Werden Daten über 3G sicher übertragen?

22

Wenn Daten von meinem iPhone über 3G übertragen werden, sind sie verschlüsselt, oder kann ein Hacker die Daten, die an den AT & T-Mobilfunkmast übertragen wurden, relativ einfach lesen? Was ist, wenn es den Turm erreicht?

iphone security

— Sinnvoll
quelle

16

3G kann sicher oder unsicher sein, es hängt wirklich von der jeweiligen Implementierung ab. Wenn Sie sich beim Anbinden oder Verwenden eines 3G-iPad / iPhone Gedanken über Ihre Daten machen, sehen Sie sich das so an. Es ist sicherer als die Verwendung von kostenlosen / ungesicherten WiFi-Hotspots / -Netzwerken.

Wirklich ist die Antwort auf Ihre Frage, dass 3G ziemlich sicher ist, aber es hat seine Mängel.

3G ist verschlüsselt, die gebräuchlichsten Verschlüsselungsalgorithmen wurden geknackt. Mit der richtigen Ausrüstung könnte jemand Ihre Daten drahtlos abfangen. Sie würden jedoch etwas Wissen, etwas Geld und eine gewisse Motivation benötigen, um dies zu tun. Außerdem müsste Ihr Gerät unverschlüsselte Daten (nicht https) senden, damit diese entschlüsselt werden können. Alles in allem ist es ziemlich unwahrscheinlich, aber mit Sicherheit möglich, dass Ihre Informationen abgefangen werden können. Dies ist jedoch ein Risiko für jeden, der Daten überall überträgt und nicht für 3G / WiFi oder andere Kommunikationsmethoden für Mobilgeräte isoliert ist.

Wenn Sie eine Google-Suche zur 3G-Sicherheit durchführen, finden Sie zahlreiche Informationen zu den Fehlern und Sicherheitslücken und wie diese ausgenutzt werden können.

Nur als Beispiel, hier sind ein paar Präsentationen:

3G-Sicherheitsübersicht

blackhat.com PowerPoint

— conorgriffin
quelle

Einer der Gründe, warum ich gefragt habe, war, dass ich oft die Wahl habe, einen kostenlosen Hotspot im Vergleich zu 3G zu verwenden, und ich möchte wissen, welchen ich verwenden soll, wenn mir die Sicherheit am Herzen liegt. Zuerst dachte ich, 3G sei offensichtlich sicherer, da es einfache Firefox-Erweiterungen gibt, mit denen Passwörter von Personen im selben Wi-Fi-Netzwerk herausgesucht werden können, aber woher weiß ich, dass niemand in der Mitte des gesamten übertragenen 3G sitzt Daten und sammeln sie die ganze Zeit? Zumindest mit Wi-Fi müssen Sie sich in einem bestimmten (kleinen) Bereich befinden und Software ausführen, die diese Art von Informationen sammelt.

— Sinnvolle

4

Wenn ich etwas wie Online-Banking mache oder etwas mit meiner Kreditkarte kaufe, würde ich, wo immer möglich, 3G verwenden. Aber selbst in einem WiFi-Netzwerk würden die meisten Websites, die sich mit sensiblen Daten befassen, eine Verschlüsselung wie SSL oder TLS verwenden, was bedeuten würde, dass es für jemanden in diesem Netzwerk schwieriger wäre, Ihre Daten zu stehlen / abzufangen. Ich würde sagen, dass Sie die meiste Zeit ein höheres Risiko für kostenloses WLAN haben als für 3G.

— conorgriffin

6

Wenn Sie über https arbeiten, spielt es keine Rolle, über welche Art von Verbindung Sie kommunizieren. Alle Daten werden von Ihrem Browser an das Serverprogramm verschlüsselt. Die einzige Möglichkeit, dies zu bremsen, besteht darin, die Kommunikation zwischen Ihnen und Ihrem Endziel zu belauschen. Um dies zu lösen, wurden Identitätszertifikate erstellt. Dies bestätigt, dass Sie mit Ihrem Endziel sprechen und nicht durch einen Mediator. Solange das Identitätszertifikat übereinstimmt, sind Sie in Sicherheit. Wenn das Identitätszertifikat nicht mit dem Browser übereinstimmt, wird eine Sicherheitswarnung angezeigt, die besagt, dass das Zertifikat nicht übereinstimmt. In der Regel lassen sie Ihnen die Option, mit der Kommunikation fortzufahren, nur für den Fall, dass Sie bei dem Vorgang, den Sie ausführen, nichts unternehmen kümmert sich nicht um Sicherheit.

