श्रेणी अभिलेखागार: बुद्धि

आरएफसी 6189: ZRTP अंत में एक मानक है!

11 अप्रैल 2011 - 10:54 बजे

अंत में ZRTP एक आधिकारिक आरएफसी काम, सौंपा गया है RFC6189 और Unicast सुरक्षित RTP के लिए मीडिया पथ कुंजी करार: ZRTP.

यह एक निर्भरता के रूप में था SRTP एईएस 256bit कि अब के रूप में परिभाषित किया गया है की कुंजी आकार के साथ RFC6188 .

यह रोमांचक है देखने के लिए आरएफसी अंत में जारी है, के रूप में यह एक महत्वपूर्ण मील का पत्थर की तरह बहुत अंत से अंत एन्क्रिप्शन के लिए सरकारी मानक के रूप में ZRTP सेट है पीजीपी ईमेल के लिए किया गया है.

अब दुनिया में किसी भी संगठन को आधिकारिक तौर पर समाप्त करने के लिए अंत प्रोटोकॉल आवाज एन्क्रिप्शन के लिए ZRTP को लागू करने में सक्षम हो जाएगा

वर्तमान में 3 ZRTP प्रोटोकॉल के विभिन्न सार्वजनिक कार्यान्वयन मौजूद है:

फिलिप ज़िम्मरमैन LibZRTP (ग कोड)
PrivateWave Zorg (सी + + कोड / कोड जावा)
GNU टेलीफोनी ZRTP (सी + + कोड / जावा कोड)

उनमें से प्रत्येक प्रोटोकॉल की विभिन्न सुविधाओं के प्रदान करते हैं, लेकिन सबसे महत्वपूर्ण interoperable हो जाना जाता है.

एक नई लहर आवाज एन्क्रिप्शन दुनिया के लिए आ रहा है, जहां फोन एन्क्रिप्शन सिस्टम कर रही कंपनियों के ज्यादातर कस्टम एन्क्रिप्शन को लागू किया गया है एक ग्रे क्षेत्र में irrupting.

अब एक मानक सेटअप किया गया है और वहाँ कुछ कारण हैं कुछ अलग लागू करने के लिए छोड़ दिया.

Hurra श्री Zimmermann और कंपनियों के सभी समुदाय (जैसे PrivateWave ) और (जैसे व्यक्तियों वर्नर Dittmann ) है कि इस पर काम किया!

आज यह एक महान दिन है, प्रौद्योगिकी के इस तरह अब अधिकारी और कई मौजूदा कार्यान्वयन के साथ भी है!

फिलिप, आप इसे फिर से किया है, अपने शुद्ध भावना और दृढ़ संकल्प :-) मेरी तारीफ

Comment (1) टैग एन्क्रिप्शन , गोपनीयता , voicesecurity , zrtp | टिप्पणी (1)

खुफिया अवरोधन सुरक्षा

TETRA हैकिंग आ रहा है: OsmocomTETRA

23 जनवरी 2011 10:27 AM

यह बहुत रोमांचक है की रिहाई को देखने OsmocomTETRA , पहले opensource (एसडीआर सॉफ्टवेयर निर्धारित रेडियो ) TETRA demodulator, बनावट और कम मैक परतों के कार्यान्वयन.

की यह TETRA संस्करण जीएसएम airprobe कि टेट्रा संचार प्रोटोकॉल के डेटा और फ्रेम करने के लिए पहुँच अनलॉक इस प्रकार महान हैकिंग का अवसर दे रही है!

अब है कि टेट्रा प्रौद्योगिकी खोला दिया गया है हम, यह 2011 के दौरान उम्मीद के लिए opensource TETRA sniffers को देखना चाहिए और सबसे शायद यह भी चाय एन्क्रिप्शन (टेट्रा एन्क्रिप्शन कलन विधि) फटा!

TETRA पुलिस, आपातकालीन सेवाएं और एक वैकल्पिक मोबाइल संचार नेटवर्क के रूप में militaries है कि नेटवर्क कवरेज (केवल एक बेस स्टेशन के बिना मोबाइल से मोबाइल) की उपलब्धता के बिना भी काम करता है और कुछ विशेष उच्च उपलब्धता सेवाएं प्रदान कर सकते हैं के द्वारा प्रयोग किया जाता है.

मैं अपने स्लाइड में टेट्रा मेजर वॉयस सुरक्षा प्रोटोकॉल की समीक्षा के बारे में लिखा था .

OsmocomBB मेलिंग सूचियों में कुछ TETRA नेटवर्क स्थिति के बारे में पहले से ही चर्चा थी:

बेल्जियम पुलिस TETRA Astrid नेटवर्क: अनएन्क्रिप्टेड
जर्मन पुलिस ने आकिन में परीक्षण TETRA नेटवर्क: अनएन्क्रिप्टेड
कुछ पूर्व jugoslawia के टेट्रा नेटवर्क: अनएन्क्रिप्टेड
नीदरलैंड C200 TETRA नेटवर्क: TEA2 के स्थिर कुंजी के साथ एन्क्रिप्टेड
ब्रिटेन Airwave TETRA नेटवर्क: TEA2 के TEA2 के साथ एन्क्रिप्टेड

यह सच में मज़ा के लिए नए डिजिटल रेडियो के लिए देखना होगा कि नए और पुराने अनुरूप उम्र से बचाव सेवा हैकिंग वापस आ रहा पुलिस :-)

Comment (1) टैग एन्क्रिप्शन , हैकिंग , मोबाइल , voicesecurity | टिप्पणी (1)

खुफिया अवरोधन गोपनीयता सुरक्षा प्रौद्योगिकी

जीएसएम (OSSTMM) प्रवेश परीक्षा के तरीके में खुर?

23 जुलाई 2010 08:16 हूँ

इस ब्लॉग के पाठक के सबसे पहले से ही जानते हैं, पिछले कुछ वर्षों में वहाँ जीएसएम लेखा परीक्षा और खुर के लिए सार्वजनिक अनुसंधान से संबंधित गतिविधियों के एक बहुत कुछ था.

लेकिन जब वहाँ विशाल मीडिया कवरेज जीएसएम खुर शोध के परिणामों के लिए, उपकरण खुर वास्तव में प्रारंभिक चरण था और अभी भी बहुत अक्षम बनाने के लिए.

अब फ्रैंक Stevenson , नॉर्वेजीयन cryptanalyst है कि पहले से ही तोड़ दिया सामग्री Scrambling सिस्टम डीवीडी वीडियो डिस्क की, A51 खुर द्वारा शुरू परियोजना में भाग लेने कर्स्टन Nohl है , जारी Kraken , A51 खुर प्रणाली के एक नए उन्नत संस्करण है.

यह नोटिस कि वाईफ़ाई खुर एक ऐसी ही कहानी थी, पहले वाईफ़ाई WEP टूटेंगे खोज के रूप में पहले की तकनीक में काफी धीमी थी, लेकिन बाद में Korek, एक खुर कोड पर काम कर हैकर हमले प्रणाली में सुधार drammatically है दिलचस्प है.

कि सुरक्षा अनुसंधान सहयोग की कहानी है, तुम एक शोध शुरू, किसी का पालन करें और इसे बेहतर बनाने के कुछ अन्य इसे का पालन करें और यह सुधार और अंत में आप परिणाम मिलता है.

पर और अधिक पढ़ें Kraken जीएसएम क्रैकिंग सॉफ्टवेयर रिलीज .

और रहने, blackhat सम्मेलन कर्स्टन Nohl पर अगले सप्ताह के रूप में देखते आवश्यकता के विवरण की व्याख्या हार्डवेयर सेटअप और कैसे यह करने के लिए पर विस्तृत निर्देश :-)

मैं वास्तव में उन उपकरणों में शामिल देखना चाहते हैं प्रवेश परीक्षण लिनक्स वितरण पीछे साथ OSSTMM जीएसएम और मध्य :-) में अवरोधन आदमी के परीक्षण को लागू करने कार्यप्रणाली

यदि सब कुछ आगे बढ़ना है कि जिस तरह से और Ettus रिसर्च (सॉफ्टवेयर USRP2 कम लागत जीएसएम प्राप्त संकेत के लिए इस्तेमाल किया रेडियो के निर्माता) नीचे नहीं लिया जाएगा, हम अभी भी यह देख सकते हैं.

