¿Los datos transmitidos a través de 3G son seguros?

22

Cuando los datos se transfieren desde mi iPhone a través de 3G, ¿están cifrados o es relativamente simple para un pirata informático leer los datos que se transfieren a la torre celular de AT&T? ¿Qué pasa después de que llega a la torre?

iphone security Sensato
fuente

Respuestas:

16

3G puede ser seguro o inseguro, realmente depende de la implementación particular. Si está preocupado por sus datos mientras se conecta o utiliza un iPad / iPhone 3G, entonces mírelo de esta manera, es más seguro que usar puntos de acceso / redes WiFi gratuitos / no seguros.

Realmente la respuesta a su pregunta es que 3G es bastante seguro, pero tiene sus defectos.

3G está encriptado, los algoritmos de encriptación más comunes han sido descifrados, con el equipo adecuado alguien podría interceptar su información de forma inalámbrica. Sin embargo, necesitarían algo de conocimiento, algo de dinero y algo de motivación para hacerlo. Luego, además de eso, necesitarían que su dispositivo envíe datos sin cifrar (no https) para que puedan descifrarse. En general, es bastante improbable pero ciertamente posible que su información pueda ser interceptada. Sin embargo, esto es un riesgo para cualquiera que transmita datos en cualquier lugar y no esté aislado de 3G / WiFi u otros métodos de comunicación de dispositivos móviles.

Pruebe una búsqueda en Google sobre seguridad 3G y encontrará mucha información sobre las fallas y agujeros de seguridad y cómo podrían explotarse.

Solo como ejemplo, aquí hay un par de presentaciones:

Descripción general de seguridad 3G

blackhat.com powerpoint

conorgriffin
fuente
Una de las razones por las que pregunté fue porque a menudo tengo la opción de usar un punto de acceso gratuito en lugar de 3G, y quiero saber cuál debo usar si me preocupa la seguridad. Al principio, pensé que 3G es obviamente más seguro, ya que hay extensiones simples de Firefox que pueden seleccionar las contraseñas de las personas en la misma red Wi-Fi, pero ¿cómo sé que no hay alguien sentado en medio de todas las 3G transmitidas? datos y recopilarlos todo el tiempo? Al menos con Wi-Fi necesita estar dentro de un cierto rango (pequeño) y ejecutar un software que recopile ese tipo de información.
Senseful
44
Si hago algo como la banca en línea o compro algo con mi tarjeta de crédito, tenderé a usar 3G siempre que sea posible. Pero incluso en una red WiFi, la mayoría de los sitios web que manejan datos confidenciales usarían encriptación como SSL o TLS, lo que significaría que alguien en esa red tendrá más dificultades para robar / interceptar sus datos. Diría que es más probable que esté en riesgo con WiFi gratis que 3G la mayor parte del tiempo.
conorgriffin
6

Si está operando a través de https, no importa a través de qué tipo de conexión se está comunicando. Todos los datos se cifrarán desde su navegador al programa del servidor. La única forma de frenar esto es a través de la comunicación entre usted y su destino final. Para resolver esto, se creó un certificado de identidad. Esto certifica que está hablando con su destino final y no a través de algún mediador. Por lo tanto, siempre que el certificado de identidad coincida, estará a salvo. Si el certificado de identidad no coincide, el navegador le mostrará una advertencia de seguridad, indicando que el certificado no coincide, por lo general, le dejarán una opción para que continúe con la comunicación, por si acaso en la operación que está haciendo no lo hace. No me importa la seguridad.

Bernardo Kyotoku
fuente
Gracias por la info. Estoy más interesado en la seguridad de los datos que no son HTTPS a través de 3G, ya que, por definición, HTTPS debe ser seguro sin importar la conexión.
Senseful
Sí, eso creo. Puede ser de interés para algún lector. Pero en el punto gratuito de "punto de acceso frente a 3G", al menos para mí, no confiaría en que no haya encriptación de extremo a extremo. La seguridad entre mi computadora y el hotspot o la torre celular no es suficiente si después de eso los datos no están encriptados.
Bernardo Kyotoku
3

De ninguna manera. Incluso HTTPS es seguro solo de actores no gubernamentales o de nivel ISP. Visite EFF.org para obtener más información, pero le advierto que es muy deprimente.

EDITAR: El pasado es un país que es muy difícil de visitar:

Análisis de Bruce Schneier sobre SSL:

http://www.schneier.com/blog/archives/2010/09/uae_man-in-the-.html

La discusión de Mozilla:

https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/OBrPLsoMAR8

La carta abierta en agosto que detalla el problema del EFF:

https://www.eff.org/deeplinks/2010/08/open-letter-verizon

No es que lo descifren, ya ves. Cifrado todos estamos en pie de igualdad hasta la clave cuántica o la cerradura. Pero las personas que no codifican no son estúpidas. SSL puede garantizar la seguridad del servidor, pero los certificados en sí provienen de una cadena de confianza.

