I dati trasmessi su 3G sono sicuri?

22

Quando i dati vengono trasferiti dal mio iPhone tramite 3G, sono crittografati o è relativamente semplice per un hacker leggere i dati trasferiti sul tower tower di AT&T? Che dire dopo che raggiunge la torre?

iphone security

— Senseful
fonte

16

3G può essere sicuro o insicuro, dipende davvero dalla particolare implementazione. Se sei preoccupato per i tuoi dati durante il tethering o l'utilizzo di un iPad / iPhone 3G, guardali in questo modo, è più sicuro dell'uso di hotspot / reti WiFi gratuiti / non garantiti.

La risposta alla tua domanda è che 3G è abbastanza sicuro, ma ha i suoi difetti.

3G è crittografato, gli algoritmi di crittografia più comuni sono stati decifrati, con l'attrezzatura giusta qualcuno potrebbe intercettare le tue informazioni in modalità wireless. Tuttavia, avrebbero bisogno di conoscenza, denaro e motivazione per farlo. Inoltre, avrebbero bisogno che il tuo dispositivo invii dati non crittografati (non https) in modo che possano essere decifrati. Tutto sommato è abbastanza improbabile ma certamente possibile che le tue informazioni possano essere intercettate. Tuttavia, questo è un rischio per chiunque trasmetta dati ovunque e non è isolato su 3G / WiFi o altri metodi di comunicazione del dispositivo mobile.

Prova una ricerca su Google sulla sicurezza 3G e troverai molte informazioni sui difetti e le falle di sicurezza e su come potrebbero essere sfruttate.

A titolo di esempio, ecco un paio di presentazioni:

Panoramica sulla sicurezza 3G

blackhat.com powerpoint

— conorgriffin
fonte

Uno dei motivi per cui mi sono chiesto è perché spesso ho la scelta di utilizzare un hotspot gratuito rispetto al 3G e voglio sapere quale dovrei usare se mi preoccupo della sicurezza. All'inizio pensavo che il 3G fosse ovviamente più sicuro, dal momento che ci sono semplici estensioni firefox che possono selezionare le password delle persone sulla stessa rete Wi-Fi, ma come faccio a sapere che non c'è nessuno seduto nel mezzo di tutti i 3G trasmessi dati e raccoglierli continuamente? Almeno con il Wi-Fi è necessario essere all'interno di un certo (piccolo) intervallo ed eseguire un software che raccoglie quel tipo di informazioni.

— Senso

4

Se faccio qualcosa come l'online banking o l'acquisto di qualcosa con la mia carta di credito, tenderei a utilizzare 3G ove possibile. Ma anche su una rete WiFi, la maggior parte dei siti Web che trattano dati sensibili utilizzerebbe la crittografia come SSL o TLS, il che significherebbe che qualcuno su quella rete avrebbe più difficoltà a rubare / intercettare i tuoi dati. Direi che è più probabile che tu sia a rischio sul WiFi gratuito rispetto al 3G per la maggior parte del tempo.

— conorgriffin,

6

Se operi su HTTPS, non importa attraverso quale tipo di connessione stai comunicando. Tutti i dati verranno crittografati dal browser al programma server. L'unico modo per frenare questo è di intercettare la comunicazione tra te e la tua destinazione finale. Per risolvere questo, sono stati creati certificati di identità. Ciò certifica che stai parlando con la tua destinazione finale e non attraverso un mediatore. Quindi, finché il certificato di identità corrisponde, sei al sicuro. Se il certificato di identità non corrisponde al browser ti mostrerà un avviso di sicurezza, dicendo che il certificato non corrisponde, generalmente ti lasceranno un'opzione per continuare con la comunicazione, nel caso in cui l'operazione che stai facendo tu preoccuparsi della sicurezza.

— Bernardo Kyotoku
fonte

Grazie per le informazioni. Sono più interessato a quanto i dati non HTTPS siano protetti su 3G, poiché per definizione HTTPS dovrebbe essere sicuro indipendentemente dalla connessione.

— Senso

Sì, l'ho pensato. Potrebbe essere di interesse per alcuni lettori. Ma nel punto "hotspot vs. 3G" gratuito, almeno per me, non ti fideresti che non esiste una crittografia end-to-end. La sicurezza tra il mio computer e l'hotspot o il cell tower non è sufficiente se successivamente i dati non vengono crittografati.

— Bernardo Kyotoku,

3

Niente affatto. Anche HTTPS è protetto solo da attori di livello non governativo o ISP. Controlla EFF.org per saperne di più, ma ti avverto, è dannatamente deprimente.

EDIT: Il passato è un paese che è molto difficile da visitare:

Analisi di Bruce Schneier su SSL:

http://www.schneier.com/blog/archives/2010/09/uae_man-in-the-.html

Discussione di Mozilla:

https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/OBrPLsoMAR8

La lettera aperta di agosto che illustra in dettaglio il problema del FEP:

https://www.eff.org/deeplinks/2010/08/open-letter-verizon

Vedete, non è che lo decifrano. Crittografia siamo tutti su un piano di parità fino alla chiave quantistica o al blocco. Ma le persone che non codificano non sono stupide. Con SSL puoi garantire sicurezza al server, ma i certificati stessi provengono da una catena di fiducia.

