这是一个创建于 3526 天前的主题,其中的信息可能已经有所发展或是发生改变。
左下角注目。360其实这个算是自黑吧。
第 1 条附言 · 2015-03-15 23:07:08 +08:00
我复述一下央视晚会这一块的内容:
让观众连了演播厅的一个wifi,号召大家自拍发朋友圈、微信。(至于怎么连、要什么方法没在电视上说)
然后主持人就直接把这些照片都调出来了(相当于演示了http劫持)
然后又演示了可以拿到观众的邮箱、密码。(相当于掩饰了https劫持?中间人攻击?)
最后就是号召大家不要随意去连接来路不明的(公众)wifi。
------------------
其实晚会上的这些东西就是一个概念演示吧,大家不要太过于深究(毕竟有可能连wifi的时候有什么特殊的步骤)
但是这种安全风险是确实存在的。这点毋庸置疑。
让观众连了演播厅的一个wifi,号召大家自拍发朋友圈、微信。(至于怎么连、要什么方法没在电视上说)
然后主持人就直接把这些照片都调出来了(相当于演示了http劫持)
然后又演示了可以拿到观众的邮箱、密码。(相当于掩饰了https劫持?中间人攻击?)
最后就是号召大家不要随意去连接来路不明的(公众)wifi。
------------------
其实晚会上的这些东西就是一个概念演示吧,大家不要太过于深究(毕竟有可能连wifi的时候有什么特殊的步骤)
但是这种安全风险是确实存在的。这点毋庸置疑。
 |
1
wecan 2015-03-15 21:58:47 +08:00 via Android
怎么能知道邮箱密码?求科普
|
 |
3
honeyshine75 2015-03-15 21:59:58 +08:00 via Android
315这个“黑客WiFi”实现起来有多难?还是很简单?
|
|
4
honeyshine75 2015-03-15 22:00:36 +08:00 via Android
对啊,密码这么简单就可以获取?
|
|
5
wecan 2015-03-15 22:00:40 +08:00 via Android
@linzianplay 也就是说Gmail应该不会有这个问题吧
|
 |
6
kingcos 2015-03-15 22:01:01 +08:00
给iOS做广告==
|
|
7
wecan 2015-03-15 22:01:25 +08:00 via Android
@honeyshine75 对啊,我也觉得不靠谱。难道那些APP都明文传输密码?
|
 |
8
cnZary 2015-03-15 22:02:09 +08:00
@honeyshine75 淘宝搜索广告路由器.......
|
 |
9
goodbest OP |
 |
10
nellace 2015-03-15 22:02:56 +08:00 via iPhone
我觉得这个怎么像4g广告。。。。我反正没看明白是怎么回事
|
 |
12
lxrabbit 2015-03-15 22:03:28 +08:00
同理,没看懂原理
|
 |
13
xmh51 2015-03-15 22:04:06 +08:00
315晚会真[拜拜],http可以劫持早就不新鲜了,QQ邮箱,163邮箱 可开启https传输,建议用hotmail,hotmail强制全程加密。其实facebook,推特,谷歌早就开启全站https加密了。而国内网站网页浏览几乎都没有加密,都处于明文传输。大部分大型网站只在登陆启用了https加密。
|
 |
16
Love4Taylor 2015-03-15 22:06:06 +08:00
@goodbest 证书错误其实不难解决。。一个wifi,然后让你下一个app来登陆。。然后。。呵呵呵呵呵了就
|
|
17
wecan 2015-03-15 22:06:32 +08:00 via Android
@linzianplay 是个妹子,密码还是特殊字符@开头的,挺机智的啊
|
|
18
goodbest OP @Love4Taylor 是的,很多免费wifi都会让你装一个这个。
|
 |
19
paradoxs 2015-03-15 22:07:16 +08:00
真的能忽悠。这是WIFI的问题吗?根本就不是。
HTTP本身就是明文传输的。。 错的是用HTTP的产品,而不是WIFI。 |
|
20
cnZary 2015-03-15 22:08:20 +08:00
|
|
21
paradoxs 2015-03-15 22:08:34 +08:00
所谓的邮箱密码,根本就没说是什么邮箱。。
说不好是他们公司自己的邮箱呢。 把后缀暴露一下呗。[:笑] |
