Playhouse на личния живот, сигурността, хакерство, криптиране, интелигентност и някои неща, бизнес

RFC 6189: ZRTP най-накрая е стандарт!

11 април 2011 - 22:54

Накрая ZRTP е възложено официална задача RFC, RFC6189 ZRTP: Споразумение за Media Path Ключ за Unicast Secure RTP.

Той имаше като зависимостта на SRTP, с AES ключ размер на 256, че сега е определена като RFC6188 .

Това е вълнуващо да се види, RFC накрая, тъй като това е важен крайъгълен камък за да настроите ZRTP като официален стандарт за криптиране от край до край, подобно на PGP е за имейли.

Сега всяка организация, в света ще бъде официално в състояние да приложи ZRTP за криптиране от край до край протокол глас

В момента 3 различни публични реализации на ZRTP протокол, съществува:

Филип Цимерман LibZRTP (с код)
PrivateWave на здравни услуги (C + + код / Java код)
GNU за телефония ZRTP (C + + код / Java код)

Всеки от тях предоставят различни характеристики на протокола, но най-важното е известно да са оперативно съвместими.

Нова вълна идва на света за криптиране на глас, irrupting в сива зона, където повечето от компаниите, които работят телефонни системи за криптиране е прилагане обичай криптиране.

Сега стандарт е за настройка и има няколко причини, останали за изпълнение на нещо по-различно.

Hurra г-н Цимерман и всички държави от Общността на дружества (като PrivateWave ) и физически лица (като Вернер Dittmann ), работили по него!

Днес е велик ден, такъв вид на технологията вече е официален, а също и с множество съществуващата реализация!

Филип, ти го направи отново, моите комплименти към чист дух и решителност :-)

Comment (1) Етикети криптиране , Уединение , voicesecurity , zrtp | Коментар (1)

на прихващане Декларация за сигурност

Напредъкът за GSM напукване в университета във Фрайбург

23 февруари 2011 - 13:32

Вълнуващия свят на мобилните протоколи (GSM, GSM-R, TETRA, UMTS и др.) Хакерството е получаване на официалните дейности за научни изследвания от университетите.

Инвестиции за OpenSource код пресата, от напукване на софтуер дава възможност на студенти от университета, да работят по него, да го подобряват и да направим силен изследователски.

На Фрайбургския университет току-що освободен хартия практическото упражняване на GSM криптиране A5 / 1, заедно с едно gsmframencoder инструмент за подкрепа за подобряване на смъркане, декодиране и напукване процес.

Откриване на хардуер,, отваряне софтуер, отваряне протокол демонстрира слабостта на какъвто и да е вид на собствен метод или процес за изграждане на комуникационни и технологии за сигурност.

Тя трябва да бъде цел на всички учени, за да се опитате да отворите действия и пляскане на всякакъв вид собственост и затворени технология, за да принуди индустрията да продължава само с оперативно съвместими и отворен подход при проектирането на телекомуникационни протоколи.

Comment (0) Етикети криптиране , хакерство , мобилен , Уединение , voicesecurity | Коментар (0)

Декларация за технологии

Моят Tor опит за излизане от кризата възел се опитва да филтрирате шумна трафик

24 януари 2011 г. - 22:14

В началото на тази година реших, че е време да стартирате Tor възел за излизане от кризата, така че аз донесе VPS в hetzner.de (защото те са включени като добър ТСР ISP ) и настройка на излизане възел с прякор privacyresearch.infosecurity.ch с 100Mbit / връзка за първото 1TB на месечните данни, след това 10Mbit / и плосък.

Той също така TOR2WEB софтуер на http://tor.infosecurity.ch .

Настройка на излизане на политиката, както е предложено от излизането възел с минимално тормоз и подготви шаблон за отговор на злоупотреба .

В първия ден съм се провежда възел, получих веднага DMCA се оплакват поради партньорска към партньорската трафик.

Затова реших да се филтрират някои P2P трафик чрез използване на IPTABLES OpenDPI модул и DMCA се оплакват автоматично изчезнали:

IPTABLES-A OUTPUT-М opendpi-edonkey-gadugadu-FastTrack, Gnutella-directconnect BitTorrent-winmx-soulseek-J Отхвърляне

След това, защото аз съм италиански, реших да се избегне ми Tor възел, за да се свържете с италиански адрес на интернет пространство, за да се намали вероятността, че глупава прокурор щеше да ме събудиш в сутринта, тъй като не са разбирали, че аз съм тичане Tor възел.

Опитах се, с помощта на hellais, че са написали скрипт да направи политика Exit отхвърли изявление , за да отхвърли всички италиански netblocks, базирани на ioerror на blockfinder, но открихме, че torrc конфигурационни файлове с +1000 линии Tor катастрофа.

Отидохме да отворите билет, за да докладва катастрофа за нашия опит да блокира на ТСР политика излизане от страната и намери подобен опит, къде сме допринесли, но тя все още изглежда да бъде отворен проблем.

Изводът е, че това не е възможно да се направи за политиката за изход за излизане ТСР възел в чиста и учтив начин, затова реших да отида на мръсен начин чрез използване на IPTABLES / GeoIP . След борбата, за да го компилирате правилно, тя е една линия на IPTABLES, за да блокират движението в Италия:

IPTABLES-A OUTPUT-р TCP-М държавата-членка NEW-m GeoIP-DST-CC IT-J Отхвърляне

Сега от излизанията ми възел никаква връзка на италианските мрежи ще бъде направено и аз съм в безопасност срещу вероятно не са глупави прокурори разбиране ТСР (аз имам едно изключение за всички Tor възел IP адрес е прилагал преди).

След някои други дни започнах да получават оплаква, поради да portscan дейности, с произход от моите манипулации възли.

От моя гледна точка аз искам да подкрепя анонимност мрежа, а не анонимна хакерски атаки, и затова аз искам да се филтрира portscan и атаки от произхождащи от моя node.That е сложна материя, която изисква известно проучване, така че междувременно инсталирах scanlogd и да изсумтяване, защото искам да се оцени колко атаки, които вид атаки се да се измъкнем от Tor ми възел на изхода.
По-късно аз ще се опитам да организира някакъв вид филтриране, за да бъдат сигурни, да бъде в състояние да филтрира големи атаки.
За какво да portscan, то изглежда, че няма публични инструменти за откриване на и филтрирате изходящи portscan, но само за филтриране на входящата portscan така че вероятно ще трябва да напиша нещо Временна.
Ще ви препоръчам на това как се развиват нещата и дали ще има някакъв добър начин да се приложи в начин lightwave Snort инлайн избирателно филтрирате-голяма атака опит с произход от излизането ми възел.

Моята цел е да поддържа изход възел работи в дългосрочен план (най-малко 1TB трафик на месец дарени на ТЗ), намаляване на усилията, свързани с ISP се оплакват и се опитвам да направя всичко възможно, за да стартирате излизане възел с разумна отговорност.

Comment (0) Етикети за поверителност | Коментар (0)

интелигентност подслушване сигурност

TETRA хакерство идва: OsmocomTETRA

23 януари 2011 г. - 10:27 ч.

Това е много вълнуващо да видим освобождаването на OsmocomTETRA , изпълнението на на TETRA демодулаторът, PHY и долните слоеве на MAC първата OpenSource СПТ ( софтуерно дефинираното радио ).

Това е версията на TETRA от airprobe GSM, които отключват достъпа до данните и рамката на TETRA комуникационен протокол, като по този начин се дава голяма възможност на хакерски!

Сега, също TETRA технологията е открита ние трябва да очакваме по време на тази 2011, за да видите OpenSource подушване "Тетра и най-вероятно също така чай криптиране (Encryption Tetra алгоритъм) напукан!

TETRA се използва от полицията, Спешна Помощ и военни, като алтернатива мобилна комуникационна мрежа, която може да работи дори и без наличието на покритие на мрежата (само мобилен към мобилен телефон, без базова станция) и някои специални висококачествени услуги за наличност.

Писах за TETRA в моя слайд основен преглед Voice протокол за сигурност .

В пощенските списъци OsmocomBB там вече е дискусията за някои състоянието на мрежата TETRA:

Белгия полиция TETRA Astrid мрежа: некриптиран
Германската полиция тест TETRA мрежа в Аахен: некриптиран
Някои бивши jugoslawia TETRA мрежа: некриптиран
Холандия C200 TETRA мрежа: TEA2 криптирани със статични ключове
Великобритания Airwave TETRA мрежа: TEA2 криптирани с TEA2

Това ще бъде наистина забавно да се види, че новото полиция и спасителните услуги на хакерство идва обратно от старите аналогови възраст за новите цифрови радиостанции :-)

Comment (1) Етикети криптиране , хакерство , мобилни , voicesecurity | Коментар (1)

идеи Слава

Правителството 2,0, отворени данни и WikiLeaks

15 януари 2011 - 20:05

Концепцията зад WikiLeaks, на OpenLeaks и GlobalLeaks, BalkanLeaks е много повече от просто разкривайки тайни на обществеността.

Това е част от една революция, която ще дойде в организацията, прозрачността и сътрудничеството на правителството с така наречените "Web 2.0 / уики" съвместни системи.

Да погледнем към онези, които правителството 2,0 - Въведение от Анке Domscheit, Берг, иновативни правителствената програма води на Microsoft Германия и съпруга на Даниел Берг, съосновател на "Уикилийкс" и основател на OpenLeaks .

Да погледнем в Open правителствени данни 2.0 инициатива за прилагане на правителството прозрачност, намаляване на корупцията и подобряване на работата на правителството организация.

Тази революция, това е просто повече от една група на anarco-либертариански фънки момчета, които искат да създадат хаос чрез разпространение на тайни, това е само началото на надпреварата за постигане на нов модел на организация на правителствата с деблокирането на пълна прозрачност и силно сътрудничество с гражданите.

Comment (0) Етикети civilrights | Коментар (0)

Уединение

Здравни услуги, новата C + + и Java ZRTP прилагането на публично издание

12 януари 2011 г. - 14:01

Здравейте всички, днес в PrivateWave Italia SpA, италианската компания, ангажирани в развиващите се технологии за защита на личния живот и сигурността на информацията в гласови телекомуникации, където аз съм технически директор, ние пускаме на здравни услуги, с отворен код ZRTP протокол изпълнението на разположение за сваляне от http://www. zrtp.org .

ZRTP [1] предвижда, от край до край на обмен на ключове с елиптична крива Дифи-Hellmann SRTP 384bit и AES-256 криптиране.

Здравни услуги е била първоначално разработена и внедрена в PrivateGSM продукти PrivateWave гласови криптиране, достъпни за следните платформи: BlackBerry, Nokia и IOS (iPhone).

Здравни услуги C + + е интегрирана с PJSIP с отворен код VoIP SDK [2] и, при условие като интеграция кръпка срещу PJSIP 1.8.5. Тя е тествана на iPhone, Symbian, Windows, Linux и Mac OS X.

Здравни услуги Java е интегрирана в рамките на потребителски версия на MJSIP, [3] с отворен код SDK на платформата Blackberry и включва оптимизация на използваната памет, необходими за намаляване на минимална активност за събирач на боклук.

И двете платформи са разделени и, модулна криптографски завършва така, че прилагането на криптографски алгоритми може да бъде лесно да разменят с други.

. Здравни услуги е лицензиран под GNU AGPL и изходният код е достъпен на GitHub в https://github.com/privatewave/ZORG .

Ние сме я освобождава под отворен код и в съгласуваност с нашия подход към сигурността [4], тъй като ние наистина се надявам, че тя може да бъде полезна за отворена екосистема източник за създаване на нови системи за кодиране на глас в подкрепа на свободата на словото.

Повече от 20 pjsip базирана отворен код VoIP софтуер за криптиране и няколко написани на Java може пряко да се възползват от освобождаването на здравни услуги.

Ние ще се радваме да получим предложение за сътрудничество, нова интеграция, нов криптографски гърба части, бъг скаутите и какво полезно да се подобрят и да ZRTP потвърждават като стандарт за криптиране на глас.

Здравни услуги е разположение от http://www.zrtp.org .

[1] ZRTP: http://en.wikipedia.org/wiki/ZRTP
[2] PJSIP: http://www.pjsip.org
[3] MJSIP: http://www.mjsip.org
[4] за сигурност подход: http://www.privatewave.com/security/approch.html

Comment (0) Етикети криптиране , мобилни , Уединение , voicesecurity , zrtp | Коментар (0)

Декларация за сигурността на технологията

Криптиран мобилен да наземни телефонни разговори със звездичка 1.8

25 октомври 2010 г. - 24:15

Ние току-що освободен технически HOWTO за това как да се изгради Охраняем мобилен към стационарен инфраструктура VoIP с:

Asterisk 1.8 (току-що освободен, поддържа SIP / TLS + SDES обмен на ключове за SRTP)
PrivateGSM Enterprise (Nokia / iPhone / Blackberry)
SNOM 300 настолен телефон

В следващите седмици другите HOWTO като тази ще излезе с помощта на други сървърни платформи като FreeSWITCH, в духа на прозрачност и стимулира на OpenSource технологията за сигурност.

Comment (0) Етикети криптиране , мобилни , Уединение , voicesecurity | Коментар (0)

сигурност

Осем Epic Неспазването на Регулиране на криптографията

21 октомври 2010 г. - 14:59

Много светещата статия на осма Epic Неспазването на регулиране на криптография и обща неразбиране от правителствени регулатори, че не разполага с широк поглед върху това как технологията работи.