— Bernardo Kyotoku
quelle

Danke für die Information. Mich interessiert eher, wie sicher Nicht-HTTPS-Daten über 3G sind, da HTTPS per Definition unabhängig von der Verbindung sicher sein sollte.

— Sinnvoll

Ja, das dachte ich mir. Es könnte für einige Leser von Interesse sein. Aber im kostenlosen Punkt "Hotspot vs. 3G" würden Sie mir zumindest nicht vertrauen, dass es keine durchgehende Verschlüsselung gibt. Die Sicherheit zwischen meinem Computer und dem Hotspot oder dem Mobilfunkmast reicht nicht aus, wenn die Daten danach unverschlüsselt sind.

— Bernardo Kyotoku

3

Nicht im geringsten. Selbst HTTPS ist nur vor Nichtregierungs- oder ISP-Akteuren sicher. Weitere Informationen finden Sie auf EFF.org, aber ich warne Sie, es ist verdammt deprimierend.

EDIT: Die Vergangenheit ist ein Land, das sehr schwer zu besuchen ist:

Bruce Schneiers Analyse zu SSL:

http://www.schneier.com/blog/archives/2010/09/uae_man-in-the-.html

Mozillas Diskussion:

https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/OBrPLsoMAR8

Der offene Brief im August, der das Problem der EFF detailliert:

https://www.eff.org/deeplinks/2010/08/open-letter-verizon

Es ist nicht so, dass sie es entschlüsseln. Verschlüsselung Wir sind alle bis zum Quantenschlüssel oder der Sperre gleichberechtigt. Aber Leute, die nicht codieren, sind nicht dumm. SSL Sie können die Sicherheit des Servers gewährleisten, die Zertifikate selbst stammen jedoch aus einer Vertrauenskette.

Der Satz "Ich habe diesen Regierungsauftritt! Heimatschutz! Mary Annes neuer Freund ... F ** k You!" , oder ähnliches muss irgendwann gesagt worden sein.

Amazon war nicht der einzige Ort nach Wikileaks, an dem eine Gruppe von Limousinen vorfuhr. Das FBI schreit gerade nach Hintertüren, um die Hintertüren, die sie haben müssen, zu legitimieren. Da Regierung oder industrielle Akteure keine "Akteure", sondern "Menschen" sind, ist es nicht FUD, dies in Frage zu stellen.

Ein Beispiel für FUD wäre, die Komplexität der Mathematik hervorzuheben und zu versuchen, diese zu verwenden, um eine falsche Antwort zu beweisen und das Vertrauen in ein System wiederherzustellen, das in der Vergangenheit funktioniert hat, während das erzwungene Vertrauen in den Menschen und das Erfolgreiche ignoriert werden in freier Wildbahn ausnutzen.

Sinn ergeben?

— chiggsy
quelle

1

-1 Das ist FUD und einfach falsch.

— Ricket

1

Im Gegensatz zu dieser Antwort ist HTTPS HTTP über SSL. Seit Anfang der 90er Jahre werden mindestens 128-Bit-Schlüssel verwendet (z. B. verwendet Google Mail ein 128-Bit-SSL-Zertifikat). Dies bedeutet, dass ein Schlüssel 128 Bit lang ist. Mit anderen Worten, es gibt 2 ^ 128 mögliche Schlüssel (340 Milliarden Milliarden Milliarden, oder eine Zahl mit 39 Ziffern). Es ist erwiesen, dass die einzige Möglichkeit, diese Verschlüsselung zu unterbrechen, die brachiale Gewalt eines Schlüssels ist. Kein System auf der Welt kann so viele Kombinationen in einer vernünftigen Zeit brutal erzwingen. es würde buchstäblich eine Ewigkeit dauern, selbst mit staatlicher Hardware. Und EFF.org hat damit nichts zu tun.

