立場新聞 Stand News

遺忘了?還是做了isolation的高鐵總站

2018/9/15 — 0:52

資料圖片:高鐵西九站大堂

資料圖片:高鐵西九站大堂

昨日,我和同事受邀到西九高鐵總站進行有關WiFi服務安全的研究,技術層面的發現和想法固然有,不過亦有一些作為普通用戶的感受想跟大家分享。

過關斬將
高鐵總站位處西九文化區,本來已經偏遠,而當你到達總站,仍要上上落落,過幾關才可到達票務處,但原來無帶回鄉卡會被拒入內,在站內走動時亦發現工作人員比用家為多,可能因為這樣,會有被「眼望望」的感覺。

圖片︰大門深鎖的訪客中心

圖片︰大門深鎖的訪客中心

廣告

圖︰通車首日至10月2日的班次

圖︰通車首日至10月2日的班次

廣告

圖片︰購票需要證件,而親身經驗,無回鄉卡亦不可進入

圖片︰購票需要證件,而親身經驗,無回鄉卡亦不可進入

中門大開的WiFi

而有關WiFi的問題,我們昨日用手提電腦試連到站內的WiFi,除了得到由系統提供的IP地址外,亦經路由結果得知,西九站內是使用香港本地網絡。之後,我和同事由Subnet Mask的資料推算出網絡龐大,可供超過四千部電子設備所用,所以決定利用一個名為「NMAP」的掃瞄工具查看已被使用的IP(即當時我自己的電腦),然後嘗試是否可以接上該電腦,結果不但成功接上,更能看到其開啟的服務端口。

簡單而言,情況就有如這四千多部設備一同置身在大球場當中,而且能清楚看見對方的操作系統和漏洞。之所以會如此開放,就因為系統並無使用現時已被大部分公用WiFi系統所採用的「Wireless client isolation」設定,所以黑客能透過此一漏洞,輕易看到用戶的瀏覽情況,而且NMAP這款掃瞄工具能輕易在網上下載,所以若然有不法分子存心行動,站內此一網絡保安漏洞就等於為黑客開了大門。

圖片︰連接站內WiFi後可以見到的IP地址以及Subnet Mask資料,推算出網絡可供四千多部設備使用

圖片︰連接站內WiFi後可以見到的IP地址以及Subnet Mask資料,推算出網絡可供四千多部設備使用

圖片︰NMAP的掃瞄結果,能看到其他連上網絡的設備之情況

圖片︰NMAP的掃瞄結果,能看到其他連上網絡的設備之情況

講了又講的SSL 證書

除了isolation之外,用戶登入WiFi服務時,頁面的網址欄會見到「Not Secure」(不安全)字眼,亦無HTTPS,意味著相關資料傳輸並無加密,Not Secure字眼亦令人相當不安。解決方法同樣非常簡單,只須申請一張SSL網站安全證書即可。

圖片︰用戶登入服務的版面。網址欄的Not Secure,其實申請一張SSL網站安全證書就可消失。

圖片︰用戶登入服務的版面。網址欄的Not Secure,其實申請一張SSL網站安全證書就可消失。

Wireless client isolation和SSL證書,都是一些輕易完成的保安設定,為了公眾安全,理應盡快做好,而西九高鐵總站作為如此大型的公用設施,政府更應多加關注,以身作則,帶頭做好網絡安全的工作。

 

 

 

發表意見