Czy dane przesyłane przez 3G są bezpieczne?

22

Kiedy dane są przesyłane z mojego iPhone'a przez 3G, czy są szyfrowane, czy też haker może stosunkowo łatwo odczytać dane przesłane do wieży komórkowej AT&T? A może po tym, jak dotrze do wieży?

iphone security Rozsądny
źródło

Odpowiedzi:

16

3G może być bezpieczny lub niepewny, to naprawdę zależy od konkretnej implementacji. Jeśli martwisz się o swoje dane podczas tetheringu lub korzystania z iPada / iPhone'a 3G, spójrz na to w ten sposób, jest to bezpieczniejsze niż korzystanie z bezpłatnych / niezabezpieczonych hotspotów / sieci WiFi.

Naprawdę odpowiedź na twoje pytanie jest taka, że ​​3G jest dość bezpieczny, ale ma swoje wady.

3G jest szyfrowany, najpopularniejsze algorytmy szyfrowania zostały złamane, a przy odpowiednim sprzęcie ktoś mógłby przechwycić twoje informacje bezprzewodowo. Potrzebowaliby jednak wiedzy, pieniędzy i motywacji. Ponadto będą musieli wysyłać niezaszyfrowane dane (inne niż https), aby można było je rozszyfrować. Podsumowując, jest raczej mało prawdopodobne, ale z pewnością możliwe, że Twoje informacje zostaną przechwycone. Jest to jednak ryzyko dla każdego, kto przesyła dane w dowolnym miejscu i nie jest odizolowany od 3G / WiFi lub innych metod komunikacji z urządzeniami mobilnymi.

Spróbuj wyszukać w Google na temat bezpieczeństwa 3G, a znajdziesz mnóstwo informacji na temat wad i luk bezpieczeństwa oraz sposobów ich wykorzystania.

Jako przykład, oto kilka prezentacji:

Omówienie bezpieczeństwa 3G

blackhat.com powerpoint

conorgriffin
źródło
Jednym z powodów, dla których pytałem, było to, że często mam wybór korzystania z bezpłatnego punktu dostępowego w porównaniu do 3G i chcę wiedzieć, z którego powinienem skorzystać, jeśli zależy mi na bezpieczeństwie. Na początku myślałem, że 3G jest oczywiście bezpieczniejszy, ponieważ istnieją proste rozszerzenia firefox, które mogą wyszukiwać hasła osób korzystających z tej samej sieci Wi-Fi, ale skąd mam wiedzieć, że nikt nie siedzi w środku transmisji 3G dane i gromadzenie ich przez cały czas? Przynajmniej z Wi-Fi musisz być w pewnym (małym) zasięgu i mieć uruchomione oprogramowanie, które zbiera tego rodzaju informacje.
Rozsądny 28.01.11
4
Jeśli robię coś takiego jak bankowość internetowa lub kupujesz coś za pomocą mojej karty kredytowej, zwykle korzystam z 3G, gdzie to możliwe. Ale nawet w sieci Wi-Fi większość stron internetowych zajmujących się wrażliwymi danymi używałaby szyfrowania, takiego jak SSL lub TLS, co oznaczałoby, że ktoś w tej sieci miałby trudność z kradzieżą / przechwyceniem danych. Powiedziałbym, że przez większość czasu istnieje większe ryzyko związane z darmowym Wi-Fi niż 3G.
conorgriffin
6

Jeśli korzystasz z protokołu https, nie ma znaczenia, przez jaki typ połączenia się komunikujesz. Wszystkie dane zostaną zaszyfrowane z przeglądarki do programu serwera. Jedynym sposobem na zahamowanie tego jest podsłuch pośredniczy w komunikacji między tobą a twoim ostatecznym celem. Aby rozwiązać ten problem, utworzono certyfikat tożsamości. Potwierdza to, że rozmawiasz z miejscem docelowym, a nie za pośrednictwem mediatora. Tak długo, jak certyfikat tożsamości pasuje, jesteś bezpieczny. Jeśli certyfikat tożsamości nie pasuje, przeglądarka wyświetli ostrzeżenie bezpieczeństwa, mówiąc, że certyfikat nie pasuje, na ogół pozostawi Ci możliwość kontynuowania komunikacji, na wypadek, gdybyś przeprowadzał operację dbają o bezpieczeństwo.

Bernardo Kyotoku
źródło
Dzięki za informację. Bardziej interesuje mnie, jak bezpieczne są dane inne niż HTTPS przez 3G, ponieważ z definicji HTTPS powinien być bezpieczny bez względu na połączenie.
Rozsądny 28.01.11
Tak, tak myślałem. Może to być interesujące dla niektórych czytelników. Ale w darmowym punkcie „Hotspot vs. 3G”, przynajmniej dla mnie, nie ufasz, że nie ma szyfrowania od końca do końca. Bezpieczeństwo między moim komputerem a punktem dostępowym lub wieżą komórkową nie wystarczy, jeśli później dane nie zostaną zaszyfrowane.
Bernardo Kyotoku 30.01.11
3

Bynajmniej. Nawet HTTPS jest bezpieczny tylko od podmiotów spoza rządu lub dostawców usług internetowych. Więcej informacji na EFF.org, ale ostrzegam, to cholernie przygnębiające.

EDYCJA: Przeszłość to kraj, który bardzo trudno odwiedzić:

Analiza Bruce'a Schneiera dotycząca SSL:

http://www.schneier.com/blog/archives/2010/09/uae_man-in-the-.html

Dyskusja Mozilli:

https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/OBrPLsoMAR8

List otwarty w sierpniu opisujący problem z EFR:

https://www.eff.org/deeplinks/2010/08/open-letter-verizon

Widzisz, to nie tak, że go odszyfrowują. Szyfrowanie wszyscy jesteśmy na równi, aż do klucza kwantowego lub blokady. Ale ludzie, którzy nie kodują, nie są głupi. SSL możesz zagwarantować bezpieczeństwo serwera, ale same certyfikaty pochodzą z łańcucha zaufania.

