ข้อมูลส่งผ่าน 3G ปลอดภัยหรือไม่

22

เมื่อข้อมูลถูกถ่ายโอนจาก iPhone ของฉันผ่าน 3G มันถูกเข้ารหัสหรือว่าแฮกเกอร์ค่อนข้างง่ายในการอ่านข้อมูลที่ถ่ายโอนไปยังหอเซลล์ของ AT & T แล้วหลังจากที่มันถึงหอคอยล่ะ

iphone security

— Senseful
แหล่งที่มา

16

3G นั้นมีความปลอดภัยหรือไม่ปลอดภัยมันเป็นเรื่องของการนำไปใช้โดยเฉพาะ หากคุณกังวลเกี่ยวกับข้อมูลของคุณในขณะที่แชร์หรือใช้งาน 3G iPad / iPhone แล้วลองดูด้วยวิธีนี้มันปลอดภัยกว่าการใช้ฮอตสปอต / เครือข่าย WiFi ที่ไม่มี / ไม่มีหลักประกัน

จริงๆคำตอบสำหรับคำถามของคุณคือ 3G มีความปลอดภัย แต่มีข้อบกพร่อง

3G ถูกเข้ารหัสอัลกอริทึมการเข้ารหัสที่พบบ่อยที่สุดได้รับการถอดรหัสด้วยอุปกรณ์ที่ใครบางคนสามารถดักจับข้อมูลของคุณแบบไร้สาย อย่างไรก็ตามพวกเขาต้องการความรู้บางอย่างเงินและแรงจูงใจที่จะทำ นอกจากนั้นพวกเขาจะต้องใช้อุปกรณ์ของคุณในการส่งข้อมูลที่ไม่ได้เข้ารหัส (ไม่ใช่ https) เพื่อให้สามารถถอดรหัสได้ สรุปแล้วมันค่อนข้างไม่น่าเป็นไปได้ แต่เป็นไปได้ที่ข้อมูลของคุณจะถูกดัก อย่างไรก็ตามนี่เป็นความเสี่ยงสำหรับทุกคนที่ส่งข้อมูลได้ทุกที่และไม่แยกเป็น 3G / WiFi หรือวิธีการสื่อสารของอุปกรณ์พกพาอื่น ๆ

ลองใช้การค้นหา google ในการรักษาความปลอดภัย 3G และคุณจะพบข้อมูลมากมายเกี่ยวกับข้อบกพร่องและช่องโหว่ความปลอดภัยและวิธีที่พวกเขาอาจถูกนำไปใช้ประโยชน์

ดังตัวอย่างต่อไปนี้เป็นงานนำเสนอบางส่วน:

ภาพรวมความปลอดภัย 3G

blackhat.com powerpoint

— conorgriffin
แหล่งที่มา

หนึ่งในเหตุผลที่ฉันถามคือเพราะฉันมักจะมีทางเลือกในการใช้ฮอตสปอตฟรีกับ 3G และฉันต้องการที่จะรู้ว่าฉันควรใช้อันไหนถ้าฉันใส่ใจเรื่องความปลอดภัย ตอนแรกฉันคิดว่า 3G นั้นปลอดภัยกว่าเนื่องจากมีส่วนเสริม firefox ธรรมดาที่สามารถเลือกรหัสผ่านของผู้คนในเครือข่าย Wi-Fi เดียวกัน แต่ฉันจะรู้ได้อย่างไรว่าไม่มีคนนั่งอยู่ตรงกลางของ 3G ที่ส่งทั้งหมด ข้อมูลและรวบรวมมันตลอดเวลา? อย่างน้อยที่สุดด้วย Wi-Fi คุณจะต้องอยู่ในระยะ (เล็ก) และใช้ซอฟต์แวร์ที่รวบรวมข้อมูลประเภทนั้น

