Os dados transmitidos por 3G são seguros?

22

Quando os dados são transferidos do meu iPhone via 3G, eles são criptografados ou é relativamente simples para um hacker ler os dados transferidos para a torre de celular da AT&T? E depois que atinge a torre?

iphone security Sensível
fonte

Respostas:

16

O 3G pode ser seguro ou inseguro, depende realmente da implementação específica. Se você estiver preocupado com seus dados enquanto estiver conectando ou usando um iPad / iPhone 3G, observe-os desta maneira, é mais seguro do que usar hotspots / redes Wi-Fi gratuitas / não seguras.

Realmente a resposta para sua pergunta é que o 3G é bastante seguro, mas tem suas falhas.

O 3G é criptografado, os algoritmos de criptografia mais comuns foram decifrados, com o equipamento certo para alguém interceptar suas informações sem fio. No entanto, eles precisariam de algum conhecimento, dinheiro e motivação para fazê-lo. Além disso, eles precisariam do seu dispositivo para enviar dados não criptografados (não https) para que pudessem ser decifrados. Em suma, é bastante improvável, mas certamente possível, que suas informações possam ser interceptadas. No entanto, isso representa um risco para quem transmite dados em qualquer lugar e não é isolado para 3G / WiFi ou outros métodos de comunicação de dispositivos móveis.

Tente uma pesquisa no Google sobre segurança 3G e você encontrará muitas informações sobre as falhas e falhas de segurança e como elas podem ser exploradas.

Apenas como exemplo, aqui estão algumas apresentações:

Visão geral de segurança 3G

blackhat.com powerpoint

Conorgriffin
fonte
Um dos motivos pelos quais perguntei foi porque geralmente tenho a opção de usar um ponto de acesso gratuito vs. 3G, e quero saber qual deles devo usar se me preocupar com segurança. No começo, pensei que o 3G era obviamente mais seguro, já que existem extensões simples do Firefox que selecionam senhas de pessoas na mesma rede Wi-Fi, mas como sei que não há alguém sentado no meio de todos os 3G transmitidos dados e coletando-os o tempo todo? Pelo menos com o Wi-Fi, você precisa estar dentro de um determinado intervalo (pequeno) e estar executando um software que coleta esse tipo de informação.
Sensável
4
Se fizer algo como o Online Banking ou comprar algo com meu cartão de crédito, eu tenderia a usar o 3G sempre que possível. Mas mesmo em uma rede WiFi, a maioria dos sites que lidam com dados confidenciais usaria criptografia como SSL ou TLS, o que significaria que alguém nessa rede teria mais dificuldade em tentar roubar / interceptar seus dados. Eu diria que é mais provável que você corra risco com o Wi-Fi gratuito do que o 3G na maioria das vezes.
conorgriffin
6

Se você estiver operando por https, não importa por qual tipo de conexão você está se comunicando. Todos os dados serão criptografados do seu navegador para o programa do servidor. A única maneira de frear isso é interceptar a comunicação entre você e seu destino final. Para resolver isso, o certificado de identidade foi criado. Isso certifica que você está falando com seu destino final e não através de algum mediador. Portanto, desde que o certificado de identidade corresponda, você estará seguro. Se o certificado de identidade não corresponder, o navegador mostrará um aviso de segurança, dizendo que o certificado não corresponde, geralmente eles deixarão uma opção para você continuar com a comunicação, apenas no caso da operação que você está fazendo. se preocupa com segurança.

Bernardo Kyotoku
fonte
Obrigado pela informação. Estou mais interessado em quão seguro os dados não HTTPS são sobre 3G, pois, por definição, o HTTPS deve ser seguro, independentemente da conexão.
Sensável
Sim, pensei que sim. Pode ser de interesse para alguns leitores. Mas no ponto "hotspot vs. 3G" gratuito, pelo menos para mim, você não confiaria que não há criptografia de ponta a ponta. A segurança entre o meu computador e o ponto de acesso ou a torre de celular não é suficiente se, depois disso, os dados não forem criptografados.
Bernardo Kyotoku
3

Nem um pouco. Até o HTTPS é seguro apenas contra atores não governamentais ou de nível de ISP. Verifique o EFF.org para saber mais, mas eu aviso, é deprimente.

EDIT: O passado é um país que é muito difícil de visitar:

Análise de Bruce Schneier sobre SSL:

http://www.schneier.com/blog/archives/2010/09/uae_man-in-the-.html

Discussão da Mozilla:

https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/OBrPLsoMAR8

A carta aberta em agosto detalhando o problema do FEP:

https://www.eff.org/deeplinks/2010/08/open-letter-verizon

Não é que eles decifrem, você vê. Criptografia estamos todos em pé de igualdade até a chave ou bloqueio quântico. Mas as pessoas que não codificam não são estúpidas. SSL, você pode garantir segurança ao servidor, mas os certificados são provenientes de uma cadeia de confiança.