Невежи регулатори правителството не разбира, че стриктното регулиране ще има следните недостатъци:

Това ще създаде риск за сигурността
Това няма да спре лошите момчета
Това ще навреди на иновациите
Това ще навреди на американския бизнес
Тя ще струва на потребителите
Това ще са противоконституционни
Това ще бъде огромен разходи долари на данъчните

Comment (0) Етикети криптиране , политика | Коментар (0)

Декларация за сигурността на технологията

PrivateGSM: Blackberry / iPhone / Nokia мобилна гласова криптиране с ZRTP, или SRTP / SDES,,

19 октомври 2010 г. - 09:10 ч.

Аз абсолютно избягвайте да използвате моят личен блог, за да направи промоция на всеки вид продукт.

Този път не е различно, но аз искам да ви кажа, факти за продукти, работя без фантазия маркетинг, но пребиваващи технически.

Днес, в PrivateWave Аз съм технически директор и съосновател , ние се огласява публично мобилни криптиране на VoIP продукти за Blackberry, iPhone и Nokia:

1-ви някога Blackberry криптирана VoIP с ZRTP - PrivateGSM VoIP Professional
1-ви някога iPhone криптирана VoIP с ZRTP - PrivateGSM VoIP Professional
1-ви някога Blackberry криптирана клиента VoIP с SRTP с SDES обмен на ключове над SIP / TLS - PrivateGSM VoIP Enterprise

В PrivateWave ние използваме отношение различен подход към най-гласово криптиране компания там, прочетете нашия подход към сигурността .

Значението на тези продукти, технологии и индустрия пейзаж могат да бъдат обобщени както следва:

Това е първата компания за гласово криптиране, използвайки само стандарти за сигурност, протоколи и ние очакваме, че пазарът ще реагира, тъй като е ясно, че патентовани технологии, идващи от наследството на Центъра за изследване на демокрацията, не могат да предоставят една и съща стойност)
Това е първият подход в гласово криптиране, за да се използват само с отворен код и криптиране на стандартен двигател
Това е първия подход за гласово криптиране, за да се предоставят различен модел за сигурност, използване на различни технологии (от край до край за ZRTP и от край до сайта за SRTP )

Тези, които пакет от мобилни Сигурни клиенти, предназначени за професионална сигурност се използва само с помощта на най-доброто телекомуникации и технологии за сигурност, осигуряват висока степен на защита, заедно с добро представяне и в лоши условия на мрежата:

Няколко модел на сигурност, от край до край криптиране с ZRTP и криптиране от край до сайт с SRTP,
Гласово криптиране
Сигналната криптиране
Сертификат Digital стриктна проверка на SIP / TLS (99% от клиентите на VoIP не прави задълбочен строга проверка на TLS )
AMR 4.75kbit кодек (същата технология и аудио кодек на стандартни телефонни разговори на GSM)
Изключително оптимизиран трептене буфериране (работи дори през GPRS и през WiFi през сателит)
Автоматична винаги на повторно включване, да използвате Nokia готовност Техники за силна за пестене на батерията

Приложения са:

PrivateGSM Professional - криптиране от край до край с ZRTP с ECDH384 , строг кеша на проверка и адресна интеграция
PrivateGSM Enterprise - за криптиране от край до сайт с SRTP с SDES обмен на ключове над SIP / TLS
Enterprise VoIP Security Suite - Secure PBX система, основана на Asterisk с прибавка на Защитните стени на VoIP

Поддържаните мобилни устройства са:

Nokia S60
на iPhone 3GS/4G с IOS 4.x
Blackberry с RIMOS 5 (някои модели GSM-)

Що се отнася до ZRTP решихме да се подчертае, и се простират на сигурността и параноичен характеристика на протокола с някои малко допълнение:

Използвайте само елиптична крива Дифи Hellmann ECDH) 384bit, които са част от НСА Suite-B ( Няма Koblitz ECDH-571 криви! )
Използвайте AES256 в режим на CTR
Ли кеша на проверка и ключ приемственост
Строг адресна интеграция разшири отношение на RFC с допълнителна параноик проверка,
Всички предупреждение за сигурност и сигурност грешка, защото призива за hangup, изчиства кеша и потребител предупреди, за да проверите отново ZRTP сигурност
Използвайте генератор за случайни числа, в строго съответствие с изискванията на FIPS за сигурност с помощта на физичните източник на ентропия (Микрофон)

Нашите строги интеграция на адресна книга, надхвърля ZRTP RFC спецификации, които биха могли да бъдат уязвими към някои атаки, когато се използва на мобилни телефони, защото на поведението на потребителите да не гледат към мобилен екран.

Нашата paranoy начин за използване на ZRTP смекчаване на такива условия, ние ще пишат за това по-късно и / или ще се добавят конкретни подробности за включване на RFC.

Някои думите на PrivateGSM Professional с криптиране от край до край с ZRTP

Потребителят не трябва да използвате приложението: Това е, аз ntegrated в телефона за набиране със сигурна префикс пускането 801 пред номера, за да се свържете
Това е за сваляне от интернет за самостоятелно проучване продължение на 15 дни (най-криптиране на глас компания не предоставя свободно изтегляне)
Приемник е безплатно, това означава, че само, които да провеждате разговори, трябва да си купите заявлението, приемник не е необходимо да плащате нищо
Трафик объркване, за да заобиколи VoIP блокове над 2G/3G
Това е много теснолентова: Използвайте по-малко като 100Kbyte/minutes

Прочетете техническата лист там!

За да изтеглите, кликнете тук и просто поставете телефонния си номер

Това са резултатите от усилената работа на много опитен моя екип (16 души са работили на това 6 проекта в продължение на 3 различни платформи) на предизвикателни технологии (гласово криптиране) в трудната оперативна среда (мръсни мобилните мрежи и мръсни мобилни операционни системи) за повече от 2 години.

Аз съм много горд от нашите служители!

Каква е следващата стъпка?

В следващите седмици ще видите освобождаване на голям набор от документация, като например интеграция с звездички, freeswitch и други сигурност Разрешено телефонна централа, заедно с някои интересни други новини за технологии за сигурност, че аз съм сигурен, ще бъде забелязано ;)

Тя е упорита работа и повече трябва да се направи, но аз съм убеден, че сигурността и OpenSource общност ще харесват такива продукти и прозрачен подход и с открити важни за пресата и с отворен код за интеграция, които правят много политически неутрална (вратичка безплатно) технология .

Comment (1) Етикети криптиране , мобилни , Уединение , voicesecurity , zrtp | Коментар (1)

прихващане Защита на технология за сигурност

Няколко от Ница доставчик на VPN

17 октомври 2010 г. - 24:39

Има много причини защо някой би трябва да получат достъп до интернет чрез VPN.

Например, ако живеете в страна, блокиране на определени съдържание (като анти-местния правителствен уебсайт, порнография и др.) И / или протоколи (като Skype, VoIP), вие вероятно ще искате да преместите вашата интернет връзка извън гаден блокира страната с помощта на криптирани тунели VPN.

I оценява няколко хостван VPN сървър и няколко от тях звучи доста добре сред широкото предлагане на такива услуги:

SwissVPN

Излез с интернет от Швейцария.

Цена 6 CHF / месец

Избор обществена фиксирана адрес

Полезно е, ако имате нужда от:

Просто заобиколят местните филтри страни с добра висока честотна лента
Излагат на публични услуги чрез VPN с предлаганата като опция фиксираната обществена IP адрес.

Преигравам

Излез с интернет чрез избор измежду 20 различни страни (всеки път, когато свържете).

Полезно е, ако трябва да направите:

Business Intelligence на конкурент (появява се да дойде от страната X, когато ги свързва)
вижте филм / телевизионен филм позволено само от националните IP пространства уеб
виж Google резултати между различни страни

Comment (0) Етикети криптиране Поверителност | Коментар (0)

сигурност технология

Не всяка елиптична крива е същият: чрез ECC сигурност

26 септември 2010 г. - 13:05

 Моят собствен крива ECC сигурност и анализ подбор

Най-съвременната употреба крипто елиптична крива на Cryptographic (ECC), че с по-малък ключ размер и намалява разхода на енергия за изчисляване, за да даде еквивалентна на тази гаранция силата на крипто традиционната система, известна като DH (Дифи-Хелман) или RSA (Rivest, Шамир и Adleman,,).

Не всеки знае, че ECC криптиране е избран за всички бъдещи приложения за кодиране, и че дори TLS / SSL (криптиране, използвани за осигуряване на Интернет) се движи ECC.

Открих много от така наречените "собственически продукти за криптиране", които изоставени RSA и DH излиза с алтернативи на ECC, които са склонни да произволно използване размер ECC битов ключ, без дори да се посочва какъв вид на ECC крипто свикнете.

Все пак има много объркване около елиптични криви, с много различни имена и ключ размер на вземането на трудни за-криптирате опитен потребител, за да направите своя собствена фигура, когато оценката Шифриращият някои неща.

Поради толкова разсеяна объркване, реших да направя моя собствена анализ, за да разберете, които са най-добрите на ЕСС, криптиране криви и правото ECC ключ размер да се използват.

Този анализ би искал да внесе гаранция в индустрията, основана избор между различни криви и ключови размери, оставяйки на математическите и крипто аналитични съображения, че вече е била извършена през годините, обобщава различните възможности за избор, предприети в няколко стандарти и протоколи за сигурност.

Първо заключение.

От анализа си само следните криви на ЕСС, следва да се считат за използване в системи за криптиране, защото са само един, избран между различните власти (ANSI, НСА, СГХГ, NIST, ECC BrainPool), различните стандарти на протокол за сигурност (IPSec, OpenPGP, ZRTP Kerberos, SSL / TLS) и само един съвпадащ НСА апартамент Б изисквания за сигурност (де-факто стандарт за военна среда на НАТО):

Елиптични председателя Curve 256-битов - P-256
Елиптични председателя Curve 384 малко - P-384

с желание, само за наистина параноята, че искате да получите повече ключови малко размер все още не се счита за полезно:

Елиптични председателя Curve 521 малко - P-521

Бих искал да заявя,, че Koblitz криви трябва да се избягва, в произволен клавиш размер (163/283/409/571), тъй като те не разполагат с достатъчно гаранция за крипто дейност аналитичната и ефективно те са:

Не е част от НСА Suite-B избор криптография
Не е част от ECC избор Brainpool
Не част на ANSI X9.62, избор
Не е част от OpenPGP ECC разширение избор
Не е част от разширението Kerberos за ECC избор крива

Каня читателя да следват през моя анализ, за да разберат основите, които могат да бъдат разбрани дори и без задълбочена техническа фон, но поне с една добра технологична фон някои основни малко криптография.

 Ето ни отново с анализ

Моята цел е да се направи анализ за това какво / как отворен научни и сигурност Общност Избери ECC крипто система за използване в протоколи и стандарти, определени от IETF RFC (тези, които определят стандартите на Интернет в отворен и рецензирани начин).

Под набор от RFC въвеждане ECC в съществуващата система, която да анализира, за да се разбере какво е добре да се използва и какво е по-добре да се изключат:

RFC5639 : с ECC Brainpool стандарт криви и Curve поколение
RFC4869 : апартамент НСА Б криптографски Suites за IPsec
RFC5430 : НСА Suite B профил за Transport Layer Security (TLS)
RFC5008 : НСА Suite B в защитени / Multipurpose Internet Mail Extensions (S / MIME)
RFC3766 : определяне на силните страни за публични ключове, използвани за обмен на симетрични Keys
RFC5349 : елиптични Curve Cryptography (ECC) Подкрепа за криптографията с публични ключове за осъществяване на първично удостоверяване Kerberos (PKINIT)
RFC4492 : елиптична крива на Криптографски (ECC) шифър Suites за Transport Layer Security (TLS)
ZRTP глас криптиране от Филип Цимерман ECC крива
ECC в OpenPGP ( сал-jivsov проекта г -OpenPGP-ECC-06 )
ЕСС, Curves, избрани от "Майкрософт" за SmartCard Kerberos вход

Ние ще използваме избора, направен от учен определяне на Интернет протоколи за сигурност, за да направят част от нашата оценка.
Освен това трябва да се разбира, че кривата за избор идва от различни органи, които направиха своя избор на криви, за да разкаже за индустрията, какво да използвате и какво да пропуснете:

САЩ NIST (САЩ Националния институт за стандарти) с 186-2 (наскоро заменени през 2009 г. от новата 186-3 )
САЩ ANSI (Американски национален институт за стандарти) с X9.62
US NSA (National Security Agency) Suite-B Cryptography for TOP SECRET information exchange
International SACG (Standards for efficient cryptography group) with Recommended Elliptic Curve Domain Parameters
German ECC Brainpool withECC Brainpool with their Strict Security Requirements
ECC Interoperability Forum composed by Certicom, Microsoft, Redhat, Sun, NSA

We will use the choice made by scientist defining security requirements in the standardization agencies to make part of our evaluation.
Additionally, something that most people does not know, but that it's extremely relevant to our analysis, is that there are different kind of ECC curve cryptography and their “size” it's different depending on the kind of curve:

ECC Curves over Prime Field (often referred as Elliptic Curve and represented by P-keysize )
ECC Curves over Binary Field (often referred as Koblitz Curve and represented by K-keysize )

Given a security strength equivalence the Elliptic Curve and the Kobliz Curve have different key size, for example when we read ECC 571 we are referring to Koblitz Curve with an equivalent strength to ECC 521 Prime curve.