|
22
xmh51 2015-03-15 22:08:49 +08:00
@linzianplay 确实,hao123有ssl证书,但无法正常浏览。微信有https加密,但也有明文传输。而微博没有https模式。空间有,但https模式也是不默认的。v2ex都一样,在被墙之前,大部分v友都是直接访问http页面
|
|
23
wecan 2015-03-15 22:10:23 +08:00 via Android
@paradoxs 我也觉得,如果是Hotmail,Gmail这些事情就大了。反正国内的邮箱本来也就不可靠
|
 |
25
9hills 2015-03-15 22:13:30 +08:00
我感觉这个是在黑WP。。
不过大家都喜欢这么忽悠小白,安全界更是如此。 |
 |
26
zts1993 2015-03-15 22:14:24 +08:00
1. 图片的亮点不是1%么
2. 后面那个工程师是360的 |
 |
27
yfdyh000 2015-03-15 22:16:03 +08:00
@paradoxs 也有Wi-Fi标准的问题吧,单向鉴权设计。双向鉴权是当初推广的国产标准WAPI的一个卖点。伪基站的根源也是单向鉴权问题,GSM,SIM与USIM卡。
|
|
29
9hills 2015-03-15 22:18:54 +08:00  1
|
|
30
honeyshine75 2015-03-15 22:21:25 +08:00 via Android
意思是说他们不是用的ios或者安卓自带的imap登录,而是单独的比如qq邮箱这样的软件登录的邮箱?而这些邮箱客户端没有加密密码?
这不科学吧,密码不都是加密传输的吗? |
 |
31
alexyangjie 2015-03-15 22:21:35 +08:00 1
zANTI+SSL Strip,除非网站开启HSTS+用户提高安全意识,否则都能攻破。
|
|
32
paradoxs 2015-03-15 22:22:14 +08:00
@yfdyh000
90%的问题在产品设计身上。 拿IOS的支付宝钱包来说,不管你用的是什么WIFI,会有危险吗?不会! WIFI里面,能被ARP抓包看到的信息,运营商也能看到。 掌管路由器的房东也能看到。 |
 |
33
juzi 2015-03-15 22:24:26 +08:00 via Android
我关心的是8点开始的晚会,怎么被今天早上的李大大的发布会占据了,推迟了好久,被公关了吗
|
|
34
yfdyh000 2015-03-15 22:25:23 +08:00
@paradoxs 说的是“用无密码WIFI”这个行为而不是“WIFI”的问题。完全抛弃http目前也不可能。晚会只是宣传,没必要较真。用户不浏览网页吗,浏览网页就可能被钓鱼。只是安全提醒,免费WIFI的安全隐患。
|
 |
35
nbabook 2015-03-15 22:26:51 +08:00
据我所知,很多手机终端软件其实都是采用HTTP协议进行数据传输,如果不是进行修改的话,根本不用HTTP劫持,只拦截数据包之后进行解压缩就可以直接明文了。
在节目中,根本没提HTTPS的事,所以很难判定他是否进行了HTTPS中间人攻击。而且手机端的软件当证书出错的时候,是否会提醒用户也不可知把? |
|
36
Love4Taylor 2015-03-15 22:27:01 +08:00
@juzi 据说是李大大说了什么 然后吓得央视把电商相关的全去掉了
|
|
37
wecan 2015-03-15 22:28:16 +08:00 via Android
@yfdyh000 我觉得还有一个问题,他们说搞了个一样名字的SSID这个没问题,不过信号也要够强,超过真正的wifi信号吧
|
|
40
juzi 2015-03-15 22:40:14 +08:00 via Android
|
|
41
yfdyh000 2015-03-15 22:43:33 +08:00
@wecan 区域性强信号做到不难吧,设备甚至可以完全不遵守相关无线电规范,而且设备还可以移动,特定区域内压制应该没问题。或者原设备已关闭,此时假设备无声替换。
|
|
42
nbabook 2015-03-15 22:50:58 +08:00
@yfdyh000 关键是有必要吗?WIFI网络中的数据包拦截只要能接入就可以了,那么换到自己的WIFI并替换到原来的WIFI意义是什么?
|
 |
43
mafuyu 2015-03-15 22:53:21 +08:00
不讲HTTPS电视上的安全界果然都是依靠骗吗...