A frase "Consegui aquele show do governo! Segurança Interna! O novo namorado de Mary Anne ... F ** k You!" ou similar deve ter sido dito em algum momento.

A Amazon não era o único lugar depois do Wikileaks a ter um grupo de sedãs estacionados. No momento, o FBI está gritando por backdoors, ou melhor, para legitimar os backdoors que eles devem ter. Como os atores do governo ou da indústria não são 'atores', mas 'pessoas', não cabe ao FUD questioná-lo.

Um exemplo do FUD seria destacar, digamos, a complexidade da matemática e tentar usá-la para provar uma resposta errada, e restaurar a fé em um sistema que funcionou no passado, ignorando a confiança forçada nos seres humanos e o sucesso. explorar na natureza.

Faz sentido?

chiggsy
fonte
1
-1 isto é FUD e simplesmente errado.
Ricket 27/02
1
Para entrar um pouco mais detalhadamente (ao contrário desta resposta), HTTPS é HTTP sobre SSL; ele usa pelo menos chaves de 128 bits desde o início dos anos 90 (por exemplo, o Gmail usa um certificado SSL de 128 bits). Isso significa que uma chave tem 128 bits; em outras palavras, existem 2 ^ 128 teclas possíveis (340 bilhões de bilhões de bilhões de bilhões ou um número de 39 dígitos). Está provado que a única maneira de quebrar essa criptografia é pela força bruta de uma chave. Nenhum sistema no mundo pode fazer força bruta com tantas combinações em um tempo razoável; levaria literalmente uma eternidade, mesmo com o hardware do governo. E o EFF.org não tem nada a ver com isso.
Ricket 27/02
1
Além disso, parte da beleza do SSL é que um hacker pode gravar todo o fluxo de tráfego, desde o início da conexão até o término, quando um computador se conecta a um site ao qual nunca havia se conectado antes e o hacker não pode reconstruir os dados originais, e não vê nada além de dados criptografados desordenados. A matemática é tal que mesmo ouvir tudo acontecendo não lhe dá nenhuma vantagem. Portanto, isso exclui absolutamente seu ISP que aspira o tráfego HTTPS e, novamente, mesmo o governo não tem o poder de quebrar a chave, mesmo que preencha todo um estado com computadores.
Ricket 27/02
Editei minha resposta para destacar o erro em sua suposição: não é apenas a chave de criptografia que compreende o SSL. Subvertido. Idéias bem-vindas.
28511 chiggsy
"Também não confio nas autoridades de certificação raiz. Quando quero entrar no Gmail, dirijo para Mountain View, CA, e entrego minha senha a eles em um pedaço de papel. Sergei Brin me inscreve no datacenter e me permite usar um console no final de um rack para ler meu e-mail. Conectado a, é https://localhostclaro. " rolleyes
2

Um ataque do tipo homem do meio ou bisbilhotar alguém sentado no mesmo café é muito menos provável com o 3G. O equipamento para fazer isso é muito menos disponível e o conhecimento necessário é maior.

Nem se garante a segurança de, por exemplo, uma organização de inteligência do governo ou outra operação sofisticada de grande porte, já que a criptografia 3G não é desse nível. Mas HTTPS e SSH devem protegê-lo do espião médio sobre os dois.

hotpaw2
fonte
0

Um homem no ataque do meio também pode ser executado usando sslstrip, que pode facilmente remover o SSL do https, tornando-o uma conexão http, interceptar todos os dados e usar um certificado falso para reativar o SSL antes de enviá-lo ao destino. Em palavras simples, essa é a ideia.

O usuário nunca saberá o que aconteceu com ele. Isso foi exibido no Blackhat em 2009, se não me engano. Se Moxie Marlinspike conseguiu isso em 2009, imagine o que outros hackers profissionais são capazes de fazer hoje em dia. Ele foi um dos poucos que revelou isso para bons propósitos. Muitos deles não publicam as vulnerabilidades que têm à sua disposição.

Não quero assustá-lo, mas se você acha que o SSL é seguro, pense duas vezes. Cabe aos navegadores manter a segurança dos usuários. Sua fé está realmente na mão deles. Muitas vulnerabilidades existem por muitos anos, assim como os infelizes antes de fazer algo a respeito.

IT_Master
fonte
1
Se você não tem muito medo, aponte para o ataque que o Moxie usou, porque não acredito que exista uma vulnerabilidade SSL aleijada e divulgada nos últimos 5 anos.
21813 Jason Salaz