毛里茨·马丁:公共Wi

毛里茨·马丁:公共Wi,沃特·斯洛布恩(Wouter Slotboom)今年34岁,他的背包里总是背着一台小型玄色装备,体积略微大于一包香烟,上面有根天线。我遇到沃特是一次有时的机遇,在阿姆斯特丹市中央的一家咖啡馆。那天阳光灿烂,险些所有的桌子都有人。有些人在谈天,有些人在他们的手提电脑上事情,有些人在玩他们的智能手机。 沃特把他的手提电脑从背包里拿出来,将谁人玄色的小装备放在了桌上,然后用菜单盖住了它。一个女招待经由的时刻,我们点了两杯咖啡,然后问了Wi-Fi密码。与此同时,沃特打开了电脑和小装备,启动了一些程序,很快,他的电脑屏幕上就布满了绿色的字符串。事情逐渐清晰起来,沃特是在用这个玄色的小装备接入咖啡馆客人们的手提电脑、智能手机和平板电脑。 在他的屏幕上,一个一个词组冒出来:“乔瑞斯的iPhone”、“西蒙的MacBook”。装备的天线截取了我们周围来自手提电脑、智能手机、平板电脑的信号。
毛里茨·马丁:公共Wi 越来越多的文本出现在屏幕上。我们可以看到这些装备接入的上一个Wi-Fi网络是什么。有些情况下,这些网络名称是由数字和无规律的字母组成,让我们很难追踪定位,但更多时刻,这些Wi-Fi网络泄露了它们来自那里。 我们可以知道,乔瑞斯此前去了一趟麦当劳,很可能刚刚在西班牙度了一次假(有许多西班牙语网络的名字),而且还玩过卡丁车(他接入过当地一家异常著名的卡丁车俱乐部)。马丁是另一个来咖啡馆的客人,他登录过伦敦希思罗机场和美国的西南航空的网络。在阿姆斯特丹,他可能就下榻在白色郁金香旅店(White Tulip Hostel)。他很有可能还去过一家叫做斗牛犬(The Bulldog)的小咖啡馆。 阶段1:让所有人接入我们虚拟的网络 女招待帮我们点了咖啡,并给了我们Wi-Fi密码。在斯洛布恩连上网络之后,他就可以给所有的客人提供一个互联网的接口,而且将所有的互联网流量都重新定向到他的装备里来过一遍。 大多数智能手机、手提电脑和平板电脑都市自动搜索和接入Wi-Fi网络。他们往往都倾向于使用一个此前已经确立的互联网毗邻。打个譬喻,若是你曾经在火车上上岸过T-Mobile(火车移动)的网络,你手中的装备就会在周围搜索T-Mobile网络。 斯洛布恩的装备可以注册这些搜索纪录,而且伪装成为受信托的Wi-Fi网络。我溘然在我的iPhone网络列内外看到了家里的网络,另有我们办公室的网络,另有一系列我去过的公共场合,包罗咖啡厅、旅店大厅、火车上等等。我的手机自动地毗邻上了这些网络之一,但此时它们都出自谁人玄色的小盒子。 斯洛布恩还能推送一个虚拟的网络名称,让访客们确信自己就是连上了他们所在的这家咖啡馆的网络。好比说,假设一个地方的Wi-Fi网络是由随机字母和数字组成的(例如Fritzbox xyz123),斯洛布恩就可以提供一个网络名称(例如Starbucks)。他说,人们会加倍愿意接入这些著名字的网络。 我们眼见着越来越多的访客接入了我们的虚伪网络。这个玄色小装备的魅力就像海妖之歌一样,似乎不能抗拒。已经有20部智能手机和手提电脑是我们的了。只要他想,斯洛布恩现在就可以彻底地毁掉这些接入他网络的人的生涯:他可以回溯他们的密码、偷走他们的身份、抢走他们的银行账号。今天晚些时刻,他将告诉我怎么做到这一切。虽然他可以通过接入这个网络的任何智能手机和手提电脑来说明他的能力,但我允许他把我给黑了,好向我展示他到底能做到些什么。 除了极少数个例以外,一切都能被破解。 关于公用Wi-Fi网络并不平安的的论调早就不是新闻了。但它却是怎么重复都不为过的新闻。现在,全球有跨越14.3亿的智能手机用户,美国有1.5亿人拥有智能手机。跨越9200万美国成年人拥有平板电脑,跨越1.55亿人拥有手提电脑。每年手提电脑和平板电脑的全球需求量都市增进。据估计,2013年全球共售出2.06亿台平板电脑和1.8亿部手提电脑。可能每一个拥有可移动装备的人都至少毗邻过一次公共Wi-Fi:要么在喝咖啡的时刻、在火车上的时刻,要么在旅店的时刻。 