Безопасна ли передача данных через 3G?

22

Когда данные передаются с моего iPhone через 3G, они зашифрованы или хакеру относительно просто прочитать данные, которые передаются в сотовую вышку AT & T? Что после того, как он достигнет башни?

iphone security Senseful
источник

Ответы:

16

3G может быть безопасным или небезопасным, это действительно зависит от конкретной реализации. Если вы беспокоитесь о своих данных во время подключения или при использовании 3G iPad / iPhone, посмотрите на это с точки зрения безопасности, это более безопасно, чем использование бесплатных / незащищенных точек доступа / сетей WiFi.

На самом деле ответ на ваш вопрос заключается в том, что 3G довольно безопасен, но имеет свои недостатки.

3G зашифрован, самые распространенные алгоритмы шифрования были взломаны, с подходящим оборудованием кто-то может перехватить вашу информацию по беспроводной связи. Однако для этого им понадобятся знания, деньги и мотивация. Затем, в дополнение к этому, им потребуется ваше устройство для отправки незашифрованных данных (не https), чтобы их можно было расшифровать. В целом, маловероятно, но, безусловно, возможно, что ваша информация может быть перехвачена. Тем не менее, это риск для любого человека, передающего данные в любом месте, и он не изолирован от 3G / WiFi или других способов связи с мобильными устройствами.

Попробуйте поиск в Google по безопасности 3G, и вы найдете много информации о недостатках и дырах в безопасности, а также о том, как их можно использовать.

В качестве примера, вот несколько презентаций:

Обзор безопасности 3G

blackhat.com powerpoint

conorgriffin
источник
Одна из причин, по которой я спросил, состояла в том, что у меня часто есть выбор использовать бесплатную точку доступа по сравнению с 3G, и я хочу знать, какую из них мне следует использовать, если я беспокоюсь о безопасности. Сначала я думал, что 3G, очевидно, более безопасен, поскольку существуют простые расширения Firefox, которые могут выбирать пароли людей в одной и той же сети Wi-Fi, но как я узнаю, что среди всех передаваемых 3G нет кого-то, кто сидит в центре? данные и сбор их все время? По крайней мере, с Wi-Fi вам нужно находиться в определенном (небольшом) диапазоне и использовать программное обеспечение, которое собирает такую ​​информацию.
Чувственный
4
Если бы я занимался чем-то вроде интернет-банкинга или покупал что-то с помощью своей кредитной карты, я бы по возможности использовал 3G. Но даже в сети WiFi большинство веб-сайтов, работающих с конфиденциальными данными, используют шифрование, такое как SSL или TLS, что означает, что кому-то в этой сети будет труднее украсть / перехватить ваши данные. Я бы сказал, что вы чаще рискуете пользоваться бесплатным WiFi, чем 3G в большинстве случаев.
Коноргрифин
6

Если вы работаете по протоколу https, не имеет значения, через какой тип соединения вы общаетесь. Все данные будут зашифрованы из вашего браузера в серверную программу. Единственный способ справиться с этим - подслушивать связь между вами и вашим конечным пунктом назначения. Для решения этой проблемы были созданы удостоверения личности. Это подтверждает, что вы разговариваете с конечным пунктом назначения, а не через какого-либо посредника. Так что, пока удостоверение личности совпадает, вы в безопасности. Если удостоверение личности не совпадает, браузер покажет вам предупреждение безопасности, сообщающее, что сертификат не совпадает, как правило, они оставят вам возможность продолжить общение, на случай, если вы выполняете операцию, которую вы делаете. не заботится о безопасности.

Бернардо Киотоку
источник
Спасибо за информацию. Меня больше интересует, насколько безопасны данные без HTTPS через 3G, так как по определению HTTPS должен быть безопасным независимо от соединения.
Чувственный
Да, так и думал. Это может быть интересно для некоторых читателей. Но в бесплатной точке «горячая точка против 3G», по крайней мере для меня, вы не поверите, что шифрование не является окончательным. Безопасность между моим компьютером и точкой доступа или сотовой вышкой недостаточна, если после этого данные не зашифрованы.
Бернардо Киотоку
3

Не в последнюю очередь. Даже HTTPS защищен только от лиц, не являющихся представителями правительства или провайдеров. Проверьте EFF.org для получения дополнительной информации, но я предупреждаю вас, это чертовски уныло.

РЕДАКТИРОВАТЬ: прошлое это страна, которую очень трудно посетить:

Анализ Брюса Шнайера по SSL:

http://www.schneier.com/blog/archives/2010/09/uae_man-in-the-.html

Обсуждение Мозиллы:

https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/OBrPLsoMAR8

Открытое письмо в августе, детализирующее проблему от EFF:

https://www.eff.org/deeplinks/2010/08/open-letter-verizon

Понимаете, дело не в том, что они это расшифровывают. По шифрованию мы все на равных до квантового ключа или замка. Но люди, которые не пишут код, не глупы. По SSL вы можете гарантировать безопасность сервера, но сами сертификаты происходят из цепочки доверия.

