Cuando los datos se transfieren desde mi iPhone a través de 3G, ¿están encriptados o es relativamente sencillo para un hacker leer los datos que se transfieren a la torre celular de AT&T? ¿Y después de llegar a la torre?
Respuestas
¿Demasiados anuncios?
Petros
Puntos
4430
El 3G puede ser seguro o inseguro, realmente depende de la implementación particular. Si te preocupa la seguridad de tus datos cuando haces tethering o utilizas un iPad/iPhone 3G, míralo de esta manera: es más seguro que utilizar puntos de acceso/redes WiFi gratuitas/no seguras.
Realmente la respuesta a tu pregunta es que la 3G es bastante segura, pero tiene sus fallos.
El 3G está encriptado, los algoritmos de encriptación más comunes han sido descifrados, con el equipo adecuado alguien podría interceptar tu información de forma inalámbrica. Sin embargo, necesitarían algunos conocimientos, algo de dinero y cierta motivación para hacerlo. Además, necesitarían que tu dispositivo enviara datos sin encriptar (no https) para poder descifrarlos. En definitiva, es bastante improbable pero ciertamente posible que su información pueda ser interceptada. Sin embargo, este es un riesgo para cualquier persona que transmita datos en cualquier lugar y no está aislado a 3G/WiFi u otros métodos de comunicación de dispositivos móviles.
Intenta buscar en Google sobre la seguridad del 3G y encontrarás mucha información sobre los fallos y agujeros de seguridad y cómo pueden ser explotados.
A modo de ejemplo, he aquí un par de presentaciones:
Glass Robot
Puntos
1922
Si está operando sobre https, no importa a través de qué tipo de conexión se está comunicando. Todos los datos van a ser encriptados desde su navegador hasta el programa servidor. La única manera de frenar esto es que el espía medie en la comunicación entre usted y su destino final. Para resolver esto, se creó el certificado de identidad. Esto certifica que usted está hablando con su destino final y no a través de algún mediador. Así que mientras el certificado de identidad coincida, estás a salvo. Si el certificado de identidad no coincide el navegador te mostrará una advertencia de seguridad, diciendo que el certificado no coincide, generalmente te dejarán una opción para que sigas con la comunicación, por si en la operación que estás haciendo no te importa la seguridad.
Paul
Puntos
170
En absoluto. Incluso el HTTPS es seguro sólo frente a actores no gubernamentales o a nivel de ISP. Consulta EFF.org para saber más, pero te advierto que es condenadamente deprimente.
EDIT: El pasado es un país muy difícil de visitar:
Análisis de Bruce Schneier sobre SSL:
http://www.schneier.com/blog/archives/2010/09/uae_man-in-the-.html
La discusión de Mozilla:
https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/OBrPLsoMAR8
La carta abierta de agosto que detalla el problema de la EFF:
https://www.eff.org/deeplinks/2010/08/open-letter-verizon
No es que lo descifren, ya ves. Encriptación estamos todos en igualdad de condiciones hasta la llave o cerradura cuántica. Pero la gente que no codifica no es tonta. SSL puede garantizar la seguridad al servidor, pero los propios certificados provienen de una cadena de confianza.
La frase "¡Conseguí ese trabajo del gobierno! ¡Seguridad Nacional! El nuevo novio de Mary Anne... ¡Que te den!" , o similar debe se han dicho en algún momento.
Amazon no ha sido el único lugar en el que después de Wikileaks ha aparecido un grupo de berlinas. El FBI está gritando en este momento para puertas traseras de hecho, o más bien, para legitimar las puertas traseras que deben tener. Dado que el gobierno, o los actores industriales no son "actores" sino "personas" no es FUD cuestionarlo.
Un ejemplo de FUD, sería destacar, digamos, la complejidad de las matemáticas y tratar de usar eso para demostrar que una respuesta es incorrecta, y restaurar la fe en un sistema que funcionó en el pasado, mientras se ignora la confianza forzada en los seres humanos, y la explotación exitosa en la naturaleza.
¿Tiene sentido?
Jason Sparks
Puntos
948
Un ataque de hombre en el medio o el espionaje de alguien sentado en la misma cafetería es mucho menos probable a través de 3G. El equipo para hacerlo está mucho menos disponible, y la experiencia requerida es mayor.
Tampoco está garantizada la seguridad frente a, por ejemplo, una organización de inteligencia gubernamental u otra gran operación sofisticada, ya que el cifrado 3G no es de ese grado. Pero el HTTPS y el SSH deberían protegerte de los fisgones comunes y corrientes.
IT_Master
Puntos
1
También se puede realizar un ataque de hombre en el medio utilizando sslstrip que puede fácilmente quitar el ssl de https, convirtiéndolo en una conexión http, interceptar todos los datos y utilizar un certificado falso para volver a habilitar el ssl antes de enviarlo al destino. En palabras simples esa es la idea.
El usuario nunca sabrá lo que le ha pasado. Esto se mostró en Blackhat en 2009 si no me equivoco. Si Moxie Marlinspike fue capaz de esto en 2009, imagina lo que otros hackers profesionales son capaces de hacer hoy en día. Fue uno de los pocos que reveló esto con buenos propósitos. Muchos de ellos no publican las vulnerabilidades de las que disponen.
No quiero asustarte pero si crees que el ssl es seguro piénsalo dos veces. Realmente depende de los navegadores mantener la seguridad de los usuarios. Tu fe está realmente en sus manos. Muchas vulnerabilidades existen durante muchos años como el heartbleed antes de que hagan algo al respecto.
