用微信扫码二维码

分享至好友和朋友圈

介绍

随着假日季节的全面展开，一个穿着连帽衫的黑客，坐在仪表板上带有触角的汽车和膝盖上的电脑，坐在一个受欢迎的咖啡连锁店外的停车场。 路人，忙着节日欢呼，嗡嗡声进出，有时甚至停留了一段时间。

当他看了几个小时的Wi-Fi流量时，没有人打电话报警，甚至没有注意到。 人们通过HTTP不安全地访问Netflix和Google这样的网站，透露了他们所有的浏览活动，拨打了电话号码，并发送了大量未加密的流量，可以随意拦截或修改以进行网络钓鱼或钓鱼攻击。 这就是我认为这样一个故事可以实现的方式。

我是一名安全研究员和cypherpunk，对人的因素及其在日常人的隐私和安全中的作用着迷。

我（仅在几年前）进行了社交工程实验，例如我自己的电话提供商，让我的朋友欺骗他们让他们以危险的方式访问我的帐户和信息（导致这些公司无意中侵犯了联邦隐私和消费者 保护条例）。

在过去的生活中，我使用付费电话玩得很开心。 我也是加密互联网上所有内容的主要支持者。

在我的日常工作中，我致力于让互联网更安全，更高效的Magic - 正在为未来构建一个分散的互联网骨干网。

在假期期间，我开展了一项收集公共Wi-Fi流量的实验。 由于网络上的所有内容现在都应该加密（并且许多人错误地认为所有流量都是加密的），人们可能会认为没有太多可见的东西。

不幸的是，事实并非如此。 虽然自Firesheep's prime以来不安全状态有所改善，但是当你使用公共网络时，攻击者仍然可以使用你的数据包进行网络钓鱼。 很抱歉成为坏消息的承担者......

监控公众的互联网流量非常容易

首先，找到一个简单的目标

关于假期的一个方便的事情是，许多潜在的受害者聚集在购物中心。 这使得攻击者只需通过在人们习惯于找到未加密的Wi-Fi的位置附近“设置商店”来定位大量个人设备就相对容易。

这些购物者可能还有很多钱需要花钱，并且这么高频率，并且在很多地方，他们可能已经取消了他们的银行（和他们自己的）能够以任何及时性检测欺诈的能力。 它们也是盗窃的完美目标。

然后，部署你的（非常慷慨的）免费公共Wi-Fi

什么是公共Wi-Fi网络的配方？

1.完全不使用加密，或

2.使用预共享密钥告诉所有人（与＃1没有区别）

公共Wi-Fi故意不安全，容易受到多种攻击模式的影响

并且，使用一种简单的公共Wi-Fi攻击方法

在公共网络上嗅探流量有各种各样的攻击媒介。 以下是一些令人惊讶的低成本和低成本方法：

攻击者可以使用现成的无线网络适配器（例如来自Alfa的USB网络适配器）或关闭来被动地收听流量（即使是从很远的地方，也无需连接或以其他方式向网络指示攻击者的存在） 现成的软件定义无线电

只需使用免费提供的软件（例如Wireshark）而不需要额外的硬件，攻击者就可以连接到网络并从其他人那里混杂地检索网络数据包（这有时仅在交换网络上被阻止）

攻击者可以部署专用的流氓Wi-Fi菠萝，通过广播新的Wi-Fi网络来主动拦截数据包，仅用于执行攻击

但这可能都是非法的，对吗？

法律是否有效保护Wi-Fi上的人？

简短回答：不是。

虽然某些案例法发现在某些情况下接收未加密的Wi-Fi通信在美国的联邦法律下可能并非违法，但在这个问题上存在一些相互矛盾的观点，并且还存在一系列保护隐私的州法律。

话虽这么说，我提到的三种模式（上面）非常简单，一个lamer或脚本小子可以使用它们。 因此，虽然The Fuzz会让你远离黑客攻击你的朋友，但你不应该假设自己的网络安全防御基于（纸上写的法律）以某种方式保护你免受网络子弹攻击。

