站都为通过https的加密提供了支持，但那项功能很难使用。为了解决这些问题，电子边界基金会与互联网隐私保护组织Tor Project在去年6月合作发布了一款名为“https Everywhere”的火狐浏览器插件。 那款插件的下载网址为eff.org/https-everywhere，它可以让https成为所有支持该项功能的网站不可更改的默认设置。

　　加州圣克拉拉网站风险管理公司WhiteHat Security的首席战略官比尔彭林顿（Bill Pennington）称：“由于并非所有网站都支持https，因此我对人们说，如果你要处理敏感数据的话，最好别在WiFi热点区处理。回家再处理吧。”

　　但是家庭无线网络可能也不安全，因为互联网上已经出现了许多免费的WiFi破解软件如Gerix WiFi Cracker、Aircrack-ng和Wifite等。那些软件可以通过假冒合法用户的活动来收集所谓的弱密钥或密码提示信息。 Hak5的主持人凯辰说，整个过程是完全自动化进行的，即时对技术一窍不通的人也可以在几秒钟之内获得无线路由器的密码。 凯辰说：“我还没有发现一种受WEP保护的网络能够不受这种攻击影响。”

　　WEP加密的密码不如WPA密码的保密性强，因此最好还是使用WPA密码。虽然如此，黑客们仍然可以使用相同的免费软件进入受WPA密码保护的网络。 只是需要的时间更长（可能是几周），需要的知识更多。

　　利用这些软件和价格还不到90美元的高功率WiFi天线，黑客们可以从方圆2到3英里内的任何家庭网络上窃取数据。 市场上还有一些带有内置天线的电脑化攻击设备，比如WifiRobin（售价156美元）。 但是专家们称，那些设备不象最新的免费攻击软件那样快速或高效，因为那些设备只能在受WEP保护的网络上使用。

　　为了保护好你自己，请更改你的无线网络的服务组标识符（SSID），将路由器默认的服务组标识符（如Linksys或Netgear）改成他人不容易猜到的字符，就象设置一组结构复杂的长字符串作密码一样。

　　设置虚拟专用网络会更安全一些，不管你在家庭网络还是热点区上网，虚拟专用网络都可以将你无线发送的任何通讯信息进行加密。那些信息在被发送到互联网上之前，会先由你的电脑移动到一个安全的服务器，对于窥视者来说，那些信息看起来就会是乱码。

　　比较流行的虚拟专用网络供应商包括VyperVPN、HotSpotVPN和LogMeIn Hamachi。这些供应商提供的服务有些是免费的，另一些服务的价格为每月18美元左右，具体根据加密的数据量而定。免费的服务只能加密网络网络，而不能加密电子邮件信息。

　　但是，电子边界基金会的鲍默认为WiFi网络安全问题不是WiFi连接存在漏洞所致，而是因为网站设计得太粗劣。 他说：“许多流行网站一开始在设计的时候就没有考虑安全问题，现在我们开始尝到苦果了。人们必须要求网站使用https功能，那些网站才会下狠心去做它们应该做的工作。”