A comparison of strength between Elliptic Curves and Kotbliz Curves is reported below (from Mikey ECC internet Draft ):

| Koblitz | ECC | DH/DSA/RSA
| 163 | 192 | 1024
| 283 | 256 | 3072
| 409 | 384 | 7680
| 571 | 521 | 15360

Below there's a comparison of all selected curves by all the various entities and their respective name (from IETF RFC4492 for ECC usage for TLS ) :

Curve names chosen by different standards organizations
------------+---------------+-------------
SECG | ANSI X9.62 | NIST
------------+---------------+-------------
sect163k1 | | NIST K-163
sect163r1 | |
sect163r2 | | NIST B-163
sect193r1 | |
sect193r2 | |
sect233k1 | | NIST K-233
sect233r1 | | NIST B-233
sect239k1 | |
sect283k1 | | NIST K-283
sect283r1 | | NIST B-283
sect409k1 | | NIST K-409
sect409r1 | | NIST B-409
sect571k1 | | NIST K-571
sect571r1 | | NIST B-571
secp160k1 | |
secp160r1 | |
secp160r2 | |
secp192k1 | |
secp192r1 | prime192v1 | NIST P-192
secp224k1 | |
secp224r1 | | NIST P-224
secp256k1 | |
secp256r1 | prime256v1 | NIST P-256
secp384r1 | | NIST P-384
secp521r1 | | NIST P-521
------------+---------------+-------------

What immediately appear is that there are only two curves selected by all authorities, and that there is a general dumping of koblitz curves by ANSI.The only commonly agreed among the 3 authorities are the following two ECC curve:

secp192r1 / prime192v1 / NIST P-192
secp256r1 / prime256v1 / NIST P-256

Of those selection of ECC curve for TLS the RFC5430 skipped completely koblitz curves and selected for usage only:

P-256, P-384, P-521

The ECC Brainpool skipped completely Koblitz curves and selected for usage the following ECC Curves:

P-160, P-192, P-224, P-256, P-320, P-384, P-512 ( that's the only particular because it's not P-521 but P-512, the only key-size referred by ECC brainpool. Tnx Ian Simons from Athena SCS )

The OpenPGP internet draft for ECC usage in PGP d raft-jivsov-openpgp-ecc-06 skipped completely Koblitz curves and selected the following ECC curves

P-256, P-384, P-521

The Kerberos protocol extension for ECC use, defined in RFC5349 and defined by Microsoft for smartcard logon skipped completely Koblitz curves and selected the following ECC curves:

P-256, P-384, P-521

So, sounds clear that the right selection of ECC is for P-256, P-384 and P-521 while the Koblitz curve have been skipped for Top Secret use and for any security sensitive protocol (IPSec, OpenPGP, ZRTP, Kerberos, SSL/TLS).

Why i made this analysis?

I have done this analysis following a discussion i had regarding certain voice encryption products, all based on custom and proprietary protocols, that are all using Elliptic Curve Diffie Hellman 571 bit / ECDH 571 / 571-bit ECDH / Koblitz 571 bits .
All them are using the K-571 that, as described before, has been removed from all security sensitive environment and protocols and being myself a designer of voice encryption stuff i think that their cryptographic choice is absolutely not the best security choice.
Probably it has been done just for marketing purpose, because K-571 (Koblitz curve) seems stronger than P-521 (Elliptic curve based on Prime number). If you have “more bit” your marketing guys can claim to be “more secure”. Koblitz elliptic curve are faster than the top secret enabled prime elliptic curve and so give the product manager a chance to provide “more bit” in it's own product while keeping the key exchange fast.

It's a matter of philosophical choice.

I prefer to follow the trend of scientific community with the humility of not to considering myself a cryptographic expert, knowledgable more than the overall security and scientific community itself.

I prefer instead to use only algorithms that are approved for use in highly sensitive environments (top secret classification), that have been selected by all the authorities and working group analyzing encryption algorithms existing out-there and that represent the choice of almost all standard security protocols (IPSec, OpenPGP, ZRTP, Kerberos, SSL/TLS, etc).
I prefer to count the amount of brains working on the crypto i use, that check that's really secure, that evaluate whether there's some weakness.

The number of brais working on Crypto widely diffused are of order of magnitude more than the number of brains working on crypto used by just few people (like Koblitz curve).
So i am not demonizing who use ECDH 571 using Koblitz Curve, but for sure i can affirm that they did not taken the best choice in terms of security and that any security professionals doing a security benchmarking would consider the fact that Elliptic Curve Diffie Hellman 571 bit done with Koblitz Curve is not widely diffused, it's dumped from standard security protocols and it's not certified for top secret use.

Tags encryption , voicesecurity , zrtp | Comments (3)

security technology

ESSOR, European Secure Software Defined Radio (SDR)

25 September 2010 – 9:18 pm

I had a look at European Defense Agency website and found the ESSOR project, a working project funded for 106mln EUR to develop strategic defense communication products based on new Software Defined Radio approach.

SDR approach is a revolutionary system that's completely changing the way scientist and industry is approach any kind of wireless technology.

Basically instead of burning hardware chip that implement most of the radio frequency protocols and techniques, they are pushed in “software” to specialized radio hardware that can work on a lot of different frequency, acting as radio interface for a lot of different radio protocols.

For example the USRP (Universal Software Radio Peripheral) from Ettus Research that cost 1000-2000USD fully loaded, trough the opensource GnuRadio framework, have seen opensource implementation of:

And a lot more protocols and transmission technologies.

That kind of new approach to Radio Transmission System is destinated to change the way radio system are implemented, giving new capability such as to upgrade the “radio protocol itself” in software in order to provide “radio protocol” improvements.

In the short terms we have also seen very strong security research using SDR technologies such as the GSM cracking and the Bluetooth Sniffing .

We can expect that other technologies, weak by design but protected by the restriction to hardware devices to hack the low level protocols, will be soon get hacked. In the first list i would really like to see the hacking of TETRA, a technology born with closed mindset and secret encryption algorithms, something i really dislike ;-)

Tags hacking , mobile | Comment (0)

управление на бизнеса

Продуктов мениджмънт и организация

12 September 2010 – 8:52 pm

Имах по-добро разбиране на концепциите, ролите и задълженията, свързани с Продуктов мениджмънт и управление на продуктовия маркетинг в софтуерни компании, защо са необходими, които са разликите и как те се вписват вътре в организационната структура.

Most person i know never interested into this specific area of work, but when you want to be a product company (and not a consulting or solution company), you start having different products on different platforms for different target customers sold trough different channels with different pricing with a installation/different delivery process and that complexity must be managed in the proper way.

Вие разбирате, че за да се позволи на продукта на дружеството расте в правилната посока, трябва да организират дейности за продукти за управление на официално, а не затваряне на ума си, твърди роли на организация като маркетинг, продажби, R & D.

Когато говорим за "Продуктово управление, аз препоръчвам четене на осветителната стратегическата роля на "Продуктово управление (ръководен от пазара фокус води компании да изградят продукти, хората искат да купуват), които се изяснят много неща, дори и ако Outlook нето разделяне на роли в продуктовия мениджмънт, нещо тона шапка е твърде тежък за малка фирма като стартиране.

Все още я предостави диференциране на задълженията между Продуктов мениджмънт и маркетинг на продуктите.

Добро разбиране на продукта за управление, свързани стартиране и дадена в статията Създаване на Продуктов мениджмънт при стартиране показва различен случай, свързан с ролята на продукта мечтател в компанията.

Той въведе по отношение главен изпълнителен директор на продукта, в смисъл, че на задълженията за управление на продуктови около на различни функция организация чрез осигуряване на фокус и усилия, където е необходимо това, независимо от факта, че функцията по вътрешен изисква повече усилия за развитие, маркетинг, продажби или съобщението. That's means practically enhancing the product vision as it's needed across all major product-related functions making the vision corporate-wide coherent.

Едно добро представяне на продукт, управлението и дейността на продукти на пазара се описва добре с диференциацията между стратегическото си, технически и маркетинг сектор и не е ясно разделени между мениджмънт, маркетинг и продажби и R & D:

I read that product manager background and knowledge are different depending on the company focus ( where does product management belong in the organization? ):

B2C -> маркетингов опит
B2B -> технически опит

Един осветяване (за мен) и много важно диференциация по отношение на задълженията за управление на продуктови е диференциацията между:

Product Management
Product Marketing

The specific duties belonging to Product Marketing vs Management are greatly explained in Role Definitions For Product Management and Product Marketing that i suggest to read, letting you to better define tasks and responsibilities across your organization. Той също така предоставя добра дефиниция на изискванията за длъжността, ако трябва да се търси тази цифра!

В същото време, че е важно да се разбере какво не е продукт за управление, ефективно управление на продукта не е просто функция на приоритетите .

At the same time it's important to understand which professional figure is NOT itself a product manager:

Продуктов мениджър не е маркетинг мениджър - докато продуктовия мениджмънт обикновено се наблюдава като маркетингов дисциплина, маркетинг са фокусирани на маркетингов план и обикновено не са управление на цялостната посока на продукта. В този контекст обаче би могла да се намери мениджър продуктов маркетинг, това е ръцете на пускането на пазара на продукта, особено в малка организация.

Продукт мениджър не е мениджър по продажбите - мениджър продажби за намиране как да се продаде един продукт, след която продажбите методология, техника и канали и те биха могли да карам на компанията от един пазарно-ориентирана компания (продукт), ориентирани към клиента компания (разтвор и Consulting)

Product manager is not a developer – Developers are focused on the technology and not the overall product. Някои големи продуктови мениджъри са бивши програмисти, но е трудно да се направи и двете едновременно. There is a natural tension between developers and product managers that should be maintained to create a balanced product.
Продукт мениджър не е софтуерен мениджър - мениджър на софтуера е функционален мениджър и обикновено не е фокусиран върху продукта или на клиентите.
Product manager is not a project manager – project managers are about how and when, while the product manager is about what. Project managers work closely with product managers to ensure successful completion of different phases in the product life cycle.

Типичните продукти за управление на дейностите може да бъде в крайна синтез, обобщени, както следва:

Стратегия: Планиране на продуктовата стратегия
Technical: leading product developments
Маркетинг: предоставяне на продукти и техническо съдържание
Продажби: предоставяне на информация преди продажбата подкрепа и да работят ефективно с продажбите

Продуктов мениджмънт, така че това не е точно развитие, не е точно маркетинг, това не е точно на продажбите, така че обикновено това е трудно да се идентифицират ", където тя трябва да остане вътре в организационната структура (това е дори трудно да се разбере, което е необходимо)?

Силиконовата долина група продукти, осигуряват хубав поглед по отношение на структурата на продукта организация, като посочва кои са предимствата и рисковете на няколко избора. Still the Cranky Product Manager say that It doesn't matter where the product manager live in the organization .

Това е от значение да внимавате да не са лица, които са твърде много технически или твърде много продажби ориентирани, за да се запълни празнината между различните организация. Too much fragmentation of assigned duties across the organization may lead to bureaucracy, too much duties on one person may lead to ineffective implementation of needed tasks in some area and to a internal competition perception respect to the traditional roles.

Проверете има един много хубав резюме на професионалист с практически опит в управление на продукта (това е; половин Techie / половин маркетинг момчета).

Ах! Друг много често срещано недоразумение е да обърка маркетинг с комуникация, където AI намери толкова добро определение за търговия, че наистина ми харесва и да разберат за строга взаимовръзка с продуктов мениджмънт:

Marketing is know the market so well that the product sell itself

But what happen when you don't handle a product management and product marketing management process in a defined way?

A nice story is shown as example in The strategic role of Product Management :

Your founder, a brilliant technician, started the company years ago when he quit his day job to market his idea full time. Той създал продукт, който той просто знаех, че други хора е необходимо. И той е прав. Много скоро той изнесе достатъчно на продукта и нае най-добрият му приятел от колежа като вицепрезидент на продажбите. И компанията нараства. But before long, the VP of Sales complained, “We're an engineering-led company. We need to become customer-driven.” And that sounded fine. Освен ... като че ли всеки нов договор да се изисква работа с материали на клиента. Можете подписаха десетина клиенти в на дузина пазарни сегменти и гласа на последните клиента винаги доминира продуктовите планове. Ти стигна до заключението, че "клиентите задвижва" означава "задвижва от последната клиента" и че не може да бъде право.

Ако искате да сте в компания, продукт, това е от значение точно да следва стратегия, задвижвана по продуктов маркетинг и мениджмънт, а не от продажбите.

Объркване между функциите на продуктовия мениджмънт / маркетинг и продажби, може да доведе до неуспешен продукт на компанията, които не са в състояние да продължи в рамките на тяхната стратегия, просто защото те все възможности, които движат бизнеса на обхвата.

A product company must invest in it's own product development and marketing in order to let sales activity stay focused and guarantee that the organization is every day more effective on the market.

След това четене, моето разбиране е, че е уместно да се установи как да се създаде набор от гъвкава бизнес процес, за това как да се справя с различните продуктови управление и задълженията на продукти на пазара, които ги отделят от продажби.

Comment (0) Етикети бизнес , управление , маркетинг | Коментар (0)

interception Privacy security

Remotely intercepting snom VoIP phones

10 September 2010 – 11:08 am

I suggest reading remotely tapping VoIp phones ” on VoIP Security Alliance Blog by Shawn Merdinger .

A concrete example on how current telephony infrastructure are getting more vulnerable to cyber attacks.

