Odpowiedzi:
3G może być bezpieczny lub niepewny, to naprawdę zależy od konkretnej implementacji. Jeśli martwisz się o swoje dane podczas tetheringu lub korzystania z iPada / iPhone'a 3G, spójrz na to w ten sposób, jest to bezpieczniejsze niż korzystanie z bezpłatnych / niezabezpieczonych hotspotów / sieci WiFi.
Naprawdę odpowiedź na twoje pytanie jest taka, że 3G jest dość bezpieczny, ale ma swoje wady.
3G jest szyfrowany, najpopularniejsze algorytmy szyfrowania zostały złamane, a przy odpowiednim sprzęcie ktoś mógłby przechwycić twoje informacje bezprzewodowo. Potrzebowaliby jednak wiedzy, pieniędzy i motywacji. Ponadto będą musieli wysyłać niezaszyfrowane dane (inne niż https), aby można było je rozszyfrować. Podsumowując, jest raczej mało prawdopodobne, ale z pewnością możliwe, że Twoje informacje zostaną przechwycone. Jest to jednak ryzyko dla każdego, kto przesyła dane w dowolnym miejscu i nie jest odizolowany od 3G / WiFi lub innych metod komunikacji z urządzeniami mobilnymi.
Spróbuj wyszukać w Google na temat bezpieczeństwa 3G, a znajdziesz mnóstwo informacji na temat wad i luk bezpieczeństwa oraz sposobów ich wykorzystania.
Jako przykład, oto kilka prezentacji:
Jeśli korzystasz z protokołu https, nie ma znaczenia, przez jaki typ połączenia się komunikujesz. Wszystkie dane zostaną zaszyfrowane z przeglądarki do programu serwera. Jedynym sposobem na zahamowanie tego jest podsłuch pośredniczy w komunikacji między tobą a twoim ostatecznym celem. Aby rozwiązać ten problem, utworzono certyfikat tożsamości. Potwierdza to, że rozmawiasz z miejscem docelowym, a nie za pośrednictwem mediatora. Tak długo, jak certyfikat tożsamości pasuje, jesteś bezpieczny. Jeśli certyfikat tożsamości nie pasuje, przeglądarka wyświetli ostrzeżenie bezpieczeństwa, mówiąc, że certyfikat nie pasuje, na ogół pozostawi Ci możliwość kontynuowania komunikacji, na wypadek, gdybyś przeprowadzał operację dbają o bezpieczeństwo.
Bynajmniej. Nawet HTTPS jest bezpieczny tylko od podmiotów spoza rządu lub dostawców usług internetowych. Więcej informacji na EFF.org, ale ostrzegam, to cholernie przygnębiające.
EDYCJA: Przeszłość to kraj, który bardzo trudno odwiedzić:
Analiza Bruce'a Schneiera dotycząca SSL:
http://www.schneier.com/blog/archives/2010/09/uae_man-in-the-.html
Dyskusja Mozilli:
https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/OBrPLsoMAR8
List otwarty w sierpniu opisujący problem z EFR:
https://www.eff.org/deeplinks/2010/08/open-letter-verizon
Widzisz, to nie tak, że go odszyfrowują. Szyfrowanie wszyscy jesteśmy na równi, aż do klucza kwantowego lub blokady. Ale ludzie, którzy nie kodują, nie są głupi. SSL możesz zagwarantować bezpieczeństwo serwera, ale same certyfikaty pochodzą z łańcucha zaufania.
Fraza „Mam ten rządowy koncert! Bezpieczeństwo wewnętrzne! Nowy chłopak Mary Anne… Kurwa, ty!” lub coś podobnego musiało zostać powiedziane w pewnym momencie.
Amazon nie był jedynym miejscem po Wikileaks, gdzie podjechała grupa sedanów. FBI w tej chwili krzyczy o backdoory, a raczej o legitymizację backdoorów, które muszą mieć. Ponieważ podmioty rządowe lub przemysłowe nie są „aktorami”, ale „ludźmi”, FUD nie kwestionuje tego.
Przykładem FUD byłoby na przykład podkreślenie złożoności matematyki i próba użycia tego, aby udowodnić, że odpowiedź jest błędna, i przywrócić wiarę w system, który działał w przeszłości, ignorując przymusowe zaufanie do ludzi i sukces wykorzystywać na wolności.
Ma sens?
Atak typu man-in-the-middle lub węszenie ze strony osoby siedzącej w tej samej kawiarni jest znacznie mniej prawdopodobne w przypadku 3G. Sprzęt do tego celu jest znacznie rzadziej dostępny, a wymagana wiedza specjalistyczna jest wyższa.
Żadna z nich nie jest zabezpieczona przed powiedzeniem, rządową organizacją wywiadowczą lub inną dużą skomplikowaną operacją, ponieważ szyfrowanie 3G nie jest tego stopnia. Ale HTTPS i SSH powinny chronić cię przed przeciętnym szpiegowaniem.
Atak typu man in the middle można również wykonać za pomocą sslstrip, który może łatwo usunąć ssl z https, tworząc połączenie http, przechwycić wszystkie dane i użyć fałszywego certyfikatu, aby ponownie włączyć ssl przed wysłaniem go do miejsca docelowego. Krótko mówiąc, taki jest pomysł.
Użytkownik nigdy nie będzie wiedział, co mu się przydarzyło. Zostało to zaprezentowane w Blackhat w 2009 roku, jeśli się nie mylę. Jeśli Moxie Marlinspike była w stanie to zrobić w 2009 roku, wyobraź sobie, co inni profesjonalni hakerzy są w stanie zrobić w tych dniach. Był jednym z nielicznych, którzy ujawniali to w dobrych celach. Wiele z nich nie opublikuje luk, które mają do dyspozycji.
Nie chcę cię straszyć, ale jeśli uważasz, że SSL jest bezpieczny, zastanów się dwa razy. To naprawdę zależy od przeglądarki, aby utrzymać bezpieczeństwo użytkowników. Wasza wiara jest naprawdę w ich rękach. Przez wiele lat istnieje wiele luk w zabezpieczeniach, takich jak serce, zanim coś z tym zrobią.