— มีความรู้สึก

4

ถ้าทำอะไรเช่น Online Banking หรือซื้อด้วยบัตรเครดิตฉันมักจะใช้ 3G ทุกที่ที่ทำได้ แต่แม้ในเครือข่าย WiFi เว็บไซต์ส่วนใหญ่ที่จัดการกับข้อมูลที่ละเอียดอ่อนจะใช้การเข้ารหัสเช่น SSL หรือ TLS ซึ่งหมายความว่ามีใครบางคนในเครือข่ายนั้นจะมีเวลาพยายามที่จะขโมย / ดักข้อมูลของคุณยากขึ้น ฉันจะบอกว่าคุณมีแนวโน้มที่จะเสี่ยงกับไวไฟฟรีมากกว่า 3G เป็นส่วนใหญ่

— conorgriffin

6

หากคุณใช้งานผ่าน https จะไม่สำคัญว่าคุณจะติดต่อสื่อสารประเภทใด ข้อมูลทั้งหมดจะถูกเข้ารหัสจากเบราว์เซอร์ของคุณไปยังโปรแกรมเซิร์ฟเวอร์ วิธีเดียวที่จะเบรกสิ่งนี้คือการดักฟังไกล่เกลี่ยการสื่อสารระหว่างคุณและปลายทางสุดท้ายของคุณ เพื่อแก้ปัญหานี้จึงสร้างใบรับรองตัวตน นี่เป็นการรับรองว่าคุณกำลังพูดคุยกับปลายทางสุดท้ายของคุณและไม่ผ่านคนกลางบางคน ดังนั้นตราบใดที่การจับคู่ใบรับรองระบุตัวตนคุณปลอดภัย หากใบรับรองประจำตัวไม่ตรงกับเบราว์เซอร์จะแสดงคำเตือนด้านความปลอดภัยโดยบอกว่าใบรับรองไม่ตรงกันโดยทั่วไปแล้วพวกเขาจะออกจากตัวเลือกเพื่อให้คุณสามารถสื่อสารกับคุณได้ในกรณีที่คุณกำลังดำเนินการอยู่ ไม่ต้องห่วงเรื่องความปลอดภัย

— Bernardo Kyotoku
แหล่งที่มา

ขอบคุณสำหรับข้อมูล. ฉันสนใจที่จะทราบว่าข้อมูลที่ไม่ใช่ HTTPS มีความปลอดภัยสูงกว่า 3G มากเพียงใดเนื่องจากตามคำจำกัดความ HTTPS ควรมีความปลอดภัยไม่ว่าจะเชื่อมต่ออย่างไร

— เหตุผล

ใช่คิดอย่างนั้น มันอาจเป็นที่สนใจสำหรับผู้อ่านบางคน แต่อย่างน้อยในจุด "ฮอตสปอตกับ 3G" สำหรับฉันอย่างน้อยคุณคงไม่เชื่อใจว่าการเข้ารหัสจะไม่สิ้นสุด ความปลอดภัยระหว่างคอมพิวเตอร์ของฉันกับฮอตสปอตหรือเสาสัญญาณโทรศัพท์นั้นไม่เพียงพอหากหลังจากนั้นข้อมูลจะไม่ถูกเข้ารหัส

— Bernardo Kyotoku

3

ไม่ได้อยู่ในขั้นต่ำ แม้แต่ HTTPS ก็ยังปลอดภัยจากผู้ที่ไม่ใช่รัฐบาลหรือผู้ให้บริการอินเทอร์เน็ต ตรวจสอบ EFF.org มากขึ้น แต่ฉันเตือนคุณว่ามันน่าหดหู่

แก้ไข: อดีตเป็นประเทศที่ยากต่อการเยี่ยมชม:

การวิเคราะห์ของ Bruce Schneier เกี่ยวกับ SSL:

http://www.schneier.com/blog/archives/2010/09/uae_man-in-the-.html

การอภิปรายของ Mozilla:

https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/OBrPLsoMAR8

จดหมายเปิดผนึกถึงรายละเอียดของปัญหาจาก EFF:

https://www.eff.org/deeplinks/2010/08/open-letter-verizon

ไม่ใช่ว่าพวกเขาถอดรหัสคุณเห็น การเข้ารหัสเราทุกคนเท่าเทียมกันจนถึงคีย์ควอนตัมหรือล็อค แต่คนที่ไม่ใช้รหัสไม่ใช่คนโง่ SSL คุณสามารถรับประกันความปลอดภัยให้กับเซิร์ฟเวอร์ได้ แต่ certs นั้นมาจากเครือข่ายความไว้วางใจ

