Чи безпечно передані дані через 3G?

22

Коли дані передаються з мого iPhone через 3G, чи це зашифровано, чи хакеру порівняно просто читати дані, передані на стільникову вежу AT&T? А як бути після того, як вона досягне вежі?

iphone security

— Чуттєвий
джерело

16

3G може бути безпечним або незахищеним, це дійсно до конкретної реалізації. Якщо ви переживаєте за свої дані під час прив’язки або використання 3G iPad / iPhone, то подивіться на це таким чином, це безпечніше, ніж використання безкоштовних / незахищених точок доступу до мережі WiFi.

Дійсно, відповідь на ваше запитання полягає в тому, що 3G досить безпечний, але він має свої вади.

3G зашифровано, найпоширеніші алгоритми шифрування були зламані, і потрібне обладнання комусь могло б перехопити вашу інформацію бездротово. Однак для цього їм знадобляться певні знання, трохи грошей і мотивація. Потім на додаток до цього вони потребуватимуть вашого пристрою для надсилання незашифрованих даних (не https), щоб їх можна було розшифрувати. Загалом, це малоймовірно, але, безумовно, можливо, що ваша інформація могла бути перехоплена. Однак це ризик для будь-кого, хто передає дані куди завгодно, і не залежить від 3G / WiFi чи інших методів зв'язку мобільних пристроїв.

Спробуйте пошук в Google щодо безпеки 3G, і ви знайдете багато інформації про недоліки та отвори в безпеці та те, як вони можуть бути використані.

Як приклад, ось кілька презентацій:

Огляд безпеки 3G

blackhat.com powerpoint

— conorgriffin
джерело

Однією з причин, про які я запитував, було те, що у мене часто є вибір використання безкоштовної точки доступу проти 3G, і я хочу знати, яку з них я повинен використовувати, якщо я дбаю про безпеку. Спочатку я подумав, що 3G - це, очевидно, більш безпечно, оскільки є прості розширення Firefox, які можуть вибирати паролі людей у тій самій мережі Wi-Fi, але як я можу знати, що посеред усіх переданих 3G не знайдеться хтось дані та збирати їх постійно? Принаймні, для Wi-Fi потрібно мати певний (невеликий) діапазон і працювати з програмним забезпеченням, яке збирає таку інформацію.

— Розсудливий

4

Якщо я роблю щось на кшталт Інтернет-банкінгу або купую щось із моєї кредитної картки, я б схильний використовувати 3G, де це можливо. Але навіть у мережі WiFi, більшість веб-сайтів, що займаються конфіденційними даними, будуть використовувати шифрування, такі як SSL або TLS, що означатиме, що комусь у цій мережі буде складніше намагатися викрасти / перехопити ваші дані. Я б сказав, що ви, швидше за все, ризикуєте отримати безкоштовний WiFi, ніж 3G, більшу частину часу.

— conorgriffin

6

Якщо ви працюєте через https, не має значення, через який тип зв’язку ви спілкуєтесь. Усі дані будуть зашифровані з вашого браузера до серверної програми. Єдиний спосіб гальмувати це - підслуховування зв'язку між вами та кінцевим пунктом призначення. Для вирішення цього питання було створено посвідчення особи. Це засвідчує, що ви розмовляєте з кінцевим пунктом призначення, а не через якогось посередника. Тож доки сертифікат посвідчення особи відповідає, ви в безпеці. Якщо сертифікат посвідчення особи не відповідає, браузер покаже вам попередження про безпеку, кажучи, що сертифікат не відповідає, як правило, вони залишать вам можливість продовжувати спілкування, на всякий випадок, якщо в операції, яку ви робите, ви не робите дбати про безпеку.

— Бернардо Кіотоку
джерело

Дякуємо за інформацію. Мене більше цікавить, наскільки захищені дані HTTPS понад 3G, оскільки за визначенням HTTPS повинен бути захищеним незалежно від з'єднання.

— Розсудливий

Так, так подумав. Це може зацікавити когось із читачів. Але у вільній точці "гаряча точка проти 3G", принаймні, для мене, ви б не довіряли, що шифрування не має кінця. Захист між моїм комп’ютером та точкою доступу або стільниковою баштою недостатньо, якщо після цього дані не шифруються.

— Бернардо Кіотоку

3

Не в останню чергу. Навіть HTTPS захищений лише від суб'єктів, що не є урядовими чи провайдерами, Перевірте EFF.org на більше, але попереджаю, це гнітюче гнітюче.

EDIT: Минуле - це країна, яку дуже важко відвідати:

Аналіз Брюса Шнейє на SSL:

http://www.schneier.com/blog/archives/2010/09/uae_man-in-the-.html

Обговорення Mozilla:

https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/OBrPLsoMAR8

Відкритий лист у серпні, в якому детально викладено проблему з EFF:

https://www.eff.org/deeplinks/2010/08/open-letter-verizon

Це не те, що вони розшифровують. Шифрування - всі ми на рівних умовах, поки не з'явиться квантовий ключ або замок. Але люди, які не кодують, не дурні. SSL Ви можете гарантувати безпеку серверу, але самі серти виходять з ланцюжка довіри.

