有游客入住酒店隨機登錄了一個(gè)不需密碼的免費Wi-Fi，手機當即中毒，400多元話(huà)費10分鐘內不翼而飛;一位市民在當地使用公共場(chǎng)所Wi-Fi，家中的電腦隨即被入侵，網(wǎng)銀內的6萬(wàn)多元兩天內被69次盜刷，而所謂保障安全的U盾、銀行卡，賬戶(hù)綁定的手機短信、密碼都在，賬戶(hù)內的錢(qián)卻不見(jiàn)了??

據一份非官方的Wi-Fi信息安全報告顯示，過(guò)去一年，全國范圍內的無(wú)線(xiàn)網(wǎng)絡(luò )遭到攻擊的次數正呈幾何級增長(cháng)，而讓人更為擔憂(yōu)的是，依然有很大部分用戶(hù)并沒(méi)有意識到Wi-Fi可能帶來(lái)的安全風(fēng)險。

監管部門(mén)：十年只有入門(mén)級規范

“很難說(shuō)在國內，哪種類(lèi)型的免費Wi-Fi會(huì )更安全。”據了解，目前，市場(chǎng)上可連接的Wi-Fi大體可分為由不同運營(yíng)商提供的官方公共Wi-Fi、商家自建的商用Wi-Fi、Wi-Fi運營(yíng)商提供的Wi-Fi平臺，以及各類(lèi)虛假免費Wi-Fi。如此之多的種類(lèi)，如何界定安全與否?很可惜，到目前為止，無(wú)論是官方還是非官方，都無(wú)法給出一個(gè)切實(shí)有效的方案。

到目前為止，行業(yè)內唯一可遵循的規則是自2006年3月1日起施行，2005年11月23日由公安部部長(cháng)辦公會(huì )議通過(guò)的《互聯(lián)網(wǎng)安全保護技術(shù)措施規定》，這部在業(yè)內被稱(chēng)為“第82號令”從10年前頒布一直延用至今。而這部法令的根本要求是用戶(hù)可溯源。

“一般情況，我們對正規Wi-Fi渠道最簡(jiǎn)單的鑒定就是看其是否需要用戶(hù)輸入賬戶(hù)和密碼，是否需要進(jìn)行認證登錄，關(guān)鍵的動(dòng)作是用戶(hù)輸入動(dòng)態(tài)的短信驗證碼，這就是認證的過(guò)程。”一位業(yè)內人士透露，驗證機制是目前國家安全部門(mén)對Wi-Fi安全的主要要求。當用戶(hù)輸入驗證碼之后，Wi-Fi提供商的后臺即生成相應的認證號、留下了用戶(hù)資料，完成對用戶(hù)進(jìn)行識別。

這套機制對Wi-Fi登錄前的安全保障負責，“動(dòng)態(tài)密碼作為接入校驗，多了一個(gè)認證因子，對判斷虛假Wi-Fi和運營(yíng)商防止黑客破解Wi-Fi接入是有意義的。”在WiFi安全獨立研究員營(yíng)智敏看來(lái)，到目前為止，虛假Wi-Fi的制作者是無(wú)法提供這樣一個(gè)校驗碼的，“最起碼他們買(mǎi)不了和運營(yíng)商一致的短信接口，也就無(wú)法形成相似的聯(lián)動(dòng)機制，另一方面，他們也無(wú)法攻擊網(wǎng)頁(yè)登錄界面去獲得動(dòng)態(tài)密碼，因此，在這條界限內，攻擊者被暫時(shí)攔在了門(mén)外。”不過(guò)他也提出，這是在排除了沒(méi)有“偽基站”的前提下，成立的安全防控。

犯罪分子的手段在不斷升級，而防御管理者卻始終在入門(mén)級的安全水平徘徊。“Wi-Fi安全分為沒(méi)有鏈接之前的誘騙、誘導攻擊和鏈接之后的中間人攻擊。” 在業(yè)內人士看來(lái)，Wi-Fi犯罪成本低，犯罪技術(shù)手段正在不斷成熟，對于地下黑客而言，早就形成了一條龐大的利益鏈條。而最初的入門(mén)防御，其實(shí)很難阻擋他們犯罪的腳步。