Tags hacking , Privacy , voicesecurity | Comment (0)

interception Privacy security technology

Гласова комуникация сигурност семинар

26 August 2010 – 12:04 pm

Здравейте,

Направих лекция за гласова комуникация, технологии за сигурност в Университета в Тренто, след интересен обмен на информация с Crypto Lab успя проф. Масимилиано Сала .

Предлагам на заинтересованите хора, да го прочете, особено втората част, тъй като има иновативен категоризация на различните технологии за криптиране, които се използват в няколко сектора на глас.

Опитах се да обясни и да се махаме от тази широко фрагментирана технологичния сектор чрез предоставяне на широк поглед върху технологии, които обикновено са абсолютно несвързани един от друг, но на практика всички те се прилагат за гласово криптиране, след тази категоризация:

Мобилни ТСХ индустриални стандарти за гласово криптиране
Правителствени и военни стандарти за криптиране на гласови
Обществените стандарти за безопасност за криптиране на гласови
IETF гласови стандарти за криптиране
Други патентовани технологии за криптиране на гласови

Това е огромен slideware, 122 слайдове, предлагам да отида четене на 2-ра част прескочите прихващане технологии за преглед, които вече са обхванати от представянето ми на 2009 г..

Гласова комуникация сигурност

Вижте още презентации от Фабио Pietrosanti .

Особено ми харесва концепцията на Chocolate клас криптиране, които искат да се дадат някои иновации на Snake Oil Encryption концепция.

Но аз трябва да получите повече в дълбочина за шоколадовата контекст, ниво на шифроване, вероятно ще направите, преди края на годината чрез предоставяне на приложен курс за разбиране и оценка на практически реалния контекст на сигурността на различни технологии за криптиране на гласови.

Comment (0) Етикети криптиране , мобилни , Уединение , voicesecurity | Коментар (0)

Слава технология за сигурност

27C3 - CCC конгрес ОПОР: Идваме в мир

15 август 2010 г. - 08:39 ч.

Ние идваме с мир

Ние идваме с мир, заяви, завоеватели на Новия свят.

Ние идваме с мир, заяви, че правителството, когато става дума да колонизират, регулиране, и militarise новия дигитален свят.

Ние идваме с мир, да кажем на държавата-нация средни предприятия, които са предвидени да монетаризира верига на мрежата и на потребителите с техните лъскави нови устройства.

Ние идваме с мир, ние казваме, като хакери, отрепки и маниаци, когато тръгнах към реалния свят и да се опитаме да я променим, тъй като тя е внедрени в нашия естествен хабитат, в киберпространството ...

Покана за хартия за участие в МКО конгрес 27C3 е отворена, и никога не съм виждал толкова вълнуващ финал :-)

Ще се видим на 30 декември 2010 г. в Берлин!

Comment (0) Етикети хакерски | Коментар (0)

интелигентност прихващане Защита на технология за сигурност

GSM напукване в методологии тест за проникване (OSSTMM)?

23 юли 2010 г. - 08:16 ч.

Тъй като повечето от четеца този блог вече знаете, в последните години имаше много на дейности, свързани с публичните изследвания за одит GSM и напукване.

Въпреки това, когато имаше огромно медийно покритие на кракване на резултатите от научните изследвания на GSM, инструменти, за да крекинг беше наистина ранен етап и все още много неефективно.

Франк Стивънсън , норвежки cryptanalyst, че вече счупи съдържание кодиране система на видео DVD диск, участващи на крекинг A51 Проектът стартира от Карстен Nohl , освободен Kraken , нова подобрена версия на крекинг A51 система.

Интересно е да забележите, че WiFi крекинг имаше подобна история, като първата WiFi WEP крекинг откритие беше доста бавен в по-ранните техники, но по-късно Korek, един хакер, който работи на напукване код, подобряване на системата за атака drammatically.

Това е историята на сътрудничеството за изследване на сигурността, да започнете проучване, някой да го следват и да го подобрява, някой друг го последва и го подобри и в края получи резултата.

Прочетете повече на Kraken освобождаване на GSM крекинг софтуер .

And stay tuned as next week at Blackhat Conference Karsten Nohl will explain the details of the required hardware setup and detailed instructions on how to do it :-)

I would really like to see those tools incorporated into Penetration Testing Linux Distribution BackTrack with OSSTMM methodology enforcing the testing of GSM interception and man in the middle :-)

If things proceed that way and Ettus Research (The producer of USRP2 software radio used for low cost GSM signal receiving) will not be taken down, we can still see this.

Tags encryption , hacking , Privacy , voicesecurity | Comments (2)

business management Privacy security technology

Змия масло сигурност вземанията от криптографски продукт за сигурност,

19 юли 2010 г. - 21:33

Пазар за сигурност расте, все повече компании се отива на пазара, но колко от тях се приемат насериозно това, което правят?

You know, doing security technology mean that you are personally responsible for the protection of the user's information. Вие трябва да ги знаят от какво имат нужда, какво точно правят и какъв вид модел на заплаха вашия продукт защитава.

A typical problem of product's security features is represented by the inability of the user to evaluate the security claims of the product itself.

Така че има много компании, които правят не-толкова-етичен маркетинг от функции за сигурност, въз основа на фактите, че нито един потребител ще бъде в състояние да го оцени.

The previously explained situation reside in the security topic of Snake Oil Encryption , an evolution in the scientific cryptographic environment that let us today use best of breed information protection technologies without having to worry too much about backdoors or insecurities.

Да се говори за Encryption Snake Oil

Змия Криптографията масло : В криптографията , змия масло е термин, използван да се опише търговски криптографски методи и продукти, които се считат за фалшиви или измамни. Различаване сигурна криптография от несигурни криптография може да бъде трудно от гледна точка на потребителя. Many cryptographers, such as Bruce Schneier and Phil Zimmermann , undertake to educate the public in how secure cryptography is done, as well as highlighting the misleading marketing of some cryptographic products.

Най-сочените крипто сигурност гуру Филип Цимерман и Брус Шнайер, е първа да се говори за Encryption Snake Oil:

Змия масло от Филип Цимерман

Змия масло от Брус Шнайер

Мичиган телекомуникации и технологии Law Review също направи много добър анализ, свързани с функциите за защита на продуктите за сигурност, Змия-Oil сигурност твърди, че "системно изопачаване на продукт за сигурност . Те обясняват за гадни трикове за пускане на пазара, използвани за ощипвам невъзможността на потребителите да се оцени характеристики за сигурност, включително икономическото и правното отговорност косвено.

Very famous is the sentence of Russ Nelson : Няколко змии петролните компании продукт за сигурност, не може да обясни и не са ясни за заплахата, която е модел на продукта, се отнасят много известен, е присъдата на Ръс Нелсън :

"Не забравяйте, че на крипто без заплаха модел е като" бисквитки "без мляко. ….. Cryptography without a threat model is like motherhood without apple pie. Не мога да кажа, че достатъчно пъти. По-общо казано, сигурността без заплаха модел, е по дефиниция да се провали. "

Така че, как да се място на продукти за сигурност на петрола на змия?

Проверете насока на място Змия петролни продукти шифроване: Змия на петрола предупредителни знаци, софтуер за криптиране, за да се избягват от Мат Къртин .

Можете да видите това много добри примери на петрола Змия криптографски от Emility Ratliff (IBM архитект на Linux за сигурност), че се опитаха да направят ясен пример за това как да забележи Snake Cryptographic масло.

Тук представлява основната насока от Мат Къртин хартия:

Компаниите, които твърдят, че ни се доверите, ние знаем какво правим "
Companies that invent new technology terms without even explaining the innovation, called Technobabble
Продукт, който използвате не обществени протоколи, както и на собственост и тайно алгоритми
Компанията, които претендират, че са изобретили нов тип криптография или революционна пробиви
Companies that present Useless Certification and supposed Independent Evaluation without any security value
Продукт, че твърдят, че са Unbreakabl електронна
Companies that claim other products are insecure with fake and artificial evidence
Компаниите, които твърдят, че тяхната система е военен клас , докато всички знаем, че днес криптография в гражданския сектор, управление на иновациите
Product that have Unsubstantiated bit claims (like 16384 bit or 46080 bit encryption and authentication of sessions)

Чрез проверка, че точки е възможно да се оцени колко сериозни една технология за криптиране или продукт.

But all in all how to fix that unethical security approach?

Това е много сигнификативното и би било наистина полезно за всеки вид от категория продукт за сигурност, за да направи някои силно и независима оценка насока (като OSSTMM за проникване тестване), за да направи този процес по оценяване на сигурността на наистина в ръцете на потребителя.

Би било много хубаво да има някой, анализ и оценка на компании за продукти за сигурност, публикуване на доклади за признаци змия масло.

Tags business , encryption , management , marketing , policy , Privacy , voicesecurity | Comments (3)

intelligence Privacy security technology

Web2.0 поверителност теч в мобилни приложения

17 July 2010 – 9:02 am

You know that web2.0 world it's plenty of leak of any kind (profiling, profiling, profiling) related to Privacy and users starts being concerned about it.

Users continuously download applications without knowing the details of what they do, for example iFart just because are cool, are fun and sometime are useful.

On mobile phones users install from 1000% up to 10.000% more applications than on a PC, and those apps may contain malware or other unexpected functionalities.

Recently infobyte analyzed ubertwitter client and discovered that the client was leaking and sending to their server many personal and sensitive data such as:

- Blackberry PIN

- Phone Number

- Email Address

- Geographic positioning information

Read about UbertTwitter 'spyware' features discovery here by infoByte .

It's plenty of applications leaking private and sensitive information but just nobody have a look at it.

Should mandatory data retention and privacy policies became part of application development and submission guideline for mobile application?

Imho a users must not only be warned about the application capabilities and API usage but also what will do with which kind of information it's going to handle inside the mobile phone.

Capabilities means authorizing the application to use a certain functionalities, for example to use GeoLocation API, but what the application will do and to who will provide such information once the user have authorized it?

That's a security profiling level that mobile phone manufacturer does not provide and they should, because it focus on the information and not on the application authorization/permission respect to the usage of device capabilities.

ps yes! ok! I agree! This kind of post would require 3-4 pages long discussion as the topic is hot and quite articulated but it's saturday morning and i gotta go!

Tags hacking , mobile , policy , Privacy | Comment (0)

Privacy security technology

AES algorithm selected for use in space

8 July 2010 – 12:37 pm

I encountered a nice paper regarding analysis and consideration on which encryption algorithm it's best suited for use in the space by space ship and equipments.

The paper has been done by the Consultative Committee for Space Data Systems that's a consortium of all space agency around that cumulatively handled more than 400 mission to space .

Read the paper Encryption Algorithm Trade Survey as it gives interesting consideration and comparison between different encryption algorithms.

Obviously the finally selected algorithm is AES , while KASUMI (used in UMTS networks) was avoided.

Tags encryption , Privacy | Comment (0)

business intelligence interception Privacy security technology

Blackberry Security and Encryption: Devil or Angel?

7 July 2010 – 10:39 pm

Blackberry have good and bad reputation regarding his security capability, depending from which angle you look at it.

This post it's a summarized set of information to let the reader the get picture, without taking much a position as RIM and Blackberry can be considered, depending on the point of view, an extremely secure platform or an extremely dangerous one .

Let's goes on.

On one side Blackberry it's a platform plenty of encryption features, security features everywhere, device encrypted (with custom crypto), communication encrypted (with custom proprietary protocols such as IPPP), very good Advanced Security Settings, Encryption framework from Certicom ( now owned by RIM ).

On the other side they does not provide only a device but an overlay access network, called BIS ( Blackberry Internet Service ), that's a global worldwide wide area network where your blackberry enter while you browse or checkmail using blackberry.net AP.

When you, or an application, use the blackberry.net APN you are not just connecting to the internet with the carrier internet connection, but you are entering inside the RIM network that will proxy and act as a gateway to reach the internet.

The very same happen when you have a corporate use: Both the BB device and the corporate BES connect to the RIM network that act as a sort of vpn concentration network .

So basically all the communications cross trough RIM service infrastructure in encrypted format with a set proprietary encryption and communication protocols.

Точно както известие, мисля, че Google да предостави на Gtalk над blackberry.net APN, направи споразумение с цел да предлагат услуги в рамките на мрежата на BB на ББ потребители. Когато инсталирате, Gtalk ви се добавят 3 книжки , които сочат към GTALKNA01, това е името на шлюз Gtalk вътре в мрежата на RIM да позволи комуникация в рамките на BIS и да действа като шлюз на Gtalk до интернет.

Мобилните оператори обикновено дори не се разрешава да инспектира трафика между BlackBerry устройството и в мрежата на Blackberry.

Така RIM и Blackberry са някак си уникален за своя подход като те осигуряват една платформа, мрежа и служебно всички в пакет заедно и вие не може просто "да получите на устройството и софтуера", но на потребителя и корпоративния са винаги обвързани и свързани с услугата мрежа.

Това е добро и това е лошо, защото това означава, че RIM предоставят изключително добри характеристики за сигурност и възможности за защита на информацията, устройството и достъп до информация на различни ниво срещу трета страна.

Но винаги е трудно да се направи оценка на заплахите и риска, свързани с RIM себе си и който може да направи политически натиск срещу RIM.

Моля, помислете, че аз не казвам "RIM гледате вашите данни", но се направи обективен анализ на риска: как се прави на платформата RIM имат орган на устройството, на информация относно устройството и на информацията, които пресичат мрежа. (Прочетена Мобилният ми слайдове в областта на сигурността ).