Фраза "Я получил этот правительственный концерт! Служба национальной безопасности! Новый парень Мэри Энн ... F ** k Вы!" или подобное должно быть сказано в какой-то момент.

Amazon был не единственным местом после Wikileaks, где группа седанов подтянулась. ФБР прямо сейчас кричит о бэкдорах, точнее, о том, чтобы узаконить бэкдоры, которые они должны иметь. Поскольку правительство или промышленные субъекты не являются «актерами», а «людьми», сомневаться в этом не FUD.

Примером FUD будет выделение, скажем, сложности математики и попытка использовать ее, чтобы доказать неправильный ответ, и восстановить веру в систему, которая работала в прошлом, игнорируя при этом принудительное доверие к людям и успешное эксплуатировать в дикой природе.

Есть смысл?

chiggsy
источник
1
-1 это фуд и просто неправильно.
Рикет
1
Чтобы вдаваться в подробности (в отличие от этого ответа), HTTPS - это HTTP поверх SSL; с начала 90-х он использует как минимум 128-битные ключи (например, Gmail использует 128-битный SSL-сертификат). Это означает, что длина ключа составляет 128 бит; другими словами, есть 2 ^ 128 возможных ключей (340 миллиардов миллиардов миллиардов или число длиной 39 цифр). Доказано, что единственный способ сломать это шифрование - это грубая сила ключа. Ни одна система в мире не может грубо заставить столько комбинаций за разумное время; это заняло бы буквально вечность даже с правительственным оборудованием. И EFF.org не имеет к этому никакого отношения.
Рикет
1
Кроме того, частью красоты SSL является то, что хакер может записывать весь поток трафика, начиная с того момента, когда соединение даже начинает работать, после его окончания, когда компьютер подключается к сайту, к которому он никогда ранее не подключался, и этот хакер не может восстановить исходные данные, и не вижу ничего, кроме перемешанных зашифрованных данных. Математика такова, что даже слышать все, что происходит, не дает вам никакого преимущества. Таким образом, это абсолютно исключает возможность прослушивания HTTPS трафика вашим провайдером, и опять же, даже правительство не может взломать ключ, даже если они заполнили весь штат компьютерами.
Рикет
Я отредактировал свой ответ, чтобы выделить ошибку в вашем предположении: это не просто ключ шифрования, который включает SSL. Извращаться. Идеи приветствуются.
Chiggsy
«Я также не доверяю корневым ЦС. Когда я хочу войти в Gmail, я еду в Маунтин-Вью, штат Калифорния, и передаю им свой пароль на листе бумаги. Сергей Брин подписывает меня в центр обработки данных и позволяет использовать консоль в конце стойки , чтобы прочитать мою электронную почту. Подключение к https://localhostконечно «. rolleyes
2

Атака посредника или слежка за кем-то, сидящим в той же кофейне, гораздо менее вероятна по 3G. Оборудование для этого гораздо реже доступно, а требуемый опыт выше.

Ни один из них не может быть защищен, скажем, от правительственной разведывательной организации или других крупных изощренных операций, поскольку шифрование 3G не имеет такого уровня. Но HTTPS и SSH должны защищать вас от среднего шпионажа.

hotpaw2
источник
0

Человек в средней атаке также может быть выполнен с использованием sslstrip, который может легко извлечь ssl из https, сделать его http-соединением, перехватить все данные и использовать поддельный сертификат для повторного включения ssl перед отправкой его в пункт назначения. Простыми словами это идея.

Пользователь никогда не узнает, что с ним даже случилось. Это было продемонстрировано в Blackhat в 2009 году, если я не ошибаюсь. Если Мокси Марлинспайк смог сделать это в 2009 году, представьте, на что способны другие профессиональные хакеры в наши дни. Он был одним из немногих, кто раскрыл это в хороших целях. Многие из них не будут публиковать уязвимости, которые они имеют в своем распоряжении.

Не хочу вас пугать, но если вы думаете, что ssl безопасен, подумайте дважды. Это действительно зависит от браузеров, чтобы поддерживать безопасность пользователей. Ваша вера действительно в их руках. Много уязвимостей существует много лет, точно так же, как и до того, как они что-то предпримут.

IT_Master
источник
1
Если вы не напуганы, вам следует указать на атаку, которую использовал Moxie, потому что я не могу поверить, что публичная уязвимость SSL существует в течение последних 5 лет.
Джейсон Салаз,