Cortados，Pineapples和Packets：人们如何通过一些Wi-Fi自由地向攻击者提供所有数据

设置：免费访客Wi-Fi

作为一个关心遵守法律和保护人们隐私的人，我设计了一个白帽实验来维护诚实，同意，匿名和数据隐私的原则。

与谷歌街景不同，我选择不偷偷地（在内存或磁盘中）记录应用程序有效负载，任何个人身份信息，甚至任何关于哪些主机连接到哪些服务器的元数据。

我建立了一个自制的强制门户网站，类似于所谓的Wi-Fi菠萝，但主要区别在于它没有冒充任何附近或常见无线网络的名称（因为我不希望用户对此有任何误解） 谁经营网络。

SSID“免费访客WiFi”似乎足够通用，它向用户提供了一个很好的强制网站启动页面，其中包含一个非冗长的协议，该协议来自用户同意监控用户的信息和通信。

可能的漏洞利用：我编写了专门的软件来确定你是多么可以攻击

为了进一步保护用户的隐私，我编写了一个小工具来收集有关应用程序通过网络使用的协议和端口的统计信息。

它只需要三行代码：

我的工具按设计，不记录任何IP地址，MAC地址，主机名或应用程序数据，也不能以任何方式配置。 它仅用于一个目的：总结以尽可能少的干扰方式使用的数据包和端口类型。

实际上，我的工具比企业接入点和路由器（例如Ubiquiti Networks产品）提供的深度数据包检查和智能更少侵入，这确保了我不会比系统管理员更不令人毛骨悚然，并且远比ISP更令人毛骨悚然。 为了进一步帮助保护隐私，我确保将任何强制门户日志写入tmpfs卷，以防万一可能存在任何使用日志泄漏。

黑帽黑客可以简单地使用Wireshark并查看所有应用程序数据以及访问的网站。

好吧，但对于真实的，谁使用“免费访客WiFi”？

这是一个下午过程中连接的人数：

已连接49台设备

100％接受强制门户中的ToS并发送数据

0个设备使用VPN

你们中的科学家会注意到我的实验引入了选择偏差。 收集的统计数据仅包括明确扫描开放式Wi-Fi网络，选择我的网络并接受强制门户启动页面上的条款的人员。 选择公共网络的这些人可能更有可能从事有风险的互联网行为。 但是，需要人工交互的事实突出了这些类型的攻击是多么容易。

此外，由于使用我的网络首先需要人工交互这一事实，它必然排除任何物联网（IoT）设备被包含在统计中，并且仅包括人类直接与之交互的设备（例如移动电话和笔记本电脑））。

这有点令人担忧，但互联网上的重要事情都是加密的，对吧？ 对？

我的工具忽略了统计信息中的非IP流量。 在收集了489,330个IP数据包之后，它报告说：

未加密的HTTP使用的端口80上有42％（与HTTPS使用的端口443上的差不多57％相比）

2,638是未加密的DNS数据包

18个是未加密的网络时间协议（NTP）数据包

原始传输，端口，数量和百分比如下：

结合DNS和NTP不安全，有42％的流量可能是未加密的，通过端口80发送的HTTP流量非常令人担忧。 那些Web浏览器应该强制实施的HTTP严格传输安全（HSTS）策略呢？ 流量是非网络流量还是某种其他误报？

由于无法（道德地）检查更深层次的数据包，我的双手并列......

后来我在自己的实验室里开了第二个实验来检查一些热门网站的行为。 我在本系列的第2部分中进一步讨论了这些发现（我还解释了为什么我们今天所处的位置，并解释了一些流行网站的错误做法）。

但是，我将在这里总结一下这些发现：

热门网站并不总是正确实施HSTS，如果有的话（包括谷歌和Netflix）

公共Wi-Fi网络的用户仍然容易受到中间人（MITM），私人数据拦截和其他攻击的攻击

但是，不要相信我的话......

在你尝试查找数据以反驳此分析的麻烦之前，LMGTFY：我非常努力地证明自己是错的，但后来我在网络透明度报告中发现了Google的HTTPS加密，该报告使用了Chrome用户之间的匿名使用情况报告将Google自己的内部数据作为确定网络上HTTPS使用状态的来源。

根据谷歌自己的报告（截至2018年12月29日）：

在没有加密的情况下访问了11-31％的所有网站

（通过未加密的HTTP访问）

~7％的Google产品流量未加密

（某些Google产品高达10％）

发送给Google的此流量的82.6％来自移动设备

（让我觉得再次考虑使用Google开发的操作系统感到尴尬）

这与我的工具记录的统计数据并没有太大差别，特别是考虑到选择偏差以及我不科学的观察，即更多的人正在喝咖啡和使用移动设备（只看82.6％的数字，再次！）而不是坐在笔记本电脑上。

我不是说我们需要害怕FUD ......但实际上，我说我们需要害怕FUD。

攻击者如何使用此流量来攻击你？

我没有破解任何人或损害任何人的隐私，在发布之前我确实咨询了法律顾问。但是，现在，通过廉价的硬件和/或免费工具（例如无线适配器，Wireshark，Bettercap等），使用公共Wi-Fi的人们的一些方式可能会受到损害。