Comments (2) टैग एन्क्रिप्शन , हैकिंग , गोपनीयता , voicesecurity | टिप्पणियाँ (2)

खुफिया गोपनीयता सुरक्षा प्रौद्योगिकी

मोबाइल क्षुधा में web2.0 गोपनीयता रिसाव

17 जुलाई 2010 09:02 हूँ

तुम्हें पता है कि web2.0 दुनिया गोपनीयता और उपयोगकर्ताओं के लिए संबंधित किसी भी तरह (रूपरेखा रूपरेखा रूपरेखा) के रिसाव की बहुत चिंतित किया जा रहा शुरू होता है इसके बारे में.

उपयोगकर्ताओं को लगातार वे क्या कर के विवरण जानने, उदाहरण के लिए बिना आवेदन पत्र डाउनलोड iFart सिर्फ इसलिए शांत हैं, मज़ा कर रहे हैं और कुछ समय उपयोगी होते हैं.

मोबाइल फोन पर उपयोगकर्ताओं को 1000% से स्थापित 10.000% से अधिक अनुप्रयोगों के लिए एक पीसी पर से, और उन क्षुधा मैलवेयर शामिल कर सकते हैं या अन्य अप्रत्याशित functionalities.

हाल ही में विश्लेषण infobyte ubertwitter ग्राहक और पता चला है कि ग्राहक को लीक किया गया था और इस तरह के रूप में अपने सर्वर कई निजी और संवेदनशील डेटा के लिए भेज:

- ब्लैकबेरी पिन

फ़ोन नंबर

ईमेल एड्रेस

भौगोलिक स्थिति की जानकारी

UbertTwitter 'स्पाइवेयर' सुविधाओं की खोज के बारे में पढ़ें यहाँ से infoByte .

यह निजी और संवेदनशील जानकारी लीक अनुप्रयोगों के बहुत है लेकिन अभी कोई भी इस पर एक नज़र है.

अनिवार्य करना चाहिए डेटा प्रतिधारण और गोपनीयता नीतियों मोबाइल अनुप्रयोग के लिए अनुप्रयोग विकास और प्रस्तुत करने दिशानिर्देश का हिस्सा बन गया?

Imho एक उपयोगकर्ता केवल आवेदन क्षमताओं और एपीआई के उपयोग के बारे में चेतावनी दी नहीं किया जाना चाहिए, लेकिन यह भी जानकारी की तरह है जो यह मोबाइल फोन के अंदर संभालने जा रहा है के साथ क्या करेंगे.

क्षमताओं कुछ functionalities का उपयोग करने के लिए आवेदन करने के लिए जियोलोकेशन एपीआई का उपयोग करने के लिए उदाहरण के लिए, अधिकृत करने का मतलब है, लेकिन आवेदन क्या करना है और जो इस तरह की जानकारी प्रदान करेगा एक बार यह उपयोगकर्ता के लिए अधिकृत किया जाएगा?

कि एक सुरक्षा रूपरेखा स्तर है कि मोबाइल फोन निर्माता प्रदान करने और नहीं वे चाहिए करता है, क्योंकि यह जानकारी और आवेदन / प्राधिकरण अनुमति डिवाइस क्षमताओं का उपयोग करने के लिए सम्मान नहीं पर ध्यान केंद्रित.

हाँ पी एस! ठीक है! मैं सहमत हूँ! पोस्ट के इस तरह 3-4 पृष्ठों लंबी चर्चा की आवश्यकता के रूप में गर्म विषय और काफी व्यक्त होता है, लेकिन यह शनिवार सुबह है और मुझे जाना है!

Comment (0) टैग , मोबाइल हैकिंग , नीति , गोपनीयता | टिप्पणी (0)

व्यापार खुफिया अवरोधन गोपनीयता सुरक्षा प्रौद्योगिकी

ब्लैकबेरी सुरक्षा और एन्क्रिप्शन: शैतान या एन्जिल?

7 जुलाई 2010 - 10:39 बजे

ब्लैकबेरी अच्छे और बुरे अपनी सुरक्षा क्षमता के बारे में प्रतिष्ठा है, कोण जो आप इसे देखो निर्भर करता है.

इस पोस्ट में यह जानकारी का एक सेट संक्षेप करने के लिए पाठक मिल चित्र बहुत एक स्थिति रिम और ब्लैकबेरी के रूप में माना जा सकता है देखने के बिंदु, एक अत्यंत सुरक्षित मंच या एक अत्यंत खतरनाक पर निर्भर करता है लेने के बिना, चलो.

चलो पर चला जाता है.

एक ओर ब्लैकबेरी पर यह एन्क्रिप्शन सुविधाओं, सुरक्षा हर जगह सुविधाओं, एन्क्रिप्टेड (कस्टम क्रिप्टो के साथ) डिवाइस संचार एन्क्रिप्टेड (के साथ एक मंच बहुत है कस्टम मालिकाना प्रोटोकॉल IPPP के रूप में इस तरह के), बहुत अच्छा उन्नत सुरक्षा सेटिंग्स, से एन्क्रिप्शन ढांचा Certicom ( अब द्वारा स्वामित्व रिम ).

दूसरी तरफ वे केवल एक उपकरण है लेकिन एक उपरिशायी नेटवर्क का उपयोग, भारतीय मानक ब्यूरो (कहा जाता है प्रदान करता है ब्लैकबेरी इंटरनेट सेवा ), कि एक वैश्विक दुनिया भर में व्यापक क्षेत्र नेटवर्क है, जहां अपने ब्लैकबेरी में प्रवेश करते समय आप ब्राउज़ या blackberry.net एपी का उपयोग checkmail है.

जब आप, या एक आवेदन, blackberry.net APN तुम सिर्फ वाहक इंटरनेट कनेक्शन के साथ इंटरनेट से कनेक्ट नहीं कर रहे हैं का उपयोग करें, लेकिन आप रिम नेटवर्क के अंदर प्रवेश कर रहे हैं कि और के रूप में एक प्रॉक्सी अधिनियम करने के लिए इंटरनेट तक पहुँचने के लिए प्रवेश द्वार है.

बहुत ही होता है जब आप एक कंपनी का उपयोग किया है: दोनों बी बी युक्ति और कॉर्पोरेट BES रिम नेटवर्क है कि कार्य को जोड़ने का एक प्रकार के रूप में वीपीएन एकाग्रता नेटवर्क है .

तो बुनियादी तौर पर एक सेट मालिकाना एन्क्रिप्शन और संचार प्रोटोकॉल के साथ सभी संचार एन्क्रिप्टेड स्वरूप में गर्त रिम सेवा बुनियादी सुविधाओं के पार.

बस एक नोटिस के रूप में लगता है, कि गूगल blackberry.net APN पर gtalk, आदेश में एक समझौते पर बनाया के बी.बी. उपयोगकर्ताओं के लिए बी बी नेटवर्क के अंदर सेवा की पेशकश प्रदान करने के लिए. जब आप gtalk स्थापित तुम 3 जोडी मिलता सेवा किताबें है कि बात करने के लिए GTALKNA01 कि GTalk रिम नेटवर्क के लिए एक GTalk इंटरनेट के लिए प्रवेश द्वार के रूप में अंतर बीआईएस संचार और कार्य की अनुमति के अंदर प्रवेश द्वार के नाम है.

मोबाइल ऑपरेटरों आमतौर पर भी ब्लैकबेरी डिवाइस और ब्लैकबेरी नेटवर्क के बीच यातायात का निरीक्षण करने की अनुमति नहीं है.