@honeyshine75 APP加密传输?嗯...让你可以考虑下都爆出过几次APP是明文提交数据的问题了... |
 |
44
whoops 2015-03-15 22:54:22 +08:00
买个树梅派,架设个vpn什么的,养成良好的上网习惯。
|
|
45
yfdyh000 2015-03-15 23:00:43 +08:00
@nbabook “接入”指什么,你是说直接拦截WIFI网络中的HTTP吗。WIFI有加密的,有密码并且是新安全协议的话,没那么好破解吧。如果是指公共WIFI都有HTTP隐患,那是另一个问题,有关用户的鉴别和选择。重点说的是使用无密码WIFI可被同SSID无声替换,不是整个WIFI安全体系的讨论吧。不明白所指。
|
|
46
nbabook 2015-03-15 23:04:03 +08:00
@yfdyh000 我是做有线网络的,没怎么接触过无线网络,我的意思是如果是免费WIFI的,黑客直接连到免费WIFI上面,偷偷捕获用户的数据包进行分析就可以了,为什么要用自己的WIFI网络进行替换?这个替换的目的和作用是什么那?
|
 |
50
xxr3376 2015-03-15 23:14:50 +08:00
@nbabook 不光是这个问题,我做过无限抓包测试过,直接接入开放的 WiFi 只能抓到部分的包,而且有大量残缺的包,个人认为应该是和有线网络物理层性质的差别导致的吧。如果自己替换WiFi就能保证抓包抓全了。
|
 |
52
zhengkai 2015-03-15 23:20:06 +08:00
年前的时候看到前同事发微信说自己在大裤衩,知道是录节目但没想到是 315 的节目
小杨真是又帅又狠啊…… |
 |
53
Dreams 2015-03-15 23:36:30 +08:00 via iPhone
确实被吓到了 有几个问题请教各位大大 VPN 会不会增强链接公共Wi-Fi时的安全性? 没有VPN 全局ss是否可以代替? 邮箱不用ssl吗?怎么会有明文密码?
|
 |
54
dangge 2015-03-15 23:45:40 +08:00
|
 |
55
TuxcraFt 2015-03-16 00:23:37 +08:00
315这东西 都有人会看……
|
 |
57
xierch 2015-03-16 00:43:58 +08:00
安全什么的,还是国际大厂做得好啊。
Google,Facebook,Twitter 多早前就开始全站 HTTPS 了.. HSTS 规则都是写在 Firefox、Chrome 里的,还带证书 pinning,你就算手握 CNNIC CA 也没法做中间人... 性能也不必担心,Twitter 已经在用 HTTP/2 了,另两家也是 SPDY.. 相信不会比裸 HTTP 差,足以弥补 TLS 造成的性能损失了吧 |
|
58
xierch 2015-03-16 00:54:06 +08:00
从当前实际情况来看,注意 WiFi 还是有意义的。
但最终,安全还是得靠 HTTPS 这样的端对端加密来解决啊。 另外,一般常用的「WPA2 个人」,安全性全靠那一个密码来保证。 如果密码是公开的,那么,监听、中间人都无法避免了… 所以其实只能在家庭这样所有用户都是完全可信的情况下使用才能保证安全.. |
|
59
xierch 2015-03-16 01:06:18 +08:00
顺带,这个 HSTS「硬编码进浏览器」的门槛其实非常低!
