क्या 3 जी पर डेटा सुरक्षित है?

22

जब डेटा को मेरे iPhone से 3G के माध्यम से स्थानांतरित किया जाता है, तो क्या इसे एन्क्रिप्ट किया जाता है, या क्या हैकर के लिए एटी एंड टी के सेल टॉवर में स्थानांतरित किए गए डेटा को पढ़ना अपेक्षाकृत सरल है? टावर पर पहुंचने के बाद क्या होगा?

iphone security

— Senseful
स्रोत

16

3 जी सुरक्षित या असुरक्षित हो सकता है, यह वास्तव में विशेष कार्यान्वयन के लिए नीचे है। यदि आप 3G iPad / iPhone का उपयोग करते समय अपने डेटा के बारे में चिंतित हैं, तो इसे इस तरह से देखें, यह मुफ़्त / असुरक्षित WiFi हॉटस्पॉट / नेटवर्क का उपयोग करने से अधिक सुरक्षित है।

वास्तव में आपके प्रश्न का उत्तर यह है कि 3G बहुत सुरक्षित है, लेकिन इसके दोष हैं।

3 जी एन्क्रिप्टेड है, सबसे आम एन्क्रिप्शन एल्गोरिदम को क्रैक किया गया है, सही उपकरण के साथ कोई आपकी जानकारी को वायरलेस तरीके से रोक सकता है। हालांकि, उन्हें इसे करने के लिए कुछ ज्ञान, कुछ पैसे और कुछ प्रेरणा की आवश्यकता होगी। फिर इसके अलावा, उन्हें आपके डिवाइस को अनएन्क्रिप्टेड डेटा (गैर https) भेजने की आवश्यकता होगी ताकि इसे डिक्रिप्ट किया जा सके। सब सब में यह बहुत संभावना नहीं है, लेकिन निश्चित रूप से संभव है कि आपकी जानकारी को बाधित किया जा सकता है। हालांकि, यह किसी के लिए भी डेटा संचारित करने का जोखिम है और इसे 3G / WiFi या अन्य मोबाइल उपकरण संचार विधियों से अलग नहीं किया जाता है।

3G सुरक्षा पर Google खोज का प्रयास करें और आपको खामियों और सुरक्षा छेदों और उनके दोहन के बारे में बहुत सारी जानकारी मिलेगी।

एक उदाहरण के रूप में, यहाँ प्रस्तुतियाँ हैं:

3 जी सुरक्षा अवलोकन

blackhat.com पॉवरपॉइंट

— conorgriffin
स्रोत

मेरे द्वारा पूछे जाने के कारणों में से एक यह था क्योंकि मेरे पास अक्सर एक मुफ्त हॉटस्पॉट बनाम 3 जी का उपयोग करने का विकल्प होता है, और मैं जानना चाहता हूं कि अगर मुझे सुरक्षा का ध्यान रखना चाहिए तो मुझे किसका उपयोग करना चाहिए। पहले मुझे लगा कि 3 जी स्पष्ट रूप से अधिक सुरक्षित है, क्योंकि साधारण फ़ायरफ़ॉक्स एक्सटेंशन हैं जो एक ही वाई-फाई नेटवर्क पर लोगों के पासवर्ड निकाल सकते हैं, लेकिन मुझे कैसे पता चलेगा कि सभी 3 जी प्रेषित के बीच में कोई नहीं बैठा है डेटा और यह हर समय इकट्ठा? कम से कम वाई-फाई के साथ आपको एक निश्चित (छोटी) सीमा के भीतर रहने और उस तरह की जानकारी एकत्र करने वाले सॉफ़्टवेयर को चलाने की आवश्यकता होती है।

— Senseful

4

अगर ऑनलाइन बैंकिंग जैसा कुछ कर रहा हूं या अपने क्रेडिट कार्ड से कुछ खरीद रहा हूं तो मैं जहां भी संभव हो 3 जी का उपयोग करना चाहूंगा। लेकिन यहां तक कि एक वाईफाई नेटवर्क पर भी, अधिकांश वेबसाइट जो संवेदनशील डेटा से निपटती हैं, वे एसएसएल या टीएलएस जैसे एन्क्रिप्शन का उपयोग करती हैं, जिसका मतलब होगा कि उस नेटवर्क पर कोई व्यक्ति आपके डेटा को चोरी / अवरोधन करने में कठिन समय लगाएगा। मैं कहूंगा कि आप अधिकांश समय 3 जी की तुलना में मुफ्त वाईफाई पर जोखिम होने की अधिक संभावना है।