रिम और ब्लैकबेरी के तो किसी तरह अपने दृष्टिकोण के लिए अद्वितीय है, लेकिन के रूप में वे एक मंच, एक नेटवर्क है और एक सब एक साथ बंडल सेवा प्रदान करते हैं और आप न सिर्फ डिवाइस और सॉफ्टवेयर प्राप्त कर सकते हैं उपयोगकर्ता और कॉर्पोरेट और हमेशा सेवा करने के लिए बाध्य कर रहे हैं जुड़ा हुआ है नेटवर्क.

यह अच्छा है और यह बुरी बात है, क्योंकि इसका मतलब है कि रिम अत्यंत अच्छा सुरक्षा सुविधाओं और क्षमताओं के लिए जानकारी युक्ति, और तीसरे पक्ष के खिलाफ विभिन्न स्तर पर जानकारी तक पहुँच की रक्षा प्रदान करते हैं.

लेकिन यह हमेशा मुश्किल ही रिम और जो रिम के खिलाफ राजनीतिक दबाव बना सकता है से संबंधित खतरे और जोखिम का अनुमान है.

कृपया विचार है कि मैं यह नहीं कह रहा हूँ, लेकिन "रिम अपने डेटा को देख रहा है एक उद्देश्य जोखिम विश्लेषण करने के लिए कैसे मंच रिम किया है डिवाइस पर सूचना के आधार पर और जानकारी है कि पार डिवाइस पर अधिकार है, नेटवर्क. (मेरे मोबाइल सुरक्षा स्लाइड ).

उदाहरण के लिए चलो Nokia फोनों के लिए बहुत ही संदर्भ पर विचार करने के लिए.

एक बार नोकिया डिवाइस बेचा जाता है, नोकिया डिवाइस पर अधिकार, और न ही डिवाइस पर सूचना के आधार पर और न ही जानकारी है कि नेटवर्क के पार पर नहीं है. लेकिन यह भी सच है कि नोकिया सिर्फ डिवाइस प्रदान करता है और उपलब्ध कराने के मूल्य उद्यम (रिम वीपीएन सुरंग) एकीकरण, बीआईएस नेटवर्क का उपयोग और सभी स्थानीय और दूरदराज के सुरक्षा प्रावधान सुविधाओं कि ब्लैकबेरी उपलब्ध कराने के रूप में ऐसी सेवाओं जोड़ा.

तो यह उचित रास्ता जोखिम संदर्भ में जब मंच को चुनने पर विचार की एक बहुत Microsoft Exchange सर्वर (अपनी खुद की सेवा पर) को चुनने के लिए Google Apps का एक सास सेवा की तरह हो रही है कि क्या समान या उदाहरण के साथ बात है.

दोनों मामले में आप प्रदाता पर भरोसा करने की जरूरत है, लेकिन पहले उदाहरण में आप के लिए Microsoft विश्वास है कि सॉफ्टवेयर पर एक पिछले दरवाजे डाल नहीं की जरूरत है, जबकि 2 उदाहरण में आप पर भरोसा करने के लिए गूगल, एक मंच है और सेवा प्रदाता के रूप में, है कि नहीं का उपयोग करता है की जरूरत है आपकी जानकारी.

तो यह एक अलग प्रतिमान के लिए अपने धमकी मॉडल के आधार पर मूल्यांकन किया जाना है.

यदि आपका खतरा मॉडल आप एक विश्वसनीय तृतीय पक्ष सेवा प्रदाता के रूप में रिम पर विचार (बहुत गूगल) की तरह से यह ठीक है. यदि आप एक बहुत उच्च जोखिम संदर्भ है, एक शीर्ष रहस्य की तरह है, तो हम पर विचार करने और सावधानी से मूल्यांकन क्या यह बेहतर करने के लिए ब्लैकबेरी डिवाइस से पूरी तरह अलग सेवाओं रखने या निर्माता सर्वरों और सेवाओं के साथ संपर्क के बिना किसी अन्य प्रणाली का उपयोग नहीं है.

अब, कुछ अनुसंधान और ब्लैकबेरी और ब्लैकबेरी ही सुरक्षा के बारे में कुछ तथ्यों को वापस पाने के.

सभी कई सरकारों के पहले रिम के साथ निपटने के क्रम में उन्हें जानकारी है कि उनकी सेवा नेटवर्क के पार है, जबकि अन्य के लिए सीधे उच्च अधिकारियों के लिए ब्रिटेन और संयुक्त राज्य अमेरिका में स्थित सर्वर की वजह से ब्लैकबेरी के उपयोग पर प्रतिबंध लगाने का फैसला किया है करने के लिए पहुँच प्रदान करने के लिए मजबूर किया था, जबकि अन्य का फैसला किया अपने स्वयं के backdoors स्थापित.

रूसी गुप्त सेवा (FSB) रिम के साथ एक समझौते तक पहुँचने और अब FSB ब्लैकबेरी और वेब यातायात छिपकर बातें सुनना ईमेल कर सकते हैं रूस में
फ्रांसीसी सरकार ने सरकारी अधिकारियों द्वारा इस्तेमाल के लिए ब्लैकबेरी पर प्रतिबंध लगा दिया है और भी जगह आवाज एन्क्रिप्शन का उपयोग करने के लिए उपकरण
भारत सरकार एन्क्रिप्शन क्षमताओं को कम करने के लिए रिम पर दबाव बनाया और बाद में घोषणा की कि वे ब्लैकबेरी एन्क्रिप्शन फटा है . ब्रूस Schneier पर एक सारांश द्वारा भारत - रिम कहानी .
संयुक्त अरब अमीरात (यूएई) एतिसलत ऑपरेटर चुपचाप सब देश ब्लैकबेरी पर सरकार स्पायवेयर स्थापित करने की कोशिश की लेकिन वे पकड़ा गया
अमरीका के राष्ट्रीय सुरक्षा एजेंसी के शुरू में ओबामा ब्लैकबेरी का उपयोग करने के लिए निषिद्ध अपने अध्यक्षीय काम करता है उसे देने के लिए Sectera एज सुरक्षित फोन , 2 साल बाद वे यह एक कस्टम एन्क्रिप्शन परत एनएसए द्वारा विशेष रूप से किया है के साथ सुरक्षित करने में कामयाब रहे और ओबामा एक कस्टम सुरक्षित ब्लैकबेरी का उपयोग करने की अनुमति दी

वहाँ चर्चा का एक बहुत कुछ है जब विषयों रिम ब्लैकबेरी सरकारों और विभिन्न कारणों के लिए कर रहे हैं.

रिम ब्लैकबेरी मंच पर सरकारी सुरक्षा से संबंधित जानकारी का एक सेट के नीचे:

और यहाँ अनौपचारिक सुरक्षा और रिम ब्लैकबेरी मंच पर हैकिंग से संबंधित जानकारी का एक सेट:

Hackish ब्लैकबॉक्स की FX सुरक्षा विश्लेषण Phenoelit : जटिल सिस्टम विश्लेषण - ब्लैकबेरी मामला
कॉर्पोरेट intranets गर्त तक पहुँचना ब्लैकबेरी BBProxy हैक
ब्लैकबेरी मास्टर नियंत्रण कार्यक्रम की हैकिंग के थोड़ा
कैसे ब्लैकबेरी नीति आईटी बाईपास
ब्लैकबेरी अनुसंधान पीछे (ज्यादातर डॉ. Bolsen द्वारा, लेकिन कोई भी कभी और decompiled है पूरे RIMOS के प्रकाशित)
- ब्लैकबेरी कॉड हस्ताक्षर करें दरकिनार

क्योंकि यह 23.32 (GMT +1) है, मैं थक गया हूँ, मुझे लगता है कि इस पोस्ट को यहाँ खत्म हो जाएगा.

मैं पाठक उपयोगी जानकारी और ध्यान में अधिक गहराई से विश्लेषण और समग्र ब्लैकबेरी सुरक्षा पर विचार करने में जाना का एक सेट प्रदान की है उम्मीद है कि (अच्छा और बुरा में, यह हमेशा आपके खतरा मॉडल पर निर्भर करता है!).

