当你商务旅行之时,或许会在某个咖啡馆小憩。可是在你一边从无线热点上网冲浪、一边品味饮料或美食的同时,别人说不定就在偷偷窃取你的个人信息。因为无线信号采用无线形式,人们实际上能够从空中窃取你的数据。
不过,你也用不着因噎废食、放弃使用公共无线网络。你可以采取许多防范措施来确保自己的文件和敏感信息是私密信息,本文将进行全面探讨。
为了有效保护你自己、防范无线网络黑客或窃听者,你必须首先明白使用无线热点带来的几个主要安全风险:
在无线连接上传输的流量是完全暴露的:大多数无线热点并不用加密技术对于在你的电脑与热点之间来回传送的数据进行加密。这意味着,别人只要在几十米之内、拥有合适的工具,就有可能截获你无线连接上传输的原始数据包。
要是没有加密,别人至少能够清楚地看到你到底在访问哪些网站。此外,如果网站连接没有采用安全套接层(SSL)来加密――如果浏览器上显示一个挂锁,表明采用了SSL,那么别人就能看到与这个网站有关的内容和流量。这可能包括你登录到没有使用SSL的那些网站上所填写的用户名和密码。
没有得到加密保护的其他服务也存在同样的风险,比如FTP或电子邮件服务。图1显示了你可以清楚地看到无线热点用户的一举一动,那是因为该用户使用的POP3电子邮件帐户(比如微软Outlook中的POP3电子邮件帐户)没有得到SSL的保护。除了图中显示的电子邮件帐户证书外,发送或收到的邮件也以明文格式显示。
你的笔记本电脑容易受到未授权访问:如果你的防火墙或共享设置没有经过合理配置,你的电脑就极容易受到来自网上或公共热点的黑客的入侵。许多人可能犯下的最大错误之一就是,连接至热点期间,任由共享文件夹功能开着。别人只要连接至该热点,也许就能打开“网络”(Network)或“我的网络位置”(My Network Places),然后浏览至你的共享文件夹。他们也许进而能够阅读或编辑你的文件,具体取决于共享设置,这当然不是好事。
双面恶魔热点(Evil-twin hotspot)会窃取你的财务信息或身份:一心想为非作歹的无线网络黑客能够搭好自己的接入点和设备,建立起真实无线热点的“山寨版”。他们这么做的目的是,引诱你连接至他们的信号、进行支付活动。然后,他们就可以自己利用或者出售你的信用卡和身份信息。因为黑客可以把仿冒热点做得几乎与其他的真实热点一模一样,你甚至不会发觉自己上当受骗了――所以完全有必要定期检查自己的信用报告。黑客还会使出其他花招,比如把用户从一些知名的财务网站引到虚拟网站,企图窃取登录信息。
现在不妨看一下如何防范我们假想的所有这些坏事不会发生在自己身上。首先,我们先来讨论确保无线流量的一些技术和方法。你在使用无线热点时,只要使用下列其中一种方法,就足以保护最敏感的信息。
对于敏感的网站及服务使用SSL:不管你是不是连接至公共热点上,都应当始终确保你登录上去、处理敏感信息的任何网站或者你使用的任何服务(比如电子邮件和FTP)都得到了SSL加密的保护。这将确保在你的电脑与网站或服务之间来回传送的信息是安全可靠的,无论连接上去的热点是真还是假。如果使用了SSL,互联网浏览器就会跳出https地址,而不是http地址,还会显示挂锁或证书信息。
对于像Outlook或Thunderbird这些电子邮件客户程序,你需要确保POP3和IMAP4或SMTP服务器连接使用了SSL。你使用的电子邮件服务必须支持加密。如果不支持,你可能需要关注其他解决方案,比如Neomailbox、Hushmail或4securemail。
使用虚拟专用网(VPN)连接:这会对你的所有互联网流量进行加密。你其实完全可以使用未加密连接来访问网站或服务,因为热点上的黑客无法截获任何流量。你基本上是在VPN服务器端点使用互联网连接,以便访问万维网。之所以使用热点的互联网连接,完全是为了在你的电脑与VPN服务器之间有一条加密隧道。
如果你使用的网站或服务不是全部采用加密,或者你希望额外的安全性,那么连接至公共热点时使用VPN连接是个好主意。你可以询问雇主是不是有VPN解决方案,也可以自行构建VPN,或者使用商用或免费的托管服务。为了获得最佳保护效果,请使用基于IPsec的VPN,而不是基于PPTP的VPN。
使用经过加密的热点:T-Mobile和iBahn等一些大型热点提供商在其热点上为WPA企业级加密机制提供了802.1X证书。连接至这些热点可确保你的无线连接得到了保护、以免被公众偷窃。切记:不过确保安全地访问网站和服务总是最佳办法,以便保护在互联网上传输的流量。