Таг Архива: Маркетинг

пословни менаџмент

Производ управљање и организација

12. септембар 2010 - 8:52 ам

Морао сам да боље разумеју концепте, улоге и обавезе везане за управљање производима и маркетинг производа за управљање софтверским компанијама, зашто су потребне, које су разлике и како се уклапају унутар организационе структуре.

Већина особа никад не знам занима у овом специфичном подручју рада, али када желите да буде производ компаније (а не консултантска фирма или решење), почнете да имају различите производе на различитим платформама за различите циљне купце продатих кроз различите канале са различитим цена са инсталацијом / различити испоруке процес и да сложеност мора да се управља на прави начин.

Морате схватити да би се нека фирма производ расте у правом смеру, морате да организујете активности формално управљање производима, а не затварање у свој ум ригидне организације улогама, као што су маркетинг, продаја, Р & Д.

Када говоримо о Продуцт Манагемент препоручујем читање осветљава стратешку улогу Продуцт Манагемент (Како тржишне фокус доводи компанија за изградњу производе људи желе да купују) да појасни многе ствари, чак и ако је Оутлоок нето раздвајање улоге у управљање производима, нешто Т шешир је превише тежак за малу компанију као што је покретања.

Ипак је обезбедити диференцијацију производа дужности између менаџмента и маркетинга производа.

Добро познавање производа менаџмента који се односи на покретање и С дати у чланку Креирање Продуцт Манагемент приликом покретања приказује до другог случаја у вези са улогама производа визионара у компанији.

То увести термине ЦЕО производа у смислу да је производ менаџмент дужности Јумп Ароунд у различитим организације функцију пружајући фокус и труд, где је то потребно, независно од чињенице да унутрашња функција које захтевају више труда је развој, маркетинг, продаја или Комуникација. То практично значи побољшање производа визију како је потребно у свим већим производа везаних за функције израду визије корпоративног света кохерентан.

Добра представа за управљање производима и маркетиншким активностима производ се добро описано са диференцијације између Стратешка, техничку и маркетиншку сектора и није јасно раздвојене између менаџмента, маркетинга и продаје () и Р & Д:

Триад.јпг

Прочитао сам да је менаџер производа позадина и знање су различити у зависности од фокуса фирме ( где се производ менаџмент припада у организацији? ):

  • Б2Ц -> маркетинг искуство
  • Б2Б -> Технички искуство

Просветљење (за мене) и врло важна разлика у погледу производа за управљање дужности је диференцијација између:

  • Производ управљање
  • Производ маркетинг

Специфичне обавезе припадају Продуцт Маркетинг вс менаџмент су у великој мери објашњава у улози дефиниција за управљање производима и маркетинг производа који Предлажем да читају, што вам омогућава да боље дефинише задатке и одговорности у читавој вашој организацији. Она такође пружају добру дефиницију захтевима посла ако треба да изгледа за те цифре!

Истовремено, важно је да схватите шта то није производ менаџмент, ефикасно управљање Производ није само карактеристика приоритета .

Истовремено, важно је разумети што професионални фигура НИЈЕ сама Продуцт Манагер:

  • Производ менаџер није менаџер маркетинга - док производ управљање се обично посматра као маркетинг дисциплине, маркетари су фокусирана на маркетинг плану и обично се не вози укупну производа правац. У том контексту може се наћи међутим производа маркетиншки менаџер који је руке на маркетингу производа, нарочито у малим организације.
  • Производ менаџер није менаџер продаје - менаџер продаје се о томе да сазнате како продати производ, након чега продаје методологије, технике и канала и могу возити компанију из тржишно оријентисаном предузећу (производ) до купаца оријентисана компанија (раствор и консалтинг)
  • Продуцт Манагер није програмер - Програмери су фокусирани на технологије, а не целокупног производа. Неке велике производа менаџери су бивши програмери, али је тешко урадити тако одједном. Постоји природна тензија између програмера и производних менаџера који треба да се води да се створи уравнотежен производ.
  • Производ менаџер није менаџер софтвер - софтвер је директор функционалне менаџер и обично није фокусирана на производу или клијентима.
  • Производ менаџер није менаџер пројекта - пројектни менаџери су о томе како и када, а менаџер производа говори о томе шта. Менаџери пројекта блиско сарађују са менаџерима производа да обезбеди успешан завршетак у различитим фазама животног циклуса производа.