好消息是,有些网络的珍爱比另一些做得更好;有些电子邮件和社交网络服务采用了加密的方式,在平安性上比它们的竞争对手做得更好。然则随着沃特·斯洛布恩在城里走上一天你就会发现,险些所有地方、每一个接入公用Wi-Fi的人都可以被黑客侵入。 来自威胁性情报咨询公司Risk Based Security的一项研究指出,2013年,全球共有跨越8.22亿份档案被露出,包罗信用卡号、出生日期、医疗信息、电话号码、社会保障号、地址、用户名、邮箱、名字和密码。其中65%的档案都来自美国。据信息手艺平安公司卡巴斯基实验室称,2013年,有3730万来自全球的用户和450万来自美国的用户成为网络钓鱼或者域诱骗贪图的受害者,这也就意味着他们的详细支付信息都已经从被黑掉的电脑、智能手机和网页中盗取了。 一份又一份讲述都说明,数字身份诈骗正在逐渐成为一个普遍存在的问题。现在有异常多种差其余阴谋可供黑客和网络罪犯们随便使用。而且现在四处盛行的开放的、未经珍爱的Wi-Fi网络给他们提供了更为有利的条件。荷兰国家网络平安中央是平安与司法部的下属部门,他们颁布过一条建议,并不是空穴来风:“不建议在公然场合使用公然Wi-Fi网络。若是这些网络是曾经使用过的,最好能制止在此举行事情或者是金融相关的流动。” 斯洛布恩称他自己是一个“有道德的黑客”,或者说是站在好人一边的手艺兴趣者,想帮着揭破互联网和科技的潜在危险。他就“若何更好地珍爱自己和自己的信息”向小我私家和公司提出建议。他做这些、另有做今天这件事情,通常是为了演示要造成损失到底有多容易。 由于真的,这就似乎小孩的游戏一样:这个装备很廉价,截取信号流量的软件异常易用,51影评网而且还随处可以找到下载源。“你需要的只是70欧元、一个一般般的智商,另有一点耐心,”他说。关于这个装备、软件或者其他方面的一些更为手艺层面的问题,我就不在这里陈述了。 阶段2:读取名字、密码,另有性取向 带着斯洛布恩的背包,我们到了一家以在拿铁泡沫上画漂亮的花而著名的咖啡馆,那儿也经常会有自由职业者带着笔记本电脑去事情。现在这里坐满了专心盯着屏幕的人。 斯洛布恩打开了他的装备。他带着我们又举行了一次之前的操作,没过几分钟,20来台装备就接到了我们的虚拟网络上。我们又一次看到了它们的Mac地址和登录历史,有一些还能看到它们的主人的名字。在我的要求下,我们又往前操作了一步。 斯洛布恩又打开了一个软件(这个软件也很容易能下载到),它可以让他从毗邻到自己这儿的智能手机和笔记本电脑上提取出更多的信息。我们能看到毗邻过来的智能手机的具体型号细节(好比三星的Galaxy S4)、差别装备的语言设置,以及它所使用的操作系统的版本号(好比iOS 7.0.5)。若是一台装备所用的是旧版本的系统,那就一定会有已知的“破绽”,也就是它的平安机制中有可以被很容易地行使的破绽。知道了这些器械以后,你就拥有了足以入侵它的操作系统、接受整个装备的信息。对咖啡馆里的主顾举行取样观察之后发现,他们没有一小我私家把装备的操作系统升到了最新版。而所有这些旧版系统的破绽都列在网上。 我们现在可以看到一部分我们周围的人正在接见的网络流量。我们看到有一个在用MacBook的人正在接见Nu.nl,许多装备正在用 WeTransfer发送文档,一些人正在毗邻Dropbox,而一些人正在浏览Tumblr。我们还看到有一些刚刚登录了FourSquare,这小我私家的名字也显示了出来,而在Google了他的名字以后,我们发现他就是坐在离我们只有几英尺远的地方的谁人人。 信息不断地涌进来,有些访客甚至都没有在积极地事情或者上网。许多邮件程序和应用不断地在和服务器通话——这是装备收取新邮件必须做的事情。对于一些装备和程序,我们能看到它们发送了什么信息、发到了哪个服务器。 现在我们获得的器械就真的异常个性化了。我们看到一位客人在他的智能手机上装了同性恋结交应用Grindr,我们还看到了他在用的手机的名字和型号(iPhone 5s)。我们没有再多领会他的信息,但想要知道这台手机属于谁,那是易如反掌。