चियर्स

फैबियो Pietrosanti (भोला - भाला)

पी एस मैं ब्लैकबेरी मंच पर सुरक्षा प्रौद्योगिकी विकास (आवाज एन्क्रिप्शन तकनीक) का प्रबंध कर रहा हूँ, और मैं आपको बता सकता है कि के विकास की दृष्टि से यह संगतता और विकास की गति के मामले में पूरी तरह से नोकिया से बेहतर है, लेकिन केवल 5.0 RIMOS + का उपयोग करें!

Comments (3) टैग व्यापार , एन्क्रिप्शन , हैकिंग , मोबाइल , गोपनीयता | टिप्पणियाँ (3)

व्यापार cyberwarfare खुफिया गोपनीयता सुरक्षा प्रौद्योगिकी

चीन एन्क्रिप्शन विनियम

16 जून 2010 - 1:11 बजे

हाय सब,

मैं चीन एन्क्रिप्शन आयात / निर्यात / घरेलू अमेरिका में बेकर और Mckenzie द्वारा किया विनियम पर यह बहुत दिलचस्प पेपर मिल गया.

यह दृढ़ता से व्यापार और उन्मुख विनियामक कैसे चीन नियमों काम करता है और यह भविष्य में कैसे व्यवहार कर सकता है पर एक बहुत अच्छी तरह से किया दृश्य देने है.

यहाँ पढ़ें चीन एन्क्रिप्शन विनियम विगोपन (प्रपत्र Bakernet वेबसाइट).

Comment (0) टैग व्यापार , cyberwarfare , एन्क्रिप्शन , गोपनीयता , voicesecurity के | टिप्पणी (0)

cyberwarfare खुफिया अवरोधन सुरक्षा

(पुराने) क्रिप्टो एजी मामला है और इसके बारे में कुछ सोच

7 जून 2010 - 6:40 बजे

'90 में, स्रोत और मालिकाना क्रिप्टोग्राफी दुनिया पर राज कर रहा था बंद कर दिया.

कि खुले स्रोत से पहले है और वैज्ञानिक रूप से मंजूरी दे दी एन्क्रिप्टेड प्रौद्योगिकियों क्रिप्टो सामान करना एक सबसे अच्छा अभ्यास के रूप में बाहर चला गया.

मैं याद दिलाना चाहता, जब 1992 में, संयुक्त राज्य अमरीका इसराइल के साथ था, स्विट्जरलैंड के साथ एक साथ, ईरानी सरकार backdoored (मालिकाना और गुप्त) प्रौद्योगिकियों प्रदान करने के लिए अपने संचार नल, उन्हें लगता है कि इस्तेमाल किया समाधान सुरक्षित था धोखा दे, भी बना कुछ 2010 में इस पर आज विचार.

caq63crypto.t.jpg

कि कहा जाता है क्रिप्टो एजी मामले में , एक ऐतिहासिक संयुक्त राज्य अमेरिका से जुड़े तथ्य राष्ट्रीय सुरक्षा एजेंसी सिग्नल की खुफिया डिवीजन के साथ इसराइल के रक्षा मंत्रालय कि दृढ़ता से स्विस क्रिप्टोग्राफी निर्माता कंपनी के साथ एक समझौता किया था संदिग्ध क्रिप्टो एजी .

मूल रूप से उन संस्थाओं सुरक्षित क्रिप्टो उपकरण है कि वे ईरान के लिए प्रदान करने के लिए ईरानी संचार अवरोधन में एक पिछले दरवाजे रखा.

उनके गोपन रहस्य और मालिकाना एन्क्रिप्शन एल्गोरिदम क्रिप्टो एजी द्वारा विकसित और अंत में ईरानी सरकार के लिए अनुकूलित के आधार पर किया गया था.

आप क्रिप्टो एजी पिछले दरवाजे से संबंधित मुद्दों के बारे में कुछ अन्य तथ्यों को पढ़ सकते हैं:

वैश्विक दूरसंचार सुरक्षा का निधन

एनएसए के क्रिप्टो एजी डंक

एक असंभव काम है? कोड तोड़कर बीबीसी

डेर स्पीगेल क्रिप्टोप्लग (जर्मन) एजी लेख

अब, 2010 में, हम सब जानते हैं और समझ है कि रहस्य और स्वामित्व क्रिप्टो काम नहीं करता है.

शीर्ष दुनिया भर में क्रिप्टोग्राफ़िक नीचे विशेषज्ञों द्वारा कुछ संदर्भ:

गोपनीयता, सुरक्षा, अंधकार से , ब्रूस Schneier

बस मालिकाना Cryptographic एल्गोरिदम के लिए नहीं कह नेटवर्क कम्प्यूटिंग (माइक Fratto) द्वारा

Ceria पर्ड्यू विश्वविद्यालय के द्वारा अंधकार के माध्यम से सुरक्षा

क्रिप्टो के रहस्यों को ताला खोलने: Symantec द्वारा क्रिप्टोग्राफी एन्क्रिप्शन, और कूटलिपि समझाया

समय बदलने के जिस तरह से चीजें संपर्क कर रहे हैं.

मैं बहुत ज्यादा प्रसिद्ध पसंद फिलिप ज़िम्मरमैन अभिकथन:

क्रिप्टोग्राफी करने के लिए रोजमर्रा की जिंदगी को थोड़ा प्रासंगिकता की एक अस्पष्ट विज्ञान, इस्तेमाल किया जा. ऐतिहासिक, यह हमेशा सैन्य और राजनयिक संचार में एक विशेष भूमिका थी. लेकिन सूचना आयु में, क्रिप्टोग्राफी राजनीतिक शक्ति के बारे में, और विशेष रूप से, एक सरकार और उसके लोगों के बीच संबंधों के बारे में है. यह के बारे में गोपनीयता के अधिकार, अभिव्यक्ति की स्वतंत्रता, राजनीतिक संघ की स्वतंत्रता, प्रेस की स्वतंत्रता, अनुचित खोज और जब्ती से स्वतंत्रता, स्वतंत्रता को अकेला छोड़ दिया है. "

कोई भी वैज्ञानिक आज स्वीकार करते हैं और अनुमोदन Kerckhoffs सिद्धांत है कि 1883 में Cryptographie Militaire कागज कहा:

एक क्रिप्टो की सुरक्षा एल्गोरिथ्म गुप्त रखने पर है, लेकिन संख्यात्मक कुंजी गुप्त रखने पर ही निर्भर नहीं करना चाहिए.

यह बिल्कुल स्पष्ट है कि क्रिप्टोग्राफी कर आज obbly खुला क्रिप्टोग्राफी, सार्वजनिक समीक्षा के अधीन करने के लिए किसी भी गंभीर व्यक्ति के लिए सबसे अच्छा अभ्यास है और कि Kerckhoff सिद्धांत का पालन करें.

तो, क्या हम बंद स्रोत, मालिकाना क्रिप्टोग्राफी कि सुरक्षा गर्त अंधकार अवधारणाओं पर आधारित है के बारे में सोचना चाहिए?

मैं बहुत चकित था जब टुडे, 2010 में, सूचना समाज की उम्र में मैं पर कुछ कागज पढ़ा क्रिप्टो एजी वेबसाइट.