La frase "Ho preso quel concerto del governo! Homeland Security! Il nuovo fidanzato di Mary Anne ... F ** k You!" o simili devono essere stati detti ad un certo punto.

Amazon non è stato l'unico posto dopo Wikileaks a far salire un gruppo di berline. L'FBI in questo momento sta urlando per le backdoor in effetti, o meglio, per legittimare le backdoor che devono avere. Dal momento che il governo o gli attori industriali non sono "attori" ma "persone", non è FUD metterlo in discussione.

Un esempio di FUD, sarebbe quello di evidenziare la complessità della matematica e provare a usarla per dimostrare una risposta sbagliata e ripristinare la fiducia in un sistema che ha funzionato in passato, ignorando la fiducia forzata nell'uomo e il successo sfruttare allo stato brado.

Ha senso?

— chiggsy
fonte

1

-1 questo è FUD e semplicemente sbagliato.

— Ricket,

1

Per entrare un po 'più in dettaglio (a differenza di questa risposta), HTTPS è HTTP su SSL; utilizza chiavi almeno a 128 bit dai primi anni '90 (ad es. Gmail utilizza un certificato SSL a 128 bit). Ciò significa che una chiave è lunga 128 bit; in altre parole, ci sono 2 ^ 128 possibili chiavi (340 miliardi di miliardi di miliardi, o un numero di 39 cifre). È dimostrato che l'unico modo per violare questa crittografia è la forza bruta di una chiave. Nessun sistema al mondo può forzare così tante combinazioni in un tempo ragionevole; ci vorrebbe letteralmente un'eternità anche con hardware governativo. E EFF.org non ha nulla a che fare con questo.

— Ricket,

1

Inoltre, parte della bellezza di SSL è che un hacker può registrare l'intero flusso di traffico, da prima che la connessione inizi anche dopo che termina, quando un computer si connette a un sito a cui non si è mai connesso prima e che l'hacker non può ricostruire i dati originali, né vedere altro che dati crittografati confusi. La matematica è tale che anche ascoltare tutto ciò che accade non ti dà alcun vantaggio. Quindi questo esclude assolutamente il tuo ISP che annusa il traffico HTTPS e, di nuovo, anche il governo non ha il potere di violare la chiave, anche se ha riempito un intero stato di computer.

— Ricket,

Ho modificato la mia risposta per evidenziare l'errore nel tuo presupposto: non è solo la chiave di crittografia che comprende SSL. Sovvertito. Idee benvenute.

— Chiggsy,

"Neanche io mi fido delle CA principali. Quando voglio accedere a Gmail, guido a Mountain View, in California e consegno loro la mia password su un pezzo di carta. Sergei Brin mi firma nel datacenter e mi consente di utilizzare un console alla fine di un rack per leggere la mia e-mail. Collegato https://localhostovviamente. " rolleyes

2

Un attacco man-in-the-middle o ficcanaso da qualcuno seduto nello stesso bar è molto meno probabile su 3G. L'attrezzatura per farlo è molto meno comunemente disponibile e le competenze richieste sono più elevate.

Né è garantito che sia sicuro, ad esempio, un'organizzazione di intelligence governativa o altre grandi operazioni sofisticate, poiché la crittografia 3G non è di quel livello. Ma HTTPS e SSH dovrebbero proteggerti dal ficcanaso medio su entrambi.

— hotpaw2
fonte

0

Un uomo nel mezzo dell'attacco può anche essere eseguito usando sslstrip che può facilmente rimuovere l'sl da https, rendendolo una connessione http, intercettare tutti i dati e usare un certificato falso per riattivare l'sl prima di inviarlo alla destinazione. In parole semplici questa è l'idea.

L'utente non saprà mai cosa è successo a lui / lei. Questo è stato presentato a Blackhat nel 2009 se non sbaglio. Se Moxie Marlinspike è stato in grado di farlo nel 2009, immagina cosa sono in grado di fare altri hacker professionisti in questi giorni. Fu uno dei pochi a rivelarlo per buoni scopi. Molti di loro non pubblicheranno le vulnerabilità di cui dispongono.

Non voglio spaventarti, ma se pensi che SSL sia sicuro, pensaci due volte. Spetta davvero ai browser mantenere la sicurezza degli utenti. La tua fede è davvero nelle loro mani. Esistono molte vulnerabilità per molti anni, proprio come i deboli di cuore prima che facciano qualcosa al riguardo.

— IT_Master
fonte

1

Se non fai paura, dovresti puntare all'attacco che Moxie ha usato, perché non posso credere che negli ultimi 5 anni esista una vulnerabilità SSL paralizzata e paralizzante.

— Jason Salaz,