วลี "ฉันมีกิ๊กรัฐบาล! ความมั่นคงแห่งมาตุภูมิ! แฟนใหม่ของแมรี่แอนน์ ... F ** k คุณ!" หรือที่คล้ายกันต้องมีการพูดในบางจุด

อเมซอนไม่ใช่สถานที่เดียวหลังจาก Wikileaks ที่มีกลุ่มรถซีดานดึงขึ้น FBI กำลังกรีดร้องอยู่ในขณะนี้เพราะในความเป็นจริงแล้วแบ็กดอร์ต้องการที่จะทำให้ถูกกฎหมายที่ต้องมี เนื่องจากรัฐบาลหรือนักแสดงอุตสาหกรรมไม่ได้เป็น 'นักแสดง' แต่เป็น 'คน' จึงไม่ใช่คำถามที่น่าสงสัย

ตัวอย่างของ FUD คือการเน้นว่าความซับซ้อนของคณิตศาสตร์และพยายามใช้สิ่งนั้นเพื่อพิสูจน์คำตอบที่ไม่ถูกต้องและฟื้นฟูศรัทธาในระบบที่ทำงานในอดีตโดยไม่สนใจความเชื่อใจที่ถูกบังคับในมนุษย์และประสบความสำเร็จ ใช้ประโยชน์ในป่า

ทำให้รู้สึก?

— chiggsy
แหล่งที่มา

1

-1 นี่คือFUDและผิดธรรมดา

— Ricket

1

หากต้องการทราบรายละเอียดเพิ่มเติมเล็กน้อย (ต่างจากคำตอบนี้) HTTPS คือ HTTP ผ่าน SSL มันใช้คีย์อย่างน้อย 128 บิตตั้งแต่ต้น 90s (เช่น Gmail ใช้ใบรับรอง SSL แบบ 128 บิต) นั่นหมายความว่ากุญแจยาว 128 บิต กล่าวอีกนัยหนึ่งมีคีย์ที่เป็นไปได้ 2 ^ 128 ตัว (340 พันล้านล้านล้านล้านหรือยาว 39 หลัก) มันพิสูจน์แล้วว่าวิธีเดียวที่จะทำลายการเข้ารหัสนี้คือการใช้กำลังดุร้ายของคีย์ ไม่มีระบบใดในโลกที่ไม่สามารถเดรัจฉานได้ว่าการผสมผสานหลายอย่างในเวลาที่เหมาะสม มันต้องใช้เวลาชั่วนิรันดร์กับฮาร์ดแวร์ของรัฐบาล และ EFF.org ไม่มีส่วนเกี่ยวข้องกับสิ่งนี้

— Ricket

1

ส่วนหนึ่งของความสวยงามของ SSL คือแฮ็กเกอร์สามารถบันทึกสตรีมการรับส่งข้อมูลทั้งหมดตั้งแต่ก่อนที่การเชื่อมต่อจะเริ่มขึ้นหลังจากมันสิ้นสุดลงเมื่อคอมพิวเตอร์เชื่อมต่อกับไซต์ที่ไม่เคยเชื่อมต่อมาก่อนและแฮกเกอร์นั้นไม่สามารถสร้างใหม่ได้ ข้อมูลต้นฉบับและไม่เห็นสิ่งอื่นใดนอกจากข้อมูลที่เข้ารหัสแบบ jumbled-up คณิตศาสตร์เป็นเช่นนั้นแม้การได้ยินทุกสิ่งที่เกิดขึ้นไม่ได้ให้ประโยชน์ใด ๆ แก่คุณ ดังนั้นสิ่งนี้จึงทำให้ผู้ให้บริการอินเทอร์เน็ตของคุณดมกลิ่น HTTPS และอีกครั้งแม้ว่ารัฐบาลจะไม่มีอำนาจทำลายกุญแจแม้ว่าพวกเขาจะเต็มไปด้วยคอมพิวเตอร์