मैं सब को आमंत्रित करने के लिए क्रिप्टो एजी सुरक्षा बुलाया कागज पढ़ने परिष्कृत सुरक्षा क्रिप्टो एजी द्वारा डिजाइन वास्तुकला जिसमें से आप एक महत्वपूर्ण अंश नीचे प्राप्त कर सकते हैं:

इस वास्तुकला के डिजाइन क्रिप्टो एजी एक गुप्त मालिकाना कलन विधि है कि प्रत्येक ग्राहक के लिए क्रिप्टोग्राफ़िक सुरक्षा और ग्राहक सुरक्षा नीति के लिए अधिकतम समर्थन के सही स्तर को आश्वस्त करने के लिए निर्दिष्ट किया जा सकता है प्रदान करने के लिए अनुमति देता है. बारी में, सुरक्षा वास्तुकला आप प्रभाव आप अपने एन्क्रिप्शन समाधान के संबंध में पूरी तरह से स्वतंत्र होना चाहिए देता है. आप सभी क्षेत्रों कि क्रिप्टोग्राफी द्वारा कवर कर रहे हैं और कैसे कलन विधि काम करता है सत्यापित निर्धारित क्रिप्टो एजी के मूल रहस्य मालिकाना कलन विधि सुरक्षा वास्तुकला की नींव है. कर सकते हैं.

मैं कहना है कि उनके वास्तुकला देखने के टीएलसी बात से बिल्कुल अच्छा है. इसके अलावा, वे समग्र वास्तुकला के डिजाइन बनाने के क्रम में समर्पित का उपयोग करके एक प्रतिरोधी छेड़छाड़रोधी क्रिप्टो प्रणाली बनाने में एक बहुत अच्छा काम किया है क्रिप्टो प्रोसेसर .
लेकिन वहाँ अभी भी कुछ याद आ रही है:

समग्र क्रिप्टोग्राफ़िक अवधारणा भ्रामक टी गलत एन्क्रिप्शन अवधारणाओं पर आधारित है,.

आपको लगता है कि मैं एक ट्रोल यह कह रहा हूँ लगता है, लेकिन क्रिप्टो एजी के इतिहास को देखते हुए और तथ्य यह है कि सभी वैज्ञानिक और सुरक्षा समुदाय सुरक्षा गर्त अंधकार अवधारणाओं को मंजूरी नहीं दी है, यह करने के लिए ourself पूछने के लिए वैध होगा:

क्यों वे अभी भी रहस्य और स्वामित्व एल्गोरिदम के साथ सुरक्षा गर्त अंधकार क्रिप्टोग्राफी कर रहे हैं?

अरे, मुझे लगता है कि वे दूरसंचार और सुरक्षा पर बहुत गहराई ज्ञान है, लेकिन दिया है कि विज्ञान हमें बताने के लिए एल्गोरिदम की गोपनीयता का पालन नहीं, मैं क्यों वे अभी भी मालिकाना एन्क्रिप्शन प्रदान कर रहे हैं पर वास्तव में गंभीर संदेह है और मानक समाधान के लिए कदम नहीं है (अंततः कस्टम बढ़ाने के कुछ प्रकार के साथ).

Comment (0) टैग cyberwarfare , एन्क्रिप्शन , नीति , voicesecurity | टिप्पणी (0)

cyberwarfare खुफिया सुरक्षा

साइबर हमलों के खिलाफ मिसाइल?

7 जून 2010 - 5:40 बजे

साइबर संघर्ष वास्तव में एक बिंदु है जहां युद्ध और cyberwar एक साथ विलय करने के लिए पहुँच रहे हैं.

नाटो देशों के कंप्यूटर नेटवर्क पर हमलों के खिलाफ बल प्रयोग का अधिकार है .

Comment (0) टैग cyberwarfare नीति | टिप्पणी (0)

cyberwarfare खुफिया अवरोधन गोपनीयता सुरक्षा

इसराइल के रक्षा मंत्रालय द्वारा लाइसेंस है? चीजें कैसे सच में काम करता है!

29 जनवरी 2010 - 10:12 हूँ

आपको पता होना चाहिए कि इसराइल एक देश है जहां अगर एक कंपनी के लिए एन्क्रिप्शन उत्पाद विकसित वे सरकार द्वारा अधिकृत किया जाना चाहिए की आवश्यकता है.

सरकार करना चाहते हैं कि क्रिप्टोग्राफी कर रही कंपनियों को उन्हें कुछ बुरा और क्या वे अच्छे के लिए सरकार क्या कर सकते हैं कर सकते हैं, तो वे पहले से अधिकृत किया जाना है.

कंपनियों अंतरग्रहण और encryptio के एनएम उस्त प्रदान लाइसेंस लागू क्योंकि इसराइल कानून इस पर इतना करने के लिए इसी प्रतिबंधक है चीन कानून .

ऐसा इसलिए है क्योंकि प्रौद्योगिकियों के उन तरह इसराइल देश की खुफिया और जासूसी क्षमताओं के लिए मौलिक माना जाता है.

कंपनियों "इसराइल के रक्षा मंत्रालय द्वारा लाइसेंस के कुछ उदाहरण दे:

जीएसएम एन्क्रिप्शन उत्पादों "इसराइल के रक्षा मंत्रालय द्वारा लाइसेंस - सोने का ताला

संचार उत्पादों "इसराइल के रक्षा मंत्रालय द्वारा लाइसेंस का अवरोधन - Verint

HF रेडियो एन्क्रिप्टेड इसराइल के रक्षा मंत्रालय द्वारा लाइसेंस - Kavit

निगरानी सेवाओं और उपकरण "इसराइल के रक्षा मंत्रालय द्वारा लाइसेंस - बहु स्तरीय समाधान

कैसे उदाहरण के लिए इसराइल के रक्षा मंत्रालय द्वारा लाइसेंस के लिए आवेदन अगर आप इसराइल में एन्क्रिप्शन प्रौद्योगिकियों के लिए?

एक इजरायली कंपनी होने का यकीन है, यहाँ क्लिक करें और प्रपत्रों को भरने.

कोई आप encryption-control@mod.gov.il से संपर्क करें और आप के साथ चर्चा है कि क्या आप या नहीं देने के लिए बेचने के लाइसेंस होगा.

रक्षा विभाग के एक इजरायली कंपनी से की आवश्यकता है क्रम में उन्हें बनाने के लिए और अंतरग्रहण और एन्क्रिप्शन उत्पादों को बेचने के लिए प्राधिकरण प्रदान करने के लिए?

खैर, वे क्या चाहते हैं और क्या वे वास्तव में पूछने के लिए कोई नहीं जानता.

यह इसराइल के रक्षा मंत्रालय के प्रत्येक "लाइसेंस" कंपनी के साथ काम कर गुप्त है.

क्या हम यकीन के लिए पता कि Verint है, वे बेच रहा था अवरोधन प्रणाली में अमेरिका और नीदरलैंड में कंपनियों और सरकारों को रोकना पिछले दरवाजे "इसराइल के रक्षा मंत्रालय द्वारा लाइसेंस" रखा.

Verint, एक रक्षा कंपनी इसराइल मंत्रालय, इसराइल सरकार को संयुक्त राज्य अमेरिका में और नीदरलैंड में निजी और सरकारी उपयोगकर्ताओं के संचार eavesdropped द्वारा लाइसेंस .

सीआईए officier ने बताया कि इसराइल के रक्षा मंत्रालय में जाना जाता था Verint उनकी लागत का 50% की प्रतिपूर्ति का भुगतान करने में जासूसी सेवाओं Verint गर्त से 'backdoored अवरोधन उपकरण बेचने के लिए विदेशी उपयोगकर्ताओं को जासूसी पर उनके व्यावसायिक गतिविधि है.

यह एक वैध शक नहीं है कि इजरायल के रक्षा मंत्रालय के भीतर सहयोग एक इजरायली कंपनी है कि अंतरग्रहण और एन्क्रिप्शन उत्पाद विदेशों में बेचने के लिए चाहते हैं के लिए समस्याग्रस्त किया जा सकता है हो सकता है.

उन कंपनियों के लिए इसराइल के रक्षा मंत्रालय के हितों और ग्राहकों के हितों (Verint घोटाले की तरह एक वास्तविक दुनिया उदाहरण है) बनाने के लिए मजबूर किया जा सकता है.

तो, कैसे एक होगा "इसराइल के रक्षा मंत्रालय द्वारा लाइसेंस" को बढ़ावा देने के लिए एक अच्छी चीजें हो?