林先生在Wi-Fi行業(yè)工作多年，他告訴記者，目前的這套驗證機制就好比是在一幢大樓的門(mén)口裝了一個(gè)攝像頭，能記錄下每一個(gè)進(jìn)出的人，但是進(jìn)去之后這些人做了什么，就無(wú)從追蹤了。而驗證碼就好比這個(gè)攝像頭，無(wú)法記錄登錄Wi-Fi后，人們都干了什么的。因此如何防御進(jìn)入網(wǎng)內的攻擊，目前，官方的法律規范幾乎是空白。

缺乏了有關(guān)規范條例的約束，業(yè)內各方只能“跟著(zhù)感覺(jué)”來(lái)把控安全。

Wi-FI運營(yíng)：用戶(hù)信息密碼竟然明文傳輸

目前，Wi-Fi使用的現狀是，公共Wi-Fi普及率低，商用Wi-Fi發(fā)展速度快，但安全級別無(wú)法考證。用業(yè)內觀(guān)察人士的評價(jià)就是，商用Wi-Fi更在意Wi-Fi所能帶來(lái)的商業(yè)價(jià)值，而非安全本身。

安全向利益妥協(xié)，這并不是戲言。“目前，國內大部分的商用Wi-Fi運營(yíng)商都處于起步階段，要求他們做到成熟的安全防御本來(lái)就不現實(shí)。”據一位知情人士透露，盡管不少商用Wi-Fi也配備了驗證碼機制，但其目的并非是用戶(hù)認證，而是為了截取用戶(hù)的手機號碼等個(gè)人信息。而個(gè)人信息的大量聚攏本身就能產(chǎn)生無(wú)形的商業(yè)價(jià)值。

“安全加密通道”，這對于國內大部分Wi-Fi用戶(hù)而言，是頗為陌生的專(zhuān)用詞，也正是因為如此，大量的廠(chǎng)商和Wi-Fi運營(yíng)商才有空間做到對于這種更安全的技術(shù)手段“視而不見(jiàn)”。

事實(shí)上，安全加密通道是保障Wi-Fi安全的重要手段。在國內Wi-Fi通道作為可以信息傳遞通道，用戶(hù)完全有權要求選擇自己在Wi-Fi上流通的內容是否通過(guò)加密傳輸。但到目前為止，除了有部分銀行采取了以安全專(zhuān)線(xiàn)的技術(shù)方法為某類(lèi)型的業(yè)務(wù)提供加密傳輸外，普通大眾的日常Wi-Fi使用，都并不具備如此的“待遇”。

“現有Wi-Fi網(wǎng)絡(luò )可以使用加密通道傳輸，但這是附加性功能，非Wi-Fi本身自帶的技術(shù)功能。”在營(yíng)智敏看來(lái)，沒(méi)有用戶(hù)主動(dòng)提出要求的情況下，廠(chǎng)商和Wi-Fi運營(yíng)商自然是不會(huì )主動(dòng)添加上類(lèi)似一項非盈利業(yè)務(wù)。據一家在Wi-Fi中加入了基礎雙層加密技術(shù)的企業(yè)透露，該公司在安全支出的成本幾乎占到1/3，其中加密技術(shù)涉及到技術(shù)的復雜性，比普通防御技術(shù)的成本提高20%。

無(wú)論是公共還是商用Wi-Fi，一旦加載了加密傳輸技術(shù)，用戶(hù)在不同通道間擁有選擇權，而選擇加密通道，也就意味著(zhù)通過(guò)的明文信息就將被隔離和保護，處于高度保護狀態(tài)。這對于黑客破解難度發(fā)起挑戰。但由于這項技術(shù)所涉及到的復雜性和建設成本都偏高，因此，行業(yè)內提供加密通道的企業(yè)少之又少。同時(shí)，政府或管理部門(mén)也并未對此做出任何強制規范。

硬件廠(chǎng)商：智能路由器或成重災區

Wi-Fi是來(lái)無(wú)影去蹤的信號，轉換信號的路由器同樣是確保安全的重要源頭。目前，市場(chǎng)上智能路由器大多價(jià)格低，使用簡(jiǎn)便，但無(wú)法規避的是其背后的安全代價(jià)。

一位來(lái)自本地Wi-Fi運營(yíng)的廠(chǎng)家負責人告訴記者，他們之所以沒(méi)有開(kāi)展類(lèi)似公共Wi-Fi領(lǐng)域的業(yè)務(wù)，就是擔心其背后的安全隱患，到目前為止，路由器領(lǐng)域內的“安全機制”的缺失，始終讓安全開(kāi)了一道后門(mén)。

為了配合快速發(fā)展的需要，目前市場(chǎng)上大部分的無(wú)線(xiàn)路由器都需要做到快速部署、低成本開(kāi)發(fā)，并采取通用性的解決方案，如此一來(lái)，勢必犧牲安全。“99元的Wi-Fi路由器，要怎么上高級防御技術(shù)呢?”