网络钓鱼

首先，为了成功执行网络钓鱼攻击，攻击者可以定位一些可通过HTTP访问且不能正确实施HSTS的热门站点，也可能利用DNS请求，因为所有这些都是不安全的（在某种意义上，用于工作的强制门户网站）每次他们想要显示他们的启动页面时都会执行DNS伪造的MITM攻击，这很容易通过DNS实现，因为DNS从未得到正确的安全保护。

创造一种紧迫感

理想情况下，我们的假设攻击者可以通过匆忙（即忽略地址栏中长而略微修改的URL）来创建一种让用户犯更多错误的紧迫感。例如，提示用户输入其电子邮件地址并提供非常短的时间来检查电子邮件以获得验证链接的强制门户网站可能是所述电子邮件提供商的网络钓鱼登录页面的完美伴侣。

最好的是，一旦获取用户的凭据并确认它们是正确的，使用虚假的错误消息从网络启动它们可能会减慢它们注意到危害或重置其电子邮件密码。 >：>

制作一个熟悉的借口

提供假想的攻击者自己的网络钓鱼页面并使用Let的加密证书保护它们应该很容易。至少，那么，他们应该看起来“安全”，足以愚弄疯狂的网络成瘾者将他们的数字身份换成几分钟的Snapchat。如果有人想要为更高档的网站定位凭证 - 也许是一个真正实现HSTS的网站，但毫不奇怪，就像许多热门网站一样，它不在预加载列表中 - 攻击者可能只是等待目标潜力受害者直到他们的计算机发出NTP请求。

通过使用时间旅行和备用Universe（使用将来设置的时间伪造NTP响应），用户的浏览器缓存的所有HSTS策略的缓存条目在新的“当前”时间之前到期可能无效。然后，攻击者可以执行降级攻击，301通过HTTP重定向到网络钓鱼页面，其余的都是垃圾。

混淆/代理/用户/

我们假设的攻击者可能会欺骗人们安装一些后门或僵尸网络软件。 从那时起，攻击者可以在方便的时候基本上搜索他们的设备，信息和联系网络，并且身份盗窃或盗窃将很容易。 为此，攻击者可能会在计算机上弹出一些关于病毒或间谍软件的“警告”，并建议用户安装一个实际的病毒来“修复”它。

这将要求用户实际允许安装攻击者的软件。 或者，我们的假设攻击者可以在用户的Web浏览器中挖掘加密货币，这不需要欺骗用户同意安装软件。

点击未加密的纯文本大奖

此外，我的工具通过端口5090发送的流量很有趣，因为它是普通商业VoIP移动应用程序用于通过SIP协议发送电话呼叫的端口。 一些蜂窝提供商同样以这种方式卸载语音流量。 在我的统计数据中看到这一点，我感到非常惊喜！ 即使SIP有效负载是加密的，它们的头也不是，并且通常包含明确的CID和DID（电话号码）。

这可能对我们假设的黑客对受害者或其联系人进行捕获攻击特别有用，因为CID很容易被欺骗，使攻击者看起来很熟悉。 如果我们假设的黑客想要通过电话破解你或你的生活，他或她可以收集这些电话号码并稍后与他们一起玩。

公共Wi-Fi的所有问题

我不是试图过度夸大公共Wi-Fi的问题，但我确实希望将这些问题放在人们心中的最前沿。

我们在提高互联网的基本安全性方面取得了进步，但它并不是足够接近。

我们（技术专家）长期以来仍未能解决其他人类问题。在公共Wi-Fi网络上，即使在今天，攻击者也可以：

查看你要访问的网站（只需拦截DNS请求）

通过初始HTTP页面加载执行降级和MITM攻击

通过NTP注入假的未来时间来规避HSTS（那些HSTS策略确实有到期日，你知道）

网络钓鱼敏感信息

祝你，你的朋友和你的家人

使用你的CPU注入虚假内容/广告甚至挖掘加密货币

诱骗你进入运行不安全的插件，就像过时的Flash版本一样

来自当地机构的关于食源性疾病报道的新闻标题，并观察人们突然起床和离开

欺骗一个强大的门户网站页面，看起来像来自附近的网络并获取一些联系信息

通过强制你单击电子邮件中的链接以保持连接来验证联系信息，从而产生紧迫感并可能诱使你输入电子邮件凭据

你已经吓坏了，想知道如何保护自己？

我很高兴你问。

你可以做一些常识性的事情来使自己成为一个不太容易的目标。 默认情况下，你至少应该使用VPN和HTTPS Everywhere浏览器插件。 如果不是，你可能应该完全重新考虑你的安全状况。

我们正在积极致力于解决Magic的这些问题，默认情况下我们正在实现类似VPN的功能和基于功能的安全范例。

特别声明：以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布，本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.