2009年2月27日星期五

WiFi 無線網絡保安不容忽視 ,簡單程序已可提高網絡安全

由香港無線科技商會﹝WTIA﹞及專業資訊保安協會﹝PISA﹞主辦,自2003年起,每年一度的〈無線網絡保安應用普查〉已於2008年年底順利完成。是次的普查更獲電訊管理局(OFTA)贊助,成為其中一項活動,令調查規模得以擴大,成歷年之冠。除一如以往的港島電車路線外,更在九龍、新界及維港兩岸作出普查,務求獲得最完整的全港性數據。


圖:「2008無線網絡保安應用普查 – 海上之旅」集普查與公眾教育於一身

筆者自2003年起已參與籌劃此活動,希望是次大規模的普查結果能有助全面分析本港未來Wi-Fi的市場發展,更希望藉此引起各界及市民對Wi-Fi保安意識的關注,共同締造一個安全完善的無線城市。

是次的普查進展十分順利,由十多位資深專業科技人士組成的普查團隊,於四天行程中分別乘坐了電車、巴士、渡輪及小巴,於港島電車路線、九龍、維港兩岸及新界,以War Driving 的方式進行了是次普查,偵測到全港的WiFi無線基站﹝Wi-Fi Access Point ﹞數目共30,457個,絕大部份都是屬於私人或企業擁有。測試所得出的結果能有效反映本港各區的Wi-Fi狀況及其安全性、用戶對Wi-Fi的保安意識及最常採用的加密方法等。

報告中顯示,於是次偵測到的WiFi無線基站中, 78%有採用某程度的加密功能,比2007年的72%有進步,亦維持過往數年上升趨勢。報告亦顯示香港的保安意識及程度比鄰近城市澳門略為優勝,相信與政府及有關機構近年推廣網絡保安教育有關。但要留意的是當中以WEP (Wired Equivalent Privacy)作傳輸加密的無線基站接近47%。WEP是一個公認的不安全的加密制式,最快可在短短十分鐘內被破解,不法份子很容易透過這類網絡連犯案。而採用安全性相對較高的WPA及WPA2作傳輸加密的無線基站共有31%。在上述31%無線基站中有大部份﹝佔全數無線基站24%﹞是使用以WPA或WPA2的TKIP (Temporal Key Integrity Protocol) 作加密設定,可惜這個方式最近剛被發現有漏洞,不能確保百份百安全;而使用稱得上現時最高安全級別的,即以WPA或WPA2下的AES (Advanced Encryption Standard) 方式作加密設定的無線基站,只佔全數約7%。



從報告中所見,隨着Wi-Fi的應用愈趨普及,市民對Wi-Fi的保安意識有逐年提升之勢,實在籍得鼓舞。但由於網絡威脅的本質不斷快速變化,過往被視為安全的加密方法被破解的情況亦日趨嚴重,Wi-Fi的安全問題絕對不容忽視,市民應留意並定期檢查所用的加密方式之安全度是否足夠。TKIP的缺憾是一個全球無線基站都面對的新問題,應透過教育用家更新設定去解決。估計現時大部份的無線基站都是近年購買,用戶其實只需透過一些簡單的設定便可減低被黑客入侵的機會,如採用WPA/WPA2的AES加密設定或拒絕自動連線等,都可提高 Wi-Fi網絡的安全性。

另外,有關SSID (Service Set Identifier,無線網絡識別碼) 系統預設值 (Default SSID) 方面,報告顯示約有三成的用戶没有將WiFi無線基站系統預設值更改。筆者建議將SSID隱藏以及更改為沒有個人或公司名字的SSID,這有助防止黑客辨認你的身份及減低系統被入侵的機會。

