安全专家 马蒂·范霍夫(Mathy Vanhoef)昨天公开披露了 WPA2 安全协议上面存在的 一个严重漏洞 。目前,大多数设备和路由器都依赖于 WPA2 协议来加密 Wi-Fi 流量,所以你很有可能会受到影响。
不过,我们先来搞清楚黑客利用 KRACK 漏洞 可以做什么,以及不可以做什么。
- 攻击者可以拦截往来于设备与路由器之间的部分流量(如果这部分流量通过 HTTPS 协议进行了妥善的加密处理,那么攻击者就拿它没办法)。
- 他们 无法 通过这种漏洞来获取你的 Wi-Fi 密码。
- 只有 在攻击者清楚用户正在做什么的时候,他们才能获取用户未加密的流量。
- 在某些设备上,攻击者还可以实施 数据包注入(packet injection),做一些不光彩的事情。
这个漏洞最大的受害者就是那些在咖啡馆和机场共享同一个 Wi-Fi 网络的用户。
攻击者必须要处于你的设备所在的 Wi-Fi 网络的覆盖范围内。他们无法远程对你实施攻击,除非攻击者控制了你的 Wi-Fi 网络中的 肉鸡 ,这个就比较复杂了。正因为如此,企业应该尽快发布补丁,因为许多攻击者可能只是在今天刚刚听说这种漏洞。
至少从理论上讲,攻击者可以利用这种漏洞。而随着时间的推移,它的影响可能是巨大的。举例来说,如果你在两台物联网设备里注入蠕虫病毒,最终它很可能会创造一个物联网僵尸网络。但 KRACK 漏洞目前还不是这种情况。
那么,在 WPA2 安全协议存在漏洞的情况下,我们应该如何保护自己呢?
为自己的无线设备打好补丁
好消息是,只要你给设备来一次安全更新就可以避免 KRACK 漏洞。已升级的设备和未升级的设备可以在相同网络中共存,因为修复手段是向下兼容的。
因此,你应该用最新的安全补丁来升级所有路由器以及 Wi-Fi 设备,比如笔记本电脑、手机和平板电脑(目前苹果设备和微软 Windows 的最新更新都已经封堵了这个漏洞)。或者你可以打开设备的自动更新,避免将来再次遭到黑客攻击,因为 KRACK 不会是你遇到的最后一个漏洞。
现代操作系统基本都可以做到自动更新。有些设备(即安卓设备)不会收到大量更新,漏洞可能会持续构成威胁。一切的关键是,客户端和路由器都需要安全更新,以应对 KRACK 漏洞。
检查路由器
你的路由器固件绝对需要升级。如果路由器是由互联网服务提供商(ISP)提供的,你可以问一问该公司何时针对其设备发布安全补丁。如果他们不作出答复,你要不停地询问。你可以通过登录路由器控制台(登陆地址和其他信息一般都在设备的背后贴着)确保路由器固件是最新的版本。
如果你的 ISP 不能迅速对固件进行升级,你还可以关掉运营商设备的 Wi-Fi 功能,选择一个已经发布安全补丁的路由器品牌。
以下是部分已经发布安全补丁的路由器厂商名单:Ubiquiti、Microtik、Meraki、Aruba 和 FortiNet…
使用有线网
如果你的路由器没办法升级,在这种情况下,你最好只使用有线网络,直到安全补丁推送过来。一定记住在路由器上关闭 Wi-Fi 网络(假设可以在你的路由器上禁用 Wi-Fi 网络),以确保所有流量都经过有线网。
如果你仍然想继续为某些设备保留 Wi-Fi,可以考虑将重要设备切换至以太网。例如,如果你每天在电脑上花几小时,并且在这台电脑上使用大量流量,那么出于安全考虑你应该买根网线(以及可能需要的以太网转接头)。
使用蜂窝移动网络
你的手机和平板电脑都没有以太网接口。如果你想要确保没有人能抓取你的数据,就应该禁用设备上的 Wi-Fi 然后使用蜂窝网络。如果你生活在一个信号不好或者手机流量不便宜的地方,或者说你不信任你的电信运营商,那么使用蜂窝网络并不是一个理想选择。
运行 Android 6.0 及以上的设备比其他设备更易遭到黑客攻击。由于 Android 6.0 及以上的 Wi-Fi 握手机制有天生的执行问题,黑客实施重新安装攻击简直是轻而易举。所以,安卓用户必须要多加小心。
物联网设备该怎么办?