— कोनरग्रिफिन

6

यदि आप https पर काम कर रहे हैं, तो इससे कोई फर्क नहीं पड़ता कि आप किस प्रकार के कनेक्शन पर संचार कर रहे हैं। सभी डेटा आपके ब्राउज़र से सर्वर प्रोग्राम में एन्क्रिप्ट होने वाला है। इसे ब्रेक करने का एकमात्र तरीका यह है कि आप और आपके अंतिम गंतव्य के बीच संचार को ध्यान में रखें। इसे हल करने के लिए, पहचान प्रमाण पत्र बनाया गया था। यह प्रमाणित करता है कि आप अपने अंतिम गंतव्य से बात कर रहे हैं और कुछ मध्यस्थ के माध्यम से नहीं। इसलिए जब तक पहचान प्रमाण पत्र से मेल खाते हैं, आप सुरक्षित हैं। यदि पहचान प्रमाणपत्र ब्राउज़र से मेल नहीं खाता है, तो आपको सुरक्षा चेतावनी दिखाएगा, यह कहते हुए कि प्रमाणपत्र मेल नहीं खाता है, आम तौर पर वे संचार के साथ जाने के लिए आपके लिए एक विकल्प छोड़ देंगे, जिस ऑपरेशन में आप डॉन कर रहे हैं। सुरक्षा के बारे में परवाह नहीं है।

— बर्नार्डो क्योटोकू
स्रोत

जानकारी के लिए धन्यवाद। मुझे इस बात में अधिक दिलचस्पी है कि गैर-HTTPS डेटा 3 जी से अधिक सुरक्षित कैसे है, क्योंकि परिभाषा से HTTPS सुरक्षित होना चाहिए, चाहे वह कनेक्शन ही क्यों न हो।

— सेंसफुल

हाँ, ऐसा सोचा। यह कुछ पाठक के लिए रुचि का हो सकता है। लेकिन मुक्त "हॉटस्पॉट बनाम 3 जी" बिंदु में, मेरे लिए कम से कम, आपको भरोसा नहीं होगा कि एन्क्रिप्शन को समाप्त करने के लिए अंत नहीं है। मेरे कंप्यूटर और हॉटस्पॉट या सेल टॉवर के बीच सुरक्षा, पर्याप्त नहीं है यदि उसके बाद डेटा अनएन्क्रिप्टेड है।

— बर्नार्डो क्योटोकू

3

कम से कम नहीं। यहां तक कि HTTPS केवल गैर सरकारी या ISP स्तर के अभिनेताओं से सुरक्षित है। अधिक के लिए EFF.org देखें, लेकिन मैंने आपको चेतावनी दी है, यह निराशाजनक है।

संपादित करें: अतीत एक ऐसा देश है जो यात्रा करना बहुत कठिन है:

एसएसएल पर ब्रूस श्नीयर का विश्लेषण:

http://www.schneier.com/blog/archives/2010/09/uae_man-in-the-.html

मोज़िला की चर्चा:

https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/OBrPLsoMAR8

ईएफएफ से समस्या का विवरण देने में खुला पत्र:

https://www.eff.org/deeplinks/2010/08/open-letter-verizon

ऐसा नहीं है कि वे इसे डिक्रिप्ट करते हैं, आप देखते हैं। एन्क्रिप्शन हम सभी क्वांटम कुंजी या लॉक होने तक समान पायदान पर हैं। लेकिन जो लोग कोड नहीं करते हैं वे मूर्ख नहीं हैं। एसएसएल आप सर्वर को सुरक्षा की गारंटी दे सकते हैं, लेकिन खुद को ट्रस्ट की श्रृंखला से आते हैं।

वाक्यांश "मुझे वह सरकारी टमटम मिला! होमलैंड सिक्योरिटी! मेरी ऐनी का नया बॉयफ्रेंड ... एफ ** के यू!" , या इसी तरह के किसी बिंदु पर कहा गया होगा ।

विकीलीक्स के बाद सेडान के समूह को खींचने के लिए अमेज़ॅन एकमात्र जगह नहीं थी। एफबीआई इस समय वास्तव में बैकडोर के लिए चिल्ला रहा है, या बल्कि, बैकडोर को वैध बनाने के लिए जो उनके पास होना चाहिए। चूंकि सरकार, या औद्योगिक अभिनेता 'अभिनेता' नहीं हैं, लेकिन 'लोग' यह सवाल करने के लिए FUD नहीं हैं।

एफयूडी का एक उदाहरण, गणित की जटिलता को उजागर करना, एक उत्तर को गलत साबित करने के लिए उपयोग करने की कोशिश करना, और अतीत में काम करने वाली प्रणाली में विश्वास को बहाल करना है, जबकि मनुष्यों में मजबूर विश्वास की अनदेखी करना और सफल होना जंगल में शोषण।

सही बात?

— chiggsy
स्रोत

1

-1 यह FUD और सिर्फ सादा गलत है।

— Ricket

1

थोड़ा और अधिक विस्तार में जाने के लिए (इस उत्तर के विपरीत), HTTPS SSL पर HTTP है; यह 90 के दशक की शुरुआत से कम से कम 128-बिट कुंजियों का उपयोग करता है (जैसे जीमेल 128-बिट एसएसएल प्रमाणपत्र का उपयोग करता है)। इसका मतलब है कि एक कुंजी 128 बिट लंबी है; दूसरे शब्दों में, 2 ^ 128 संभावित कुंजी (340 बिलियन बिलियन बिलियन, या संख्या 39 अंक लंबी) हैं। यह साबित हो जाता है कि इस एन्क्रिप्शन को तोड़ने का एकमात्र तरीका एक कुंजी की क्रूर शक्ति है। दुनिया की कोई भी व्यवस्था इस बात पर बल नहीं दे सकती है कि उचित समय में कई संयोजन; यह शाब्दिक रूप से सरकारी हार्डवेयर के साथ अनंत काल तक ले जाएगा। और EFF.org का इससे कोई लेना-देना नहीं है।

