关于“有史以来”最安全的WPA3

消息来源: 51CTO         消息类型: 行业新闻         发布日期:2018-07-03

本月早些时候,WiFi联盟发布新闻公告,正式推出WPA3。

WPA3是在几个应用范围略小的技术基础之上发展起来的,可比WPA2提供更多更完善的安全功能。最重要的是,WPA3采用更为现代的密钥建立协议“同时对等身份验证”(SAE),能够抵御离线字典口令破解攻击。

该机制与Diffie-Hellman密钥交换算法有些相同之处,且已在某些网状网络标准中加以应用了。除了挫败离线口令破解,SAE还提供前向安全性,让攻击者无法解密之前记录的会话——即便WPA3密码已被攻击者获悉。

WPA3的另一巨大改进,是以WiFi设备配置协议(DPP)换下了早已被攻破的WiFi受保护配置协议(WPS)。

DPP协议允许设备通过多种途径实现身份验证,比如二维码或近场通讯(NFC)标签,无需口令即可接入网络。与现有协议不同,DPP并不是另一套沟通口令的机制,而是让设备免口令实现相互身份验证的方法。

WPA3还能增强公共网络的安全性,比如咖啡店、机场和酒店的来宾网络。尽管该标准似乎防不住未授权接入点,但可防止附近的被动攻击者窃听无线网络中的通信。

这是因为WPA3支持基站与接入点之间的免口令加密,但似乎没有提供让设备区别合法接入点或未授权接入点的方法。

虽然安全功能有了大幅提升,但似乎没必要急匆匆换个新路由器以获得WPA3支持。

要知道,即便遵从相同标准,WiFi网络中设备间互不兼容的历史由来已久。以史为鉴,各供应商间互联互通的景象我们怕是还要等上一段时间才能看到。

另外,操作系统也还未广泛支持WPA3,某些设备估计得接受软件升级才能启用WPA3。

目前来看,常规基础安全建议依然有效,消费者应把精力放到基本安全合规上。

整体而言,大多数人的WiFi连接面对的更大威胁,来自于不断增多的IoT僵尸网络。这些网络利用路由器及其他设备的默认口令和已知漏洞,侵入我们的系统,占用我们的资源。

【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

坚持公益,这家漏洞平台合众白帽之力守卫互联网安全

消息来源: 51CTO         消息类型: 行业新闻         发布日期:2017-09-17

俗语有云:“单丝不成线,独木不成林”。

三国时代东吴之主孙权曾说:“能用众力,则无敌于天下矣;能用众智,则无畏于圣人矣。”

“众”的气力,远弘远于个体。能用“众力”者必能穷致“众智”,能用“众智”者必能发挥“众力”,故其力无敌于天下,其智胜过所谓大贤大智的圣人。孙权之所以能屡次重创来犯之敌,并非因其能征善战、谋略出众,而是由于他会用“众力”、“众智”。

互联网时代,安全威胁层出不穷,如何保障自身的安全是每个企业都关心的问题,也是工作的重中之重。但是由于世界上没有100%安全的业务系统,大部分的安全隐患都是由企业本身的安全漏洞而起。即便是那些看起来最没法攻破的碉堡。

为了帮助企业发现这些安全漏洞,提升企业的安全。近两年来,国内汇集白帽之力发掘漏洞的漏洞检测和响应平台不断兴起。例如:补天、先知、漏洞盒子、SOBUG,以及企业自建的安全应急响应中心(简称:SRC)等平台。通过这些平台,来自全国各地的白帽子都可以将最新发现的漏洞尽快通知到企业。

近日,记者走访了补天漏洞平台负责人白健,对这家汇聚众多白帽的国内最大的漏洞检测和响应平台进行了深入了解。下面,让我们一起来看看该平台是如何合众白帽之力守卫互联网安全的。

坚持公益,这家漏洞平台合众白帽之力守卫互联网安全

补天漏洞平台负责人白健

企业安全防御需合多方之力

目前,国内很多的企业在安全方面的投入往往不够,安全基础薄弱,而且在安全人才方面普遍匮乏。通常为了追求效率,采用开源软件进行短时研发,但这往往忽视了安全问题,尤其是中小型企业。

白健在接受记者采访时表示,尽管安全人员采取各种手段加强安全防护,但是仍不可避免的遭受零日漏洞威胁。这种漏洞一旦被发现并公开后,将会立即被恶意利用,其传播速度非常快。为了避免造成更大的危害,白健建议企业从以下三方面做起:一是,企业响应要快,进行快速的处理。比如立即升级,在攻击危害很大时,可以采取关闭网络阻断攻击。二是,政府作为监管方要足够重视零日漏洞威胁,要引导规范,制定法规,阻止零日漏洞POC的广泛传播。三是,作为安全厂商,要及时通知企业,并给出解决方案。

