3G üzerinden iletilen veriler güvenli mi?

22

Veriler iPhone'umdan 3G aracılığıyla aktarıldığında, şifreli mi, yoksa bir bilgisayar korsanının AT & T'nin hücre kulesine aktardığı verileri okuması nispeten basit mi? Ya kuleye ulaştıktan sonra?

iphone  security 
Senseful
kaynak

Yanıtlar:

16

3G güvenli ya da güvensiz olabilir, özel uygulamalara bağlı. 3G iPad / iPhone cihazı kullanırken veya bağlarken verileriniz hakkında endişeleniyorsanız, bu şekilde inceleyin, ücretsiz / güvenli olmayan WiFi noktaları / ağları kullanmaktan daha güvenli.

Aslında sorunuzun cevabı 3G'nin oldukça güvenli olduğu, ancak bunun kusurları olduğu.

3G şifreli, en yaygın şifreleme algoritmaları kırıldı, doğru ekipman birileri bilgilerinizi kablosuz olarak engelleyebilir. Ancak, bunu yapmak için biraz bilgiye, biraz paraya ve biraz motivasyona ihtiyaçları olacaktı. Sonra buna ek olarak, cihazınızın şifrelenmemiş verileri (https olmayan) göndermesi gerekir; böylece şifresi çözülebilir. Sonuç olarak, bilgilerinizin ele geçirilmesi olası değildir ancak kesinlikle mümkündür. Ancak bu, herhangi bir yere veri ileten herkes için bir risktir ve 3G / WiFi veya diğer mobil cihaz iletişim yöntemlerine izole edilmez.

3G güvenliğine ilişkin bir google aramayı deneyin; kusurlar ve güvenlik delikleri ve bunların nasıl kullanılabileceği hakkında birçok bilgi bulacaksınız.

Örnek olarak, işte birkaç sunum:

3G Güvenliğine Genel Bakış

blackhat.com powerpoint

conorgriffin
kaynak
Sormamın nedenlerinden biri, genellikle 3G'ye karşı ücretsiz bir sıcak nokta kullanma seçeneğim olması ve güvenliği önemsiyorsam hangisini kullanmam gerektiğini bilmek istememdi. İlk başta 3G'nin daha güvenli olduğunu düşündüm, çünkü aynı Wi-Fi ağındaki insanların şifrelerini seçebilecek basit firefox eklentileri var, ama iletilen tüm 3G'lerin ortasında oturan birinin olmadığını nasıl bileyim? veri ve her zaman toplama? En azından Wi-Fi ile belirli (küçük) bir aralıkta olmanız ve bu tür bilgileri toplayan bir yazılım çalıştırmanız gerekir.
Mantıklı
4
İnternet Şubesi gibi bir şey yapmak ya da kredi kartımla bir şey satın almak, mümkün olan her yerde 3G kullanmaya meyilliyim. Ancak bir WiFi ağında bile, hassas verilerle uğraşan web sitelerinin çoğu, SSL veya TLS gibi şifrelemeyi kullanır; bu, o ağdaki birisinin verilerinizi çalmaya / engellemeye çalışmakta zorlanacağı anlamına gelir. Çoğu zaman 3G'den daha fazla ücretsiz WiFi riskinde olma ihtimalinizin daha yüksek olduğunu söyleyebilirim.
conorgriffin
6

Https üzerinden çalışıyorsanız, ne tür bir bağlantı üzerinden iletişim kurduğunuz önemli değildir. Tüm veriler tarayıcınızdan sunucu programına şifrelenecek. Bunu frenlemenin tek yolu kulak misafiri olmaktır ve son varış noktanız arasındaki iletişime aracılık etmek. Bunu çözmek için kimlik belgesi oluşturulmuştur. Bu, bazı arabulucular aracılığıyla değil, son varış noktanızla konuştuğunuzu onaylar. Kimlik sertifikası eşleştiği sürece güvendesiniz. Kimlik sertifikası eşleşmiyorsa, tarayıcı size sertifikanın uyuşmadığını söyleyen bir güvenlik uyarısı gösterecektir, genellikle yaptığınız işlem sırasında, iletişime devam etmeniz için bir seçenek bırakacaktır. güvenliği umursamıyorum.

Bernardo Kyotoku
kaynak
Bilgi için teşekkürler. HTTPS dışı verilerin 3G üzerinden ne kadar güvenli olduğuna daha fazla ilgi duyuyorum çünkü bağlantı ne olursa olsun HTTPS'nin güvenli olması gerekir.
Hissedarlar
Evet, öyle düşündüm. Bazı okuyucular için ilgi çekici olabilir. Ama ücretsiz "etkin noktaya karşı 3G" noktasında, en azından benim için şifrelemenin bitmeyeceğine güvenmezsin. Bilgisayarım ve sıcak nokta veya hücre kulesi arasındaki güvenlik, eğer veriler şifrelenmemişse, yeterli değildir.
Bernardo Kyotoku
3

Hiçbir şekilde. HTTPS bile yalnızca devlet dışı veya ISS seviyesindeki aktörlerden güvende. Daha fazla bilgi için EFF.org sitesini ziyaret edin, ancak sizi uyarıyorum, iç karartıcı.

