眼下�����,路由器儼然已成為智能家居市場(chǎng)的新寵��,新品不斷�����。其中�����,安全性能成為它們的主打牌之一。
的確,這年頭���,無(wú)線路由器的應(yīng)用越來(lái)越廣泛。在餐廳,無(wú)線網(wǎng)絡(luò)成了招徠顧客的“標(biāo)配”���,顧客進(jìn)門問(wèn)的第一句話,往往從要菜單變成了“無(wú)線密碼是多少”;在家中,無(wú)線路由器也不再僅僅扮演“上網(wǎng)”的角色,遠(yuǎn)程遙控電視���、空調(diào)等家用電器,數(shù)據(jù)存儲(chǔ)……越來(lái)越多的功能開始匯集。
然而���,無(wú)線路由器應(yīng)用愈加廣泛、與我們的生活聯(lián)系愈加密切的同時(shí),安全問(wèn)題也日漸凸顯出來(lái):網(wǎng)銀被盜�����、隱私暴露�����、數(shù)據(jù)丟失等等。在享受無(wú)線網(wǎng)絡(luò)的同時(shí)�,對(duì)于安全可別掉以輕心�����。
——編 者
網(wǎng)上有教程,詳細(xì)地介紹破解路由器密碼的過(guò)程
家里的無(wú)線路由器幾分鐘就能破解����?破解后�,微博���、郵箱��、聊天軟件甚至是網(wǎng)銀的賬號(hào)��、密碼都能被對(duì)方竊取�?最近����,關(guān)于如何破解無(wú)線路由器密碼的幾個(gè)帖子很火���。在一個(gè)《攻下隔壁路由器之后����,我都做了什么》的帖子中��,詳盡描述了攻破隔壁無(wú)線路由器的過(guò)程���,并在破解后成功獲得了路由器主人微博����、微信的賬號(hào)和密碼。
不久前����,國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的報(bào)告指出�����,多家廠商路由器存在后門漏洞,黑客可利用漏洞��,直接控制路由器��,竊取用戶信息��。很多網(wǎng)友質(zhì)疑,無(wú)線路由器真的這么脆弱����,一攻就破���?
“破解無(wú)線路由器密碼早已不是新鮮事”���,某網(wǎng)絡(luò)安全公司技術(shù)人員張遠(yuǎn)告訴記者��,“只要研究一下網(wǎng)上的相關(guān)破解教程,很快就能學(xué)會(huì)�����?�!?/p>
破解過(guò)程看上去并不復(fù)雜。在張遠(yuǎn)的指導(dǎo)下���,記者也嘗試了一次。首先需要下載好幾個(gè)軟件���,成功安裝這些軟件并搜索到附近的無(wú)線網(wǎng)絡(luò)信號(hào)后,以記者本人的無(wú)線路由器為目標(biāo)開始進(jìn)行破解�����。
通過(guò)“抓包”(抓取用戶連接路由器時(shí)的數(shù)據(jù)包�����,含有登錄密碼等信息)�、運(yùn)行破解軟件���、載入密碼字典等步驟���,破解進(jìn)行到了最后一步:等待���。經(jīng)過(guò)四五個(gè)小時(shí)����,系統(tǒng)提示破解成功。張遠(yuǎn)說(shuō)����,能否破解和破解時(shí)間的長(zhǎng)短取決于密碼的復(fù)雜程度����、字典的大小�����、信號(hào)強(qiáng)度等,“也并不是每個(gè)都能破解成功”��。
“如果破解人只是想蹭蹭網(wǎng)還只是小事。”張遠(yuǎn)說(shuō),“更可怕的是通過(guò)路由器����,可以實(shí)現(xiàn)域名系統(tǒng)(DNS)劫持和遠(yuǎn)程控制等���,這才是真正的危險(xiǎn)���,不過(guò)這比破解密碼復(fù)雜很多�����。”
攻陷路由器,可以遠(yuǎn)程監(jiān)控所有連接設(shè)備的上網(wǎng)數(shù)據(jù)
除了直接破解密碼,黑客還可能利用路由器自身的后門漏洞“鉆”安全的空子。
據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心運(yùn)行部主任王明華介紹�����,路由器出現(xiàn)安全隱患目前主要有3種情況���。第一種是生產(chǎn)廠商為了調(diào)試程序等技術(shù)需要�����,留有后門接入口���,一般需要特定的用戶名和密碼才能登錄,這個(gè)入口在出廠時(shí)應(yīng)該關(guān)掉����,但不少?gòu)S家并沒有這樣做����。一旦登錄信息過(guò)于簡(jiǎn)單或者出現(xiàn)泄露�,黑客就可能趁機(jī)而入。第二種情況�,是少數(shù)廠商蓄意留有后門程序�����。第三種也是最常見的情況,是用戶不知道或沒有更改默認(rèn)的路由器管理界面上的登錄信息�,黑客在多次嘗試后也可能控制路由器。