— Ricket

ฉันได้แก้ไขคำตอบของฉันเพื่อเน้นข้อผิดพลาดในข้อสันนิษฐานของคุณ: ไม่ใช่แค่คีย์การเข้ารหัสที่ประกอบด้วย SSL ล้มเลิก ความคิดยินดีต้อนรับ

— chiggsy

"ฉันไม่เชื่อใจ CA ของรูตเช่นกันเมื่อฉันต้องการลงชื่อเข้าใช้ Gmail ฉันขับรถไปที่ Mountain View, CA และส่งรหัสผ่านของฉันไปให้พวกเขาบนกระดาษแผ่นหนึ่ง Sergei Brin ลงชื่อฉันในดาต้าเซ็นเตอร์และให้ฉันใช้ คอนโซลที่ส่วนท้ายของชั้นวางเพื่ออ่านอีเมลของฉันเชื่อมต่อกับhttps://localhostแน่นอน " rolleyes

2

การจู่โจมจากคนกลางหรือการสอดแนมจากคนที่นั่งอยู่ในร้านกาแฟเดียวกันนั้นมีโอกาสน้อยกว่า 3G อุปกรณ์ที่ใช้ในการทำเช่นนี้มีน้อยกว่าปกติและความเชี่ยวชาญที่ต้องการนั้นสูงกว่า

ไม่รับประกันว่าจะปลอดภัยจากหน่วยงานข่าวกรองของรัฐบาลหรือการดำเนินการที่ซับซ้อนขนาดใหญ่อื่น ๆ เนื่องจากการเข้ารหัส 3G ไม่ได้อยู่ในระดับนั้น แต่ HTTPS และ SSH ควรปกป้องคุณจากการสอดแนมโดยเฉลี่ย

— hotpaw2
แหล่งที่มา

0

ผู้ชายที่อยู่ตรงกลางสามารถทำการโจมตีได้โดยใช้ sslstrip ซึ่งสามารถดึง ssl จาก https ได้อย่างง่ายดายทำให้การเชื่อมต่อ http สกัดกั้นข้อมูลทั้งหมดและใช้ใบรับรองปลอมเพื่อเปิดใช้งาน ssl อีกครั้งก่อนส่งออกไปยังปลายทาง ในคำง่าย ๆ นั่นคือความคิด

ผู้ใช้จะไม่ทราบว่าเกิดอะไรขึ้นกับเขา / เธอ นี่คือการเปิดตัวใน Blackhat ในปี 2009 ถ้าฉันไม่ผิด หาก Moxie Marlinspike สามารถทำสิ่งนี้ได้ในปี 2009 ลองจินตนาการว่าแฮ็กเกอร์มืออาชีพคนอื่น ๆ สามารถทำอะไรได้บ้างในวันนี้ เขาเป็นหนึ่งในไม่กี่คนที่เปิดเผยสิ่งนี้เพื่อจุดประสงค์ที่ดี หลายคนจะไม่เผยแพร่ช่องโหว่ที่พวกเขามี

ไม่ต้องการที่จะทำให้คุณกลัว แต่ถ้าคุณคิดว่า ssl ปลอดภัยคิดว่าสองครั้ง มันขึ้นอยู่กับเบราว์เซอร์จริง ๆ เพื่อรักษาความปลอดภัยของผู้ใช้ ศรัทธาของคุณอยู่ในมือพวกเขาจริงๆ มีช่องโหว่มากมายอยู่หลายปีเช่นเดียวกับหัวใจที่สั่นคลอนก่อนที่พวกเขาจะทำอะไรเกี่ยวกับเรื่องนี้

— IT_Master
แหล่งที่มา

1

หากคุณไม่ได้ scaremongering คุณควรชี้ไปที่การโจมตีที่ Moxie ใช้เพราะฉันไม่อยากจะเชื่อว่ามีช่องโหว่ SSL ที่อ่อนแอและเผยแพร่ในช่วง 5 ปีที่ผ่านมา

— Jason Salaz