網絡安全常亮紅燈 多家廠商路由器曝出后門、黑洞

　　互聯網的安全問題一直是懸在廣大網民頭上的一把刀，雖然每個網民都深知其危害，整個互聯網行業也都對其深惡痛絕，但是互聯網的安全問題，除了在一些常常被網民詬病的上網環節上不時出現而導致危害外，更在一些不為網民所注意的地方“一鳴驚人”，讓整個互聯網都深陷危機。近日，多家廠商的路由器產品就被曝出存在“后門”，嚴重危害到網民的網上安全。

　　A

　　路由器存在“后門”

　　近日，據國家互聯網應急中心（CNCERT）發布的“2013年我國互聯網網絡安全態勢綜述”顯示，有多家廠商的路由器產品存在后門，可能被黑客控制從而危害到網上安全。報告顯示，去年國家信息安全漏洞共享平台（CNVD）共收錄各類安全漏洞7854個，其中高危漏洞2607個，較2012年增長15.1%和6.8%。涉及通信網絡設備的軟硬件漏洞數量為505個，較2012年增長1.5倍，佔CNVD收錄漏洞總數的比例由2012年的2.9%增長至6.4%。

　　國家信息安全漏洞共享平台（CNVD）分析驗証，D-LINK、Cisco（思科）、Linksys、Netgear、Tenda（騰達）等多家廠商的路由器產品存在“后門”，黑客可由此直接控制路由器，進一步發起DNS（域名系統）劫持、竊取信息、網絡釣魚等攻擊，直接威脅用戶網上交易和數據存儲安全，使得相關產品變成隨時可被引爆的安全“地雷”。國家互聯網應急中心表示，CNVD及時向相關廠商通報威脅情況，向公眾發布預警信息，但截至2014年1月底，仍有部分廠商尚未提供安全解決方案或升級補丁。“路由器等網絡設備作為網絡公共出口，往往不引人注意，但其安全不僅影響網絡正常運行，而且可能導致企業和個人信息泄露。”

　　“所謂‘后門’，一般是開發軟件的程序員為了某種目的，在軟件中保留的不為外人所知的程序，通過后門，可以繞過軟件的安全機制直接獲得控制權限。有電信設備廠商內部人士對記者表示，一些路由器廠家在研發成品時，為了日后調試和檢測更方便，會在產品上保留一個超級管理權限，一般情況下，這個超級管理權限是不容易被外人發現的，但一旦被黑客所發現並破解，就意味著黑客可以直接對路由器進行遠程控制。”據金山毒霸安全專家李鐵軍在接受南方日報記者採訪時介紹，典型的路由器“后門”如友訊科技（D-Link）路由器固件“后門”，攻擊者可以用“特別”的方式直接訪問路由器管理界面。據其介紹，由於目前大多數路由器廠商實際上都是採用的同一種芯片解決方案，因此如果最初的軟件系統層面存在“后門”，那麼涉及的范圍將會是多個品牌甚至多個型號的產品。

　　B

　　網民信息或被“窺”

　　“路由器‘后門’本來是秘密的接口，隻有廠商的少數人員知道如何使用。但是黑客可以通過逆向工程進行研究分析，發現此類路由器‘后門’，並利用‘后門’對路由器用戶進行非法的入侵控制。”360安全專家Ir0nSmith在接受南方日報記者採訪時認為，無需知道路由器的管理賬號和密碼，就擁有直接修改路由器配置的權限是路由器“后門”最大的危害。“以目前曝光的Netgear為例，Netgear生產的多款路由器存在‘后門’。該‘后門’是由廠商設置的超級用戶和口令造成的，黑客攻擊者可以使用此超級用戶和口令，登錄路由器管理后台獲得控制權，任意竊聽受害用戶的上網數據，篡改路由器DNS設置，甚至植入木馬病毒。”

　　南方日報記者從網絡安全專家處了解到，黑客利用“后門”控制路由器后，可以監聽或劫持所有通過此路由器上網設備的通信流量，盜取網銀、QQ、微博等賬號密碼和隱私數據。以D-LINK部分路由器產品為例，攻擊者利用“后門”，可取得路由器的完全控制權，國家信息安全漏洞共享平台（CNVD）分析發現受該后門影響的D-LINK路由器在互聯網上對應的IP地址至少有1.2萬個，影響大量用戶。“不停彈廣告，個人信息被竊甚至影響網銀安全都是路由器‘后門’有可能造成的破壞。”有網絡安全專家表示，路由器“后門”一方面讓黑客可以完全在用戶不知情的情況下“窺視”用戶的一舉一動，甚至做出詳細的記錄，將網民的信息完全“竊走”﹔另一方面隨著如今網民通過互聯網進行的金融交易的頻次越來越多，類似的路由器“后門”將會造成難以預估的損失。

