Quando i dati vengono trasferiti dal mio iPhone tramite 3G, sono crittografati, o è relativamente semplice per un hacker leggere i dati che vengono trasferiti alla cella di AT & T? Che dire dopo che raggiunge la torre?
Il 3G può essere sicuro o insicuro, dipende in realtà dalla particolare implementazione. Se sei preoccupato per i tuoi dati durante il tethering o l'utilizzo di un iPad / iPhone 3G, guardalo in questo modo, è più sicuro rispetto all'utilizzo di hotspot / reti WiFi liberi / non protetti.
In realtà la risposta alla tua domanda è che il 3G è abbastanza sicuro, ma ha i suoi difetti.
Il 3G è crittografato, gli algoritmi di crittografia più comuni sono stati incrinati, con l'attrezzatura giusta qualcuno potrebbe intercettare le informazioni in modalità wireless. Tuttavia, avrebbero bisogno di una certa conoscenza, un po 'di soldi e qualche motivazione per farlo. In aggiunta a ciò, avrebbero bisogno del tuo dispositivo per inviare dati non crittografati (non https) in modo che potesse essere decifrato. Tutto sommato è piuttosto improbabile ma certamente possibile che le tue informazioni possano essere intercettate. Tuttavia, questo è un rischio per chiunque trasmetta dati ovunque e non sia isolato per i metodi di comunicazione 3G / WiFi o altri dispositivi mobili.
Prova una ricerca google sulla sicurezza 3G e troverai molte informazioni sui difetti e le falle di sicurezza e su come potrebbero essere sfruttati.
Proprio come un esempio, ecco un paio di presentazioni:
Se stai operando su https, non importa tramite quale tipo di connessione stai comunicando. Tutti i dati verranno crittografati dal tuo browser al programma server. L'unico modo per frenare questo è l'intercettazione mediare la comunicazione tra te e la tua destinazione finale. Per risolvere questo problema, sono stati creati i certificati di identità. Questo certifica che stai parlando con la tua destinazione finale e non attraverso qualche mediatore. Quindi fintanto che il certificato di identità coincide, sei al sicuro. Se il certificato di identità non corrisponde al browser, visualizzerai un avviso di sicurezza, dicendo che il certificato non corrisponde, in genere lasceranno un'opzione per continuare la comunicazione, nel caso in cui l'operazione che stai facendo non importa della sicurezza.
Non per niente. Anche HTTPS è sicuro solo da attori non governativi o di livello ISP. Controlla di più su EFF.org, ma ti avverto, è dannatamente deprimente.
EDIT: il passato è un paese molto difficile da visitare:
Analisi di Bruce Schneier su SSL:
Discussione di Mozilla:
La lettera aperta di agosto che descrive il problema da EFF:
Non è che lo decifrano, vedi. La crittografia siamo tutti sullo stesso piano fino alla chiave quantistica o al blocco. Ma le persone che non codificano non sono stupide. SSL puoi garantire sicurezza al server, ma i certificati provengono da una catena di fiducia.
La frase "Ho ottenuto il concerto del governo! Homeland Security! Il nuovo fidanzato di Mary Anne ... F ** k You!" , o simili devono essere stati detti a un certo punto.
Amazon non era l'unico posto dopo che Wikileaks aveva un gruppo di berline. L'FBI sta urlando proprio ora per backdoor, anzi, per legittimare le backdoor che devono avere. Dal momento che il governo, o gli attori industriali non sono "attori" ma "persone", non è FUD a metterlo in discussione.
Un esempio di FUD, sarebbe quello di evidenziare dire, la complessità della matematica e cercare di usarlo per dimostrare una risposta sbagliata e ripristinare la fiducia in un sistema che ha funzionato nel passato, ignorando la fiducia forzata negli umani, e l'exploit di successo in the wild.
Ha senso?
Un attacco man-in-the-middle o ficcanaso da qualcuno seduto nello stesso bar è molto meno probabile sul 3G. L'attrezzatura per farlo è molto meno comunemente disponibile e l'esperienza richiesta è più alta.
Né è garantito che sia sicuro da parte di un'organizzazione di intelligence governativa o di altre grandi operazioni sofisticate, in quanto la crittografia 3G non è di quel livello. Ma HTTPS e SSH dovrebbero proteggerti dallo snoop medio su entrambi.
Un uomo nell'attacco centrale può anche essere eseguito usando sslstrip che può facilmente rimuovere lo ssl da https, rendendolo una connessione http, intercettare tutti i dati e usare un certificato falso per riattivare lo ssl prima di inviarlo a la destinazione. In parole semplici questa è l'idea.
L'utente non saprà mai cosa gli è successo. Questo è stato presentato a Blackhat nel 2009 se non mi sbaglio. Se Moxie Marlinspike fosse stato in grado di farlo nel 2009, immagina quali altri pro hacker sono in grado di fare in questi giorni. Era uno dei pochi a rivelarlo per buoni propositi. Molti di loro non pubblicheranno le vulnerabilità che hanno a loro disposizione.
Non voglio spaventarti, ma se pensi che ssl sia sicuro pensaci due volte. Spetta davvero ai browser mantenere la sicurezza degli utenti. La tua fede è davvero nelle loro mani. Esistono molte vulnerabilità per molti anni, proprio come gli Heartbleed, prima che facciano qualcosa al riguardo.