29

场景：您正在使用便携式计算机，该计算机已连接到星巴克，机场等的公共WiFi网络。

问题：连接到同一WiFi网络的陌生人可以从您的计算机下载文件吗？陌生人可以看一下您的文件吗？

— 测试100
source

5

是。当我们在咖啡馆连接到同一公共wifi时，当我试图从朋友的笔记本电脑复制文件时，我曾经不小心输入了错误的计算机。你猜怎么了？所有者将其成人视频放在公共文档文件夹中。当然，这是由于如下所述的粗心。您可以在security.stackexchange.com/q/36263/89181 security.stackexchange.com/q/14927/89181

— phuclv

2

@LưuVĩnhPhúc：你的意思是“他们”就像他们拍摄的那样吗？

— 与莫妮卡（Monica）进行的轻度比赛

答案取决于操作系统以及正在运行的所有服务和守护程序。

— can-ned_food

@LightnessRacesinOrbit我的意思是“他们”是他们拥有的文件，而不是他们自己录制的电影（因为即使我也不知道那是谁的笔记本电脑）

— phuclv

@LưuVĩnhPhúc：笑话

— 莫妮卡（Monica）

51

问题：连接到同一WiFi网络的陌生人可以从您的计算机下载文件吗？陌生人可以看一下您的文件吗？

是的，但是这需要受害者的粗心大意。

在Windows上，对于初学者来说，您需要告诉系统所连接的网络是家庭网络还是公司网络，而不是“公共”网络。由于您应该知道自己在机场，所以这不太可能。

然后，您应该允许访客登录（默认情况下不是）。

或者，您必须访问一些支持Windows身份验证的外部未加密系统。该服务应该在机场之外，并允许从Internet登录，并且很少允许它以未加密的方式运行。

最后，该系统和您自己的盒子必须使用相同的用户名和密码。这样，在上一阶段捕获的密码还将允许您在系统上进行外部登录。或者，您必须具有一个容易猜到的用户名，以及与您访问的某些明文服务相同的密码。

否则，攻击者可能会毒害您的DNS缓存并“说服”您的系统，使Facebook服务器或GMail服务器或您所拥有的实际上位于他的手提箱中。然后，他要么强制HTTPS连接（例如，通过MitM攻击，您必须忽略它），要么明确伪造它（并且您一定不会注意到您使用纯HTTP运行的事实）。通过这种方式，再次，攻击者可以得到一个你的密码的。如果对您的系统有利，或者允许在其他系统上进行密码检索攻击，那么您（和/或您的网上银行帐户）将被pwn3d保护。

这不是您想要的WiFi

实际上，攻击者不用做太多收集访问您传输。他可能一直都是WiFi网络的所有者，他刚刚成立了一个流氓AP，宣称自己是“机场免费WiFi”。AP名称看起来合法的事实无济于事：已经有为此设计的系统-买一个，一夜之间收费，到机场，然后开始钓鱼。系统可以选择“按摩”流过的数据，以确保最大程度地利用密码和凭据。

一旦您连接到您信任的站点（或您相信的站点），就可以欺骗您直接执行（例如，通过WSH在Windows中）或通过某种利用方式下载并执行可以完全控制攻击者的程序。

在Linux上，唯一相关的区别是您应该共享磁盘或打开远程管理端口22（SSH）。在我所知的任何理智的分布中，这两个条件通常都是错误的。

但这不只是您的文件...

保护磁盘安全并不能保证您的网上银行帐户，Dropbox，电子邮件等。问题在于凭证盗窃和/或假冒；什么是真正有做那之后来到。

这就是为什么：

您应该避免使用未知的网络，
如果这样做，请通过加密的VPN使用它们，
始终保持系统的安全性较高（仅宣布“家庭网络” 的网络中你的家）
保持系统更新，并使用合适的防病毒软件
切勿在其他站点重复使用重要密码
保持态势感知-注意诸如HTTPS网站上的“绿色锁定”，登录屏幕上的小故障（感觉不对）以及URL怪异（例如，“ myonlinebank”变成“ myon I inebank”）

永恒的警惕是自由的代价。

— 塞尔尼
source

2

@Matty好点。我的意思是，如果您曾经声明过家庭网络，那只能是您的家庭网络。但是，您最好不要什至不信任（可以从外部访问和/或下载恶意OTA软件包等网络打印机-众所周知，发生这种情况：esecurityplanet.com/network-security/…）