Типичне активности менаџмента производа би могао да буде у крајњем синтези сажети како следи:

  • Стратегија: Планирање стратегије производа
  • Технички: водећи производ догађаји
  • Маркетинг: пружање производа и техничке садржај
  • Продаја: Обезбедити подршку пре продаје и ефикасно радити са продајом

Производ управљање тако да није прецизно развој, није прецизно маркетинга, то није тачно продаје, тако да обично је тешко идентификовати ", где би требало да остану" унутар организационе структуре (то је чак тешко да схвате да је потребно)?

Силиконска долина Група производа пружају леп увид о структури производа организације , истичући које су предности и ризици неколико избора. Ипак мрзовољан менаџер каже да Није битно где живе производ менаџер у организацији .

То је релевантно да пазите да не да се особе које су превише техничких или превише продаје оријентисане како да попуни јаз између различитих организација. Превише фрагментација додељених задатака у целој организацији може довести до бирократије, превише обавеза на једну особу може довести до неефикасног спровођења неопходних задатака у неком подручју, а на унутрашњем погледу конкуренције перцепција на традиционалним улогама.

Проверите има веома лепу Настави на професионални са практичним искуством у управљање производима (то је по Тецхие / пола маркетинг момци).

Ах! Други веома уобичајен неспоразум је помешати са маркетинг комуникације где АИ нашао тако добру дефиницију маркетинга да сам заиста воле и разумеју у строгом односа са Продуцт Манагемент:

Маркетинг је знати тржиште тако добро да се прода производ

Али шта се деси када не рукује менаџмент производа и маркетинга производа за управљање процеса у дефинисаном путу?

Лепо прича је приказан као пример у стратешку улогу за управљање производима :

Ваша оснивач, сјајан техничар, почео је пре фирми година када је напустио свој дневни посао на тржиште своју идеју пуно радно време. Он је створио производ који је знао само други људи потребни. И био је у праву. Врло брзо је испоручено довољно производа и запослио свог најбољег пријатеља са колеџа као ВП продаје. И компанија расла. Али пре него што дуго, потпредседник продаје пожалио: "Ми смо инжењеринг предводи компанија. Ми треба да постане купац вођен "И то је звучало добро.. Осим ... сваки нови уговор чинило да захтевају прилагођене рад. Ви потписали десетак клијената у само десетак сегмената тржишта и најновијим купца глас увек доминирала производа планове. Ви закључио да "купац-вози" значи "вођен најновијим купца" и да није могао бити у праву.

Ако желите да будете производа компанија је релевантно да прецизно следите стратегију покретан производа маркетинга и менаџмента, а не продаје.

Конфузија између дужности управљање производима / маркетинга и продаје може довести до неуспешне фирме производа који нису у стању да настави у оквиру своје стратегије, једноставно зато што су све могућности да покрећу пословање ван обим.

Производа компанија мора да инвестира у свом сопственом развоју производа и маркетинга у циљу продаје нека активност остану фокусирани и да гарантује да је сваки дан организација ефикаснија на тржишту.

Након читања овог, моје разумевање је да је релевантно да се идентификују како да креирате скуп флексибилног пословног процеса о томе како да рукује разних области менаџмента производа и дужности маркетинг производа одвајају их од продаје.

Удео
Comment (0) Тагс: , , | Коментар (0)
пословни менаџмент Приватност безбедност технологија

Змија-уље на безбедност тврди крипто безбедности производа

19. јул 2010 - 9:33 ам

Безбедност на тржишту расте, све више компанија иде на тржиште, али како многи од њих узимају за озбиљно оно што они раде?

Знате, ради безбедности технологија значи да сте лично одговорни за заштиту података корисника. Морате да их свесни шта им је потребно, управо оно што Ви радите и која врста претње модела ваш производ заштитили.

Типичан проблем безбедности производа карактеристикама представља немогућности корисника да оцени тврдње безбедносне самог производа.

Дакле, има доста фирми који раде на не-тако-етичког маркетинг безбедносних карактеристика, на основу чињеница да ниједан корисник неће бити у могућности да га процени.

Претходно објаснио ситуација налазе у сигурносном енкрипцијом тему Снаке Оил и еволуције у научном окружењу које криптографске пусти нас данас користе најбоље расе технологија заштите информација и да не брине превише о штетних или несигурности.