國(guó)家互聯(lián)網(wǎng)應(yīng)急中心報(bào)告顯示�,2013年涉及通信網(wǎng)絡(luò)設(shè)備的軟硬件漏洞數(shù)量為505個(gè),較2012年增長(zhǎng)1.5倍,其中值得關(guān)注的是,本次監(jiān)測(cè)發(fā)現(xiàn)了多款路由器設(shè)備存在預(yù)置后門的情況���。王明華認(rèn)為���,從路由器的技術(shù)開發(fā)和監(jiān)測(cè)看����,后門程序在研發(fā)時(shí)有一定必要,但沒有必要為了升級(jí)固件和維護(hù)保留后門程序����,上市后應(yīng)該關(guān)掉�����。
“黑客入侵路由器,就等于控制了上網(wǎng)的入口��?!蓖趺魅A說(shuō)�,通過(guò)對(duì)路由器進(jìn)行遠(yuǎn)程控制,黑客可以監(jiān)控連接這個(gè)路由器的所有設(shè)備的上網(wǎng)數(shù)據(jù)�����,如電腦��、手機(jī)等���,用戶的瀏覽記錄����、賬號(hào)密碼等隱私信息就暴露在風(fēng)險(xiǎn)中。
危害更為嚴(yán)重的是�����,路由器被入侵后�,黑客可以影響用戶的網(wǎng)絡(luò)訪問(wèn)過(guò)程,甚至可能人為制作一個(gè)釣魚網(wǎng)站�����,用戶鏈接進(jìn)去后�,填寫的個(gè)人信息就可能被竊取,造成財(cái)產(chǎn)損失��。
張遠(yuǎn)舉例說(shuō)���,黑客對(duì)用戶進(jìn)行域名系統(tǒng)劫持后�����,用戶想登錄某個(gè)主流門戶網(wǎng)站����,黑客會(huì)通過(guò)攔截請(qǐng)求�����,將用戶導(dǎo)入另一個(gè)網(wǎng)址,這個(gè)網(wǎng)址有可能是黑客精心準(zhǔn)備的陷阱。
王明華表示,利用路由器進(jìn)行網(wǎng)絡(luò)釣魚是黑客謀利的主要手段,而一些網(wǎng)站����,因技術(shù)水平有限或?yàn)榱斯?jié)約成本��,并沒有很好的加密技術(shù),通過(guò)被控制的路由器訪問(wèn)這些網(wǎng)站就可能存在信息泄露的風(fēng)險(xiǎn)。
仍有部分廠商尚未提供安全解決方案或升級(jí)補(bǔ)丁
安全專家表示�,在現(xiàn)有技術(shù)條件下�,任何路由器都難以做到完全沒有漏洞����,只要不是人為蓄意留有的后門,大部分漏洞都可以通過(guò)升級(jí)來(lái)修復(fù)�。不過(guò)���,國(guó)家互聯(lián)網(wǎng)應(yīng)急中心表示�,在通報(bào)了多家路由器廠商的安全隱患后��,大部分廠商提供了升級(jí)程序����,但截至今年1月底��,仍有部分廠商尚未提供安全解決方案或升級(jí)補(bǔ)丁��。
由于網(wǎng)絡(luò)硬件設(shè)備升級(jí)通常較一般的應(yīng)用軟件難度更大,對(duì)普通用戶來(lái)說(shuō),難以獨(dú)自完成升級(jí)修復(fù),這也是路由器安全隱患常常不被人注意的原因之一。
從事網(wǎng)絡(luò)安全維護(hù)工作多年的工程師李波告訴記者,用戶安全意識(shí)匱乏是安全風(fēng)險(xiǎn)增大的重要原因之一����。有的用戶密碼設(shè)置簡(jiǎn)單����,往往就是12345678或者自己的生日�,這對(duì)于黑客沒有太大難度����。
瑞信安全專家唐威表示,用戶切實(shí)可行的防范方式是�,盡量購(gòu)買正規(guī)廠商的路由器�����,同時(shí)更改其出廠賬號(hào)、服務(wù)器地址、密碼���。如果設(shè)置了安全方式和系數(shù)較高的密碼,通過(guò)破解軟件等簡(jiǎn)單手段入侵的可能性非常小。
路由器生產(chǎn)廠商騰達(dá)公司近日也發(fā)布公告表示:強(qiáng)烈建議用戶不使用廠商出廠默認(rèn)的管理員用戶名和密碼���,一定要對(duì)原始用戶名和密碼進(jìn)行修改。同時(shí)��,路由器完成設(shè)置后,直接關(guān)閉瀏覽器,忽略瀏覽器“記住用戶名和密碼”的彈窗提醒。
王明華還提醒��,用戶要學(xué)會(huì)經(jīng)常檢查連接路由器的主機(jī)����,如發(fā)現(xiàn)蹭網(wǎng)行為,應(yīng)及時(shí)更換密碼。同時(shí),關(guān)閉互聯(lián)網(wǎng)直接訪問(wèn)路由器的權(quán)限�,“沒有這個(gè)權(quán)限�,即使存在后門隱患���,路由器沒有響應(yīng)�,也不可能出現(xiàn)入侵。”
用戶缺乏安全意識(shí)的另一個(gè)表現(xiàn)是在公共場(chǎng)所隨意“蹭網(wǎng)”。越來(lái)越多的餐館、咖啡廳等商家為消費(fèi)者提供免費(fèi)的無(wú)線網(wǎng)絡(luò),很多用戶不加甄別地使用�����,殊不知自己的手機(jī)此時(shí)形同“裸奔”:如果該信號(hào)是不法分子故意設(shè)下的陷阱��,那用戶的上網(wǎng)行為都將被監(jiān)控。李波為此提醒����,“警惕陌生的無(wú)線網(wǎng)絡(luò)��,使用公共無(wú)線網(wǎng)絡(luò)時(shí)一定要謹(jǐn)慎,不要登錄網(wǎng)銀賬戶或進(jìn)行在線支付�?����!?/p>
