人民网>>财经>>财经频道滚动新闻

网络安全常亮红灯 多家厂商路由器曝出后门、黑洞

2014年04月03日10:19    来源:南方日报    手机看新闻
原标题:网络安全常亮红灯 多家厂商路由器曝出后门、黑洞

  互联网的安全问题一直是悬在广大网民头上的一把刀,虽然每个网民都深知其危害,整个互联网行业也都对其深恶痛绝,但是互联网的安全问题,除了在一些常常被网民诟病的上网环节上不时出现而导致危害外,更在一些不为网民所注意的地方“一鸣惊人”,让整个互联网都深陷危机。近日,多家厂商的路由器产品就被曝出存在“后门”,严重危害到网民的网上安全。

  A

  路由器存在“后门”

  近日,据国家互联网应急中心(CNCERT)发布的“2013年我国互联网网络安全态势综述”显示,有多家厂商的路由器产品存在后门,可能被黑客控制从而危害到网上安全。报告显示,去年国家信息安全漏洞共享平台(CNVD)共收录各类安全漏洞7854个,其中高危漏洞2607个,较2012年增长15.1%和6.8%。涉及通信网络设备的软硬件漏洞数量为505个,较2012年增长1.5倍,占CNVD收录漏洞总数的比例由2012年的2.9%增长至6.4%。

  国家信息安全漏洞共享平台(CNVD)分析验证,D-LINK、Cisco(思科)、Linksys、Netgear、Tenda(腾达)等多家厂商的路由器产品存在“后门”,黑客可由此直接控制路由器,进一步发起DNS(域名系统)劫持、窃取信息、网络钓鱼等攻击,直接威胁用户网上交易和数据存储安全,使得相关产品变成随时可被引爆的安全“地雷”。国家互联网应急中心表示,CNVD及时向相关厂商通报威胁情况,向公众发布预警信息,但截至2014年1月底,仍有部分厂商尚未提供安全解决方案或升级补丁。“路由器等网络设备作为网络公共出口,往往不引人注意,但其安全不仅影响网络正常运行,而且可能导致企业和个人信息泄露。”

  “所谓‘后门’,一般是开发软件的程序员为了某种目的,在软件中保留的不为外人所知的程序,通过后门,可以绕过软件的安全机制直接获得控制权限。有电信设备厂商内部人士对记者表示,一些路由器厂家在研发成品时,为了日后调试和检测更方便,会在产品上保留一个超级管理权限,一般情况下,这个超级管理权限是不容易被外人发现的,但一旦被黑客所发现并破解,就意味着黑客可以直接对路由器进行远程控制。”据金山毒霸安全专家李铁军在接受南方日报记者采访时介绍,典型的路由器“后门”如友讯科技(D-Link)路由器固件“后门”,攻击者可以用“特别”的方式直接访问路由器管理界面。据其介绍,由于目前大多数路由器厂商实际上都是采用的同一种芯片解决方案,因此如果最初的软件系统层面存在“后门”,那么涉及的范围将会是多个品牌甚至多个型号的产品。

  B

  网民信息或被“窥”

  “路由器‘后门’本来是秘密的接口,只有厂商的少数人员知道如何使用。但是黑客可以通过逆向工程进行研究分析,发现此类路由器‘后门’,并利用‘后门’对路由器用户进行非法的入侵控制。”360安全专家Ir0nSmith在接受南方日报记者采访时认为,无需知道路由器的管理账号和密码,就拥有直接修改路由器配置的权限是路由器“后门”最大的危害。“以目前曝光的Netgear为例,Netgear生产的多款路由器存在‘后门’。该‘后门’是由厂商设置的超级用户和口令造成的,黑客攻击者可以使用此超级用户和口令,登录路由器管理后台获得控制权,任意窃听受害用户的上网数据,篡改路由器DNS设置,甚至植入木马病毒。”

  南方日报记者从网络安全专家处了解到,黑客利用“后门”控制路由器后,可以监听或劫持所有通过此路由器上网设备的通信流量,盗取网银、QQ、微博等账号密码和隐私数据。以D-LINK部分路由器产品为例,攻击者利用“后门”,可取得路由器的完全控制权,国家信息安全漏洞共享平台(CNVD)分析发现受该后门影响的D-LINK路由器在互联网上对应的IP地址至少有1.2万个,影响大量用户。“不停弹广告,个人信息被窃甚至影响网银安全都是路由器‘后门’有可能造成的破坏。”有网络安全专家表示,路由器“后门”一方面让黑客可以完全在用户不知情的情况下“窥视”用户的一举一动,甚至做出详细的记录,将网民的信息完全“窃走”;另一方面随着如今网民通过互联网进行的金融交易的频次越来越多,类似的路由器“后门”将会造成难以预估的损失。