Хајде да говоримо о шифровање Снаке Оил

Уље Криптографија Змија : У криптографији , змија уље је термин који се користи за описивање комерцијалне криптографске методе и производе који се сматрају лажно или лажне. Разликовање сигурну криптографију од несигурне криптографије може бити тешко са становишта корисника. Многи цриптограпхерс, као што су Бруце Сцхнеиер и Пхил Зиммерманн , обавезују да образује јавност о томе како се врши безбедна криптографија, као и наглашавање неких погрешан маркетинг криптографских производа.

Најчешће поменута крипто безбедност гуру Филип Зиммерманн и Бруце Сцхнеиер, био је 1. да причам о Кодирање Снаке Оил:

Змија Уље Пхилип Зиммерманн

Змија Уље од Бруце Сцхнеиер

Мичиген Телекомуникације и технологија Лав Ревиев такође направио врло добру анализу у вези са безбедносним функцијама у безбедности производа, змија уље СИГУРНОСТ тврди "систематско неистинитим представљањем безбедносни производ Они су објаснили о гадних маркетиншке трикове користе да подесите корисника немогућност да се процени. безбедносне функције, укључујући економске и правне одговорности имплицитно.

Very famous is the sentence of Russ Nelson : Неколико Снаке Оил безбедности производа компаније не објашњава и не јасно о претњи моделу на који производ примењују Веома позната је реченица. Русс Нелсон :

"Запамтите, без крипто претњу моделу је као колачића без млека. ..... Криптографија без претњи модел је као материнства без питу од јабука. Не могу рећи да довољно пута. Уопште узев, без претњи безбедности модел је по дефиницији ће да пропадне. "

Дакле, како да уоче производе Снаке Оил безбедности?

Проверите смернице о уочити производи Снаке Оил Кодирање: Снаке Оил знаке упозорења и софтвера за шифровање које треба избегавати стране Матт Цуртин .

Можете видети ове добре Примери ифровање Снаке Оил од Емилити Ратлифф (ИБМ Архитекта безбедност на Линук), који је покушао да направи јасан пример како се уочити Уље криптографски змију.

Овде је представљао основну смерницу из Матт Цуртин папиру:


Обележавањем који указује да је могуће да се процени колико озбиљно енкрипција технологија или производ.

Али све у свему како да решите тај неетичког приступ безбедности?

То је веома значајан и да ће бити заиста корисно за сваку врсту категорије безбедности производа да би неки снажно и независна евалуација смернице (као ОССТММ за продор тестирање), да би овај процес безбедносне процене заиста у рукама корисника.

То би такође бити јако лепо да неко доношење анализу и процену безбедносних производа компаније, објављујући извештаје о знацима Снаке Оил.

Удео
Comments (3) Тагс: , , , , , , | Коментари (3)
Бизнис пресретање приватности технологија

СецурСтар ГмбХ Пхонецрипт одговори на Инфосецуритигуард / Нотрак случају: апсолутно неразумна! :-)

1. фебруар 2010 - 6:04 ам

УПДАТЕ 20.04.2010: хттп://инфосецуритигуард.цом је онемогућен. Нотрак идентитет је постао познат за неколико момака у окружењима говорне безбедности (не могу да кажем, али можете замислити, био сам у праву!) И тако одлучили да наши пријатељи веровати у гостима сајт због правне одговорности према законима Велике Британије и САД.

УПДАТЕ: Ница резиме целе приче (ја знам, то је дуга и компликована да прочитате у 1. време) на ВоИП СИПВициоус безбедности блогу коју Сандро Гауци .

Након мојих открића, господин Хафнер, СецурСтар шеф екец, покушао је да на крају бране своје акције, наводећи апсолутно неразумне изговоре на Рег уместо јавно извињава за оно што су урадили: стварање независног лажни безбедносни истраживања да промовишу свој производ ПхонеЦрипт .

