Dữ liệu được truyền qua 3G có an toàn không?

22

Khi dữ liệu được truyền từ iPhone của tôi qua 3G, nó có được mã hóa hay không, việc hacker đọc dữ liệu được chuyển đến tháp di động của AT & T tương đối đơn giản? Thế còn sau khi nó đến tháp?

iphone security

— Ý thức
nguồn

16

3G có thể an toàn hoặc không an toàn, nó thực sự phụ thuộc vào việc triển khai cụ thể. Nếu bạn lo lắng về dữ liệu của mình trong khi buộc hoặc sử dụng iPad / iPhone 3G thì hãy nhìn theo cách này, nó an toàn hơn so với sử dụng các điểm truy cập / mạng WiFi miễn phí / không bảo mật.

Thực sự câu trả lời cho câu hỏi của bạn là 3G khá an toàn, nhưng nó có những sai sót.

3G được mã hóa, các thuật toán mã hóa phổ biến nhất đã bị bẻ khóa, với thiết bị phù hợp ai đó có thể chặn thông tin của bạn không dây. Tuy nhiên, họ sẽ cần một số kiến thức, một số tiền và một số động lực để làm điều đó. Sau đó, ngoài ra, họ sẽ cần thiết bị của bạn gửi dữ liệu không được mã hóa (không phải https) để có thể giải mã được. Nhìn chung, điều này khá khó xảy ra nhưng chắc chắn là thông tin của bạn có thể bị chặn. Tuy nhiên, đây là rủi ro cho bất kỳ ai truyền dữ liệu ở bất cứ đâu và không bị cách ly với 3G / WiFi hoặc các phương thức liên lạc trên thiết bị di động khác.

Hãy thử tìm kiếm trên google về bảo mật 3G và bạn sẽ tìm thấy nhiều thông tin về các lỗ hổng và lỗ hổng bảo mật và cách chúng có thể được khai thác.

Chỉ là một ví dụ, đây là một vài bài thuyết trình:

Tổng quan về bảo mật 3G

powerpoint blackhat.com

— conorgriffin
nguồn

Một trong những lý do tôi hỏi là vì tôi thường có lựa chọn sử dụng hotspot miễn phí so với 3G và tôi muốn biết tôi nên sử dụng cái nào nếu tôi quan tâm đến bảo mật. Lúc đầu, tôi nghĩ 3G rõ ràng an toàn hơn, vì có các tiện ích mở rộng firefox đơn giản có thể chọn mật khẩu của mọi người trên cùng một mạng Wi-Fi, nhưng làm sao tôi biết rằng không có ai ngồi giữa tất cả 3G được truyền dữ liệu và thu thập nó mọi lúc? Ít nhất với Wi-Fi, bạn cần ở trong một phạm vi (nhỏ) nhất định và đang chạy phần mềm thu thập loại thông tin đó.

— Ý thức

4

Nếu làm một cái gì đó như Ngân hàng trực tuyến hoặc mua một cái gì đó bằng thẻ tín dụng của tôi, tôi có xu hướng sử dụng 3G bất cứ khi nào có thể. Nhưng ngay cả trên mạng WiFi, hầu hết các trang web xử lý dữ liệu nhạy cảm sẽ sử dụng mã hóa như SSL hoặc TLS, điều đó có nghĩa là ai đó trên mạng đó sẽ gặp khó khăn hơn trong việc cố gắng đánh cắp / chặn dữ liệu của bạn. Tôi có thể nói rằng bạn có nhiều khả năng gặp rủi ro trên WiFi miễn phí hơn 3G trong hầu hết thời gian.

— conorgriffin

6

Nếu bạn đang hoạt động trên https, điều đó không quan trọng thông qua loại kết nối bạn đang liên lạc qua. Tất cả dữ liệu sẽ được mã hóa từ trình duyệt của bạn đến chương trình máy chủ. Cách duy nhất để giải quyết vấn đề này là nghe lén làm trung gian liên lạc giữa bạn và điểm đến cuối cùng. Để giải quyết điều này, chứng chỉ nhận dạng đã được tạo ra. Điều này chứng nhận rằng bạn đang nói chuyện với điểm đến cuối cùng của bạn và không thông qua một số hòa giải viên. Vì vậy, miễn là chứng nhận danh tính phù hợp, bạn an toàn. Nếu chứng chỉ nhận dạng không khớp với trình duyệt sẽ hiển thị cho bạn một cảnh báo bảo mật, nói rằng chứng chỉ đó không khớp, nói chung họ sẽ để lại tùy chọn cho bạn tiếp tục liên lạc, chỉ trong trường hợp bạn đang thực hiện thao tác bạn không làm 'quan tâm đến an ninh.