如果你拥有大量物联网设备,应该想一想一旦未加密流量被拦截,哪一种设备会构成最大的威胁。例如,你有一台不会加密流量的联网监控摄像头,当你使用同一个 Wi-Fi 网络时,攻击者就可以窃取你家中的原始视频片段。
采取相应行动。例如,切断 Wi-Fi 网络中风险系数最大的设备,直至制造商发布安全补丁。一定要注意那类孩子可能将其连接到家中网络的设备。
实话说,如果攻击者截获了往来于智能灯泡和路由器之间的流量,那倒没什么关系,攻击者会用这种信息去做什么呢?除非户主是斯诺登。大部人都不可能面临这种遭政府严密监视的风险。因此,你应该确定自己的危险程度,然后采取相应的措施。
即便如此,物联网在安全方面的名声也不好。因此,你应该趁现在这个机会,仔细检查所有的互联设备,想一想应该扔掉哪些厂商没有快速发布安全补丁的 Wi-Fi 设备——它们可能会对你的 Wi-Fi 网络构成某种长期风险。
安装 HTTPS Everywhere 插件
正如上面提到的,通过将加密互联网流量的优先性放在未加密流量之前,你可以降低遭到黑客攻击的风险。电子前线基金会(EFF)发布了一个名为“HTTPS Everywhere”的浏览器扩展件。如果你使用 Google Chrome、Firefox 或 Opera 浏览器,应该考虑安装这个扩展件。由于无需对 HTTPS Everywhere 进行设置,所以任何人都能轻松做到这一点。
如果网站提供未加密访问(HTTP)和已加密访问(HTTPS),HTTPS Everywhere 会自动告诉你的浏览器使用 HTTPS 版本,对流量进行加密处理。如果网站仍完全依赖于 HTTP,那么 HTTPS Everywhere 也对此束手无策了。如果网站在执行 HTTPS 上表现很不好,而且流量又没有经过加密处理的话,这个扩展件同样无用武之地。但是,有 HTTPS Everywhere 总比没有好。
不要完全依赖 VPN
从理论上讲,使用 VPN 好像是个聪明的选择。但是,我们一直都在使用这种服务,所以你一定要对市面上的 VPN 服务倍加小心。你不能相信任何一个 VPN 服务。
当你使用 VPN 服务的时候,你要将所有互联网流量重新导入某个数据中心的 VPN 服务器中。攻击者看不到你在 Wi-Fi 网络中的具体活动,但 VPN 服务商可以记录你所有的互联网流量,然后做出不利于你的事情。
例如,The Register 网站上周 发现了 一份法律文件,上面称 PureVPN 向当局透露了用户关键信息,追踪并逮捕了一名男子。但是,该公司的网站却宣称 PureVPN 并没有保留任何日志。再次提醒大家,千万不要相信任何一家 VPN 服务商。除非你愿意创建自己的 VPN 服务器,否则 VPN 服务绝不是解决方案。
对特别偏执的用户又该怎么办?
对于那些最为偏执、不想或不能完全停止使用 Wi-Fi 网络的用户来说,只能让他们搬到鸟不拉屎的地方了,这是最经济的选择。
科技公司的首席执行官们又是如何保护自己隐私的呢?他们的策略是 重金买下周围地产 ,然后将它们推倒,从而将个人数据遭监视的风险降至最低。很显然,这种策略的代价十分高昂。