Он је покушао да нас убеди да особа иза ИП 217.7.213.59, коју користи аутор инфосецуритигуард.цом и указујући на њихове канцеларије ДСЛ линију, била је то хакер Нотрак, користећи своју анонимоус сурфинг услугу а не један од својих запослених у својој канцеларији:

"СецурСтар шеф екец Вилфред Хафнер негирао било какав контакт са Нотрак. Нотрак, рекао је он, мора да користи анонимни прегледања услугу његове фирме, СурфСоло, да произведе резултате исказане по Пиетросанти "

Хајде да одражава тренутак о овој реченици ... Да ли стварно хакер тражите анонимности проводе 64 ЕУР да купују њихову анонимност сурфовање услугу под називом сурфсоло уместо слободне и много сигурније Тор (Тхе Онион Роутер) онда хајде да размисле о овом другом комаду? Информације:

  • ИП адреса је 217.7.213.59 СецурСтар ГмбХ канцеларија ДСЛ линија
  • На 217.7.213.59 су инсталирали своје ВоИП / Астериск ПБКС и интернет гатеваи
  • Они промовишу свој анонимни проки сервис за "Анонимоус" (п2п употребу хттп://ввв.сецурстар.цом/продуцтс_ссоло.пхп ). Ко ће корисницима омогућавати да раде П2П из канцеларије ДСЛ линије, где су инсталирали своје корпоративне ВоИП ПБКС? Ако радите ВоИП не можете да трећа страна поплава ваша линија В / П2П саобраћај би ваши телефонски позиви постало очигледно непоуздана (да, да, можете да урадите КоС, али не би упутили анонимни проки за навигацију на ваше компаније канцеларије ДСЛ линија ...).
  • Која компанија која нуди анонимну сервис навигације би икада користити сопствену адресу канцеларије ИП? Само помислите колико пута сте би полиција покуца на врата и ваших запослених као главних осумњичених. (У прошлости сам користи за покретање ТОР чвор, знам ризике ...). Такође, мислим колико пута сте се нађете на црној листи на Гоогле-у као спиваре бота.
  • Господин Хафнер такође каже: "Имамо два милиона људи који користе овај производ. Или је можда био стари клијент од наших ". 2М корисницима на ДСЛ линију, стварно?
  • Не користим услуге Сурфсоло, међутим њихови пуномоћници су вероватно они ти:

сурфсоло.сецурстар.нет - 67.225.141.74

сурфсоло.сецурстар.цом - 69.16.211.133

Искрено говорећи ја лако могу да разумем да је господин Хафнер ће учинити све што може да заштити своју компанију од скандала, али "анонимни проки" изговор је у најмању руку сумњиво.

Како чињеница да "независно истраживање" је семантички производ преглед ПхонеЦрипт, уз откриће да је аутор долазе из СецурСтар ГмбХ ИП адреса канцеларије, уз анонимности овог Нотрак Гуи (СецурСтар назива га "добро познат ИТ Сецурити професионални "у свом саопштењу за јавност ..) звук на вас?

Могуће је да ће земља добити напад из свемира што ће да уништи наш живот?

Статистички веома тешко, али да, могуће. Више или мање као "анонимног проки" приче рекао господин Хафнер да покрије чињеницу да су они иза инфосецуритигуард.цом Факе "независне ревизије безбедности".

Хеј, ја не треба ништа друго да се убеди или да нека паметна особа има своје мисли о томе.

Мислим да би најбољи начин за СецурСтар да изађем из ове збрке вероватно бити да се обезбеди јавна изговоре на хакерска заједница за злоупотребљава име и углед правих независних безбедносних истраживањима, зарад маркетиншки трик.

Поздрав,

Фабио Пиетросанти

ПС Ја сам тренутно на чекању за неке друге инфос да ће прецизније потврђују да је оно што господин Хафнер се није правилно каже истина. Стаи тунед.

Удео
Comment (0) Тагс: , , , , , | Коментар (0)
Бизнис пресретање приватности безбедност

Доказ да инфосецуритигуард.цом / нотрак је СецурСтар Цорпоратион Пхонецрипт - лажна независна истраживања о крипто гласа

1. фебруар 2010 - 12:32 ам

Испод доказа да је безбедносна контрола од стране анонимног хакера на хттп://инфосецуритигуард.цом је у чињеницама непоштено маркетиншки план по СецурСтар ГмбХ промовише свој глас крипто производа.

Већ сам писао о тој крипто анализе гласа који се појавио за мене врло сумњив.

Сада је потврђено, то је лажна независна хакер сигурност истраживање СецурСтар ГмбХ, његова само маркетиншки трик!