यह खतरा है कि "इसराइल के रक्षा मंत्रालय की तरह सार्वजनिक रूप से जाना जाता है कि यह पहले से ही Verint साथ किया, कंपनी क्या कर के साथ हस्तक्षेप का प्रतिनिधित्व करते हैं.

यह खतरा है कि "इसराइल के रक्षा मंत्रालय यथोचित कंपनी भुगतान की लागत की प्रतिपूर्ति" प्रदान करते हैं और हो सकती है वे क्या होने की संभावना को प्राप्त करना होगा प्रतिनिधित्व करते हैं.

तो, क्या सच में इसराइल एन्क्रिप्शन और अवरोधन प्रौद्योगिकियों कर रही कंपनियों से इसराइल के रक्षा मंत्रालय चाहते हैं?

हम ourself से पूछना चाहिए कि क्या इजरायल एन्क्रिप्शन और अवरोधन कारोबार कर रही कंपनियों को और अधिक व्यापार करते हैं या उनकी हमेशा भुगतान ग्राहक, "इसराइल के रक्षा मंत्रालय के लिए आउटसोर्स जासूसी सेवाओं" करने के लिए रुचि रखते हैं.

यकीन के लिए, वित्तीय संकट की उम्र में, इसराइल के रक्षा मंत्रालय के एक भुगतान ग्राहक है कि बजट समस्या नहीं है ...

सख्त नियंत्रण, सख्त नियम, मजबूत सरकार सामरिक और सैन्य सहयोग.

सावधान रहो.

यदि आप कैसे कुछ देशों प्रौद्योगिकियों से उनकी सरकारों के साथ आमतौर पर प्रदूषित सैन्य और गुप्त सेवाओं रणनीति के रूप में मैं इस बारे में एक पोस्ट की तैयारी कर रहा हूँ tuned रहना है के बारे में इस मामले के बारे में अधिक पढ़ने के चाहता हूँ.

तुम बहुत बेहतर "इसराइल के रक्षा मंत्रालय द्वारा लाइसेंस" पर कि विषयों के बारे में समझ जाएगा.

Comment (0) Cyberwarfare टैग , हैकिंग , मोबाइल , गोपनीयता , voicesecurity | टिप्पणी (0)

खुफिया अवरोधन गोपनीयता प्रौद्योगिकी

स्थान आधारित सेवाएं: बड़े भाई तुम ;-) धन्यवाद

1 दिसंबर 2009 - 7:13 बजे

क्या आप अपने iphone, गूगल फोन, ब्लैकबेरी है या जीपीएस निर्मित शांत के साथ नोकिया स्मार्टफोन का उपयोग करें?

अब अच्छी तरह से कानून प्रवर्तन और भी बेहतर पता है तुम कहाँ हो सकता है, किसी भी समय पर ऐतिहासिक डेटा और स्थान सिस्टम आधारित BTS से बेहतर के साथ भी.

स्प्रिंट 8 लाख बार ग्राहक जीपीएस जानकारी (एक अर्द्ध स्वचालित अनुरोध की तरह कुछ ध्वनि) कानून लागू करने के लिए दिया है.

पढ़ें यहाँ .

अच्छा निकालने है:

स्प्रिंट अपने ग्राहकों '(जीपीएस) स्थान की जानकारी के साथ सितम्बर 2008 और अक्टूबर 2009 के बीच 8 लाख से अधिक बार कानून प्रवर्तन एजेंसियों को प्रदान की है. संवेदनशील ग्राहक जानकारी की यह बड़े पैमाने पर प्रकटीकरण की वजह से बाहर रोल करने के लिए संभव बनाया गया था एक नया, कानून प्रवर्तन अधिकारियों के लिए विशेष वेब पोर्टल की स्प्रिंट द्वारा.

informations के पर प्रदान किया गया वायरटैपिंग और अवरोधन उद्योग सम्मेलन Washingtown में आईएसएस धो.

यदि आप सीधे वीडियो देखना चाहते हैं:

स्प्रिंट: 50 लाख ग्राहकों, 8 मिलियन कानून प्रवर्तन 1 वर्ष में जीपीएस अनुरोध क्रिस्टोफर Soghoian पर Vimeo .

तो आप जानते हैं कि "बड़ा भाई" आप ही देख रहा है क्योंकि तुम उसे देखने के लिए.

Comment (0) टैग civilrights , मोबाइल , नीति , गोपनीयता | टिप्पणी (0)

cyberwarfare खुफिया अवरोधन गोपनीयता

गोल्ड लॉक सुरक्षा एन्क्रिप्शन प्रतियोगिता: सावधान!

25 नवम्बर, 2009 - 2:56 बजे

इस पोस्ट करने के लिए गोल्ड लॉक की "अनुचित" विपणन दृष्टिकोण, एक इजरायली मोबाइल आवाज एन्क्रिप्शन इजरायल रक्षा मंत्रालय द्वारा अधिकृत कर रही कंपनी के बारे में बात की है.

एक Linkedin "सूचना सुरक्षा समुदाय" समूह पर देखा घोषणा के बाद:

GoldLock unencryption के लिए 100.000 अमरीकी डॉलर और एक नौकरी की पेशकश कर रहा है
GoldLock, एक इजरायली एन्क्रिप्शन और सुरक्षा कंपनी 100.000 अमरीकी डॉलर और decrypt करने के लिए एक सेलुलर अपनी साइट में प्रदान की (फ़ाइल में निहित बातचीत में सक्षम किसी के लिए एक नौकरी की पेशकश कर रहा है https://www.gold-lock.com/app/en/? विकेट: = इंटरफ़ेस: 8 ::::).
प्रतिलेखन GoldLock 1 फरवरी, 2010 तक भेजा वापस किया जाना चाहिए.
प्रतियोगिता सभी के लिए खुला है और किसी भी उपकरण या प्रौद्योगिकी का इस्तेमाल किया जा सकता है.
गुड लक!

मैं टिप्पणी:

नहीं एक सार्वजनिक प्रोटोकॉल विनिर्देश भी वैज्ञानिक के लिए इस तरह एक विपणन चाल बनाने के लिए गंभीर नहीं है.
मैं सोने की लॉक करने के लिए कहेंगे, चलो स्रोत कोड जारी है और किसी को क्रिप्टोग्राफ़िक इंजन संकलन अगर आप नहीं पर विश्वास करने के लिए अंदर बुरा कुछ है ... ;)

टोनी Koivunen कहा से एफ - सुरक्षित :

तो ... वे $ 100k भुगतान अगर आप एईएस और कुंजी के साथ परेशानी के माध्यम से मिल जाएगा.
यदि कोई इसे हटा कि वे निश्चित रूप से एक truckload अधिक पैसा कहीं और करना होगा. इसके अलावा वे कोड प्रौद्योगिकी / कि वे बनाया है, जो मामले में अगर वे $ 100k के लिए जाने के बाद से लाइसेंस बहुत स्पष्ट रूप से कहते हैं कि नहीं है के लिए अधिकार बनाए रखने होगा:
# एक काम एक अपनी प्रौद्योगिकी और कार्य योजना ("प्रौद्योगिकी") की स्वर्ण रेखा को संतोषजनक रूप में गोल्ड लाइन के लिए पत्र,. इस तरह के असाइनमेंट के फार्म का गोल्ड लाइन प्रौद्योगिकी पर अधिकार के लिए पेटेंट और अन्य सभी अधिकार रजिस्टर सही सहित गोल्ड लाइन को स्थानांतरित करने के लिए, सक्षम करेगा.
# एक के रूप में जारी है और छूट के रूप में, स्वर्ण रेखा को संतोषजनक विधिवत तुम और प्रौद्योगिकी के लिए किसी भी अधिकार का किसी अन्य भागीदार द्वारा मार डाला.
गोल्ड प्लस कोर्स की लाइन के लिए पूर्व सूचना के साथ खेल के नियमों को बदलने का अधिकार सुरक्षित रखता है. या बाद में या तो सूचित करने की आवश्यकता होगी.
निष्पक्ष :) लगता है