  C

  路由器成黑客“新宠”

  “与路由器的‘后门’相比,路由器目前出现的‘漏洞’则更为普遍。”安全专家李铁军向南方日报记者解释说到,相对而言,路由器中的后门是人为制造,但是漏洞是无意中被发现的缺陷,漏洞很难避免。“路由器‘后门’被攻击的前提条件是,黑客和路由器用户在同一局域网内或WiFi信号覆盖范围内,能够连接访问路由器设备。由于路由器管理地址一般是内网IP,而且会禁止外网访问,黑客直接利用路由器‘后门’有着一定限制条件。”安全专家Ir0nSmith表示,路由器“漏洞”的涉及面将比“后门”更为广泛,根据360安全卫士检测,市面上有30.2%的路由器受到“弱密码漏洞”的影响。“如果路由器用户附近潜伏着黑客,路由器‘后门’的危害很大,如果路由器用户附近没有黑客攻击者,路由器‘后门’的风险相对会低一些。但是路由器‘漏洞’的危害远远超过‘后门’。如果路由器使用出厂默认的管理密码,只要电脑访问一个恶意网页,路由器DNS就会被自动篡改为黑客指定的DNS。而DNS相当于用户访问网址的‘导航仪’。DNS一旦被黑客控制,就会出现上网变慢、知名网站弹出色情广告等情况,甚至访问网银官方地址也可能实际打开的却是钓鱼网站,导致网银被盗。”这意味着黑客可以对存在“弱密码漏洞”的路由器进行远程攻击,大规模篡改路由器DNS,而路由器“后门”一般只会被黑客用于攻击附近能够接入的WiFi和局域网。

  据360互联网安全中心发布的《路由器安全报告》显示,随着电脑安全软件普及,黑客攻击目标已瞄准家用路由器,通过篡改DNS网络设置,强制弹出广告,或者在用户访问网购、网银等网站时劫持到虚假钓鱼网站上。360安全专家石晓虹博士就指出,家用路由器普遍存在四大问题,即“多数用户没有修改路由器默认密码的意识、低等级加密(WEP)的WiFi密码容易破解、使用默认的路由器管理IP地址、路由器固件存在漏洞用户不知如何修复”,而这些问题导致绝大多数家用路由器能够被黑客轻易入侵。“从用户角度来说,很多网民只知道设置WiFi密码,并不知道路由器管理密码也需要修改,甚至不少人连路由器管理后台都不知道该如何使用,因此路由器‘弱密码漏洞’影响非常广泛。”

  安全专家提醒网民,如果发现手机、Pad等移动终端频繁弹出广告,或者在浏览网页时被跳转到其他网站,应及时给路由器做“体检”,修改默认的路由器账号密码,检测路由器是否存在漏洞,修复被篡改的DNS,同时提升WiFi密码加密等级(WPA2-PSK),从而全面封堵黑客入侵路由器的各个途径。

  南方日报记者 叶丹

  阿里让步:

  从未把余额宝当成战略级产品

  马云在来往平台上怒斥四大银行不公平竞争的悲情檄文主动撤销,意味着支付宝与银行间的紧张气氛从顶峰渐趋缓和。最近几天,工行、农行负责人纷纷主动表示,期待与支付宝更好合作。而阿里巴巴小微金融服务集团(筹)CEO彭蕾也同样配合,公开出来代表阿里官方回应,感谢包括工行在内的所有银行十年来的支持,并期待与各大行延续良好合作,共同来支持和发展蓬勃的电子商务和互联网经济,实现大家的共赢。彭蕾同时公开表示,余额宝并非支付宝的战略级产品,从来没想过要颠覆甚至打败银行业。

  经此风波,余额宝收益率却是越来越低,手续越来越繁琐。有消费者反映,如果现在要通过快捷支付把5万元钱转入支付宝,必须分10天才能支付完,按1万元1天收益1.5元计算,就要比之前少赚几十元。

  就在上周,四大行(中国银行、中国农业银行、中国建设银行、中国工商银行)均下调了快捷支付额度。对于下调额度的原因,各大行表示“为了保护用户资金安全”。而此举令马云愤然在社交平台上发帖怒斥,“四大天王联手封杀,支付宝虽败犹荣,虽死犹生,但决定市场胜负的不应该是垄断和权力,而是用户!也不知道谁给银行们权力,可以伤害储户支配自己资金的权力。”不过随后马云主动删掉了帖子。

  但是在3月27日工行2013业绩发布会上,工行行长易会满称,整个互联网金融的发展对提升金融的服务效率,增强客户体验起了很好的作用,对实体金融企业起了很大的促进。工行要加强跟新型互联网金融企业的合作。工行副行长张红力表示,工商银行与支付宝的合作意愿没有变化,期待与支付宝更好的合作。而农业银行副行长李振江25日出席2013年度业绩发布会时也表示,农行对与第三方支付机构合作持开放态度。这些举动被认为是四大行在对支付宝隔空喊话。