Како знамо да Инфосецуритигуард.цом и лажна независна безбедносна истраживања, је маркетиншки трик из СецурСтар ГмбХ?

1) сам постед он а хттп://инфосецуритигуард.цом коментара на пост са линком на мој блог на том чланку о исраелиан министарства одбране сертификације

2) аутор хттп://инфосецуритигуард.цом отишао да одобри коментар и прочитате линк на мог блога хттп://инфосецурити.цх

3) Постизање мој блог је процурила ИП адресу са које је долазио 217.7.213.59 (где сам само кликнуо на УордПресс из статистичког интерфејса)

4) На хттп:// 217.7.213.59/панел~~побј постоји ИП ПБКС интерфејс СецурСтар ГмбХ корпоративном ПБКС (отворено доступан кроз интернет!)

5) имена унутрашње ПБКС потврди 100% да је то СецурСтар Цорпоратион:

6) Не постоји 100% доказ да анонимни хакер од хттп://инфосецуритигуард.цом је из СецурСтар ГмбХ

Испод података и референце које ће вам омогућити да откријемо да је све то, али начин непоштене маркетиншке савете, а не независна истраживања на пољу безбедности.

Кудос за Маттео Флора за својом подршком и свом чланку у раскринкавање Инфосецуритигуард идентитет !

Хттп упућивање трикови

Када читате везу дешава са сајта на други постоји протокол ХТТП заглавље, "препоруке", да вам кажем из које неко страна иде на другу веб страницу.

Упућивање показала да су аутори хттп://инфосецуритигуард.цом прочитате мој пост, јер је долазио из хттп://инфосецуритигуард.цом/вп-админ/едит-цомментс.пхп~~побј да је веб страница користите УордПресс као аутор / уредник одобрити / одбијање коментаре. И овде је линк.

То је дневник унос:

217.7.213.59 - [30/Јан/2010: 02:56:37 -0700] "ГЕТ / 20100129/лиценсед-би-исраел-министри-оф-дефенсе-хов-тхингс-реалли-воркс / ХТТП/1.0" 200 5795 "хттп://инфосецуритигуард.цом/вп-админ/едит-цомментс.пхп" "Мозилла/4.0 (Виндовс НТ 8.0 Виндовс НТ 5.1; Тридент/4.0; ГТБ6.3; НЕТ ЦЛР 1.1.4322.. НЕТ ЦЛР 2.0.50727; рв: 3.0.4506.2152;.. НЕТ ЦЛР 3.5.30729 ИнфоПатх.2) "

ПБКС отворен на интернету говоре да је СецурСтар ГмбХ

СецурСтар ГмбХ централа је отворен на интернету, садржи сва имена својих запослених и потврдите нам да аутор хттп:/инфосецуритигуард.цом је та компанија је и анонимна хакер зове Нотрак.

Овде постоји њихова порука форум на коме су СецурСтар ГмбХ момци су дебаговање заједно ИПЦОПфиревалл и Астериск (тако да смо видети и детаље о томе шта они користе), где постоји ИП 217.7.213.59.

СецурСтарпрооф.пнг

То је такође веома забавно!

Они продају сигурну телефонију, али је њихов систем телефоније компанија је отворено рањива на интернету. :-)

Размишљао сам да позовем ЦЕО, Хафнер, преко СИП на његовом унутрашњем десктоп ПБКС да најавимо смо му открили трикове .. : ->

Они мери своју маркетиншку активност

Гледајући у логове мог сајта сам нашао да је очитавање Гоогле дистрибуцију информација за следећих кључних речи, како би се схватило колико је ефикасно су била у стању да нападну конкурентске производе. То је разумно, ако улажете новац у маркетиншке кампање коју желите да видите резултате :-)

Они достигли мој блог и ја пријављени своју претрагу:

инфосецуритигуард + цриптопхоне

инфосецуритигуард + злата брава

217.7.213.59 - [30/Јан/2010: 02:22:42 -0700] "ГЕТ / ХТТП/1.0" 200 31057 "Мозилла/4.0 (Виндовс НТ 8.0 Виндовс НТ 5.1; Тридент/4.0; ГТБ6.3; НЕТ ЦЛР 1.1.4322.. НЕТ ЦЛР 2.0.50727. Рв: 3.0.4506.2152;. НЕТ ЦЛР 3.5.30729 ИнфоПатх.2) "