據了解，不少硬件設備廠(chǎng)商為了降低成本，開(kāi)源修改固件設備，以此大大降低了無(wú)線(xiàn)路由器設備自身的抗攻擊能力。這一根本性的薄弱將拉低整條產(chǎn)業(yè)鏈的安全防御級別，“路由器有漏洞的時(shí)候，有沒(méi)有加密方式都可以進(jìn)行攻擊。”

而另一方面，部分路由器廠(chǎng)商本身對安全也長(cháng)期采取忽略的態(tài)度，據了解，包括HIWI-FI等在內的路由器品牌在做安全眾測時(shí)，就被發(fā)現了大量漏洞，在安全界人士看來(lái)，“這本身就代表這些廠(chǎng)家在其自身技術(shù)體系下無(wú)法發(fā)現相關(guān)漏洞，單純依靠外包安全眾測模式不定期的安全檢測，很難真正解決問(wèn)題。”

“其實(shí)只要適當拉高技術(shù)開(kāi)支，就一定有門(mén)檻可以減少攻擊者挖掘到漏洞的可能性。”營(yíng)智敏看來(lái)，由于Wi-Fi需要覆蓋的人群范圍廣，使用頻率高，導致在路由器上安全技術(shù)部署變成了高成本的開(kāi)支，要在智能路由器上部署安全技術(shù)，比PC端的復雜許多，技術(shù)難度高，“類(lèi)似的路由器防火墻無(wú)法快速通用搭配到任何Wi-Fi網(wǎng)絡(luò )內，尤其是對于已經(jīng)受到攻擊或者已經(jīng)泄漏密碼的無(wú)線(xiàn)網(wǎng)絡(luò )。” 成本高，加上低效益，導致以商家為代表的用戶(hù)也并不樂(lè )意買(mǎi)賬，“商家本身也不具備維修能力。”由此造成的現實(shí)就是安全不斷讓位于操作的便捷性和低廉的成本。

此外，記者了解到，目前路由器的相關(guān)備案機制也并不成熟。目前，我國實(shí)行的報備制度并非強制性的規定，除了運營(yíng)商的設備、終端、產(chǎn)品都必須向工信部報備外，其他廠(chǎng)商的路由器是否報備皆靠自覺(jué)，與此同時(shí)，私人用的路由器就無(wú)需報備。

記者觀(guān)察：

Wi-Fi安全有新嘗試

目前，“安全讓道于商業(yè)利益”，這幾乎是目前國內Wi-Fi不安全的重要誘因，不少人為控制的缺失導致了Wi-Fi發(fā)展的亂象。而在記者采訪(fǎng)過(guò)程中，同時(shí)也發(fā)現，Wi-Fi領(lǐng)域的安全，國內也有不少新的嘗試。

最新成立的騰訊Wi-Fi安全聯(lián)盟是國內目前唯一的一家安全聯(lián)盟，對于加盟其中的企業(yè)騰訊也提出了不少規范和細則，但到目前為止，這個(gè)聯(lián)盟依然處于發(fā)展階段，妥協(xié)聯(lián)盟內不同企業(yè)的利益是他們要著(zhù)手解決的一道難題。

此外，廣州有一家安全企業(yè)目前正在嘗試搭建一個(gè)內部的應用，對Wi-Fi安全進(jìn)行評級，而他們的數據來(lái)源是一家來(lái)自國外的記錄Wi-Fi的網(wǎng)站wigle，據這家企業(yè)的負責人介紹，wigle是一個(gè)記錄全世界Wi-Fi的網(wǎng)站，網(wǎng)站上的信息來(lái)源是依靠全世界的人共同提交完善的。目前，在這個(gè)網(wǎng)站上的數據就顯示我國加密和沒(méi)加密的Wi-Fi信息，他們正在做的是，根據wigle的數據以及其他服務(wù)接口判斷其中加密Wi-Fi是否泄漏，然后提供給大眾。但他們坦言，目前他們沒(méi)有人力去做免費Wi-Fi的安全認證，因此這套應用只能暫時(shí)對內測試。