筆者再次感謝電訊管理局 (OFTA) 除贊助推出WiFi 安全話咁易〔SafeWiFi〕計劃,亦積極支持當中各項公眾教育活動,共同致力提高香港市民對Wi-Fi保安的意識。整個計劃包括去年與OK便利店合作,隨紙巾附上的SafeWiFi資訊卡。此外又架設了有用的www.SafeWiFi.hk 入門網站,提供豐富WiFi 安全知識,新聞和相關的安全設定影片,並舉行無線網絡保安應用普查及其他推廣活動。亦將於本月28日就是次的普查結果舉辨一個名為「WiFi 保安大搜查 – WiFi網絡及應用保衛戰」的研討會,與業界及公眾分享及探討Wi-Fi的保安及防禦問題,詳請可瀏覽有關網頁 http://www.safewifi.hk/

註一:有線等效加密 (Wired Equivalent Privacy,WEP) 是電氣電子工程師協會 (Institute of Electrical and Electronics Engineers,IEEE) 所制定的 IEEE 802.11 標準之一,是一個防止對網絡上傳輸數據進行竊取的機制。WEP 近年受到不少網絡專家評擊,指其安全性欠佳,因而逐漸被 WPA 或 WPA2 等新加密方法取代。
註二:「暫時金鑰完整性通訊協定」 (Temporal Key Integrity Protocol,TKIP) 與「進階加密標準」 (Advanced Encryption Standard,AES) 是為強化 Wi-Fi 網絡保安而設。TKIP 標準可以兼容原本的 IEEE 802.11 標準網絡硬體,透過韌體與軟體升級,為全數的數據傳輸封包加入不同的鑰匙數值,藉此提高加密的安全。至於 AES 則為一種以晶片為基礎的安全措施,採用區塊加密方法,當使用硬體或軟體進行溝通或儲存的時候,使用此進階的加密標準將更有效率。


作者: Ken Fong
原文刊載於 2009年02月27日 《資本一週》Capital Weekly 內之《數碼健談》

2 Comments:

Yvonne Chan said...

Hi! We are a group of year-two students from English Department of City University of Hong Kong. We are doing a business report about installing WiFi technology in a specific organization of any industry.

We found your blog very useful in helping us understand this technology since we all have little knowledge about WiFi. We have some questions about the feasibility of having WiFi technology on ferry.

As we know that, in USA, the Washington State Ferries has already provided an on-board WiFi service, we would like to propose an introduction into HK ferry industry also.
(https://wireless.nnu.com/nw4/sites/wsf/aboutus This over-the-water Wi-Fi service is difficult, requiring more complex technology and more extensive capital investment than a fixed land based Wi-Fi service to a building. Parsons has provided the funding to deploy the network and provides the daily operation and management of the WSF Wi-Fi system.)

Since we are not expert in WiFi, we wondered how can this be work out? For instance, do we need to install a receiver or something else on each ferry and situate some hotpots on the hills? Can you simply give us some ideas of the problem that we may encounter?

We would be greatly appreciated if you can spare time to give us a brief explanation of the concepts.

Thank you!

Ken Fong said...

The mentioned technology for using WiFi to cover the moving objects
has been used in Discovery Bay Ferry Before. However, this is not cost effective as we can use hybrid technology to solve similar problems,

You can see the wifi bus used by the First Bus (NWFB) and Citybus Project.

http://www.marketing-interactive.com/news/9628


They use the normal WiFi AP to serve the customer WiFi connection but using 3G/3.5G HSDPA to do the back haul connection to internet. This is a cost effective method to cover moving object. You can find such WiFi AP easily in the market .

http://www.foresoon.com.hk/it-deluxe/front/front/bin/ptdetail.phtml?Part=DIR-451

The cost of such 3G WiFi Router is around HK$1000. But you should
consider the 3G monthly charge and the 3G modem.

Another issue is the security. If no security is concern, the setup
cost maybe lower (but risky). However, if a central management
security is needed, an authentication mechanism should be setup. For the security, you can see www.safewifi.hk But it maybe out of the scope of a non-techncial student proejct.