217.7.213.59 - [30/Јан/2010: 04:15:07 -0700] "ГЕТ ХТТП/1.0 "200 15774 "Мозилла/4.0 (Виндовс НТ 8.0 Виндовс НТ 5.1; Тридент/4.0; ГТБ6.3; НЕТ ЦЛР 1.1.4322.. НЕТ ЦЛР 2.0.50727. Рв: 3.0.4506.2152;. НЕТ ЦЛР 3.5.30729 ИнфоПатх.2) "


Подаци за регистрацију домена
Домен је регистрован 1. децембра 2009, само два месеца да почне са припремом непоштени маркетиншку кампању:

Домаин Наме: ИНФОСЕЦУРИТИГУАРД.ЦОМ

Секретар: ГОДАДДИ.ЦОМ, ИНЦ

Упдатед Дате: 01-Дец-2009

Датум креирања: 01-Дец-2009

Домен је анонимно приватност заштићена је кроз Вхоис Приваци услугу:

Административни контакт: Привате, Регистрација ИНФОСЕЦУРИТИГУАРД.ЦОМ @ домаинсбипроки.цом, Домаинс би Проки, Инц ДомаинсБиПроки.цом

Нотрак хакер не постоји на гоогле
Као што знате било који хакер да добије јавни обично имају присуство својој делатности на Гоогле, присуствовање маилинглистс, форум, почетну страницу, досадашња истраживања, учешће на конференцијама, итд, итд
Лажни хакер који су хтели нас да мислимо да је писање независног блог нема никаквог трага на гоогле. Само неки погодак око анонимног претраживач зове Нотрак али о томе ништа не хакер.
Можда када СецурСтар под условом анонимности алатку за своје маркетиншке агенције, да им помогне да заштите анонимност за лажне истраживања, њихово им је обезбедио анонимне претраживача нотрак.Со маркетинга момак размишља о надимак овог лажних хакера користи Нотрак шта? :-)

"Независни" потпуно оријентисана на објављивање ПхонеЦрипт

Од разних разматрање дон пхонецрипт преглед је једина позитивна и невероватно добар повратне информације, а други су само лоше повратне информације и ниједна добра тачка.

Као што можете замислити, у било какве независне евалуације производа, за све производе постоје добра и лоша поена. Но у овом једном постоје само производ који су добри и производа који су лоши.

Они су пропустили да размотре безбедност технологије коју користе производа

Они су потпуно избегавати да говори о криптографији и безбедности производа.

Они не оцењује основне сигурносне карактеристике које морају бити у тој врсти с продуцтс.Тхат 'у циљу да не дозволи било ко видети да нису пратили основна правила безбедности у изградњи своје ПхонеЦрипт.
Технологија је затворен извор, нема транспарентности на алгоритмима и протоколима, не Пеер ревиев.Реад мој нови упоређивање (из основне криптографске обавезне тачке гледишта) О анализи гласа (Критеријуми за шифровање, грешке и различити резултати) .
Резултати су некако другачији него њихов један.

УПДАТЕ: Ко је Вилфред Хафнер (СецурСтар оснивач)?

Добио сам обавештење од читаоца у вези Вилфред Хафнер и СецурСтар оснивач, директор и стручњак за безбедност.

Он је ухапшен у 1997 за превару у вези телефоније (погледајте чланак о 2. Пхрацк) зарађују од 254.000 долара телефоније преваре изазивање штете на локално телцос кроз блуебокинг за 1,15 милиона долара.

Он није радила "Блуебокинг" за задовољство Пхреакинг и повезивање са другим хакерима, али да зараде новац.

Хакерисање за профит (а не ради забаве) у 1997 .... Бррр ... Но Хакерског етика уопште!

Све у свему, то је законито?

Бадмоутхинг конкурента износе до нелојалне конкуренције пракси у већини јурисдикција, тако да је дискутабилно (најблаже речено) да СецурСтар је право на правно звука терену овде.
Штавише, постоје неки посебни закони у неким јурисдикцијама које пружају једноставан за забрану пракси смо говорили. На пример, у Великој Британији Британски Институт за практичара у оглашавању - у складу са потрошача заштита од нелојалне Традинг прописа - одлучио да:

"Лажно тврдећи или стварајући утисак да трговац се не понаша у сврху се односе на његове трговине, бизниса, заната или професије, или лажно представља себе као потрошач" је кривично дело .