Например, нека да разгледаме същия контекст за телефони на Nokia.

След като се продава устройство на Nokia, Nokia не имат власт върху устройството, нито на информация за устройството, нито на информацията, които пресичат мрежата. Но е вярно също, че Nokia устройството и да не предоставя услуги с добавена стойност, като предприятието интеграция (RIM VPN тунел), мрежата за достъп до BIS и всички локални и отдалечени провизираните характеристики за сигурност, че Blackberry предоставят.

Така че е въпрос на разглеждане контекста на риска по подходящ начин при избора на платформа, с един пример, много подобен на избора на Microsoft Exchange Server (по своя собствена услуга) или дали да се SaaS услуга като Google Приложения.

И в двата случая трябва да се доверят на доставчика, но в първия пример, трябва да се доверите на "Майкрософт", който не излага на задната врата на софтуера, а в 2-ри пример трябва да се доверят на Google, като платформа и доставчик на услуги, че не достъп вашата информация.

Така че това е различна парадигма, да бъдат оценявани в зависимост от модела на вашата заплаха.

Ако вашият модел заплаха нека ли, че RIM като доверен трета страна доставчик на услуга (подобно на Google), отколкото това е ОК. Ако имате много висок риск контекст, като свръхсекретна, а след това нека да разгледа и оцени внимателно, дали не е по-добре да запази Blackberry услугата напълно изолирани от устройството или да използвате друга система без взаимодействие с производителя на сървъри и услуги.

Сега, нека да се върнем към някои изследвания и някои факти за BlackBerry и къпина сигурност себе си.

First of all several governments had to deal with RIM in order to force them to provide access to the information that cross their service networks while other decided to directly ban Blackberry usage for high officials because of servers located in UK and USA, while other decided to install their own backdoors.

Russian Secret Services (FSB) reach an agreement with RIM and now FSB can eavesdrop Blackberry email and web traffic in Russia
French Government banned Blackberry for use by Government officials and also replaced the device for voice encryption use
Indian government made pressure on RIM to reduce encryption capabilities and later announced that they have cracked blackberry encryption . A summary on India-RIM story by Bruce Schneier .
United Arab Emirates (UAE) Etisalat operator tried to silently install a government spyware on all country blackberry but they got caught
USA National Security Agency initially prohibited Obama to use Blackberry for his presidential works giving him a Sectera Edge Secure Phone , after 2 years they managed to secure it with a custom encryption layer done specifically by NSA and allowed Obama to use a custom secured blackberry

There's a lot of discussion when the topics are RIM Blackberry and Governments for various reasons.

Below a set of official Security related information on RIM blackberry platform:

Official Security Knowledgebase on RIM website
Blackberry Internet Service security features
Wireless Data Security

And here a set of unofficial Security and Hacking related information on RIM Blackberry platform:

Hackish blackbox security analysis by FX of Phenoelit : Analysing Complex Systems – The Blackberry case
Accessing corporate intranets trough Blackberry BBProxy Hack
Blackberry Master Control Program little bit of hacking
How to bypass Blackberry IT Policy
Blackberry Reversing research (mostly by Dr Bolsen, however no one have ever decompiled and published the whole RIMOS)
- Bypassing Blackberry COD Signature

Because it's 23.32 (GMT+1), i am tired, i think that this post will end up here.

I hope to have provided the reader a set of useful information and consideration to go more in depth in analyzing and considering the overall blackberry security (in the good and in the bad, it always depends on your threat model!).

Наздраве

Fabio Pietrosanti (naif)

ps i am managing security technology development (voice encryption tech) on Blackberry platform, and i can tell you that from the development point of view it's absolutely better than Nokia in terms of compatibility and speed of development, but use only RIMOS 5.0+ !

Tags business , encryption , hacking , mobile , Privacy | Comments (3)

Kudos security

Celebrating “Hackers” after 25 years

1 July 2010 – 8:25 am

A cult book , ever green since 25 years.

It's been 25 years since “Hackers” was published. Author Steven Levy reflects on the book and the movement.

http://radar.oreilly.com/2010/06/hackers-at-25.html Steven Levy wrote a book in the mid-1980s that introduced the term "hacker" -- the positive connotation -- to a wide audience. In the ensuing 25 years, that word and its accompanying community have gone through tremendous change. The book itself became a mainstay in tech libraries.O'Reilly recently released an updated 25th anniversary edition of "Hackers," so I checked in with Levy to discuss the book's development, its influence, and the role hackers continue to play.

Tags hacking | Comment (0)

Privacy security technology

Botnet for RSA cracking?

30 June 2010 – 2:29 pm

I read an interesting article about putting 1.000.000 computers, given the chance for a serious botnet owner to get it, to crack RSA.

The result is that in such context attacking an RSA 1024bit key would take only 28 years, compared to theoretical 19 billion of years.

Reading of this article , is extremely interesting because it gives our very important consideration on the cryptography strength respect to the computation power required to carry on cracking attempt, along with industry approach to “default security level”.

I would say a must read .

Tags encryption , Privacy | Comment (0)

technology

Patent rights and opensource: can they co-exist?

27 June 2010 – 12:11 pm

How many of you had to deal with patented technologies?

How many of the patented technologies you dealed with was also “secrets” in their implementation?

Well, there's a set of technologies whose implementation is open source ( copyright) but that are patented ( intellectual property right) .

A very nice paper about the topic opensource & patents that i suggest to read is from Fenwick & West and can be downloaded here (pdf) .

Коментар (0)

business cyberwarfare intelligence Privacy security technology

China Encryption Regulations

16 June 2010 – 1:11 pm

Hi all,

i found this very interesting paper on China Encryption Import/Export/Domestic Regulations done by Baker&Mckenzie in the US.

It's strongly business and regulatory oriented giving a very well done view on how china regulations works and how it may behave in future.

Read here Decrypting China Encryption's Regulations (form Bakernet website) .

Tags business , cyberwarfare , encryption , Privacy , voicesecurity | Comment (0)

security

IOScat – a Port of Netcat to Cisco IOS

13 June 2010 – 3:25 pm

A porting of famous netcat to Cisco IOS router operating system: IOSCat

The only main limit is that it does not support UDP, but that's a very cool tool!

A very good txt to read is Netcat hacker Manual .

Tags hacking | Comment (0)

cyberwarfare intelligence interception security

(Стар) Crypto AG случай и някои мислене за него

7 юни 2010 г. - 18:40

In the '90, closed source and proprietary cryptography was ruling the world.

That's before open source and scientifically approved encrypted technologies went out as a best practice to do crypto stuff.

I would like to remind when, in 1992, USA along with Israel was, together with switzerland, providing backdoored (proprietary and secret) technologies to Iranian government to tap their communications, cheating them to think that the used solution was secure , making also some consideration on this today in 2010.

caq63crypto.t.jpg

That's called The Crypto AG case , an historical fact involving the United States National Security Agency along with Signal Intelligence Division of Israel Ministry of Defense that are strongly suspected to had made an agreement with the Swiss cryptography producer company Crypto AG .

Basically those entities placed a backdoor in the secure crypto equipment that they provided to Iran to intercept Iranian communications.

Their crypto was based on secret and proprietary encryption algorithms developed by Crypto AG and eventually customized for Iranian government.

You can read some other facts about Crypto AG backdoor related issues:

The demise of global telecommunication security

The NSA-Crypto AG sting

Breaking codes: an impossible task? By BBC

Der Spiegel Crypto AG (german) article

Now, in 2010, we all know and understand that secret and proprietary crypto does not work.

Just some reference by top worldwide cryptographic experts below:

Secrecy, Security, Obscurity by Bruce Schneier

Just say No to Proprietary cryptographic Algorithms by Network Computing (Mike Fratto)

Security Through Obscurity by Ceria Purdue University

Unlocking the Secrets of Crypto: Cryptography, Encryption and Cryptology explained by Symantec

Time change the way things are approached.

I like very much the famous Philip Zimmermann assertion:

“Cryptography used to be an obscure science, of little relevance to everyday life. Historically, it always had a special role in military and diplomatic communications. But in the Information Age, cryptography is about political power, and in particular, about the power relationship between a government and its people. It is about the right to privacy, freedom of speech, freedom of political association, freedom of the press, freedom from unreasonable search and seizure, freedom to be left alone.”

Any scientist today accept and approve the Kerckhoffs' Principle that in 1883 in the Cryptographie Militaire paper stated:

The security of a cryptosystem should not depend on keeping the algorithm secret, but only on keeping the numeric key secret.

It's absolutely clear that the best practice for doing cryptography today obbly any serious person to do open cryptography, subject to public review and that follow the Kerckhoff principle.

So, what we should think about closed source, proprietary cryptography that's based on security trough obscurity concepts?

I was EXTREMELY astonished when TODAY, in 2010, in the age of information society i read some paper on Crypto AG website.

I invite all to read the Crypto AG security paper called Sophisticated Security Architecture designed by Crypto AG of which you can get a significant excerpt below:

The design of this architecture allows Crypto AG to provide a secret proprietary algorithm that can be specified for each customer to assure the perfect degree of cryptographic security and optimum support for the customer's security policy. In turn, the Security Architecture gives you the influence you need to be fully independent in respect of your encryption solution. You can determine all areas that are covered by cryptography and verify how the algorithm works. The original secret proprietary algorithm of Crypto AG is the foundation of the Security Architecture .

I have to say that their architecture is absolutely good from TLC point of view. Also they have done a very good job in making the design of the overall architecture in order to make a tamper-proof resistant crypto system by using dedicated crypto processor .
However there is still something missing:

T he overall cryptographic concept is misleading, based on wrong encryption concepts .

You may think that i am a troll telling this, but given the history of Crypto AG and given the fact that all the scientific and security community does not approve security trough obscurity concepts , it would legitimate to ask ourself:

Why they are still doing security trough obscurity cryptography with secret and proprietary algorithms ?

Hey, i think that they have very depth knowledge on telecommunication and security, but given that the science tell us not to follow the secrecy of algorithms, i really have serious doubt on why they are still providing proprietary encryption and does not move to standard solutions (eventually with some kind of custom enhancement).

Tags cyberwarfare , encryption , policy , voicesecurity | Comment (0)

cyberwarfare intelligence security

Missiles against cyber attacks?

7 June 2010 – 5:40 pm

The cyber conflicts are really reaching a point where war and cyberwar merge together.

NATO countries have the right to use the force against attacks on computer networks .

Tags cyberwarfare , policy | Comment (0)

business interception Privacy security technology

Mobile Security talk at WHYMCA conference

2 June 2010 – 7:56 pm

I want to share some slides i used to talk about mobile security at whymca mobile conference in Milan.

Read here my slides on mobile security .

The slides provide a wide an in-depth overview of mobile security related matters, i should be doing some slidecast about it putting also audio. Maybe will do, maybe not, it depends on time that's always a insufficient resource.

Tags business , encryption , hacking , mobile , Privacy , voicesecurity , zrtp | Comment (0)

Privacy security technology

iPhone PIN: useless encryption

1 June 2010 – 2:53 pm

I recently switched one of my multiple mobile phones with which i go around to iPhone.

I am particularly concerned about data protection in case of theft and so started having a look around about the iPhone provided protection system.

There is an interesting set of iPhone Business Security Features that make me think that iPhone is moving in the right path for security protection of the phone, but still a lot of things has to be done, especially for serious Enterprise and Government users.

For example it turned out that the iPhone PIN protection is useless and it can be broken just plugging the iPhone to a Linux machine and accessing the device like a USB stick.

That's something disturbing my paranoid mindset that make me think not to use sensitive data on my iPhone if i cannot protect my data.

Probably an iPhone independent disk encryption product would be very useful in order to let the market create protection schemas that fit the different risk contexts that different users may have.

Probably a general consumer is not worried about this PIN vulnerability but for me, working within highly confidential envirnonment such as intelligence, finance and military, it's something that i cannot accept.

I need strong disk encryption on my mobile phone.

I do strong voice encryption for it , but it would be really nice to have also something to protect the whole iPhone data and not just phone calls.

Tags encryption , hacking , mobile , Privacy , voicesecurity | Comment (0)

security Uncategorized

Who extract Oil in Iran? Business and UN sanction together

1 June 2010 – 9:21 am

I like geopolitic and i am following carefully iran issues.

I went to National Iranian Oil Company website and have seen “ Exploration & Production ” section where are listed all the companies and their country of origin that are allowed to make Exploration of oil in Iran.

On that list we find the list of countries along with the data of signing of exploration agreement:

Norway/Russia (2000)
Australia/Spain/Chile (2001)
India (2002)
China (2001)
Brazil (2004)
Spain (2004)
Thailand (2005)
China x 2 (2005)
Norway (2006)
Italy (2008)
Vietnam (2008)

Those countries's oil companies are allowed to do oil extraction in Iran and i would like to point out that Iran is the 2nd world Oil Reserve just after Saudi Arabia.

As you can see there's NO USA company doing extraction.

Of European Countries the only one doing business with IRAN are:

IRAN Norway Relationship

IRAN ITALY Relationship

IRAN SPAIN Relationship

While of the well known non-US-simpatizing countries, the one doing Oil business with Iran are:

IRAN RUSSIA Relationship

IRAN BRAZIL Relationship

IRAN China Relationship

Don't missing some Asian involvement.

IRAN India Relationship

IRAN Vietnam Relationship

As you can see Iran is doing Oil business with most big south America and Far Asia countries, with some little exception in Europe for what apply to Norway, Italy and Spain.

