我前阵子写过一篇文章,也许能解答你的疑惑。
安全风险漫谈之三:免费WiFi和网银
作者:http://weibo.com/tombkeeper
用商家提供的免费WiFi上网购物和操作网银安全吗?
不安全。
你会用那些免费WiFi上网购物和操作网银吗?
有可能。不过我会准备一张银行卡专门用于这种情形下的网络购物,这张卡余额不会超过1000元,并使用和其它银行卡完全不同的密码。
明知不安全你还用?
如我在《安全风险漫谈之一:后门和借钱》中所述,处理不同价值的资产时,对风险的态度是不一样的。通过控制风险涉及的资产价值,可以实现方便和安全之间的平衡。不因噎废食,也不因食忘噎。
免费WiFi为什么不安全?
很多免费WiFi传输都不加密,加密的那些密码也很容易得到——问店员。最重要的是:当你接入一个叫“Starbucks”的接入点时,你无法确认这是星巴克提供的,还是猩疤客提供的。需要强调的是:这些是WiFi的通病,免费不免费都一样存在这些问题。
网银不是都HTTPS通信吗?HTTPS不是安全的吗?
网银不是有“U盾”吗?用“U盾”还不安全吗?
这类问题大概相当于“穿防弹衣还会被枪打死吗”?
HTTPS是一个大概念,其中包含了若干种算法和子协议,这些算法和子协议中的某些已经被找到了攻击方法。例如BEAST、CRIME、Padding、Lucky 13等技术。
设计的理想和实现的完美是两回事。据我们测试,特别是一些手机上的浏览器,在HTTPS的具体实现上有比较严重的问题,很容易受到攻击。
最重要的是:攻击网银根本用不着和HTTPS或是U盾直接对抗。
面对一座固若金汤的城池,只能硬拼强攻?攻击者的目标并非突破城墙,而是进入城内。所以三千年前希腊人就选择了另一条路,让认为自己有HTTPS和U盾就可高枕无忧的特洛伊人吃了一惊,然后把他们都杀了。
当你连接了一个“猩疤客”的WiFi接入点,攻击者有非常非常多的方法在你的系统上植入木马(就像3000年前希腊人干的那样)。
而在系统被植入的木马控制后,当希腊士兵藏在木马里进入特洛伊城之后,一切就是另一回事了。
我们协助某银行处理过一个案件:用户在使用了U盾的情况下,通过网银被盗转近百万元。这事没有公开报道,我也不能透露具体犯罪手段,不能提供当事人姓名联系方式家庭住址等细节来证明真有其事,我甚至都不能告诉你是哪家银行,因为要替客户保密。不过,如果公开报道可以让你相信此事——2011年4月15日《新京报》第A14版刊载过一起案件:某用户在使用了U盾的情况下,被盗转30万元。
如需要看更多案例请搜索关键字“U盾 + 仍被盗”。
注1:前些年我们和国内一些银行合作,对网银安全进行过长时间的研究,结论是:至少对当时的网银来说,攻击者入侵用户电脑后,在有U盾的情况下仍然可以实现盗取。银行后来根据我们提交的报告进行了改进,现在好多了。譬如在使用了有显示屏和按键的新型U盾后,类似前面提到的《新京报》所刊载那起案件中的犯罪手法就无效了。
注2:“U盾”是用于身份认证的有存储数字证书等安全功能的USB安全设备的俗称之一,本文中泛指所有此类设备。
2013年7月7日
— 完 —
本文作者:知乎用户(登录查看详情)
【知乎日报】
你都看到这啦,快来点我嘛 Σ(▼□▼メ)
此问题还有 4 个回答,查看全部。
延伸阅读:
HTTPS协议中POST的数据是被加密的吗?
如何理解 TCP/IP, SPDY, WebSocket 三者之间的关系?