Apakah data yang dikirimkan melalui 3G aman?

22

Ketika data ditransfer dari iPhone saya melalui 3G, apakah dienkripsi, atau apakah relatif mudah bagi peretas untuk membaca data yang ditransfer ke menara sel AT&T? Bagaimana setelah mencapai menara?

iphone security Masuk akal
sumber

Jawaban:

16

3G bisa aman atau tidak aman, itu benar-benar tergantung pada implementasi tertentu. Jika Anda khawatir tentang data Anda saat menambatkan atau menggunakan 3G iPad / iPhone kemudian melihatnya dengan cara ini, itu lebih aman daripada menggunakan hotspot / jaringan WiFi gratis / tidak aman.

Sebenarnya jawaban untuk pertanyaan Anda adalah 3G cukup aman, tetapi memiliki kekurangan.

3G dienkripsi, algoritma enkripsi yang paling umum telah di-crack, dengan peralatan yang tepat seseorang dapat menyadap informasi Anda secara nirkabel. Namun, mereka membutuhkan pengetahuan, sejumlah uang dan motivasi untuk melakukannya. Kemudian selain itu, mereka akan membutuhkan perangkat Anda untuk mengirim data yang tidak dienkripsi (non https) sehingga bisa diuraikan. Semua dalam semua itu sangat tidak mungkin tetapi tentu saja mungkin bahwa informasi Anda dapat dicegat. Namun, ini merupakan risiko bagi siapa pun yang mentransmisikan data di mana saja dan tidak terisolasi ke 3G / WiFi atau metode komunikasi perangkat seluler lainnya.

Coba pencarian google pada keamanan 3G dan Anda akan menemukan banyak informasi tentang kelemahan dan lubang keamanan dan bagaimana mereka dapat dieksploitasi.

Sebagai contoh, berikut adalah beberapa presentasi:

Ikhtisar Keamanan 3G

blackhat.com powerpoint

Conorgriffin
sumber
Salah satu alasan saya bertanya adalah karena saya sering memiliki pilihan untuk menggunakan hotspot gratis vs 3G, dan saya ingin tahu mana yang harus saya gunakan jika saya peduli dengan keamanan. Pada awalnya saya pikir 3G jelas lebih aman, karena ada ekstensi firefox sederhana yang dapat memilih kata sandi orang pada jaringan Wi-Fi yang sama, tetapi bagaimana saya tahu bahwa tidak ada orang yang duduk di tengah semua 3G yang ditransmisikan data dan mengumpulkannya sepanjang waktu? Setidaknya dengan Wi-Fi Anda harus berada dalam jangkauan (kecil) tertentu dan menjalankan perangkat lunak yang mengumpulkan info semacam itu.
Senseful
4
Jika melakukan sesuatu seperti Perbankan Online atau membeli sesuatu dengan kartu kredit saya, saya akan cenderung menggunakan 3G sedapat mungkin. Tetapi bahkan pada jaringan WiFi, sebagian besar situs web yang berhubungan dengan data sensitif akan menggunakan enkripsi seperti SSL atau TLS yang berarti seseorang di jaringan itu akan lebih sulit mencoba mencuri / memotong data Anda. Saya akan mengatakan Anda lebih berisiko pada WiFi gratis daripada 3G sebagian besar waktu.
conorgriffin
6

Jika Anda beroperasi melalui https, tidak masalah melalui jenis koneksi apa yang Anda komunikasikan. Semua data akan dienkripsi dari browser Anda ke program server. Satu-satunya cara untuk mengerem ini adalah dengan menguping memediasi komunikasi antara Anda dan tujuan akhir Anda. Untuk mengatasi ini, sertifikat identitas dibuat. Ini menyatakan bahwa Anda berbicara dengan tujuan akhir Anda dan bukan melalui mediator. Jadi selama sertifikat identitas cocok, Anda aman. Jika sertifikat identitas tidak cocok dengan browser akan menunjukkan kepada Anda peringatan keamanan, mengatakan bahwa sertifikat tidak cocok, umumnya mereka akan meninggalkan opsi bagi Anda untuk melanjutkan komunikasi, untuk berjaga-jaga jika dalam operasi yang Anda lakukan Anda tidak tidak peduli dengan keamanan.

Bernardo Kyotoku
sumber
Terimakasih atas infonya. Saya lebih tertarik pada seberapa aman data non HTTPS melebihi 3G, karena menurut definisi HTTPS harus aman terlepas dari koneksi.
Senseful
Ya, pikir juga begitu. Mungkin menarik bagi sebagian pembaca. Tetapi dalam poin "hotspot vs 3G" gratis, bagi saya setidaknya, Anda tidak akan percaya tidak ada enkripsi ujung ke ujung. Keamanan antara komputer saya dan hotspot atau menara sel, tidak cukup jika setelah itu data tidak dienkripsi.
Bernardo Kyotoku
3

Sama sekali tidak. Bahkan HTTPS hanya aman dari aktor tingkat non pemerintah atau ISP. Periksa EFF.org untuk informasi lebih lanjut, tetapi saya memperingatkan Anda, ini sangat menyedihkan.

EDIT: Masa lalu adalah negara yang sangat sulit untuk dikunjungi:

Analisis Bruce Schneier tentang SSL:

http://www.schneier.com/blog/archives/2010/09/uae_man-in-the-.html

Diskusi Mozilla:

https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/OBrPLsoMAR8

Surat terbuka pada bulan Agustus merinci masalah dari EFF:

https://www.eff.org/deeplinks/2010/08/open-letter-verizon

Bukannya mereka mendekripsi, Anda tahu. Enkripsi kita semua berada pada pijakan yang sama hingga kunci atau kunci kuantum. Tetapi orang yang tidak kode tidak bodoh. SSL Anda dapat menjamin keamanan ke server, tetapi sertifikat itu sendiri berasal dari rantai kepercayaan.