To me it sounds that those European countries are going to face serious trouble whether they will accept and subscribe UN sanction against Iran.

Or some of them, like Italy, are protected by the strenghtening cooperation they are doing with Russia on Energy matters?

Well, i don't know how things will end up, but it's possible the most hypocrit countries like the European ones doing business in Iran while applying Sanctions will be the only European winning in the international competition for Iran Oil (Unless France did not drop a nuclear bomb on theran ;) ).

Tags civilrights , policy | Comment (0)

Kudos Privacy security technology

Exploit code against SecurStar DriveCrypt published

25 May 2010 – 5:00 pm

It seems that the hacking community somehow like to target securstar products, maybe because hacking community doesn't like the often revealed unethical approach already previously described in this blog by articles and user's comments.

In 2004 a lot of accusation against Hafner of SecurStar went out because of alleged intellectual property theft regarding opensource codes such as Encryption 4 the masses and legal advert also against the Free and opensource TrueCrypt project .

In 2008 there was a pre-boot authentication hacking against DriveCrypt Plus posted on Full-Disclosure.

Early 2010 it was the time of the fake infosecurity research secretly sponsored by securstar at http://infosecurityguard.com (that now they tried to remove from the web because of embarrassing situation, but backup of the story are available, hacking community still wait for apologies) .

Now, mid 2010, following a research published in December 2009 about Disk Encryption software vulnerabilities made by Neil Kettle (mu-b), Security researcher at digit-labs and Penetration tester at Convergent Network Solutions , DriveCrypt was found to be vulnerable and exploitable breaking on-device security of the system and exploit code has been just released.

Exploit code reported below (thanks Neil for the code release!):

Arbitrary kernel code execution security exploit of DriveCrypt: drivecrypt-dcr.c

Arbitrary file reading/writing security exploit via unchecked user-definable parameters to ZxCreateFile/ReadFile/ WriteFile: drivecrypt-fopen.c

The exploit code has been tested against DriveCrypt 5.3, currently released DriveCrypt 5.4 is reported to be vulnerable too as it has just minor changes related to win7 compatibility. Can anyone make a double check and report a comment here?

Very good job Neil!

In the meantime the Free Truecrypt is probably the preferred choice for disk encryption, given the fact that it's difficult to trust DriveCrypt, PGP has been acquired by Symantec and there are very bad rumors about the trust that people have in Symantec and there are not many widely available alternatives.

Rumors say that also PhoneCrypt binaries are getting analyzed and the proprietary encryption system could reveal something fun…

Tags encryption , hacking , Privacy , voicesecurity | Comment (0)

interception Privacy security technology

Quantum cryptography broken

20 May 2010 – 8:15 pm

Quantum cryptography it's something very challenging, encryption methods that leverage the law of phisycs to secure communications over fiber lines.

To oversimplify the system is based on the fact that if someone cut the fiber, put a tap in the middle, and joint together the other side of the fiber, the amount of “errors” that will be on the communications path will be higher than 20% .

So if QBER (Quantum Bit Error Rate) goes above 20% then it's assumed that the system is intercepted.

Researcher at university of toronto was able to cheat the system with a staying below the 20%, at 19.7% , thus tweaking the threshold used by the system to consider the communication channel secure vs compromised.

The product found vulnerable is called Cerberis Layer2 and produced by the Swiss ID Quantique .

Some possibile approach to detect the attack has been provided but probably, imho, such kind of systems does not have to be considered 100% reliable until the technology will be mature enough.

Traditional encryption has to be used together till several years, eventually bundled with quantum encryption whether applicable.

When we will see a quantum encryption systems on an RFC like we have seen for ZRTP , PGP and SSL ?

-naif

Tags encryption , Privacy , zrtp | Comment (0)

security

FUN! Infosecurity consideration on some well known films

18 May 2010 – 8:48 pm

Please read it carefully Film that needed better infosec .

One the the review, imho the most fun one on film Star Wars :

The scene

Death star getting blown up

Infosec Analysis

Darth Vader must be heralded as the prime example of a chief executive who really didn't care about information security. The entire board was unapproachable and clearly no system testing was undertaken. The network security was so poor that it was hacked into and the designs for the death star were stolen without anyone knowing.

Even worse than that, the death star had a major design flaw where by dropping a bomb thingy into a big hole on the outside, it actually blew up the entire thing!

Darth Vader needed to employ a good Security Consultant to sit on the executive board and promise not to force choke him. Should have commissioned a full risk assessment of the death star followed by a full penetration test. Only then should the death star have been released into the production environment.

Коментар (0)

Privacy security technology

great point of view

20 April 2010 – 6:50 pm

Because security of a cryptographic system it's not a matter of “how many bits do i use” but using the right approach to do the right thing to mitigate the defined security risk in the most balanced way.

Tags encryption , Privacy , voicesecurity | Comment (0)

Privacy security technology

Encryption is not scrambling: be aware of scrambler!

20 April 2010 – 5:50 pm

Most of us know about voice scrambler that can be used across almost any kind of voice based communication technology.

Extremely flexible approach: works everything

Extreme performance: very low latency

but unfortunately…

Extremely weak: Scrambling cannot be considered secure.

Only encryption can be considered secure under the Kerckoff's principle .

So please don't even consider any kind of analog scrambler if you need real security.

Read deeply the paper Implementation of a real-time voice encryption system ” by Markus Brandau, especially the cryptoanalysis paragraph.

Tags encryption , mobile , Privacy , voicesecurity , zrtp | Comment (0)

business interception Privacy technology

SecurStar GmbH Phonecrypt answers on the Infosecurityguard/Notrax case: absolutely unreasonable! :-)

1 февруари 2010 г. - 18:04

АКТУАЛИЗАЦИЯ 20.04.2010: http://infosecurityguard.com е забранено. Notrax идентичност, стана известно, че няколко момчета в средите на гласови за сигурност не може да каже, но можете да си представите, е бил прав!) И така нашите приятели решиха да вярвам на уебсайт, защото от правна отговорност по законите на Великобритания и САЩ.

UPDATE: Nice summary of the whole story (i know, it's long and complicated to read at 1st time) on SIPVicious VoIP security blog by Sandro Gauci .

Following my discoveries, Mr. Hafner, SecurStar chief exec, tried to ultimately defend their actions, citing absolutely unreasonable excuses to The Reg instead of publicly apologizing for what they have done: creating a fake independent security research to promote their PhoneCrypt product .

Той се опита да ни убеди, че лицето зад IP 217.7.213.59, използвани от автор на infosecurityguard.com и да посочи офиса им линия DSL, е тази на хакер Notrax, чрез анонимно сърфиране услуга, а не един от своите служители в офиса им:

"SecurStar главен EXEC Вилфрид Hafner отрече контакт с Notrax. Notrax, he said, must have been using his firm's anonymous browsing service, SurfSolo, to produce the results reported by Pietrosanti”

Да отразяват момент на това изречение ... Дали наистина една хакер търсят анонимност прекара 64 EUR да купуват тяхната анонимност сърфиране услуга, наречена surfsolo вместо да се използва за безплатно и много по-сигурно TOR (на лук рутер) ? Тогава нека, отразява това друга част на информация:

IP 217.7.213.59 е SecurStar GmbH офис DSL линия
На 217.7.213.59 те са инсталирани VoIP / Asterisk PBX и интернет портал
Те насърчават тяхната анонимни прокси услуга за "Anonymous P2P употреба" ( http://www.securstar.com/products_ssolo.php ),. Кой ще позволи на потребителите да правят p2p от офиса линия DSL, където те са инсталирани тяхната корпоративна VoIP PBX? Ако го направите VoIP ви не може да нека трета страна наводнение вашата линия w / P2P трафик, вашите телефонни разговори ще стана очевидно ненадеждни (да, да, можете да направите QoS, но не би поставила анонимни прокси за навигация на вашата фирма, офис DSL линия ...).
Коя компания анонимен навигационна услуга, никога няма да използват собствения си офис адрес? Само си помислете колко пъти сте би полицията чукат на вратата ви и вашите служители, като главните заподозрени. (В миналото бях свикнал да стартирате Tor възел, аз знам, рисковете ...). Също така мисля, колко пъти вие ще откриете себе си в черния списък на Google като шпионски софтуер бот.
Г-н Hafner също казва, "Ние имаме два милиона души, които да използвате този продукт. Или той може да е стар наш клиент ". 2 млн. потребители на DSL линия, всъщност?
Аз не използвате Surfsolo услуга, но техните пълномощни са най-вероятно тези видове:

surfsolo.securstar.net – 67.225.141.74

surfsolo.securstar.com - 69.16.211.133

Честно казано, мога лесно да се разбере, че г-н Hafner ще правя каквото може да се защити компанията си от скандала, но "анонимни прокси" извинение е най-малко подозрително.

Как факта, че "независими изследвания" е семантично продукт преглед PhoneCrypt, заедно с откритието, че авторът идва от на GmbH офиси SecurStar на IP адрес, заедно с анонимността на този Notrax момче (SecurStar призовава го "добре позната ИТ сигурността професионален "в прессъобщение си ..) звук за вас?

Възможно е, че Земята ще получите атака от космоса, че ще ходи да унищожи живота ни?

Статистически изключително трудно, но да, възможно. Повече или по-малко като "анонимни прокси" история, разказана от г-н Hafner за покриване на факта, че те са тези, които стоят зад за infosecurityguard.com фалшив "независим преглед на сигурността".

Хей, аз не се нуждаят от нещо друго, за да се убедя, или да оставите умен човек собствените си мисли по този въпрос.

Просто мисля, че най-добрият начин за SecurStar, за да се измъкнем от тази каша вероятно ще бъде да се предоставят публични извинения за хакерски общност за злоупотреба с името и репутацията на истински независими изследвания на сигурността, в името на маркетингов трик.

С уважение,

Fabio Pietrosanti

PS Аз съм в момента чака за някои други Infos, че по-точно ще потвърди, че това, което казва г-н Hafner не е вярно. Stay tuned.

Tags business , encryption , hacking , marketing , Privacy , voicesecurity | Comment (0)

business interception Privacy security

Evidence that infosecurityguard.com/notrax is SecurStar GmbH Phonecrypt – A fake independent research on voice crypto

1 February 2010 – 12:32 am

Below evidence that the security review made by an anonymous hacker on http://infosecurityguard.com is in facts a dishonest marketing plan by the SecurStar GmbH to promote their voice crypto product.

I already wrote about that voice crypto analysis that appeared to me very suspicious.

Now it's confirmed, it's a fake independent hacker security research by SecurStar GmbH, its just a marketing trick!

How do we know that Infosecurityguard.com, the fake independent security research, is a marketing trick from SecurStar GmbH?

1) I posted on http://infosecurityguard.com a comments to a post with a link to my blog to that article on israelian ministry of defense certification

2) The author of http://infosecurityguard.com went to approve the comment and read the link on my own blog http://infosecurity.ch

3) Reaching my blog he leaked the IP address from which he was coming 217.7.213.59 (where i just clicked on from wordpress statistic interface)

4) On http:// 217.7.213.59/panel there is the IP PBX interface of the SecurStar GmbH corporate PBX (openly reachable trough the internet!)

5) The names of the internal PBX confirm 100% that it's the SecurStar GmbH:

Hafner : Wilfried Hafner, CEO and founder of SecurStar GmbH (linkedin profile)
Can : Can Yavuzyilman, Country Manager at SecurStar GmbH (linkedin profile)
Markus : Markus Bensinger, System Administrator at SecurStar GmbH (linkedin profile)

6) There is 100% evidence that the anonymous hacker of http://infosecurityguard.com is from SecurStar GmbH

Below the data and reference that let us discover that it's all but a dishonest marketing tips and not an independent security research.

Kudos to Matteo Flora for it's support and for his article in Debunking Infosecurityguard identity !

The http referral tricks

When you read a link going from a website to another one there is an HTTP protocol header, the “Referral”, that tell you from which page someone is going to another webpage.

The referral demonstrated that the authors of http://infosecurityguard.com read my post, because it was coming from http://infosecurityguard.com/wp-admin/edit-comments.php that's the webpage you use as a wordpress author/editor to approve/refuse comments. And here there was the link.

That's the log entry:

217.7.213.59 – - [30/Jan/2010:02:56:37 -0700] “GET /20100129/licensed-by-israel-ministry-of-defense-how-things-really-works/ HTTP/1.0″ 200 5795 “ http://infosecurityguard.com/wp-admin/edit-comments.php ” “Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB6.3; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)”

The PBX open on the internet tell us that's SecurStar GmbH

The SecurStar GmbH PBX is open on the internet, it contains all the names of their employee and confirm us that the author of http:/infosecurityguard.com is that company and is the anonymous hacker called Notrax.

Here there is their forum post where the SecurStar GmbH guys are debugging IPCOPfirewall & Asterisk together (so we see also details of what they use) where there is the ip 217.7.213.59 .

That's also really fun!

They sell secure telephony but their company telephony system is openly vulnerable on the internet . :-)

I was thinking to call the CEO, Hafner, via SIP on his internal desktop PBX to announce we discovered him tricks.. :->

They measured their marketing activity

Looking at the logs of my website i found that they was sensing the google distribution of information for the following keywords, in order to understand how effectively they was able to attack competing products. It's reasonable, if you invest money in a marketing campaign you want to see the results :-)

They reached my blog and i logged their search:

infosecurityguard+cryptophone

infosecurityguard+gold-lock

217.7.213.59 – - [30/Jan/2010:02:22:42 -0700] “GET / HTTP/1.0″ 200 31057 “Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB6.3; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)”

217.7.213.59 – - [30/Jan/2010:04:15:07 -0700] “GET HTTP/1.0″ 200 15774 “Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB6.3; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)”

The domain registration data
The domain have been registered on 1st December 2009, just two months to start preparing the dishonest marketing campaign:

Domain Name: INFOSECURITYGUARD.COM

Registrar: GODADDY.COM, INC.

