在WiFi技术流行以前,企业内网中的电脑都是通过有线方式进行连接的,企业网络的拓扑结构和网络边界通常也是固定的。但是,自从WiFi技术普及以来,企业的内网边界正在变得越来越模糊。特别是私搭乱建的WiFi网络,给企业的内网安全造成了极大的隐患。
一般来说,企业员工私搭乱建WiFi网络主要有以下几种形式:
1)通过笔记本电脑或者带有无线网卡的台式机来分享一个WiFi网络;2)通过智能手机或平板电脑等智能移动设备来分享一个WiFi网络;
3)通过一些即插即用的小型WiFi设备来分享一个WiFi网络。
私搭乱建的WiFi网络实际上是在那些已经得到准入授权的设备上开放了一个新的入口,使得那些未经授权的设备可以通过这个入口不受限制的接入内网系统,而且管理员往往很难发现。
4、CSRF漏洞和路由器后门等设备漏洞造成企业WiFi不安全
路由器设备本身存在安全漏洞,其安全性自然难以得到保障。路由器最常见的安全漏洞主要有两类:一个是CSRF漏洞,一个是路由器后门。
1)CSRF漏洞
CSRF是跨站请求伪造(Cross-site request forgery)的英文缩写。存在CSRF漏洞的路由器容易遭到CSRF攻击。所谓CSRF攻击,是指当用户访问经过特殊构造的恶意网站(A)时,恶意网站会通过浏览器发送访问路由器管理页面(B)的请求。如果路由器不能识别并阻止这种异常的访问请求,即路由器存在CSRF漏洞时,那么恶意网站(A)就有可能通过CSRF攻击登录到路由器的管理页面(B),进而篡改路由器的基本设置。
据《2014年中国家用路由器安全报告》数据显示:在可识别型号/固件版本的4014万台路由器中,约90.2%的路由器存在CSRF漏洞。
需要特别说明的是,绝大部分曝出CSRF漏洞的路由器型号,路由器厂商都已经有针对性地推出了相应的固件版本升级,而至今仍有大部分的路由器存在漏洞,主要是因为用户并没有对其进行修复和升级。从用户反馈来看,很多用户实际上在系统体检过程中已经看到了路由器的漏洞风险提示,但仍然没有对路由器固件进行升级操作。
2)路由器后门
一些研发人员为了调试方便等特殊目的,会在软件中保留某些不为外人所知的“捷径”。如果这些“捷径”在最终产品发布时没有被关闭,就会成为后门。通过后门,攻击者可以绕过软件的安全机制直接获得控制权限。
此外,一些路由器厂家在研发产品时,为了调试和检测的方便,会在产品上保留一个超级管理权限。一般情况下,这个超级管理权限是不容易被外人发现的,但一旦被黑客发现并破解利用,就意味着合法用户对自己的路由器丧失了控制权,因此也会带来各种各样的安全问题。
与CSRF攻击不同的是,针对路由器的后门攻击一般都是单点攻击,相比于CSRF漏洞,后门的危害范围要小很多。
根据国家互联网应急中心(CNCERT)发布的有关报告显示,有多家厂商的路由器产品存在后门,可能被黑客控制从而危害到网上安全。报告称,国家信息安全漏洞共享平台(CNVD)分析验证,D-LINK、Cisco(思科)、Linksys、Netgear、Tenda等多家厂商的路由器产品存在后门,黑客可由此直接控制路由器,进一步发起DNS劫持、窃取信息、网络钓鱼等攻击,直接威胁用户网上交易和数据存储安全,使得相关产品变成随时可被引爆的安全“地雷”。
值得警醒的三大WiFi安全事件
今年上半年已经有多起企业WiFi相关的安全事件发生,以下的三大事件影响大而且具有一定的代表性。
1、私搭乱建WiFi导致天河一号内网被入侵
2015年3月,白帽子在漏洞平台上称:由于某公司内部存在开放的WiFi网络,导致超级计算机天河一号被入侵,大量敏感信息疑遭泄漏。下图是在该公司附近检测到的各种WiFi网络。
报告者使用了特定的技术方法验证了其访问的确实是架设在内网系统中的天河一号。