La frase "¡Obtuve ese concierto del gobierno! ¡Seguridad de la Patria! El nuevo novio de Mary Anne ... ¡Joder!" , o similar debe haberse dicho en algún momento.

Amazon no fue el único lugar después de Wikileaks en el que un grupo de sedanes se detuvo. El FBI está gritando en este momento por puertas traseras, de hecho, o más bien, para legitimar las puertas traseras que deben tener. Dado que los actores gubernamentales o industriales no son 'actores' sino 'personas', no es FUD cuestionarlo.

Un ejemplo de FUD sería resaltar, digamos, la complejidad de las matemáticas y tratar de usar eso para probar que una respuesta es incorrecta y restaurar la fe en un sistema que funcionó en el pasado, mientras se ignora la confianza forzada en los humanos y el éxito. explotar en la naturaleza.

¿Tener sentido?

chiggsy
fuente
1
-1 esto es FUD y simplemente está mal.
Ricket
1
Para entrar en un poco más de detalle (a diferencia de esta respuesta), HTTPS es HTTP sobre SSL; utiliza al menos claves de 128 bits desde principios de los 90 (por ejemplo, Gmail utiliza un certificado SSL de 128 bits). Eso significa que una clave tiene 128 bits de largo; en otras palabras, hay 2 ^ 128 claves posibles (340 billones de billones de billones, o un número de 39 dígitos de largo). Está comprobado que la única forma de romper este cifrado es mediante la fuerza bruta de una clave. Ningún sistema en el mundo puede forzar tantas combinaciones brutas en un tiempo razonable; tomaría literalmente una eternidad incluso con el hardware del gobierno. Y EFF.org no tiene nada que ver con esto.
Ricket
1
Además, parte de la belleza de SSL es que un pirata informático puede registrar todo el flujo de tráfico, incluso antes de que la conexión comience incluso después de que finalice, cuando una computadora se conecta a un sitio al que nunca se ha conectado antes, y ese pirata informático no puede reconstruir los datos originales, ni ver nada más que datos cifrados desordenados. La matemática es tal que incluso escuchar todo lo que sucede no te da ninguna ventaja. Por lo tanto, esto excluye absolutamente a su ISP que detecta el tráfico HTTPS, y nuevamente, incluso el gobierno no tiene el poder de romper la llave, incluso si llenaron todo un estado con computadoras.
Ricket
He editado mi respuesta para resaltar el error en su suposición: no es solo la clave de cifrado que comprende SSL. Subvertido Ideas bienvenidas.
chiggsy
"Tampoco confío en las CA raíz. Cuando quiero iniciar sesión en Gmail, conduzco a Mountain View, CA y les entrego mi contraseña en una hoja de papel. Sergei Brin me registra en el centro de datos y me permite usar un consola al final de un estante para leer mi correo electrónico. Conectado a, https://localhostpor supuesto ". rolleyes
2

Un ataque de hombre en el medio o fisgonear de alguien sentado en la misma cafetería es mucho menos probable con 3G. El equipo para hacer esto está mucho menos disponible y la experiencia requerida es mayor.

Tampoco se garantiza que sea seguro, por ejemplo, una organización de inteligencia del gobierno u otra operación grande y sofisticada, ya que el cifrado 3G no es de ese grado. Pero HTTPS y SSH deberían protegerlo del fisgón promedio.

hotpaw2
fuente
0

Un ataque de hombre en el medio también se puede realizar usando sslstrip, que puede quitar fácilmente el ssl de https, convirtiéndolo en una conexión http, interceptar todos los datos y usar un certificado falso para volver a habilitar el ssl antes de enviarlo al destino. En palabras simples, esa es la idea.

El usuario nunca sabrá lo que le sucedió. Esto se mostró en Blackhat en 2009 si no me equivoco. Si Moxie Marlinspike pudo hacer esto en 2009, imagine lo que otros hackers profesionales son capaces de hacer en estos días. Fue uno de los pocos que reveló esto para buenos propósitos. Muchos de ellos no publicarán las vulnerabilidades que tienen a su disposición.

No quiero asustarte, pero si crees que SSL es seguro, piénsalo dos veces. Realmente depende de los navegadores mantener la seguridad de los usuarios. Tu fe está realmente en sus manos. Existen muchas vulnerabilidades durante muchos años al igual que los desamparados antes de que hagan algo al respecto.

IT_Master
fuente
1
Si no está alarmando, debe señalar el ataque que utilizó Moxie, porque no puedo creer que exista una vulnerabilidad SSL publicitaria paralizante en los últimos 5 años.
Jason Salaz