मिशेल Scovetta से कंप्यूटर एसोसिएट्स कहा:

यह इस उद्देश्य की तरह लगता है इसे से बाहर कुछ सस्ते परीक्षण, और की तरह, कुछ कहने के लिए सक्षम होना है, "दुनिया में सबसे अच्छा क्रिप्टो विशेषज्ञों के लिए इसे तोड़ने की कोशिश की, और करने में असमर्थ थे."
सोने ताला वेबसाइट पर डॉक्स के कुछ के अनुसार, वे ECC-256 और संशोधित DH कुंजी विनिमय "(जो मेरे spidey होश tingles), SHA-256, और फिर वास्तविक डेटा एन्क्रिप्शन के लिए XOR का उपयोग करें. , "गोल्ड बंद एंटरप्राइज़ समाधान के प्रत्येक घटक का परीक्षण किया है और सुरक्षित सिद्ध भी संभावित हमले के खिलाफ है." वे की तरह व्यावहारिक रूप से तिरस्कारी भाषा का उपयोग करें
सिद्ध * सुरक्षित है? * किसी भी बोधगम्य * हमले? ओह!
अपनी साइट पर एक और डॉक्टर में, वे अपनी पहली 1024 - बिट RSA पर निर्भर परत के बारे में बात करते हैं. GoDaddy 1024 - बिट कुंजी अब भी इस्तेमाल किया जा करने के लिए जब $ 20 SSL प्रमाणपत्र पैदा करने की अनुमति नहीं है. वे 300 अरब एमआइपी साल तोड़ने के लिए बोली, लेकिन अगर मेरी गणित सही है, कि शीर्ष सुपर कंप्यूटर पर के बारे में 52 दिनों के लिए नीचे आता है अभी. तुच्छ लेकिन नहीं, यह एक ऑफ़लाइन हमला है, तो समय हमलावर की तरफ है.
विवरण तो 16k कुंजी जब आप डिवाइस रजिस्टर युक्ति के बारे में बात करती है. यदि प्रोटोकॉल "सुरक्षित" है, तो यह केवल एक ही कुंजी के साथ "सुरक्षित" होना चाहिए. यदि यह एक ही कुंजी के साथ सुरक्षित नहीं है, तो पैदा 16k कुंजी केवल यह 16k गुना अधिक सुरक्षित बना सकते हैं, जो सुरक्षा का एक सबूत से दूर है.
मैं फैबियो साथ सहमत हूँ - एक निष्पक्ष प्रतियोगिता के लिए स्रोत कोड और क्रिप्टोग्राफ़िक विनिर्देश शामिल होगा. Also, as other contests have proven (eg SecureWebMail), the weakest point isn't usually the cryptography. It's all of the other stuff, and it doesn't look like any of it is being disclosed for the contest.
http://xkcd.com/538/
माइक

I would say that all those considerations from security experts from well known and established security companies bring us to consider that:

Gold-lock is not transparent on their encryption at all and they work trough bad practice of Security Trough Obscurity (no one know what's inside the product)
Gold-lock is not playing a fair game by proposing this 'security contest'
Gold-lock being certified by Israeli ministry of defence may raise doubt related to possible relationship with the intelligence… Read by post Certified by Israeli MInistry of Defense .

Voice security is a sensible matters and lacks of transparency and governmental relationship for cryptographic choices usually does not provide anything good…

Think about it…

Tags cyberwarfare , mobile , Privacy , voicesecurity | Comment (0)

cybercrime Privacy

Disk encryption sometimes 'works'

9 November 2009 – 2:53 pm

I am one of the person convinced that a computer disk encryption system will not protect you from public authorities if they are convinced enough and the case is very important.

There are a lot of way to convince a person to release a password.

However there's a case in Australia where not revealing the disk password resulted in a successful way to avoid going in jail:

Secret code saves man who spied on flatmates

My opinion is just that spying flatmates is not a so relevant and particular crime and that law enforcement did not used 'convincing systems' to get the password of encrypted disk.

UPDATE 29.06.2010: It also worked for Daniel Dantas against FBI .

Tags cybercrime , encryption , Privacy | Comment (0)

cyberwarfare intelligence security

Brazilian Electrical Blackout: preview of cyberwar

7 November 2009 – 3:44 pm

In 2005 and 2007 in Brazil million of people was targetted by a blackout.

Initially it appeared like an accident.

Now it's known that was caused by a cyber attack against electricity control systems.

That was just a preview of what a cyber attack in a cyberwar means.

In near future we'll probably see something like 'virtual custom offices' at internet borders, defining what get in and what get out like several “not so democratic” countries are doing.

Does the cyberwar will affect digital rights? Probably yes, even i hope not.

Tags cyberwarfare | Comment (0)

intelligence interception Privacy

Political conflict in Turkey between Prosecutors and Wiretappers

7 November 2009 – 3:38 pm

It seems that in Turkey the Telecommunication Directorate (TIB), in charge of managing the wiretapping, intercepted the president of the Judge and Prosecutors Associations.

Prosecutors and Judge usually does not like being tapped, and so the 1st High Criminal Court ordered an audit of all the recording done by the TIB since 2006.

Conventionality is not morality.

6 August 2009 – 8:43 pm

During my daily RSS OCD reading I had to deal with this article : it has been written by a “senior anti-virus researcher at Kaspersky Lab's “. Talk about personal interest.

I wont comment on the practical implications of useless signature based AV's and how cyber criminals will never need amateur-ish projects to carry on their malicious tactics.

But what is always interesting is watching the very same people who use billion dollar scare tactics to sell you a perfectly useless piece of software (which will give you a false sense of security, hence will make you more insecure), talking about ethics.

टिप्पणी (0)

cybercrime security technology

This is big business, this is the American way

31 July 2009 – 3:26 pm

43 years old “UFO eccentric” hacker Gary McKinnon just loses appeal against his extradition to the States for computer crimes he committed 7 years ago.

If you've lived under a rock during the last few years what this dude did was basically break into .gov computers looking for UFO related material.

Probably the last case of recreational hacking I've heard about.

So his case is obviously going to be a classical “Strike one to educate one hundred” kind of message to every hacker attacking american computer systems: we can reach you everywhere you live and have you extradited to our country where we will sentence you to life in prison.

Unless you are a multi millionaire cyber criminal living in Russia or a chinese spy, of course.

टिप्पणी (0)

cybercrime cyberwarfare intelligence

Russia: the best worldwide place for cybercrime business

30 July 2009 – 11:44 am

Russia is a very beautiful place for any committed cybercrime business owner.

FBI and Mcafee are trying to do something , do they will ever succeed?

I don't think so, it's a political issue as russia is not going to extradite any cybercriminal and is not going to provide strong international cooperations.

Always remember that in Russia Business Network has been strongly suspected to had done cooperations with Russian government that leveraged in different occasion their power and skills.

Are russian politicians more interested to protect their cyber-warriors skills and activities or to provide international cooperation?

Quite easy to answer…

Tags cybercrime , cyberwarfare | Comment (0)

business cybercrime cyberwarfare management

chinese espionage: the worst and more silent threat for western countries

27 July 2009 – 10:03 pm

हाय सब,

in the past few years i saw an incredible increase in the amount of “public” news about espionage against different western countries and usually coming from far-east, typically china.

China want to be the largest economic power within 2020 and it's following a grow rate of 8% per year. Their “controlled” capitalism without the inefficiency of the democracy it's something that's beating the western countries, less efficient because democratic.

China, in order to quickly grow it's R&D capacity make an extensive use of espionage, it's estimated that Chinese government have more than 1.000.000 intelligence agents worldwide.

And they know how to do espionage, their “spy” does not cost that much like western countries' spy, less guarantee, less payments.

Also they are using cyber espionage as an important source of information and competitiveness against western countries companies and government R&D results. China is so un-cooperative that now also western countries spying each other, or even Russian, use chinese internet space as the “start base” for their internet based espionage activities.