— Bernardo Kyotoku
nguồn

Cảm ơn bạn về thông tin. Tôi quan tâm nhiều hơn đến việc dữ liệu không phải HTTPS an toàn trên 3G như thế nào, vì theo định nghĩa, HTTPS sẽ được bảo mật bất kể kết nối.

— Ý thức

Vâng, nghĩ vậy. Nó có thể được quan tâm cho một số độc giả. Nhưng ở điểm "điểm nóng so với 3G" miễn phí, đối với tôi, ít nhất, bạn sẽ không tin rằng sẽ không có kết thúc mã hóa. Bảo mật giữa máy tính của tôi và điểm phát sóng hoặc tháp di động, là không đủ nếu sau đó dữ liệu không được mã hóa.

— Bernardo Kyotoku

3

Không phải trong ít nhất. Ngay cả HTTPS chỉ được bảo mật từ các tác nhân cấp chính phủ hoặc ISP. Kiểm tra EFF.org để biết thêm, nhưng tôi cảnh báo bạn, điều đó thật đáng buồn.

EDIT: Quá khứ là một đất nước rất khó đến thăm:

Phân tích của Bruce Schneier về SSL:

http://www.schneier.com/blog/archives/2010/09/clus_man-in-the-.html

Thảo luận của Mozilla:

https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/OBrPLsoMAR8

Thư ngỏ trong tháng tám nêu chi tiết vấn đề từ EFF:

https://www.eff.org/deeplinks/2010/08/open-letter-verizon

Không phải là họ giải mã nó, bạn thấy đấy. Mã hóa tất cả chúng ta đều bình đẳng cho đến khi khóa lượng tử hoặc khóa. Nhưng những người không viết mã không ngu ngốc. SSL bạn có thể đảm bảo an ninh cho máy chủ, nhưng bản thân các certs đến từ một chuỗi tin cậy.

Câu "Tôi có hợp đồng biểu diễn của chính phủ! An ninh nội địa! Bạn trai mới của Mary Anne ... F ** k You!" , hoặc tương tự phải được nói ở một số điểm.

Amazon không phải là nơi duy nhất sau Wikileaks có một nhóm người kéo xe. FBI đang hét lên ngay bây giờ cho các cửa hậu trong thực tế, hay đúng hơn, để hợp pháp hóa các cửa hậu mà họ phải có. Vì chính phủ, hoặc các tác nhân công nghiệp không phải là 'diễn viên' mà là 'người dân', không phải là FUD để đặt câu hỏi.

Một ví dụ về FUD, sẽ làm nổi bật rằng, sự phức tạp của toán học và cố gắng sử dụng nó để chứng minh một câu trả lời sai, và khôi phục niềm tin vào một hệ thống hoạt động trong quá khứ, trong khi bỏ qua niềm tin bắt buộc vào con người, và thành công Khai thác trong tự nhiên.

Có lý?

— cười khúc khích
nguồn

1

-1 đây là FUD và hoàn toàn sai.

— Ricket

1

Để đi sâu vào chi tiết hơn một chút (không giống như câu trả lời này), HTTPS là HTTP qua SSL; nó sử dụng ít nhất các khóa 128 bit kể từ đầu những năm 90 (ví dụ: Gmail sử dụng chứng chỉ SSL 128 bit). Điều đó có nghĩa là một khóa dài 128 bit; nói cách khác, có 2 ^ 128 khóa có thể (340 tỷ tỷ tỷ, hoặc một số dài 39 chữ số). Nó được chứng minh rằng cách duy nhất để phá vỡ mã hóa này là bằng sức mạnh của một khóa. Không có hệ thống nào trên thế giới có thể vũ phu nhiều kết hợp trong một thời gian hợp lý; nó sẽ thực sự là vĩnh cửu với ngay cả phần cứng của chính phủ. Và EFF.org không có gì để làm với điều này.