Fraza „Mam ten rządowy koncert! Bezpieczeństwo wewnętrzne! Nowy chłopak Mary Anne… Kurwa, ty!” lub coś podobnego musiało zostać powiedziane w pewnym momencie.

Amazon nie był jedynym miejscem po Wikileaks, gdzie podjechała grupa sedanów. FBI w tej chwili krzyczy o backdoory, a raczej o legitymizację backdoorów, które muszą mieć. Ponieważ podmioty rządowe lub przemysłowe nie są „aktorami”, ale „ludźmi”, FUD nie kwestionuje tego.

Przykładem FUD byłoby na przykład podkreślenie złożoności matematyki i próba użycia tego, aby udowodnić, że odpowiedź jest błędna, i przywrócić wiarę w system, który działał w przeszłości, ignorując przymusowe zaufanie do ludzi i sukces wykorzystywać na wolności.

Ma sens?

chiggsy
źródło
1
-1 to FUD i po prostu źle.
Ricket
1
Aby przejść do bardziej szczegółowych informacji (w przeciwieństwie do tej odpowiedzi), HTTPS to HTTP przez SSL; używa co najmniej 128-bitowych kluczy od początku lat 90. (np. Gmail używa 128-bitowego certyfikatu SSL). Oznacza to, że klucz ma 128 bitów; innymi słowy, istnieje 2 ^ 128 możliwych kluczy (340 miliardów miliardów miliardów lub liczba 39 cyfr). Udowodniono, że jedynym sposobem na złamanie tego szyfrowania jest brutalna siła klucza. Żaden system na świecie nie jest w stanie znieść tak wielu kombinacji w rozsądnym czasie; zajęłoby dosłownie wieczność nawet przy sprzęcie rządowym. EFF.org nie ma z tym nic wspólnego.
Ricket
1
Zaletą protokołu SSL jest również to, że haker może rejestrować cały strumień ruchu, jeszcze przed rozpoczęciem połączenia, a nawet po jego zakończeniu, gdy komputer łączy się z witryną, z którą nigdy wcześniej się nie łączył, i haker nie może zrekonstruować oryginalne dane, ani nic innego niż pomieszane zaszyfrowane dane. Matematyka jest taka, że ​​nawet słyszenie wszystkiego, co się dzieje, nie daje żadnej przewagi. To absolutnie wyklucza Twój dostawca usług internetowych wąchający ruch HTTPS, i ponownie, nawet rząd nie jest w stanie złamać klucza, nawet jeśli zapełnił cały stan komputerami.
Ricket
Zredagowałem moją odpowiedź, aby podkreślić błąd w twoim założeniu: nie tylko klucz szyfrowania zawiera SSL. Zepsute. Pomysły mile widziane.
chiggsy
„Nie ufam również głównym urzędom certyfikacji. Gdy chcę zalogować się do Gmaila, jadę do Mountain View w Kalifornii i podaję moje hasło na kartce papieru. Siergiej Brin podpisuje mnie w centrum danych i pozwala mi użyć konsolę na końcu szafy, by przeczytać mój e-mail. https://localhostOczywiście podłączony . ” rolleyes
2

Atak typu man-in-the-middle lub węszenie ze strony osoby siedzącej w tej samej kawiarni jest znacznie mniej prawdopodobne w przypadku 3G. Sprzęt do tego celu jest znacznie rzadziej dostępny, a wymagana wiedza specjalistyczna jest wyższa.

Żadna z nich nie jest zabezpieczona przed powiedzeniem, rządową organizacją wywiadowczą lub inną dużą skomplikowaną operacją, ponieważ szyfrowanie 3G nie jest tego stopnia. Ale HTTPS i SSH powinny chronić cię przed przeciętnym szpiegowaniem.

hotpaw2
źródło
0

Atak typu man in the middle można również wykonać za pomocą sslstrip, który może łatwo usunąć ssl z https, tworząc połączenie http, przechwycić wszystkie dane i użyć fałszywego certyfikatu, aby ponownie włączyć ssl przed wysłaniem go do miejsca docelowego. Krótko mówiąc, taki jest pomysł.

Użytkownik nigdy nie będzie wiedział, co mu się przydarzyło. Zostało to zaprezentowane w Blackhat w 2009 roku, jeśli się nie mylę. Jeśli Moxie Marlinspike była w stanie to zrobić w 2009 roku, wyobraź sobie, co inni profesjonalni hakerzy są w stanie zrobić w tych dniach. Był jednym z nielicznych, którzy ujawniali to w dobrych celach. Wiele z nich nie opublikuje luk, które mają do dyspozycji.

Nie chcę cię straszyć, ale jeśli uważasz, że SSL jest bezpieczny, zastanów się dwa razy. To naprawdę zależy od przeglądarki, aby utrzymać bezpieczeństwo użytkowników. Wasza wiara jest naprawdę w ich rękach. Przez wiele lat istnieje wiele luk w zabezpieczeniach, takich jak serce, zanim coś z tym zrobią.

IT_Master
źródło
1
Jeśli nie masz ochoty na scaremong, powinieneś wskazać atak, którego użyła Moxie, ponieważ nie mogę uwierzyć, że w ciągu ostatnich 5 lat istniała paraliżująca, opublikowana luka w zabezpieczeniach protokołu SSL.
Jason Salaz