坚持公益 合众白帽之力守卫互联网安全

作为国内知名的安全厂商,360旗下的补天漏洞平台,从漏洞的检测与响应出发,帮助企业提升安全防范能力。该平台是360企业安全集团旗下的一支安全研究团队,也是国内首个现金奖励漏洞平台。据白健介绍,补天是一个不以盈利为目的的平台,其核心工作主要包含两方面:一是做公有SRC,通过众多的白帽收集漏洞,然后免费通知企业做响应,平台补贴相关成本。二是给没有力量建立SRC的传统企业以及中小企业,在补天的平台上建立他们自己专属的SRC,企业只需要在平台上注册,签署相关服务协议,授权白帽子进行测试即可,补天帮助企业运营,托管白帽子奖金发放,平台不收取任何费用。

目前,补天平台拥有3万多名白帽子,已发现的漏洞总数20多万,发放奖金近900万,还有很多实物礼品和积分。平台上实际注册企业达4200多家,漏洞涉及企业2万多家企业。

什么样的白帽子才能入驻补天漏洞平台?

首先,你得是一名真正的白帽子。所谓白帽子,通俗的描述是正面黑客,他可以识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是报告其漏洞,当然不是冒然的公之于大众面前,而是告知企业。这样,企业将可以在被攻击者利用之前来修补系统漏洞。

白帽子想要入驻补天漏洞平台,只要登录网站自行填写相关信息注册即可,白帽在平台上的身份信息是透明的。白健表示,白帽子都是一群充满正义感的人。目前平台上的白帽学生占比很多,约为30%-40%,主要以大学生为主,其中大专毕业的相对较多。这些白帽子有很多是非计算机科班出身,纯粹出于自身爱好。他们最大的共同点就是逆向思维强,崇尚自由与个性。他们考虑事情的角度多样化,发现的漏洞的方式各不相同,当他们聚集到补天这个平台,彼此也成为志同道合的朋友。此外,不少企业招聘的学历门槛高,而很多优秀的白帽达不到这个门槛,现在企业只需要通过平台发布项目,白帽子领任务,达到双方的共赢。

成为补天平台的白帽之后即可提交漏洞,根据漏洞发现的难易、漏洞可能造成的危害程度获得一定的积分和奖励。等白帽子能力和信誉排名积累到一定程度,就可以通过补天平台领取悬赏任务,完成任务即可获得企业提供的更多现金奖励。

补天将白帽分为普通白帽和精英白帽。因为有的企业要求较高,必须必备一定的技能和信誉才能完成任务。在得到企业的授权后,平台会为其量身挑选30-50名经验丰富的精英白帽,对该企业进行专业的漏洞检测。此外,参与“众测”的这些精英白帽均完成实名认证并签署保密协议,通过VPN安全接入,结合平台独有的网络流量记录和分析产品进行监测,平台全程监控白帽子操作行为,保证测试过程安全可控。检测结束,平台提供专业详实的修复方案,让企业快速排除漏洞安全隐患,迅速提升安全防护能力。

白健表示,补天积极引导白帽正向发展,引导白帽用自己的力量为社会做贡献,同时打消外界对他们的误解。为了提升白帽的正义感和荣誉感,除了对于白帽的正向引导和奖金礼品鼓励外,补天定期在白帽集中区域举办沙龙活动,在肯定优秀白帽能力和突出贡献的同时,也特别邀请知名律师开设法律讲堂,普及法律知识,并邀请资深安全专家,帮助白帽做好职业规划,这也是补天的社会价值所在。

补天白帽大会召开在即

为了建立更高效有效的沟通桥梁,补天漏洞检测与响应平台主办的补天白帽大会将于3月30日在深圳召开。届时,美国知名白帽平台HackerOne以及Defcon黑客大会的defcon group也将参会并分享精彩议题,广泛传播黑客文化,弘扬黑客精神。来自通报中心、Cncert、国测等政府部门领导也将出席致辞,超过百位中外白帽子、百余家企业代表共聚一堂,大会旨在解读当前网络安全形势和安全威胁,探讨漏洞响应与防范措施,建立企业与白帽子协同机制,多方位解决全社会网络安全隐患。大会现场各地白帽将会擦出怎样的火花,让我们拭目以待!

【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】

服务热线
025-8660 3700

微信公众号