Updated Date: 01-dec-2009

Creation Date: 01-dec-2009

The domain is anonymously privacy protected trough a whois privacy service:

Administrative Contact: Private, Registration INFOSECURITYGUARD.COM@domainsbyproxy.com , Domains by Proxy, Inc. DomainsByProxy.com

Notrax hacker does not exist on google
As you know any hacker that get public usually have presence of it's activity on google, attending mailinglists, forum, homepage, past research, participation to conferences, etc, etc.
The fake hacker that they wanted us to to think was writing an independent blog does NOT have any trace on google. Only some hit about an anonymous browser called Notrax but nothing about that hacker.
Maybe when SecurStar provided the anonymity tool to their marketing agency, to help them protecting anonymity for the fake research, their provided them the anonymous browser notrax.So the marketing guy thinking about the nickname of this fake hackers used what? Notrax! :-)

The “independent review”completely oriented in publicizing PhoneCrypt

На различните преглед Дон преглед phonecrypt е само положителен и невероятно добри отзиви, а други са само лоши отзиви и нито една добра точка.

As you can imagine, in any kind of independent product evaluation, for all products there are goods and bad points. Не. В този има само продукт, които са добри и продукт, който са лоши.

They missed to consider the security of the technology used by the products

Те напълно се избягва да се говори за криптография и сигурност на продуктите.

Те не оценяват основни функции за сигурност, които трябва да бъдат в този вид products.That ", за да не позволи някой да види, че те не последва основните правила за сигурност при изграждането на PhoneCrypt.
Технологията е със затворен код, без прозрачност на алгоритми и протоколи, не review.Read партньорска моята нова сравнение от основната точка на криптографски изискване гледна За анализ глас, криптиране (критерии, грешки и различни резултати) .
The results are somehow different than their one .

UPDATE: Кой е Вилфрид Hafner (SecurStar основател)?

I got a notice from a reader regarding Wilfred Hafner, SecurStar founder, CEO and security expert.

Той е бил арестуван през 1997 г. за телефония, свързани с измама (2-ри член на Phrack) печелите от телефония измама 254,000 USD причиняване на вреди на местния телекомуникационните компании чрез blueboxing за 1,15 милиона долара.

Той не прави "Blueboxing" за удоволствие на телекомуникационни и свързване с други хакери, но за да печелят пари.

, Хакерство за печалба (а не за забавление) през 1997 г. ... brrr .... Не хакер етика на всички!

All in all, is that lawful?

Badmouthing на конкурент в размер на една нелоялна конкуренция на практика в повечето юрисдикции, така че е спорно (меко казано), че SecurStar е право на солидна в законово основание.
Освен това, има някои специфични устав в определени юрисдикции, които предвиждат ясно забраната на практиката, ние говорим за. Например в Обединеното кралство на Британския институт на практикуващите в областта на рекламата - в съответствие със защита на потребителите от нелоялни търговски регулиране постанови, че:

"Невярно твърдение или създаване на впечатление, че търговецът не действа за целите, свързани с неговата търговия, бизнес, занаят или професия, или невярно представяне на себе си като потребител" е престъпление .

Ние не се съмняваме, че PRPR (която е базирана във Великобритания * PR компания за SecurStar GmbH, водена от на Петър Rennison и Allie Андрюс, както е посочено в SecurStar Съобщение за медиите ) се предоставят на своите клиенти с тази информация. По дяволите, те * са * в Великобритания, те просто не може да пренебрегнем факта, че!

IANAL, but I would not be surpised if someone filed a criminal complaint or start civil litigation for unfair competition against SecurStar GmbH.
Дали това ще бъде въпрос за наказателни и / или граждански съдилища или не не е толкова важно. However, it is clear enough that SecurStar GmbH appears to be at least ethically questionable and not really worth of trust.

Добър опит, господа ... Въпреки това, следващия път просто да го направя така (дали "правото" за тях означава "по честен начин" или "по начин, да не бъде заловен" Аз ще им позволи да изберете) "

Fabio Pietrosanti (naif)

Comments (7) Етикети бизнес , криптиране , хакерство , маркетинг , Защита , voicesecurity | Коментари (7)

business interception Privacy security

Непочтени сигурност: В SecurStart GmbH Phonecrypt случай

1 февруари 2010 г. - 12:30 ч.

Бих искал да предоставят на съображения относно концепцията за етика, че компанията за сигурност трябва да има отношение към потребителите, медиите и средата за сигурност.

SecurStar GmbH направи много лоши неща, че infosecuriguard.com фалшиви независими изследвания.

It's unfair approach respect to hacking community.

It's unfair marketing to end user. Те не трябва да се разиграва от създаването на фалшив независим преглед.

It's unfair competition in the security market.

Let's make some more important consideration on this.

Must be serious on cryptographic products. Те не са детски играчки

Когато направите криптографски инструменти, които трябва да сте много наясно с това, което правиш, трябва да сте наистина сериозно.

Ако го направите лоши крипто хора могат да умрат.

If you don't follow basic security rules for transparency and security for cryptography you are putting people life at risk.

Вие приемате отговорността за това. (I want to sleep at night, don't think SecurStar CEO/CTO care about this…)

Security research need reference and transparency

Security research have to be public, well done, always subject to public discussion and cooperation.
Security research should not be instrumentally used for marketing purpose.Security research should be done for awareness and grow of the knowledge of the worldwide security environment.

Хакерство околната среда е неутрална, не трябва да се използва инструментално

Хакерите считат за неутрални, маниаци, прави това, което правят за удоволствие и страст.

Ако работите в пазара на ценни книжа, да работите с хакери.

Ако използвате хакери и хакерски околната среда за вашите собствени маркетингови цели правите нещо много неприятно.

Hackers give you the technology and knowledge and you use them for your own commercial purpose.

Разглеждане на органа, от информацията в мрежата

Това е нещо, които представляват сериозно внимание върху авторитета на информация online.An анонимен хакер, без позоваване онлайн, направи преглед на продукт за сигурност, които се появяват като независим. I have to say that the fake review was very well prepared, it always posed good/bad things in an indirect way. Той не се появи пред мен на 1-ви път като фалшива. But going deeply i found what's going on.

Въпреки това, журналисти, новинарски медии и блогър отиде в капана и преразгледаха фалшив изследвания. TheRegister, NetworkWorld и много блогове. Дори ако авторът е напълно анонимен.

What they have done is already illegal in UK

SecurStar GmbH е късметлия, че те не са във Великобритания, където се прави този вид на нещата е незаконно .

Fabio Pietrosanti (naif)

Comment (0) Етикети бизнес , хакерство , маркетинг , Защита , voicesecurity | Коментар (0)

бизнес прихващане Защита на технология за сигурност

На GmbH Phonecrypt За SecurStar анализ глас криптиране (критерии, грешки и различни резултати)

30 януари 2010 г. - 02:02 ч.

This article want to clarify and better explain the finding at infosecurityguard.com regaring voice encryption product evaluation.
В тази статия искам да ви кажа друга точка от изглед от infosecurityguard.com и обяснява, които са рационалното с обширни обяснения от гледна точка на сигурността.
Today i read news saying: “PhoneCrypt: Basic Vulnerability Found in 12 out of 15 Voice Encryption Products and went to read the website infosecurityguard .

Първоначално изглеждаше ми като голяма изследователска дейност, но след това започнах да чета дълбоко прочетете за it.I установи, че не е правилно научните изследвания в областта на сигурността, но има конкретни елементи, това е една добре свършена маркетингова кампания с цел привличане на публични медии и популяризиране даден продукт.
Imho they was able to cheat journalists and users because the marketing campaign was absolutely well done not to be discovered on 1st read attempt. Аз лично го считат като валидна на 1-во готов (те ме излъгани първоначално).

But if you go deeply… you will understand that:
- Това е инициатива камуфлаж маркетинг подредени от SecurStar GmbH и не е независимо изследване на сигурността
- they consider a only security context where local device has been compromised (no software can be secured in that case, like saying SSL can be compromised if you have a trojan!)
- they do not consider any basic security and cryptographic security criteria

Въпреки това много важно уебсайт е докладвал за:

This article is quite long, if you read it you will understand better what's going on around infosecurityguard.com research and research result.

Искам да ви кажа защо и как (IMHO) те са погрешни.

The research missed to consider Security, Cryptography and Transparency!

Well, all this research sound much like being focused on the marketing goal to say that their PhoneCrypt product is the “super” product best of all the other ones.
Всеки експерт по сигурността, който има за задължението на "Софтуерът за оценяване", за да се защити поверителността на телефонни разговори, ще оцените и други различни характеристики на продукта и технологията.

Да, това е вярно, че по-голямата част от продукта, описани от SecurStar в анонимна маркетинг уебсайт, наречен http://infosecurityguard.com имат някаква слабост.
Но слабостта на другите и PhoneCrypt За съжаление, както повечето от описаните продукти страдат от това.
Let's review which characteristics are needed basic cryptography and security requirement (the best practice, the foundation and the basics!)

- неизвестност Чрез сигурност не работи

A basic rule in cryptography cames from 1883 by Auguste Kerckhoffs:

In a well-designed cryptographic system, only the key needs to be secret; there should be no secrecy in the algorithm.

Съвременните криптографите са прегърнали този принцип, наричайки нещо друго "сигурност чрез неизвестност."

Прочетете това, което Брус Schneir, признат експерт и криптограф в света казват за това

Any security expert will tell you that's true. Even a novice university student will tell you that's true. Просто защото това е единственият начин да се направи на криптографията.

Почти всички продукти, описани в прегледа от SecurStar GmbH, включват PhoneCrypt, не осигурява точни данни за техните криптографски технологии.

Precise details are:

Подробна спецификация на криптографски алгоритъм (това не е просто казвам "ние използваме AES ")
Detailed specification of cryptographic protocol (that's not just saying “we use Diffie Hellman ” )
Detailed specification of measuring the cryptographic strenght (that's not just saying “we have 10000000 bit key size “)

Providing precise details means having extensive documentation with theoretical and practical implications documenting ANY single way of how the algorithm works, how the protocol works with precise specification to replicate it for interoperability testing.
It means that scientific community should be able to play with the technology, audit it, hack it.
Ако ние не знаем нищо за криптографската система в детайли, как можем да знаем кои са слабост и якост на точки?

Майк Fratto, редактор на сайта на Network Computing, голяма статия на тема "Да кажеш НЕ на патентовани системи за криптографска" .
Cerias Purdue University кажа това .

Б - НЕ рецензирани и НЕ научно одобрена криптографията не работи

Във всеки случай и при всякакви условия, правиш криптография, трябва да сте сигурни, че някой друг ще проверите, преглед, анализ, distruct и reconstract от нулата вашата технология и да осигури на информация на обществеността за отворена дискусия.
Това е как точно AES е роден и като американския Национален институт по стандарт да, крипто прави (с публичен конкурс с обществена партньорска проверка, където само най-добре оценени победа).
Публична дискусия с публичен конкурс, където много на преглед от най-известните и експерт криптограф в света, хакерите (с тяхното име, фамилия и лицето, а не като Notrax) предоставят своя принос, кажете това, което мисли.
Това се нарича "партньорска проверка".

Ако криптографска технология има продължителен и важен партньорска проверка, разпределени в света, идват от университети, частните охранителни фирми, военни институции, хакери и всички, които идват от различни части на света (от САЩ до Европа с Русия в Южна Америка, Близкия изток до Китай) и всички от тях са съгласни, че конкретна технология е сигурно ...
Well, in that case we can consider the technology secure because a lot of entities with good reputation and authority coming from a lot of different place in the world have publicly reviewed, analyzed and confirmed that a technology it's secure.

How a private company can even think to invent on it's own a secure communication protocol when it's scientifically stated that it's not possible to do it in a “proprietary and closed way” ?
IBM tell you that peer review it's required for cryptography .
Bruce Schneier tell you that “Good cryptographers know that nothing substitutes for extensive peer review and years of analysis.”
Philip Zimmermann will tell you to beware of Snake Oil where the story is: “Every software engineer fancies himself a cryptographer, which has led to the proliferation of really bad crypto software.”

c – Closed source cryptography does not work

As you know any kind of “serious” and with “good reputation” cryptographic technology is implemented in opensource.
There are usually multiple implementation of the same cryptographic algorithm and cryptographic protocol to be able to review all the way it works and certify the interoperability.
Supposing to use a standard with precise and extended details on “how it works”, that has been “peer reviewed” by the scientific community BUT that has been re-implemented from scratch by a not so smart programmer and the implementation it's plenty of bugs.

Well, if the implementation is “opensource” this means that it can be reviewed, improved, tested, audited and the end user will certaintly have in it's own had a piece of technology “that works safely” .

Google release opensource crypto toolkit
Mozilla release opensource crypto toolkit
Bruce Schneier tell you that Cryptography must be opensource .

Another cryptographic point of view

I don't want to convince anyone but just provide facts related to science, related to cryptography and security in order to reduce the effect of misinformation done by security companies whose only goes is to sell you something and not to do something that make the world a better.