  针对工行、农行高管期待与支付宝更好合作的“绣球”,上任至今保持低调的彭蕾主动出来接受媒体采访时隔空“喊话”回应称,感谢十年来所有银行对支付宝的支持,支付宝在过去10年也为培育用户使用网银或者第三方网上支付的习惯作出了一些努力,也很期待与各大行延续这样良好的合作,共同来支持和发展蓬勃的电子商务和互联网经济,实现大家的共赢。

  针对目前外界热议的四大行和支付宝之间的争议,以及工行关闭除了浙江分行之外的其他分行的快捷支付接口问题,彭蕾称,银行作为国家金融体系主动脉发挥的重要作用不可能被替代。而网络支付和新兴金融服务则是今天整个生态体系中的毛细血管。主动脉与毛细血管都是整个金融生态体系的有机组成部分。

  彭蕾认为,有争议不要紧,任何争议相信通过理性客观的沟通都能解决,但前提是不能影响用户体验和利益。争议之后,更希望大家能与生态体系其他各个参与者一起,努力发展普惠金融,让金融更好地为经济社会发展和民生改善服务,这才是最终目标。

  “从一开始,余额宝就不是支付宝的战略级产品。”彭蕾明确表示,虽然市场普遍认为四大行与支付宝之间的核心焦点在余额宝,但支付宝推出余额宝,目的只是为了让用户放在支付宝里的余额通过投资相对比较安全的货币基金来获取一点收益,所以它才叫余额宝。

  彭蕾称,尽管余额宝受到的喜爱远远超出我们的预期,它也成为普惠的互联网金融的一个代表性产品,但回归到做余额宝的初衷上来,它从来不是为了颠覆谁,或者打败谁。好的产品应该继续存在,在继续为用户服务的同时,我们也期望整个金融生态体系里的实现共赢。

  南方日报记者 戴远程

  四大行加速发力自有移动支付

  ■媒体观察

  移动支付已经成为国内互联网与金融行业增长最快的几个细分市场之一。各商业银行通过与支付宝合作快捷支付业务,每年收益不菲,而此次四大行“合力出招”,也是看中了未来移动支付广阔的市场前景。市场人士分析,在银行与第三方支付在快捷支付博弈升级的背后,移动支付、快捷支付的比例正在上升,已经成为用户的一种习惯。

  中国银行业协会此前发布的《2013年度中国银行业服务改进情况报告》显示,2013年中国银行业移动支付业务共计16.74亿笔,同比增长212.86%;移动支付金额9.64万亿元,同比增长317.56%。

  由此可以理解,工行在降低快捷支付限额、减少支付宝接口的同时,却在大力推广该行的快捷支付产品―工银e支付。工银e支付这一产品在2011年就已问世,但当时的单笔支付限额只有500元。而升级之后的工银e支付可完成3000元以内的网上购物、转账、缴费等业务。据工行介绍,“工银e支付”客户无需U盾、电子密码器等介质,即可在PC端或手机端完成付款。目前所有与工行直接开通网络支付或者通过主要第三方平台开通网络支付的商户,都支持个人客户使用“工银e支付”完成订单交易。在工行“融e购”电商平台中的所有商家购物或12306网站购买火车票等均可使用。据记者体验,工银e支付与支付宝的快捷支付非常相似,只不过,快捷支付的支付密码短信来自支付宝,而工银e支付的验证码短信来自工行。

  实际上,其他大行也在积极谋划移动支付的布局,农行副行长李振江日前也表示,农行正筹建自己的移动支付平台,计划邀请主要的第三方支付机构嵌入系统。农行还计划分别在B2C和B2B领域启动基于三农需求的直销电商平台,不久就会推出互联网产品。(中证)

(来源:南方日报)



注册/登录
发言请遵守新闻跟帖服务协议   

使用其他账号登录: 新浪微博帐号登录 QQ帐号登录 人人帐号登录 百度帐号登录 豆瓣帐号登录 天涯帐号登录 淘宝帐号登录 MSN帐号登录 同步:分享到人民微博  

社区登录
用户名: 立即注册
密  码: 找回密码
  
  • 最新评论
  • 热门评论
查看全部留言

图说财经|人民电视

  • 北大博士卖土猪3百元一斤北大博士卖土猪3百元一斤
  • 两国企争地盘上百人对峙两国企争地盘上百人对峙
  • 盘点A股的明星股东们盘点A股的明星股东们
  • 股市熊猛 小散自娱自乐

股市熊猛 小散自娱自乐

24小时排行 | 新闻频道留言热帖