　　C

　　路由器成黑客“新寵”

　　“與路由器的‘后門’相比，路由器目前出現的‘漏洞’則更為普遍。”安全專家李鐵軍向南方日報記者解釋說到，相對而言，路由器中的后門是人為制造，但是漏洞是無意中被發現的缺陷，漏洞很難避免。“路由器‘后門’被攻擊的前提條件是，黑客和路由器用戶在同一局域網內或WiFi信號覆蓋范圍內，能夠連接訪問路由器設備。由於路由器管理地址一般是內網IP，而且會禁止外網訪問，黑客直接利用路由器‘后門’有著一定限制條件。”安全專家Ir0nSmith表示，路由器“漏洞”的涉及面將比“后門”更為廣泛，根據360安全衛士檢測，市面上有30.2%的路由器受到“弱密碼漏洞”的影響。“如果路由器用戶附近潛伏著黑客，路由器‘后門’的危害很大，如果路由器用戶附近沒有黑客攻擊者，路由器‘后門’的風險相對會低一些。但是路由器‘漏洞’的危害遠遠超過‘后門’。如果路由器使用出廠默認的管理密碼，隻要電腦訪問一個惡意網頁，路由器DNS就會被自動篡改為黑客指定的DNS。而DNS相當於用戶訪問網址的‘導航儀’。DNS一旦被黑客控制，就會出現上網變慢、知名網站彈出色情廣告等情況，甚至訪問網銀官方地址也可能實際打開的卻是釣魚網站，導致網銀被盜。”這意味著黑客可以對存在“弱密碼漏洞”的路由器進行遠程攻擊，大規模篡改路由器DNS，而路由器“后門”一般隻會被黑客用於攻擊附近能夠接入的WiFi和局域網。

　　據360互聯網安全中心發布的《路由器安全報告》顯示，隨著電腦安全軟件普及，黑客攻擊目標已瞄准家用路由器，通過篡改DNS網絡設置，強制彈出廣告，或者在用戶訪問網購、網銀等網站時劫持到虛假釣魚網站上。360安全專家石曉虹博士就指出，家用路由器普遍存在四大問題，即“多數用戶沒有修改路由器默認密碼的意識、低等級加密（WEP）的WiFi密碼容易破解、使用默認的路由器管理IP地址、路由器固件存在漏洞用戶不知如何修復”，而這些問題導致絕大多數家用路由器能夠被黑客輕易入侵。“從用戶角度來說，很多網民隻知道設置WiFi密碼，並不知道路由器管理密碼也需要修改，甚至不少人連路由器管理后台都不知道該如何使用，因此路由器‘弱密碼漏洞’影響非常廣泛。”

　　安全專家提醒網民，如果發現手機、Pad等移動終端頻繁彈出廣告，或者在瀏覽網頁時被跳轉到其他網站，應及時給路由器做“體檢”，修改默認的路由器賬號密碼，檢測路由器是否存在漏洞，修復被篡改的DNS，同時提升WiFi密碼加密等級（WPA2-PSK），從而全面封堵黑客入侵路由器的各個途徑。

　　南方日報記者 葉丹

　　阿裡讓步：

　　從未把余額寶當成戰略級產品

　　馬雲在來往平台上怒斥四大銀行不公平競爭的悲情檄文主動撤銷，意味著支付寶與銀行間的緊張氣氛從頂峰漸趨緩和。最近幾天，工行、農行負責人紛紛主動表示，期待與支付寶更好合作。而阿裡巴巴小微金融服務集團（籌）CEO彭蕾也同樣配合，公開出來代表阿裡官方回應，感謝包括工行在內的所有銀行十年來的支持，並期待與各大行延續良好合作，共同來支持和發展蓬勃的電子商務和互聯網經濟，實現大家的共贏。彭蕾同時公開表示，余額寶並非支付寶的戰略級產品，從來沒想過要顛覆甚至打敗銀行業。

　　經此風波，余額寶收益率卻是越來越低，手續越來越繁瑣。有消費者反映，如果現在要通過快捷支付把5萬元錢轉入支付寶，必須分10天才能支付完，按1萬元1天收益1.5元計算，就要比之前少賺幾十元。

　　就在上周，四大行（中國銀行、中國農業銀行、中國建設銀行、中國工商銀行）均下調了快捷支付額度。對於下調額度的原因，各大行表示“為了保護用戶資金安全”。而此舉令馬雲憤然在社交平台上發帖怒斥，“四大天王聯手封殺，支付寶雖敗猶榮，雖死猶生，但決定市場勝負的不應該是壟斷和權力，而是用戶！也不知道誰給銀行們權力，可以傷害儲戶支配自己資金的權力。”不過隨后馬雲主動刪掉了帖子。