When you do secure products, if they are not done following the proper approach people could die.
It's absolutely something irresponsible not to use best practice to do crypto stuff.

To summarize let's review the infosecurityguard.com review from a security best pratice point of view.

Product name	Security Trough Obscurity	Public peer review	Open Source	Compromise locally?
Caspertec	Obscurity	No public review	Closed	Да
CellCrypt	Obscurity	No public review	Closed	Да
Cryptophone	Transparency	Limited public review	Public	Да
Gold-Lock	Obscurity	No public review	Closed	Да
Illix	Obscurity	No public review	Closed	Да
No1.BC	Obscurity	No public review	Closed	Да
PhoneCrypt	Obscurity	No public review	Closed	Да
Rode&Swarz	Obscurity	No public review	Closed	Да
Secure-Voice	Obscurity	No public review	Closed	Да
SecuSmart	Obscurity	No public review	Closed	Да
SecVoice	Obscurity	No public review	Closed	Да
SegureGSM	Obscurity	No public review	Closed	Да
SnapCell	Obscurity	No public review	Closed	Да
Tripleton	Obscurity	No public review	Closed	Да
Zfone	Transparency	Public review	Open	Да
ZRTP	Transparency	Public review	Open	Да

*Green means that it match basic requirement for a cryptographic secure system

* Red / Broken means that it does not match basic requirement for a cryptographic secure system

That's my analysis using a evaluation method based on cryptographic and security parameters not including the local compromise context that i consider useless.

However, to be clear, those are only basic parameters to be used when considering a voice encryption product (just to avoid being in a situation that appears like i am promoting other products). So it may absolutely possible that a product with good crypto ( transparency, peer reviewed and opensource) is absolutely a not secure product because of whatever reason (badly written, not usable causing user not to use it and use cleartext calls, politically compromised, etc, etc).
I think i will prepare a broader criteria for voice crypto technologies and voice crypto products, so it would be much easier and much practical to have a full transparent set of criterias to evaluate it.

But those are really the basis of security to be matched for a good voice encryption system!
Read some useful past slides on security protocols used in voice encryption systems (2nd part).

Now read below some more practical doubt about their research.

The security concept of the review is misleading: any hacked device can be always intercepted!

I think that the guys completely missed the point: ANY KIND OF SOFTWARE RUNNING ON A COMPROMISED OPERATING SYSTEM CAN BE INTERCEPTED

Now they are pointing out that also Zfone from Philip Zimmermann is broken (a pc software), just because they install a trojan on a PC like in a mobile phone?
Any security software rely on the fact that the underlying operating system is somehow trusted and preserve the integrity of the environment where the software run.

If you have a disk encryption system but your PC if infected by a trojan, the computer is already compromised.
If you have a voice encryption system but your PC is infected by a trojan, the computer is already compromised.
If you have a voice encryption system but your mobile phone is infected by a trojan, the mobile phone is already compromised.

No matter which software you are running, in such case the security of your operating environment is compromised and in one way or another way all the information integrity and confidentiality is compromised.

Like i explained above how to intercept PhoneCrypt.

The only things that can protect you from this threat is running in a closed operating system with Trust Computing capability, implementing it properly.
For sure on any “Open” operating system such us Windows, Windows Mobile, Linux, iPhone or Android there's no chance to really protect a software.
On difficult operating system such as Symbian OS or RimOS maybe the running software can be protected (at least partially)

That's the reason for which the security concept that guys are leveraging to carry on their marketing campaign has no clue.
It's just because they control the environment, they know Flexispy software and so they adjusted their software not to be interceptable when Flexispy is installed.
If you develop a trojan with the other techniques i described above you will 100% intercept PhoneCrypt.

On that subject also Dustin Tamme l, Security researcher of BreakPoint Systems , pointed on on VoIP Security Alliance mailing lists that the security analysis is based on wrong concepts .

The PhoneCrypt can be intercepted: it's just that they don't wanted to tell you!

PhoneCrypt can be intercepted with “on device spyware”.
Why?
Because Windows Mobile is an unsecure operating environment and PhoneCrypt runs on Windows Mobile.
Windows Mobile does not use Trusted Computing and so any software can do anything.
The platform choice for a secure telephony system is important.
How?
I quickly discussed with some knowledgeable windows mobile hackers about 2 different way to intercept PhoneCrypt with an on-device spyware (given the unsecure Windows Mobile Platform).

a) Inject a malicious DLL into the software and intercept from within the Phonecrypt itself.

In Windows Mobile any software can be subject to DLL code injection.

What an attacker can do is to inject into the PhoneCrypt software (or any software running on the phone), hooking the Audio related functions acting as a “function proxy” between the PhoneCrypt and the real API to record/play audio.

It's a matter of “hooking” only 2 functions, the one that record and the one that play audio.

Read the official Microsoft documentation on how to do DLL injection on Windows Mobile processes. or forum discussing the technique of injecting DLL on windows mobile processes.

That's simple, any programmer will tell you to do so.

They simply decided that's better not to make any notice about this.

b) Create a new audio driver that simply act as a proxy to the real one and intercept PhoneCrypt

In Windows Mobile you can create new Audio Drivers and new Audio Filters.

What an attacker can do is to load a new audio driver that does not do anything else than passing the real audio driver function TO/FROM the realone. In the meantime intercept everything recorded and everything played :-)

Here there is an example on how to do Audio driver for Windows Mobile .

Here a software that implement what i explain here for Windows “Virtual Audio Cable” .

The very same concept apply to Windows Mobile. Check the book “Mobile Malware Attack and Defense” at that link explaining techniques to play with those techniques.

They simply decided that's better not to make any notice to that way of intercepting phone call on PhoneCrypt .

Those are just 2 quick ideas, more can be probably done.

Sounds much like a marketing activity – Not a security research.

I have to tell you. I analyzed the issue very carefully and on most aspects. All this things about the voice encryption analisys sounds to me like a marketing campaign of SecurStar GmbH to sell PhoneCrypt and gain reputation. A well articulated and well prepared campaign to attract the media saying, in an indirect way cheating the media, that PhoneCrypt is the only one secure. You see the press releases of SecurStar and of the “Security researcher Notrax telling that PhoneCrypt is the only secure product” . SecurStar PhoneCrypt is the only product the anonymous hacker “Notrax” consider secure of the “software solutions”.
The only “software version” in competition with:

– SnapCell – No one can buy it. A security company that does not even had anymore a webpage. The company does not almost exist anymore.

– rohde-schawarz – A company that have in his list price and old outdated hardware secure phone . No one would buy it, it's not good for genera use.

Does it sounds strange that only those other products are considered secure along with PhoneCrypt .

Also… let's check the kind of multimedia content in the different reviews available of Gold-Lock, Cellcrypt and Phonecrypt in order to understand how much the marketing guys pressed to make the PhoneCrypt review the most attractive:

Application	Screenshots of application	Video with demonstration of interception	Network demonstration
PhoneCrypt	5	0	1
CellCrypt	0	2	0
GoldLock	1	2	0

It's clear that PhoneCrypt is reviewed showing more features explicitly shown and major security features product description than the other.

Too much difference between them, should we suspect it's a marketing tips?

But again other strange things analyzing the way it was done…
If it was “an impartial and neutral review” we should see good and bad things on all the products right?

Ok, see the table below regarding the opinion indicated in each paragraph of the different reviews available of Gold-Lock, CellCrypt and Phonecrypt (are the only available) to see if are positive or negative.

Application	Number of paragraphs	Positive paragraphs	Negative paragraphs	Neutral paragraphs
PhoneCrypt	9	9	0	0
CellCrypt	12	0	10	2
GoldLock	9	0	8	1

Detailed paragraphs opinion analysis of Phonecrypt

Paragraph of review	Opinion expressed
From their website	Положителен Маркетинг обратна връзка
Apple iPhone	Положителен Маркетинг обратна връзка
Disk Encryption or voice Encryption	Положителен Маркетинг обратна връзка
PBX Compatibility? Really	Положителен Маркетинг обратна връзка
Cracking <10. Not.	Положителен Маркетинг обратна връзка
Good thinking!	Положителен Маркетинг обратна връзка
A little network action	Положителен Маркетинг обратна връзка
UI	Положителен Маркетинг обратна връзка
Good Taste	Положителен Маркетинг обратна връзка

Detailed paragraphs opinion analysis of Gold-Lock 3G

Paragraph of review	Opinion expressed
From their website	Negative Marketing feedback
Licensed by The israeli Ministry of Denfese	Negative Marketing feedback
Real Company or Part Time hobby	Negative Marketing feedback
16.000 bit authentication	Negative Marketing feedback
DH 256	Negative Marketing feedback
Downad & Installation!	Neutral Marketing feedback
Cracking it <10	Negative Marketing feedback
Marketing BS101	Negative Marketing feedback
Cool video stuff	Negative Marketing feedback

Detailed paragraphs opinion analysis of CellCrypt

Paragraph of review	Opinion expressed
From their website	Neutral Marketing feedback
A little background about cellcrypt	Negative Marketing feedback
Master of Marketing	Negative Marketing feedback
Secure Voice calling	Negative Marketing feedback
Who's buying their wares	Negative Marketing feedback
Downad & Installation!	Neutral Marketing feedback
My Demo environment	Negative Marketing feedback
Did they forget some code	Negative Marketing feedback
Cracking it <5	Negative Marketing feedback
Room Monitoring w/ FlexiSpy	Negative Marketing feedback
Cellcrypt unique features..	Negative Marketing feedback
Plain old interception	Negative Marketing feedback
The Haters out there	Negative Marketing feedback

Now it's clear that from their point of view on PhoneCrypt there is no single bad point while the other are always described in a negative way.
No single good point. Strange?
All those considerations along with the next ones really let me think that's very probably a marketing review and not an independent review.

Other similar marketing attempt from SecurStar

SecurStar GmbH is known to have used in past marketing activity leveraging this kind of “technical speculations”, abusing of partial information and fake unconfirmed hacking stuff to make marketing/media coverage.
Imho a rare mix of unfairness in leveraging the difficult for people to really understand the complexity of security and cryptography.

They already used in past Marketing activities like the one about creating a trojan for Windows Mobile and saying that their software is secure from the trojan that they wrote.
Read about their marketing tricks of 2007

They developed a Trojan (RexSpy) for Windows Mobile, made a demonstration capability of the trojan and later on told that they included “Anti-Trojan” capability to their PhoneCrypt software.They never released informations on that trojan, not even proved that it exists.

The researcher Collin Mulliner told at that time that it sounds like a marketing tips (also because he was not able to get from SecurStar CEO Hafner any information about that trojan):

“This makes you wonder if this is just a marketing thing.”

Now, let's try to make some logical reassignment.
It's part of the way they do marketing, an very unfriendly and unpolite approach with customers, journalist and users trying to provide wrong security concepts for a market advantage. Being sure that who read don't have all the skills to do in depth security evaluation and find the truth behind their marketing trips.

Who is the hacker notrax?

It sounds like a camouflage of a fake identity required to have an “independent hacker” that make an “independent review” that is more strong on reputation building.
Read about his bio:

¾ Human, ¼ Android (Well that would be cool at least.) I am just an enthusiast of pretty much anything that talks binary and if it has a RS232 port even better. During the day I masquerade as an engineer working on some pretty cool projects at times, but mostly I do the fun stuff at night. I have been thinking of starting an official blog for about 4.5 years to share some of the things I come across, can't figure out, or just cross my mind. Due to my day job and my nighttime meddling, I will update this when I can. I hope some find it useful, if you don't, well you don't.

There are no information about this guy on google.
Almost any hacker that get public have articles online, post in mailing archive and/or forum or some result of their activity.
For notrax, nothing is available.

Additionally let's look at the domain…
The domain infosecurityguard.com is privacy protected by domainsbyproxy to prevent understanding who is the owner.
The domain has been created 2 months ago on 01-Dec-09 on godaddy.com registrar.

What's also very interesting to notice that this “unknown hacker with no trace on google about him that appeared on December 2009 on the net” is referred on SecurStar GmbH Press Release as a “An IT security expert”.

Maybe they “know personally” who's this anonymous notrax? :)

Am i following my own conspiracy thinking or maybe there's some reasonable doubt that everything was arrange in that funny way just for a marketing activity?

Social consideration

If you are a security company you job have also a social aspects, you should also work to make the world a better place (sure to make business but “not being evil”). You cannot cheat the skills of the end users in evaluating security making fake misleading information.

You should do awareness on end users, to make them more conscious of security issues, giving them the tools to understand and decide themselves.

Hope you had fun reading this article and you made your own consideration about this.

Fabio Pietrosanti (naif)

ps Those are my personal professional opinion, let's speak about technology and security, not marketing.
pps i am not that smart in web writing, so sorry for how the text is formatted and how the flow of the article is unstructured!

Tags business , encryption , marketing , mobile , Privacy , voicesecurity , zrtp | Comments (4)

The research missed to consider Security, Cryptography and Transparency!

- неизвестност Чрез сигурност не работи

Б - НЕ рецензирани и НЕ научно одобрена криптографията не работи

c – Closed source cryptography does not work

Another cryptographic point of view

The security concept of the review is misleading: any hacked device can be always intercepted!

The PhoneCrypt can be intercepted: it's just that they don't wanted to tell you!

Sounds much like a marketing activity – Not a security research.

Too much difference between them, should we suspect it's a marketing tips?

Other similar marketing attempt from SecurStar

Who is the hacker notrax?

Social consideration

Преводач

За

Последните публикации