I knew of a USA phisher that used to build it's own trojan with a chinese version of Windows Xp with a chinese version of the Microsoft Visual Studio development suite. क्यों? For information deception, in order to tweak the forensics effort of the FBI analyst and have them think that it's own attacks was coming from China!

Any investigators that see an attack coming from china typically think “oh shit, it comes from china, we're lost”, and now even cybercrime use China like a far-west, untouchable base for cyber attacks.

Back tracing attacks coming from china it's like trying to find out what's inside a black hole , it's a one-way trip and no information comes back.

To give better an idea of what i am speaking about just get the following list of reference:

Germany accuses China of industrial espionage

Chinese trainee goes on trial as French industry fears espionage

US Vulnerable to Chinese Cyber Espionage

Massive Chinese Espionage Network

Cyber Spy Network Also Targetting Finland

How do the western countries defend themself?

That's a nice points to speak about because there's no simple way to defend against espionage other than considering it like a serious and concrete threat.

Governments should be able to get more understanding that their approach to informations systems and information security policy must not only exists on paper but also be applied everywhere in order to be effective. Governments are complex organizations and only a few are enough smart to be able to quickly and efficiently make security policies really be implemented organization-wide. But they are trying to, especially the most competitive ones like USA, UK and Germany .

Companies instead should acquire awareness of the problem that is present, available, concrete as concrete is the chance that someone enter into the offices to steal good (not for espionage). For that reason companies place alarm systems, access control with badge, camera monitoring systems.

But espionage does not mean fighting and protecting against poor thieves but instead against more sophisticated, either technically and socially, attacker that can use old school intelligence techniques always effective. Getting employed and stealing information while working. Simulate to be customers to establish a link trust with a salesman and then find a reason to let him execute some malicious software “hey, but my modellization software demostrate that your model used to measure the performance of your product it's not the one you advertised. Check it out, see your self with the software we used!” . What do you think the salesman will do in order to catch the prospect customer?

Only awareness, knowledge about the issues can make such risk to be considered seriously.

Governments should provide financing to industrial associations, chamber of commerces and similar agencies in order to make such awareness national wide and let entrepreneurs became conscious and became prepared to recognize, identify and stop espionage activities.

The law perspective

Governments should strenghten their laws in order to be able have the required rights tools to enforce the protection from espionage.

Look at the analysis made by my smart cousin Angelo Pietrosanti on espionage “Is the European R&D Equally protected from espionage as in the US R&D?”

देश	Civil Sanction against trade secret threat	Criminal Sanction against trade secret threat	Year of last modificationg
अमेरिका	5 mln $	up to 10(for domenistic) or 15 (for foreigners) Years of Jail	1996 ( Economic Espionage Act )
जर्मनी	YES	up to 3 Years of Jail	1986
फ्रांस	0.03 mln $	up to 2 Years of Jail	1992
यूके	YES	NO	1984
इटली	YES	up to 2 Years of Jail	1942
स्विजरलैंड	YES	up to 3 Years of Jail	1986
फ़िनलैंड	YES	up to 3 Years of Jail	1990
स्वीडन	YES	up to 6 Years of Jail	1990
नीदरलैंड	YES	up to 4 Years of Jail	1992

What this table show?

Outdated law (except USA)
Not so serious sanctions against espionage activities. (except USA)

Maybe some european policy on this could help.

In conclusion

We are in an economic war where the winner is not the one having more forces, but the one being more technologically advanced, and economically clever.

Chinese are demonstrating to be enough aggressive and clever, will the western countries be able to react both on the defense and the attack in this war?

Tags business , cybercrime , cyberwarfare , management , policy | Comment (0)

business cybercrime

Criminal business model: Somali pirate case study

27 July 2009 – 10:00 pm

हाय सब,

this blog post is to have a nice economical point of view on somali pirates business model, something nice as also crime is a business and need it's business evaluation:

An economic Analysis of Somali Pirates Business Model

It sounds much like a great deal, check it out the details:

The attack model and costs

The negotiation phase (Offer and Counter offer)

The resolution

And for the pleasure of home gamer, Cuttrhouat Capitalism: the game

Tags business , cybercrime | Comment (0)

cyberwarfare intelligence interception security

1st august 2009: Switzerland start realtime internet interception

21 July 2009 – 2:27 pm

The intelligence strength is increasing everywhere… also in Switzerland that had a well known privacy protection approach!

Read the WikiLeaks Article

Tags civilrights , cyberwarfare , policy | Comment (0)

cyberwarfare intelligence interception Privacy security

UAE government placing backdoors into Blackberry devices

21 July 2009 – 2:25 pm

Nice attempt to place backdoors inside Blackberry devices.

It seems that UAE government wanted to do something nasty placing backdoors trough software upgrades in Etilsat (local mobile operator) blackberry devices, obviously with the cooperation of the mobile operator itself.

Fortunately, the power of the security community discovered and unveiled the facts. इसे बाहर की जाँच करें.

Etisat patch designed for surveillance

Wired magazine: Blackberry spies

सुरक्षा पारदर्शिता के साथ ही मौजूद है.

Tags civilrights , cyberwarfare , hacking , Privacy | Comment (0)

cyberwarfare intelligence

Chinese Spying NSA/USA buying Cryptographic Equipment on Ebay

12 July 2009 – 9:14 pm

It's amazing.

A chinese guy has been engaged within an espionage activity for the People's Republic of China buying and exporting cryptographic equipments, radio and other secure hardware on eBay.

It's unbelivable, read there , Chi Tong Kuok found on eBay:

1 software for a VDC-300 airborne data controller, used for secure satellite communications from the American military aircraft
1 GPS receiver with anti-spoofing defence (maybe there's interested in understanding how this know that a packet is spoofed or not? Me too!)
1 NSA developed AN/CYZ-10 crypto key management device
2 PRC-148 handheld digital military radios
1 KG-175 TACLAN, an NSA designed encryption device used to communicate with classified military computer networks, such as Defense Department's SIPRNet (Secret Internet Protocol Router Network) .

It's important to underline that good crypto should not require “secret methods” as the security methods should be secure even if revealed, like any cryptographic technology.

But chinese probably understood that this is not the approach of NSA that prefer using custom, self-made, self-analyzed cryptographic technologies that are probably a lot weaker than nowadays cryptographic standards.

So, why not buy some export restricted military secure technology on ebay?

Tags cyberwarfare , encryption | Comment (1)

business cyberwarfare intelligence interception Privacy security

Voice encryption in government sectors

6 July 2009 – 11:02 pm

I will make some in depth articles about how voice encryption really works in government environments.

The open standards and open source still have to reach the military and government environments for what's related to secure speech.

To give you an idea of the complexity and kind of particular issues that exists, look at the USA 3G Wireless Security: A Government Perspective and the A Waveform Architecture to Support Security and Interoperability in Multi-National Wireless Networks for Tactical Communication .

They are using so-custom protocols like Secure Communications Interoperability Protocol that require the use of patented MELPe ultra-narrowband codec that there's not a real market of application and equipment using this. Only a small elite of government controlled companies from few countries manage this de-facto lobby.

Should we change this bringing open standards also to government sectors?

Tags business , cyberwarfare , Privacy , voicesecurity | Comment (0)

intelligence

Women as agents of future geopolitical changes

6 July 2009 – 10:39 pm

Nice to read about Global Trends 2025 from United States National Intelligence Council.

Tags civilrights , policy | Comment (0)

cybercrime cyberwarfare intelligence

Hackers hired from UK Office of Cyber Security

6 July 2009 – 10:25 pm

It seems that in UK the management became illuminated, they discovered that the most efficient way to fight a cyber war is to hire soldier that play in the battlefield everyday, only for passion.

UK Employs 'Naughty Boys' to Battle Other Hackers UK Employs 'Naughty Boys' to Battle Other Hackers

Tags cybercrime , cyberwarfare , hacking , Untitled | Comment (0)

intelligence Privacy technology