— LSerni

2

Yes, but it requires significant carelessness on the victim's part.或攻击者的极端专业精神和准备。

— VL-80

2

“或者，您必须明确访问支持Windows身份验证的某些外部系统。” “明文”是什么意思？老实说，那整段以及后面的那段对我来说没有多大意义。您能否提供一个您正在描述的攻击类型的示例？

— 安东尼·格里斯

1

@AnthonyGrist他的意思是未加密。我同意措辞有点令人困惑。所描述的情况是，您在未加密的通道上访问资源，从而以纯文本形式发送用户名和密码，并且相同的用户名/密码组合是一种授权攻击者访问您的计算机的方式，因为您已经重复使用了密码。

— 乔恩·本特利

1

@LSerni为了公平起见，我明白“明明白白”的意思是“未加密”，但是也许这不是我认为的英语成语。：）

— Dan J

2

他们可能会捕获个人信息，毒害您的dns缓存和许多其他令人讨厌的事情，但是如果没有一些事情代表您首先出错，他们就无法下载您的个人文件。

如果由于某种原因它们可以捕获以纯文本格式传输的密码，则可以将它们SSH到您的计算机，假设您允许传入的端口22连接（不太可能）

如果它们可以迫使您接受恶意文件，则您可能会受到反向代理攻击的攻击，据此，您接受的文件将自动尝试连接攻击者系统，从而使他们可以访问您的系统。

这些攻击媒介并不容易做到，它们是可能的，但是通常安全意识强的用户和大多数系统强化的默认设置都非常擅长于防止此类攻击。希望能帮助到你

— 肖恩·戴维
source

2

允许访问所有人的共享文件夹呢？

— user6900

@ user6900仅在启用文件共享的情况下适用。默认情况下，Windows将不会在指定为“公共”的网络上启用文件共享。如果您更改该选项，或选择将公共Wi-Fi网络标记为“专用”，那么……

— Bob

2

当我进入公共热点时，我无时无刻不在看到，并惊奇地浏览了其他人的文档。人们似乎启用了文件共享，并保留了一些默认值，这些默认值比他们意识到的要多得多。或者，当他们在专用网络上时，他们共享的内容太多了，因为它更容易使用，并且忘记了。无论哪种方式，都不会发生这种情况。很多。哦，我应该补充一点，这是在OS X上，而不是Windows。

— 乔纳森·范·克卢特

好话，实际上我的答案是，在不知不觉中，仅适用于基于* nix的系统，我几年来都没有冒险尝试Windows黑暗的一面，当然也不会考虑使用默认Windows的公共机场wifi。

— 肖恩·戴维

2

您可能要避免使用公共wifi来获取敏感信息，除非可以确保连接牢固可靠。有一种称为中间人的做法，其中在公共wifi位置附近的用户已将其计算机配置为看起来好像您正在连接到本地服务。实际上，您正在连接到他的计算机，该计算机通过过滤器传递您的活动以收集敏感和有用的信息。收集后，您的活动将被转发到预期的目的地。

— fred_dot_u
source

0

是的，它们可以像任何 Internet连接一样进行，但是您可能会发现将文件上传到共享位置以供他们下载更容易。“从设备推送” ala被盗的智能手机。

在公共wifi上允许某人从您的设备快速下载文件的最安全方法是通过VPN使用您的专用网络并共享该网络上的文件夹。这就是“公路战士”场景。

否则，他们将需要知道您的IP地址。使用SSH进行并发登录的动态DNS也可以使用，但是它们需要文件权限。例如，动态DNS可以自家种植，您可以通过电子邮件发送IP或将其放置在服务器上。

您也可以将RDP / VNC连接到专用网络上的计算机，如果要先从主机设备进行复制，则仍然需要两步。给他们的远程控制你的设备也可以ALA的NetMeeting，但笨拙。

最不安全的方法是运行一个简单的FTP服务器供他们访问。任何人都可以打喷嚏。如果它只是购物清单或挡泥板弯折机，它可能不会打扰您。

加密文件+ VPN + RDP / VNC将为您提供三层，不包括WiFi加密。

— 麦肯
source

当您使用公共WiFi时，有人可以从您的个人计算机下载文件吗？[关闭]

这不是您想要的WiFi

但这不只是您的文件...