Ungkapan "Saya mendapat pertunjukan pemerintah! Homeland Security! Pacar baru Mary Anne ... F ** k You!" , atau yang serupa pasti telah dikatakan di beberapa titik.

Amazon bukan satu-satunya tempat setelah Wikileaks menarik sekelompok sedan. FBI berteriak sekarang untuk backdoors sebenarnya, atau lebih tepatnya, untuk melegitimasi backdoor yang harus mereka miliki. Karena pemerintah, atau pelaku industri bukanlah 'aktor' tetapi 'rakyat', bukan FUD untuk mempertanyakannya.

Contoh dari FUD, akan menyoroti katakanlah, kompleksitas matematika dan mencoba menggunakannya untuk membuktikan jawaban yang salah, dan mengembalikan kepercayaan pada sistem yang bekerja di masa lalu, sementara mengabaikan kepercayaan yang dipaksakan pada manusia, dan keberhasilan mengeksploitasi di alam liar.

Masuk akal?

chiggs
sumber
1
-1 ini FUD dan hanya salah.
Ricket
1
Untuk sedikit lebih detail (tidak seperti jawaban ini), HTTPS adalah HTTP over SSL; ia menggunakan setidaknya kunci 128-bit sejak awal 90-an (misalnya Gmail menggunakan sertifikat SSL 128-bit). Itu berarti kunci adalah 128 bit; dengan kata lain, ada 2 ^ 128 kunci yang mungkin (340 miliar miliar miliar miliar, atau panjang angka 39 digit). Terbukti bahwa satu-satunya cara untuk memecahkan enkripsi ini adalah dengan kekerasan kunci. Tidak ada sistem di dunia yang dapat memaksa banyak kombinasi dalam waktu yang wajar; itu akan membutuhkan keabadian bahkan dengan perangkat keras pemerintah. Dan EFF.org tidak ada hubungannya dengan ini.
Ricket
1
Selain itu, bagian dari keindahan SSL adalah bahwa peretas dapat merekam seluruh arus lalu lintas, dari sebelum sambungan bahkan mulai setelah itu berakhir, ketika komputer terhubung ke situs yang belum pernah terhubung sebelumnya, dan peretas itu tidak dapat merekonstruksi. data asli, atau melihat apa pun selain data terenkripsi yang campur aduk. Matematika itu sedemikian rupa sehingga bahkan mendengar segala sesuatu yang terjadi tidak memberi Anda keuntungan. Jadi ini benar-benar mengesampingkan ISP Anda mengendus lalu lintas HTTPS, dan sekali lagi, bahkan pemerintah tidak memiliki kekuatan untuk memecahkan kunci, bahkan jika mereka mengisi seluruh negara bagian dengan komputer.
Ricket
Saya telah mengedit jawaban saya untuk menyoroti kesalahan dalam asumsi Anda: bukan hanya kunci enkripsi yang terdiri dari SSL. Subverted. Selamat datang.
chiggsy
"Saya juga tidak mempercayai root CA. Ketika saya ingin masuk ke Gmail, saya pergi ke Mountain View, CA dan menyerahkan kata sandi saya pada selembar kertas. Sergei Brin menandatangani saya ke pusat data dan memungkinkan saya menggunakan konsol di ujung rak untuk membaca email saya. Terhubung https://localhosttentu saja. " rolleyes
2

Serangan pria-di-tengah-atau mengintip dari seseorang yang duduk di coffee shop yang sama jauh lebih kecil kemungkinannya dibandingkan 3G. Peralatan untuk melakukan itu jauh lebih jarang tersedia, dan keahlian yang dibutuhkan lebih tinggi.

Tidak ada yang dijamin aman dari katakanlah, organisasi intelijen pemerintah atau operasi canggih besar lainnya, karena enkripsi 3G tidak sekelas itu. Tetapi HTTPS dan SSH harus melindungi Anda dari pengintaian rata-rata.

hotpaw2
sumber
0

Seorang pria dalam serangan tengah juga dapat dilakukan menggunakan sslstrip yang dapat dengan mudah menghapus ssl dari https, menjadikannya koneksi http, mencegat semua data dan menggunakan sertifikat palsu untuk mengaktifkan kembali ssl sebelum mengirimnya ke tujuan. Dengan kata-kata sederhana itulah idenya.

Pengguna tidak akan pernah tahu apa yang terjadi padanya. Ini dipamerkan di Blackhat pada tahun 2009 jika saya tidak salah. Jika Moxie Marlinspike mampu melakukan ini pada tahun 2009, bayangkan apa yang dapat dilakukan oleh peretas pro lainnya hari ini. Dia adalah salah satu dari sedikit yang mengungkapkan ini untuk tujuan yang baik. Banyak dari mereka tidak akan mempublikasikan kerentanan yang mereka miliki.

Tidak ingin membuat Anda takut, tetapi jika Anda merasa ssl aman, pikirkan dua kali. Ini sepenuhnya tergantung pada browser untuk menjaga keamanan pengguna. Iman Anda benar-benar ada di tangan mereka. Banyak kerentanan ada selama bertahun-tahun seperti halnya hati yang hancur sebelum mereka melakukan sesuatu.

IT_Master
sumber
1
Jika Anda tidak khawatir, Anda harus menunjuk ke serangan yang digunakan Moxie, karena saya tidak percaya adanya kerentanan SSL yang melumpuhkan dan dipublikasikan selama 5 tahun terakhir.
Jason Salaz