Фраза "Я отримав цей урядовий концерт! Внутрішня безпека! Новий хлопець Мері Енн ... F ** k You!" або подібне, мабуть , було сказано в якийсь момент.

Амазонка була не єдиним місцем після того, як у Wikileaks з'явилася група седанів. ФБР зараз кричить про те, що насправді є заднім куточком, а точніше - легітимізувати заднє місце, яке вони повинні мати. Оскільки державні чи промислові суб'єкти не є "акторами", а "людьми", це не FUD ставити під сумнів.

Прикладом FUD було б виділити, скажімо, складність математики і спробувати використати це, щоб довести відповідь неправильною, і відновити віру в систему, яка працювала в минулому, ігноруючи примусову довіру до людей, і успішність експлуатувати в дикій природі.

Мати сенс?

— чигги
джерело

1

-1 це FUD і просто невірно.

— Ricket

1

Щоб детальніше розібратися (на відміну від цієї відповіді), HTTPS - це HTTP через SSL; він використовує щонайменше 128-бітні ключі з початку 90-х (наприклад, Gmail використовує 128-бітний сертифікат SSL). Це означає, що ключ має 128 біт; Іншими словами, є 2 ^ 128 можливих ключів (340 мільярдів мільярдів мільярдів, або число 39 цифр завдовжки). Доведено, що єдиний спосіб зламати це шифрування - це грубою силою ключа. Жодна система світу не може змусити застосовувати багато комбінацій за розумний час; це займе буквально цілу вічність з рівним державним обладнанням. І EFF.org нічого спільного з цим не має.

— Ricket

1

Також частина краси SSL полягає в тому, що хакер може записувати весь потік трафіку, починаючи з того, як з'єднання навіть починається після закінчення, коли комп'ютер підключається до сайту, до якого ніколи не підключався, і що хакер не може відновити оригінальні дані, і не бачити нічого, крім зашифрованих зашифрованих даних. Математика така, що навіть слухати все, що відбувається, не дає тобі жодної переваги. Таким чином, це абсолютно виключає, щоб ваш Інтернет-провайдер нюхав трафік HTTPS, і знову ж таки, навіть уряд не має права зламати ключ, навіть якщо вони заповнили цілу державу комп'ютерами.

— Ricket

Я відредагував свою відповідь, щоб підкреслити помилку у вашому припущенні: не тільки ключ шифрування містить SSL. Підрив. Ідеї вітаються.

— chiggsy

"Я також не довіряю кореневим ЦС. Коли я хочу ввійти в Gmail, я заїжджаю до Mountain View, Каліфорнія та передаю їм свій пароль на аркуші паперу. Сергій Брін підписує мене в центр обробки даних і дозволяє мені використовувати консоль в кінці стійки для читання моєї електронної пошти. Підключено, https://localhostзвичайно. " rolleyes

2

Атака "посеред людини" або сопіння від когось, хто сидить у тій самій кав’ярні, набагато рідше за 3G. Обладнання для цього набагато рідше доступне, а необхідний досвід вище.

Жоден з них не гарантовано захищений від, скажімо, урядової розвідувальної організації або іншої великої складної операції, оскільки шифрування 3G не має такого рівня. Але HTTPS і SSH повинні захистити вас від середнього перегляду будь-якого.

— гаряча лапа2
джерело

0

Людина в середній атаці також може бути виконана за допомогою sslstrip, який може легко зняти ssl з https, зробивши це HTTP-з'єднанням, перехоплюючи всі дані та використовуючи підроблений сертифікат для повторного включення ssl, перш ніж відправляти його до пункту призначення. Простими словами - це ідея.

Користувач ніколи не дізнається, що навіть з ним / їй трапилося. Це було показано в Блекхаті в 2009 році, якщо я не помиляюся. Якщо Moxie Marlinspike змогла зробити це в 2009 році, то уявіть, на що здатні робити інші прокерівські хаки в наші дні. Він був одним з небагатьох, хто розкривав це з добрими цілями. Багато з них не публікують уразливості, які вони мають у своєму розпорядженні.

Не хочу вас лякати, але якщо ви думаєте, що SSL є безпечним, подумайте двічі. Це справді залежить від браузерів, щоб підтримувати безпеку користувачів. Ваша віра справді в їхніх руках. Багато вразливих ситуацій існує протягом багатьох років так само, як і сердечні, перш ніж щось зробити з цим.

— IT_Master
джерело

1

Якщо ви не лякаєтесь, вам слід вказувати на атаку, яку застосувала Moxie, тому що я не можу повірити в каліку, оприлюднену вразливість SSL протягом останніх 5 років.

— Джейсон Салаз