— Ricket

1

एसएसएल की सुंदरता का एक हिस्सा यह भी है कि एक हैकर पूरे ट्रैफिक स्ट्रीम को रिकॉर्ड कर सकता है, इससे पहले कि कनेक्शन समाप्त होने के बाद भी शुरू होता है, जब कोई कंप्यूटर उस साइट से जुड़ता है जो इससे पहले कभी जुड़ा नहीं है, और वह हैकर फिर से संगठित नहीं हो सकता है मूल डेटा, और न ही जंबल्ड-अप एन्क्रिप्टेड डेटा के अलावा कुछ भी देखें। गणित ऐसा है कि सब कुछ सुनकर भी आपको कोई फायदा नहीं होता है। तो यह पूरी तरह से आपके आईएसपी को HTTPS ट्रैफ़िक सूँघने का नियम है, और फिर, यहाँ तक कि सरकार के पास कुंजी को तोड़ने की शक्ति नहीं है, भले ही वे कंप्यूटर के साथ पूरे राज्य को भर दें।

— Ricket

मैंने आपके जवाब को आपकी धारणा में त्रुटि को उजागर करने के लिए संपादित किया है: यह केवल एन्क्रिप्शन कुंजी नहीं है जिसमें एसएसएल शामिल है। विकृत। विचारों का स्वागत है।

— चिग्गी

"मुझे रूट सीए पर भरोसा नहीं है, या तो। जब मैं जीमेल में साइन इन करना चाहता हूं, तो मैं माउंटेन व्यू पर चला जाता हूं, सीए और कागज के एक टुकड़े पर अपना पासवर्ड उन्हें सौंपता हूं। सर्गेई ब्रिन ने मुझे डेटासेंटर में साइन इन किया और मुझे उपयोग करने की अनुमति दी। मेरे ईमेल को पढ़ने के लिए एक रैक के अंत में कंसोल। https://localhostनिश्चित रूप से जुड़ा हुआ है । " rolleyes

2

एक ही कॉफी शॉप में बैठे किसी व्यक्ति से बीच-बीच में हमला या झपकी लेना 3 जी की तुलना में बहुत कम है। ऐसा करने के लिए उपकरण बहुत कम उपलब्ध हैं, और आवश्यक विशेषज्ञता अधिक है।

न तो गारंटी से सुरक्षित होने की गारंटी है, एक सरकारी खुफिया संगठन या अन्य बड़े परिष्कृत ऑपरेशन, क्योंकि 3 जी एन्क्रिप्शन उस ग्रेड का नहीं है। लेकिन HTTPS और SSH आपको औसत स्नूप से अधिक की रक्षा करना चाहिए।

— hotpaw2
स्रोत

0

मध्य हमले में एक व्यक्ति भी sslstrip का उपयोग करके प्रदर्शन किया जा सकता है जो आसानी से https से ssl को हटा सकता है, इसे http कनेक्शन बना सकता है, सभी डेटा को इंटरसेप्ट कर सकता है और गंतव्य पर भेजने से पहले ssl को फिर से सक्षम करने के लिए एक नकली प्रमाणपत्र का उपयोग कर सकता है। सरल शब्दों में यह विचार है।

उपयोगकर्ता को कभी नहीं पता चलेगा कि उसके साथ क्या हुआ था। यह 2009 में ब्लैकहैट में प्रदर्शित किया गया था यदि मैं गलत नहीं हूँ। अगर 2009 में मोक्सी मारलिंस्पाइक इसके लिए सक्षम था, तो कल्पना करें कि अन्य समर्थक हैकर्स इन दिनों क्या करने में सक्षम हैं। वह अच्छे उद्देश्यों के लिए इसे प्रकट करने वाले कुछ लोगों में से एक था। उनमें से बहुत से उन कमजोरियों को प्रकाशित नहीं करेंगे जो उनके निपटान में हैं।

आपको डराना नहीं चाहता लेकिन अगर आपको लगता है कि ssl सुरक्षित है तो दो बार सोचें। यह उपयोगकर्ताओं की सुरक्षा बनाए रखने के लिए ब्राउज़र पर निर्भर है। आपका विश्वास वास्तव में उनके हाथ में है। बहुत सी कमजोरियाँ कई वर्षों तक मौजूद रहती हैं, जैसा कि वे इसके बारे में कुछ करने से पहले दिल से करते हैं।

— IT_Master
स्रोत

1

यदि आप डराने वाले नहीं हैं, तो आपको उस हमले की ओर इशारा करना चाहिए, जिसका इस्तेमाल मोक्सी करता था, क्योंकि मैं पिछले 5 वर्षों से अपंग, प्रचारित एसएसएल भेद्यता पर विश्वास नहीं कर सकता।

— जेसन सैलाज az