EDIT: Geçmiş, ziyaret edilmesi zor olan bir ülkedir:

Bruce Schneier'in SSL konusundaki analizi:

http://www.schneier.com/blog/archives/2010/09/uae_man-in-the-.html

Mozilla'nın tartışması:

https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/OBrPLsoMAR8

AFF’deki sorunu ayrıntılarıyla açıklayan açık mektup:

https://www.eff.org/deeplinks/2010/08/open-letter-verizon

Gördüğün gibi şifresini çözmezler. Şifreleme, kuantum anahtarı veya kilitleninceye kadar hepimiz eşit seviyedeyiz. Fakat kod yazmayan insanlar aptal değildir. SSL, sunucunun güvenliğini garanti edebilir ancak sertifikaların kendileri bir güven zincirinden geliyor.

"O devlet işini aldım! Ulusal Güvenlik! Mary Anne'in yeni erkek arkadaşı ... F ** k Sen!" , ya da benzer bir noktada söylenmiş olmalı .

Amazon, Wikileaks'ten sonra bir grup sedanın toplanmasına neden olan tek yer değildi. FBI şu anda arka kapılar için, daha doğrusu, olması gereken arka odaları meşrulaştırmak için bağırıyor. Hükümet ya da endüstriyel aktörler “aktörler” değil, “insanlar” oldukları için bunu sorgulamak FUD değildir.

FUD örneği, matematiğin karmaşıklığını vurgulamak ve bunu yanlış bir cevap vermek için kullanmaya çalışmak ve geçmişte çalışan bir sisteme olan inancı, insanlara zorla güvenini ve başarılı olanı görmezden gelmek için kullanmayı denemek olacaktır. vahşi hayatta istifade etmek.

Mantıklı olmak?

chiggsy
kaynak
1
-1 bu FUD ve sadece yanlış.
Ricket
1
Daha fazla ayrıntıya girmek için (bu cevabın aksine), HTTPS SSL üzerinden HTTP'dir; 90'ların başından beri en az 128 bit anahtar kullanıyor (ör. Gmail, 128 bit SSL sertifikası kullanıyor). Bu, bir anahtarın 128 bit uzunluğunda olduğu anlamına gelir; Başka bir deyişle, 2 ^ 128 olası anahtar vardır (340 milyar milyar milyar veya 39 basamak uzunluğunda). Bu şifrelemeyi kırmanın tek yolunun bir anahtarın kaba kuvveti olduğu kanıtlanmıştır. Dünyadaki hiçbir sistem, birçok kombinasyonu makul bir sürede zorlayamaz; hükümet donanımıyla bile kelimenin tam anlamıyla sonsuzluğa kavuşurdu. Ve EFF.org'un bununla hiçbir ilgisi yok.
Ricket
1
Ayrıca, SSL'nin güzelliğinin bir kısmı, bir bilgisayar korsanının, bir bilgisayar daha önce hiç bağlanmadığı bir siteye bağlandığında ve bilgisayar korsanı yeniden yapılanamadığında bağlantı kurmadan önce bile, tüm trafik akışını kaydedebilmesidir. Orijinal verileri de karıştırılmış şifreli verilerden başka bir şey göremezsiniz. Matematik, öyle olup bittiğini duymak bile size bir avantaj sağlamaz. Bu, ISS'nizin HTTPS trafiğini koklamasını kesinlikle yasaklar ve yine de devlet bile bütün bir devleti bilgisayarlarla doldursa bile, anahtarı bozma yetkisine sahip değil.
Ricket
Varsayımdaki hatayı vurgulamak için cevabımı düzenlemiştim: bu sadece SSL içeren şifreleme anahtarı değil. Altüst. Fikirler hoş geldiniz.
chiggsy
2

Ortadaki bir adamın saldırısı veya aynı kafede oturan birisinin gözetlenmesi 3G'ye göre çok daha az olası. Bunu yapmak için ekipman çok az yaygındır ve gereken uzmanlık daha yüksektir.

3G şifrelemesi o derece olmadığından, bir devlet istihbarat teşkilatı veya diğer büyük karmaşık operasyonlardan hiçbirinin güvence altına alınması garanti edilemez. Ancak HTTPS ve SSH, sizi her iki taraftaki ortalama meraktan korumalıdır.

hotpaw2
kaynak
0

Orta saldırıdaki bir adam, ssl'yi https'den kolayca soyunabilen, http bağlantısı yapan, tüm verileri kesen ve ssl'yi hedefine göndermeden önce yeniden etkinleştirmek için sahte bir sertifika kullanan sslstrip kullanarak da gerçekleştirilebilir. Basit bir deyişle, fikir bu.

Kullanıcı, kendisine ne olduğunu asla bilemez. Yanılmıyorsam, bu 2009 yılında Blackhat'ta sergilendi. Moxie Marlinspike 2009 yılında bunu yapabildiyse, diğer hackerların bu günlerde neler yapabileceğini hayal edin. Bunu iyi amaçlarla açığa vuran birkaç kişiden biriydi. Birçoğu onların emrinde olan güvenlik açıklarını yayınlamayacak.

Seni korkutmak istemem ama ssl'nin güvenli olduğunu düşünüyorsanız iki kez düşünün. Kullanıcıların güvenliğini sağlamak gerçekten tarayıcılara bağlı. İnancınız gerçekten onların elinde. Tıpkı bir şey yapmadan önce, kalp atışlarında olduğu gibi, yıllarca birçok güvenlik açığı var.

IT_Master
kaynak
1
Korkunç değilsen, Moxie'nin kullandığı saldırıyı göstermelisin, çünkü son 5 yıl boyunca sakatlayıcı, açık bir SSL güvenlik açığı olduğuna inanamıyorum.
Jason Salaz
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.