你看我一个个人网站都能进去: https://code.google.com/p/chromium/codesearch#chromium/src/net/http/transport_security_state_static.json&q=sorz.org&sq=package:chromium (提交地址 https://hstspreload.appspot.com/ |
 |
60
ryd994 2015-03-16 01:19:05 +08:00 via Android
@xierch wpa个人加密强度不打折扣,只是没有支持radius这类多账号授权、计费等功能而已。
密码公开也未必意味着数据不加密。连接用的密码是授权密码,握手完成之后会有一个数据加密密码,这个密码每个人不同,隔一段时间自动轮换 其实我觉得WiFi加不加密真的无所谓。说的好像铜缆光纤上网就不怕窃听似的。互联网上的安全协议(SSL、很多VPN)都是以网络不可信为前提的。只要正确实现,完全不必担心。 所以问题的重点其实是国内公司缺乏安全意识与对用户不负责,WiFi加密只是用来防盗用而已。 |
 |
61
powergx 2015-03-16 02:07:34 +08:00 via iPhone
拨个vpn 就可以了
|
|
62
Dreams 2015-03-16 06:48:49 +08:00 via iPhone
@cchange 我知道VPN是全程加密的 但目前没有VPN服务 只有通过搬瓦工一键安装的ShadowSocks 全局模式是否可以代替VPN 进行加密?
|
 |
63
jasontse 2015-03-16 07:01:23 +08:00 via Android
如果邮箱没有用 TLS 保护 IMAP 和 POP3 时就会在后台自动检查新邮件时泄露密码。
|
 |
64
wdy1184 2015-03-16 07:56:27 +08:00
应该会有加密吧?
|
 |
65
sandideas 2015-03-16 08:18:51 +08:00 via Android 1
@Dreams 可以。。ss的加密足够了,不过好像可以劫持,不过基本上都没人能做到,因为用的人少。有那么多没加密的数据都吃不完了还去破解你的。。
|
 |
67
quericy 2015-03-16 09:50:23 +08:00
话说左下角技术支持360才是亮点吧...
真没有人觉得其中部分数据被抓到是因为用户手机上装了360吗?(笑 |
 |
68
finian 2015-03-16 10:50:25 +08:00
我觉得这个科普还是很有意义的,对于小白用户来说,根本就不知道背后这些乱七八糟的原理,看到有免费 WIFI 可以用就连上了,然后就被「吓尿」了。
那两个演示原理也很简单,照片那个是抓 HTTP 包,现场观众一刷朋友圈,新拉下来的照片就被扒到了;邮箱账号那个是抓 IMAP/POP3 包,只要没启用 TLS,密码都是明文传输的。是否启用 TLS,取决于客户端和服务端的设置,好的客户端一般都默认 TLS 加密的(当然用户可以自己修改),而 不少邮箱服务(特别是企业自己搭建的)压根就不提供 TLS 加密功能,所以客户端只能通过非加密方式连接。还有一点不安全的因素是,国内邮箱服务提供商没有一个是提供 oauth 支持的,意味着每次和邮箱服务器的交互都需要传递邮箱原始密码。而从目前国内邮箱服务竞争的尿性来看(你看,前段时间网易邮箱不是关闭了 IMAP 协议访问来屏蔽第三方客户端嘛),想要国内服务商提供 oauth 支持就只能呵呵了。 |
 |
69
honeycomb 2015-03-16 11:00:53 +08:00
@ryd994
WIFI不加密意味着你的设备在自行向外界明文广播今天它干了啥 有一个类似例子: 某国规定 警探不能在没有搜查令的情况下强迫嫌疑人开启汽车后备箱进行搜查 但是已经开了一条缝的后备箱警探就有权利搜查 |
 |
70
AKQJT 2015-03-16 11:04:13 +08:00
怎么没把wifi万能密码给爆了
|
 |
71
asfhkoashf 2015-03-16 11:10:42 +08:00
那请问如果我开启vpn 或者ss全局 是不是就可以解决这个问题
|
 |
72
heian0224 2015-03-16 11:31:02 +08:00 1
WIFI劫持还是一方面..关键是国内的手机有些是会自动连接某些名为CMCC的热点。。http://www.infog.cn/2014/12/975
|
|
73
sandideas 2015-03-16 12:07:42 +08:00 via Android 1
@Dreams 没看315,不过防止蜜罐的话,只要把自己的WIFI密码改长一点和复杂一点,关闭路由器的wps 功能。基本上就没事了。。然后把登录名和密码改复杂就行。
其实不用太担心,我这整栋楼都是计算机相关专业的,都没个会破解别人wifi的,唯一会的几个还是我教他们的,更别说抓包了 |
|
74
xierch 2015-03-16 12:54:58 +08:00
@ryd994 首先,PSK 公开后,就无法防止中间人攻击了。
其次,在已知 PSK 的情况下,监听握手时的数据是能够得到用于数据加密的密码的,也就能够知道通讯内容了。 |
 |
76
sycsycsyc378 2015-03-16 13:36:16 +08:00
WiFi万能钥匙没上榜?既然谈到这个话题。
|
 |
77
linkupmylife 2015-03-16 13:51:08 +08:00
我来说说我的观点:1.这其中有些故意夸大网警和网络审查系统能力的成分,有些纯粹是黑科技。2.央视竟敢在这么公开的场合演示黑客技术,对于一个信息安全研究者来说就是侮辱。3.看着那些设置了如此简单密码而被盗或者被查水表的人,毫无安全意识,我只能呵呵呵呵呵呵呵……
|
|
78
xierch 2015-03-16 14:02:17 +08:00
|
|
79
xierch 2015-03-16 14:05:27 +08:00
|
 |
80
waltcow 2015-03-16 14:07:49 +08:00
之前写的一篇关于嗅探的东西
http://www.right.com.cn/forum/thread-155213-1-1.html |
 |
81
imn1 2015-03-16 14:38:11 +08:00
可以为央视洗洗么?