　　但是在3月27日工行2013業績發布會上，工行行長易會滿稱，整個互聯網金融的發展對提升金融的服務效率，增強客戶體驗起了很好的作用，對實體金融企業起了很大的促進。工行要加強跟新型互聯網金融企業的合作。工行副行長張紅力表示，工商銀行與支付寶的合作意願沒有變化，期待與支付寶更好的合作。而農業銀行副行長李振江25日出席2013年度業績發布會時也表示，農行對與第三方支付機構合作持開放態度。這些舉動被認為是四大行在對支付寶隔空喊話。

　　針對工行、農行高管期待與支付寶更好合作的“繡球”，上任至今保持低調的彭蕾主動出來接受媒體採訪時隔空“喊話”回應稱，感謝十年來所有銀行對支付寶的支持，支付寶在過去10年也為培育用戶使用網銀或者第三方網上支付的習慣作出了一些努力，也很期待與各大行延續這樣良好的合作，共同來支持和發展蓬勃的電子商務和互聯網經濟，實現大家的共贏。

　　針對目前外界熱議的四大行和支付寶之間的爭議，以及工行關閉除了浙江分行之外的其他分行的快捷支付接口問題，彭蕾稱，銀行作為國家金融體系主動脈發揮的重要作用不可能被替代。而網絡支付和新興金融服務則是今天整個生態體系中的毛細血管。主動脈與毛細血管都是整個金融生態體系的有機組成部分。

　　彭蕾認為，有爭議不要緊，任何爭議相信通過理性客觀的溝通都能解決，但前提是不能影響用戶體驗和利益。爭議之后，更希望大家能與生態體系其他各個參與者一起，努力發展普惠金融，讓金融更好地為經濟社會發展和民生改善服務，這才是最終目標。

　　“從一開始，余額寶就不是支付寶的戰略級產品。”彭蕾明確表示，雖然市場普遍認為四大行與支付寶之間的核心焦點在余額寶，但支付寶推出余額寶，目的只是為了讓用戶放在支付寶裡的余額通過投資相對比較安全的貨幣基金來獲取一點收益，所以它才叫余額寶。

　　彭蕾稱，盡管余額寶受到的喜愛遠遠超出我們的預期，它也成為普惠的互聯網金融的一個代表性產品，但回歸到做余額寶的初衷上來，它從來不是為了顛覆誰，或者打敗誰。好的產品應該繼續存在，在繼續為用戶服務的同時，我們也期望整個金融生態體系裡的實現共贏。

　　南方日報記者 戴遠程

　　四大行加速發力自有移動支付

　　■媒體觀察

　　移動支付已經成為國內互聯網與金融行業增長最快的幾個細分市場之一。各商業銀行通過與支付寶合作快捷支付業務，每年收益不菲，而此次四大行“合力出招”，也是看中了未來移動支付廣闊的市場前景。市場人士分析，在銀行與第三方支付在快捷支付博弈升級的背后，移動支付、快捷支付的比例正在上升，已經成為用戶的一種習慣。

　　中國銀行業協會此前發布的《2013年度中國銀行業服務改進情況報告》顯示，2013年中國銀行業移動支付業務共計16.74億筆，同比增長212.86%﹔移動支付金額9.64萬億元，同比增長317.56%。

　　由此可以理解，工行在降低快捷支付限額、減少支付寶接口的同時，卻在大力推廣該行的快捷支付產品─工銀e支付。工銀e支付這一產品在2011年就已問世，但當時的單筆支付限額隻有500元。而升級之后的工銀e支付可完成3000元以內的網上購物、轉賬、繳費等業務。據工行介紹，“工銀e支付”客戶無需U盾、電子密碼器等介質，即可在PC端或手機端完成付款。目前所有與工行直接開通網絡支付或者通過主要第三方平台開通網絡支付的商戶，都支持個人客戶使用“工銀e支付”完成訂單交易。在工行“融e購”電商平台中的所有商家購物或12306網站購買火車票等均可使用。據記者體驗，工銀e支付與支付寶的快捷支付非常相似，隻不過，快捷支付的支付密碼短信來自支付寶，而工銀e支付的驗証碼短信來自工行。

　　實際上，其他大行也在積極謀劃移動支付的布局，農行副行長李振江日前也表示，農行正籌建自己的移動支付平台，計劃邀請主要的第三方支付機構嵌入系統。農行還計劃分別在B2C和B2B領域啟動基於三農需求的直銷電商平台，不久就會推出互聯網產品。（中証）

(來源:南方日報)