摩托罗拉AirDefense部门进行的大规模扫描发现,零售商网络中的无线局域网安全漏洞虽然在过去的一年里有了很大的改善但是仍然普遍存在着安全漏洞,尽管一再出现广泛公开曝光的无线安全突破事件。
摩托罗拉AirDefense部门首席技术官Amit Sinha称,这次对大城市购物广场中的无线局域网扫描检测到了包括条形码扫描器、笔记本电脑和移动电脑在内的3900个设备,其中大约44%的设备可能被攻破。这个比例与去年相比有了大幅度的下降。在去年的调查中,85%的被检测到的设备容易受到各种方式的攻击。
零售商接入点受到了较好的保护。在7900个接入点中,有68%以上的接入点使用了某种类型的加密,将近三分之一的接入点没有任何数据加密。这个比例比去年糟糕。在去年的调查中,35%的零售商接入点没有进行任何加密。在这次新的调查中,在加密的接入点中有25%正在使用WEP(无线等效协议)加密技术。这种加密技术是有安全漏洞的,有知识的黑客几分钟就可以破解。
商业数据突破事件正在日益增多。调研机构Ponemon Institute在最近对43家在2008年遭到数据突破的企业进行的调查中发现,每次应对数据突破后果的总开销增加到了660万美元,而这项费用在2007年是630万美元,在2006年是470万美元。在这些企业中,有84%的企业是再一次受到攻击。2008年遭到的攻击至少是这些企业的第二次被攻击。
所有这些数据突破并非全部是由于无线弱点,不过,许多数据突破是由无线弱点造成的,包括目前声名狼籍的JTX公司的安全突破。加拿大政府的一篇报告证实称,攻击者是通过攻破这家零售商在迈阿密的商店的两个使用WEP加密的接入点窃取数据的。
AirDefense是摩托罗拉对零售市场中的无线安全进行的第二次年度调查。Sinah和AirDefense部门的其它人员在2008年下半年使用该公司主要的监视软件和Wi-Fi卡“AirDefense Mobile”对北美、欧洲、澳大利亚和韩国的大约4000个零售商的无线网路进行了扫描,但是,没有入侵这些网络。
12%接受扫描的Wi-Fi接入点正在使用Wi-Fi保护接入(WPA)技术标准。WPA是以当时的IEEE 802.11i安全标准草案为基础一个行业技术规范。这个技术规范旨在增强无线局域网的安全。随后的WPA2标准是以最终版本的IEEE标准为基础的。
WPA和WPA2都可以采用不同的身份识别选择进行设置,可以证实两个正在通讯的设备是可信赖的,并且使用不同的加密措施(TKIP和更强大的AES)加密无线局域网上的数据。这些选择影响整个无线局域网的安全。
今年的调查发现,27%的接入点使用WPA2.但是,这项调查一般不再细分以统计可能的变量。
发布的一个分类统计发现27%的加密的接入点使用WPA-PSK(预先共享密钥Wi-Fi保护接入)。AirDefense指出,如果这个共享的口令被突破,这个网络就开放了。如果同样的密钥在几十家或者几百家商店中复制,如果这个密钥被突破,所有这些商店的接入点都容易受到攻击。但是,安全顾问George Ou在对去年的调查发表的评论中说,当使用10个或者更多随机字符的合理的复杂口令的时候,WPA-PSK密钥没有被攻破。
Ou还指出了使用WPA-PSK密钥的实际理由:连锁店通常缺少连接到远程RADIUS(远程认证拨入用户服务)服务器进行身份识别的广域网连接。如果这个广域网中断,无线收银机等设备就会失去RADIUS身份识别。WPA-PSK能够在广域网中断的时候继续工作。
Sinha称,另一个安全漏洞的主要方面是由于错误地设置接入点造成的。根据这次扫描,AirDefense做出结论称,22%的接入点设置不正确,例如,这些接入点保留了现成的默认设置。还有两个接入点对2.4GHz频段进行了加密,而没有对5GHz频段进行加密。另一个问题是在一个接入点同时使用WPA和WEP加密方式。他说,如果你允许同时使用两种加密方式,那么,你的安全程度仅仅是最薄弱的那种加密方式。
零售商面临着一些改善无线安全的压力,至少对于它们处理的信用卡的安全是如此。Aruba公司最近推出了新的AirWave无线局域网管理软件,增加了监视遵守1.2版PCI/DSS(支付卡行业数据安全标准)状况的一些修改。1.2版PCI/DSS在3月31日之后禁止在新的零售无线局域网中使用WEP,要求在2010年6月30日之前从现有的无线局域网中取消WEP。