昨晚在房间写东西,老妈子在看电视,恰巧听到“手机”和“wifi”就出来瞅瞅,整个晚会就看了这一段 央视并没说wifi有问题,而是说“慎用免费wifi”,也没说不用免费wifi,说要先自我警觉,当然这是公关语,否则就是打到一片了 看那个被显示的密码,也不算太简单了,至少见到有符号和大写,也不像英语单词或汉语拼音,主持人还“善意”提醒受访人记得改密码 至于夸张和浅显的事,这个可以理解,315晚会不是技术大会,只能说些大部分受众可以理解的事,大家可以不妨跟自己老妈讲解一下什么叫 PSK,让她复述一下 PSK 和去提款机按的密码有什么区别,看看她能说出个所以然不?更别说中间人什么的了 如果把“乙酸脱羟基,和乙醇氧化的合成产物作为食品添加剂是否有害”说给一个买果汁的人听,不知道是啥结果? 唯一我觉得不妥的地方是,这是一种“无预警下制造风险来提醒风险意识”的做法,很不正确;跟当年半夜鸡叫然后说这是为了提高投资者风险意识的说辞一样,贱~ 上述产物为乙酸乙酯,我以前在实验室做过,很香 |
 |
82
zjuster 2015-03-16 16:35:02 +08:00
居然还有6个WP用户...
|
 |
83
club 2015-03-16 17:02:57 +08:00
mark 一下雷鋒網的相關評論:
315特辑:公共WiFi是如何不安全的 http://www.leiphone.com/news/201503/w56FllErIh3mawfn.html 以及: 这样设置路由,99.9%的黑客都攻不破 http://www.leiphone.com/news/201410/2CcY73i0yHVi7MvZ.html |
 |
87
Solitudechn 2015-03-16 23:10:20 +08:00
如果全局使用ss代理的情况下,加密应该足够吧...反正我们学校的分包系统会被绕过。
|
 |
88
phoeagon 2015-03-16 23:54:15 +08:00
@xierch 恩。通過qq 360之類軟件在你本機裝個custom CA證書就好。Chrome和Firefox的雖然會驗證證書的CA公鑰,但是遇到證書簽發自用戶自行安裝的CA還是會放行(爲了讓corporate firewall之類能work)
|
 |
90
xiaoxiaoleo 2015-03-17 09:19:50 +08:00
arp嗅探,dns劫持。
arp可以到网上下载cain&adobel,搜个教程就能愉快的嗅探室友http登陆的密码了。https要麻烦一些。 dns劫持修改路由器上的dns配置,改变域名指向。 就这么easy。 |
 |
91
niklaus520 2015-03-17 10:00:52 +08:00
那些说什么光纤之类的你能随便接入到光纤里?安全和便捷很多时候都相互冲突,都是搞IT的,为了黑而黑,也是蠢到家了。
|
 |
92
davidyin 2015-03-18 03:44:28 +08:00
连上公共wifi后,即刻打开vpn。
|
Select Language