— Ricket

1

Ngoài ra, một phần của vẻ đẹp của SSL là tin tặc có thể ghi lại toàn bộ luồng lưu lượng, từ trước khi kết nối thậm chí bắt đầu sau khi kết thúc, khi một máy tính kết nối với một trang web mà nó chưa từng kết nối trước đó và hacker không thể xây dựng lại dữ liệu gốc, cũng không thấy bất cứ thứ gì ngoài dữ liệu được mã hóa lộn xộn. Toán học là như vậy mà thậm chí nghe mọi thứ đang diễn ra không cung cấp cho bạn bất kỳ lợi thế. Vì vậy, điều này hoàn toàn loại trừ ISP của bạn đánh hơi lưu lượng HTTPS, và một lần nữa, ngay cả chính phủ cũng không có quyền phá khóa, ngay cả khi chúng lấp đầy toàn bộ trạng thái bằng máy tính.

— Ricket

Tôi đã chỉnh sửa câu trả lời của mình để làm nổi bật lỗi trong giả định của bạn: đó không chỉ là khóa mã hóa bao gồm SSL. Bị lật đổ. Ý tưởng chào mừng.

— chiggsy

"Tôi cũng không tin tưởng các CA gốc. Khi tôi muốn đăng nhập vào Gmail, tôi lái xe đến Mountain View, CA và đưa cho họ mật khẩu của mình trên một tờ giấy. Sergei Brin ký cho tôi vào trung tâm dữ liệu và cho phép tôi sử dụng Bảng điều khiển ở cuối giá để đọc email của tôi. https://localhostTất nhiên được kết nối với . " xe đẩy

2

Một cuộc tấn công giữa chừng hoặc rình mò từ một người ngồi trong cùng một quán cà phê ít có khả năng hơn 3G. Các thiết bị để làm như vậy là ít phổ biến hơn, và chuyên môn cần thiết là cao hơn.

Không được đảm bảo an toàn khỏi nói, một tổ chức tình báo chính phủ hoặc hoạt động tinh vi lớn khác, vì mã hóa 3G không thuộc loại đó. Nhưng HTTPS và SSH sẽ bảo vệ bạn khỏi những kẻ rình mò trung bình.

— hotpaw2
nguồn

0

Một người đàn ông trong cuộc tấn công giữa cũng có thể được thực hiện bằng cách sử dụng sslstrip có thể dễ dàng tách ssl khỏi https, biến nó thành kết nối http, chặn tất cả dữ liệu và sử dụng chứng chỉ giả để kích hoạt lại ssl trước khi gửi đến đích. Nói một cách đơn giản đó là ý tưởng.

Người dùng sẽ không bao giờ biết những gì thậm chí đã xảy ra với anh ấy / cô ấy. Điều này đã được trình chiếu trong Blackhat năm 2009 nếu tôi không nhầm. Nếu Moxie Marlinspike có thể làm điều này trong năm 2009, hãy tưởng tượng những gì các hacker chuyên nghiệp khác có khả năng làm những ngày này. Ông là một trong số ít tiết lộ điều này cho mục đích tốt. Nhiều người trong số họ sẽ không công bố các lỗ hổng mà họ có sẵn.

Đừng muốn làm bạn sợ nhưng nếu bạn nghĩ ssl là an toàn thì hãy nghĩ lại. Nó thực sự phụ thuộc vào các trình duyệt để duy trì bảo mật của người dùng. Đức tin của bạn thực sự nằm trong tay họ. Rất nhiều lỗ hổng tồn tại trong nhiều năm giống như những kẻ đau lòng trước khi họ làm gì đó với nó.

— IT_Master
nguồn

1

Nếu bạn không sợ hãi, bạn nên chỉ ra cuộc tấn công mà Moxie đã sử dụng, bởi vì tôi không thể tin rằng một lỗ hổng SSL bị tê liệt, công khai tồn tại trong 5 năm qua.

— Jason Salaz