我们还看到有人的手机正在试图毗邻一台俄罗斯的服务器,而我们可以截获它发送已往的密码。 阶段3:获取有关职业、兴趣,以及与此相关的问题 许多应用、程序、网站和种种软件都行使了加密手艺。这些手艺是为了保证装备发送和收到的信息不被未经许可的人看到。但当用户毗邻到斯洛布恩的Wi-Fi网络上以后,在解密软件的辅助下,这些平安手段就能被对照容易地绕过。 让我们都感应惊讶的是,我们看到一个应用把用户的小我私家信息发送给了一家卖网络广告的公司。这些信息中包罗了位置数据、手机的手艺信息,以及Wi-Fi网络的信息。我们还能看到一位正在使用社交书签网站Delicious的女士的全名(包罗名和姓)。Delicious可以让用户分享他们感兴趣的网站的书签。原则上讲,Delicious的用户分享的页面都是能公然接见的,但当意识到我们可以基于这些信息领会到关于这位女士的那么多信息之后,我们照样情不自禁地有了一种窥淫癖的感受。 我们先是Google了她的名字,以是我们马上知道了她长什么样子、她在咖啡馆里坐在那里。我们领会到她生于欧洲另一个国家,最近才到了荷兰。通过Delicious,我们还发现她正在接见一个学习荷兰语的网站,而且她已经珍藏了一个有荷兰语综合课程相关信息的网站。 在不到20分钟的时间里,我们就领会到了这位坐在我们10英尺之外的女士的以下信息:她出生在那里、在哪儿上的学,她对瑜珈有兴趣,她珍藏了网上一个提供防打鼾心理治疗的网站,最近她还去过泰国和老挝,而且她还对那些提供若何拯救一段恋情的建议的网站稀奇感兴趣。 斯洛布恩还向我展示了一些其余黑客技巧。使用一个在他手机上装的应用,他能更改任何网站上的某些文字。好比无论那里提到了“Opstelten”这个荷兰政治家的名字,人们都市在页面上看到“Dutroux”这个已经被判了刑的连环杀人犯的名字。我们测试了这个应用,它是有用的。我们还实验了另一个技巧:任何人打开带有图片的网站,都市看到由斯洛布恩选择的一幅图片。若是你是在看什么开玩笑,可能会以为这听起来很搞笑,但它也有可能在一些人的智能手机上加载儿童淫秽图片,而持有这些图片是违法的。 截取密码 我们又去了另一家咖啡馆。我向斯洛布恩提出的最后一个要求,是请他向我展示一下若是真的想危险我,他能做些什么。他让我上一下微软的电邮网站Live.com,并随机输入一组用户名和密码。几秒钟后,我刚刚的输入的信息就出现在了他的屏幕上。“现在我知道了你的电邮账号的登录信息,”斯洛布恩说。“我首先会改掉你的账户密码,并向你使用的其他服务提出遗忘密码的请求。大多数人都市在所有服务上用同一个邮箱注册,以是这些新密码就会被发到你的邮箱,也就是说我也可以随意处置这些密码。”我们在Facebook上举行了同样的实验:斯洛布恩同样可以轻易地截取我输入的用户名和密码。 斯洛布恩用到的另一个技巧,是转移我的互联网流量。好比当我试图接见我的银行页面时,他已经用他的程序把我重定向到了一个由他所有的网站上:这是一个克隆网站,看起来和受信托的网站一模一样,但实际上却受到斯洛布恩的完全控制。黑客把这种技巧叫作 DNS诱骗(DNS spoofing)。我在这个网站上输入的信息就被存在了斯洛布恩拥有的服务器上。在不到20分钟的时间里,他就获得了我的种种登录信息,包罗我在Live.com、SNS银行、Facebook和DigiD上的账户名和密码。 在没有接纳平安措施的情况下,横竖我是再也不会毗邻到不平安的公共Wi-Fi了。 (本文原文发表于荷兰《Correspondent》报,由Jona Meijers翻译为英文,is 译社刘昉翻译成中文。原文链接:) 「好奇心日报」ID:qdailycom — 把天下酿成问号。逐日报道与你有关的商业新闻,无论它是科技、设计、营销、娱乐照样生涯方式。另外另有一个“生涯研究所”供你吐槽生涯。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 yaoruanwen@qq.com 举报,一经查实,本站将立刻删除。