— Ricket

1

Das Schöne an SSL ist auch, dass ein Hacker den gesamten Datenverkehr aufzeichnen kann, noch bevor die Verbindung endet, und wenn ein Computer eine Verbindung zu einer Site herstellt, zu der er noch nie eine Verbindung hergestellt hat. Dieser Hacker kann den Datenverkehr nicht wiederherstellen die ursprünglichen Daten, noch etwas anderes als durcheinander verschlüsselte Daten zu sehen. Die Mathematik ist so, dass selbst das Hören von allem, was passiert, Ihnen keinen Vorteil bringt. Dies schließt also absolut aus, dass Ihr ISP HTTPS-Datenverkehr schnüffelt, und selbst die Regierung hat nicht die Macht, den Schlüssel zu knacken, selbst wenn sie einen ganzen Staat mit Computern füllt.

— Ricket

Ich habe meine Antwort bearbeitet, um den Fehler in Ihrer Annahme hervorzuheben: Es ist nicht nur der Verschlüsselungsschlüssel, der SSL umfasst. Unterwandert. Ideen willkommen.

— Chiggsy

"Ich vertraue auch den Stammzertifizierungsstellen nicht. Wenn ich mich bei Google Mail anmelden möchte, fahre ich nach Mountain View, CA, und übergebe ihnen mein Kennwort auf einem Blatt Papier. Sergei Brin signiert mich im Rechenzentrum und lässt mich eine verwenden Konsole am Ende eines Racks, um meine E-Mail zu lesen. Verbunden mit https://localhostnatürlich. " rolleyes

2

Ein Man-in-the-Middle-Angriff oder ein Schnüffeln von jemandem, der im selben Café sitzt, ist über 3G weitaus unwahrscheinlicher. Die dafür erforderliche Ausrüstung ist weitaus seltener verfügbar, und das erforderliche Fachwissen ist höher.

Weder vor einer staatlichen Geheimdienstorganisation noch vor anderen hochentwickelten Vorgängen ist die Sicherheit garantiert, da die 3G-Verschlüsselung nicht von dieser Qualität ist. Aber HTTPS und SSH sollten Sie auch vor dem durchschnittlichen Schnüffeln schützen.

— hotpaw2
quelle

0

Ein Mann in der Mitte des Angriffs kann auch mit sslstrip ausgeführt werden, wodurch der ssl leicht von https getrennt werden kann, wodurch eine http-Verbindung hergestellt wird, alle Daten abgefangen werden und ein gefälschtes Zertifikat verwendet wird, um den ssl wieder zu aktivieren, bevor er an das Ziel gesendet wird. In einfachen Worten ist das die Idee.

Der Benutzer wird nie erfahren, was mit ihm / ihr passiert ist. Dies wurde 2009 in Blackhat gezeigt, wenn ich mich nicht irre. Wenn Moxie Marlinspike 2009 dazu in der Lage war, stellen Sie sich vor, was andere Profi-Hacker heutzutage können. Er war einer der wenigen, die dies zu guten Zwecken enthüllten. Viele von ihnen veröffentlichen nicht die Schwachstellen, die ihnen zur Verfügung stehen.

Ich möchte dich nicht erschrecken, aber wenn du denkst, dass ssl sicher ist, überlege es dir zweimal. Es liegt wirklich an den Browsern, die Sicherheit der Benutzer zu gewährleisten. Dein Glaube ist wirklich in ihrer Hand. Viele Schwachstellen bestehen seit vielen Jahren, genau wie die Herzblutigen, bevor sie etwas dagegen unternehmen.

— IT_Master
quelle

1

Wenn Sie keine Angst haben, sollten Sie auf den von Moxie verwendeten Angriff hinweisen, da ich nicht glauben kann, dass in den letzten 5 Jahren eine lähmende, öffentlich gemachte SSL-Sicherheitslücke besteht.

— Jason Salaz