Ми немамо сумњу да ПРПР (што је Велика Британија са седиштем * ПР компаније за СецурСтар ГмбХ, на челу са Петером Реннисон и Аллие Андревс како је наведено у СецурСтар штампу ) дали њихов клијент са овим информацијама Пакао, они * су * у. Уједињено Краљевство, они једноставно не могу да игноришу!

ИАНАЛ, али не бих се сурписед ако неко поднео кривичну пријаву или покренути грађанску парницу за нелојалне конкуренције против СецурСтар ГмбХ.
Да ли ће то бити предмет кривичних и / или грађанског суда или не није толико важно. Међутим, јасно је довољно да СецурСтар Цорпоратион изгледа да најмање етички упитно, а не стварно вредан поверења.

Нице три, господо ... Међутим, следећи пут уради то право (да ли је "право" за њих значи "на поштен начин", или "на начин да не буду ухваћени" Ја ћу нека изаберу) "

Фабио Пиетросанти (Наиф)

Удео
Comments (7) Тагс: , , , , , | Коментари (7)
Бизнис пресретање приватности безбедност

Непоштено безбедности: СецурСтарт ГмбХ Пхонецрипт случај

1. фебруар 2010 - 12:30 ам

Желео бих да обезбеди разматрања о појму етике да безбедносна компанија има поштовање према корисницима, медијима и безбедносном окружењу.

СецурСтар ГмбХ је веома лоше што тај лажни инфосецуригуард.цом независно истраживање.

То је фер приступ поштовање хакерска заједница.

То је неправедно маркетинга до краја корисника. Они не треба варајући стварајући лажну независну ревизију.

То је нелојална конкуренција на тржишту хартија од вредности.

Хајде да направимо неку значајнију пажњу на ово.

Мора бити озбиљан на криптографских производа. Они нису играчке

Када то урадите криптографске алатке које су вам заиста треба да буду свесни шта радите, морате бити заиста озбиљна.

Ако радите лоше крипто људи могли умрети.

Ако се не придржавате основних правила безбедности за транспарентност и сигурност за криптографије сте стављајући људе живот у опасности.

Ви преузимајући одговорност за ово. (Желим да спавам ноћу, не мислим СецурСтар ЦЕО / ЦТО рачуна о томе ...)

Безбедност истраживање потреба референца и транспарентност

Безбедност истраживања треба да буду јавни, добро уради, увек предмет јавне расправе и сарадњу.
Безбедност истраживања не би требало да се инструментално користи за истраживање маркетинга пурпосе.Сецурити треба да се уради за свест и расту знања о свету безбедносном окружењу.

Хакерисање окружење је неутралан, не би требало користити инструментално

Хакери се сматра неутралним, Нердс, раде оно што раде за своје задовољство и страст.

Ако радите у безбедносном тржишту радите са хакерима.

Ако користите хакере и хакера окружење за своје маркетиншке сврхе правите нешто веома гадно.

Хакери вам дају технологију и знање и да их користите за своју комерцијалну намену.

Разматрање о ауторитету информација на мрежи

То је нешто што представља озбиљну пажњу на ауторитету информационог онлине.Ан анонимног хакера, без референтног мрежи, направили производ безбедносни преглед који се појављују као независни један. Морам да кажем да је лажна преглед је веома добро припремљена, он увек поставља добре / лоше ствари на индиректан начин. То није појавио ми се у тренутку 1. као што је лажно. Али дешава дубоко сам нашао шта се дешава.

Међутим Новинари, вести и медији блогер отишао у замку и прегледао свој лажни истраживања. Тхерегистер, НетворкВорлд и доста блогова га пријавио. Чак и ако је аутор био потпуно анониман.

Оно што су урадили је већ противзаконито у Великој Британији

СецурСтар ГмбХ је среће да они нису у Великој Британији, где ради ова врста ствари је нелегална .

Фабио Пиетросанти (Наиф)

Удео
Comment (0) Тагс: , , , , | Коментар (0)
business interception Privacy security technology

About the SecurStar GmbH Phonecrypt voice encryption analysis (criteria, errors and different results)

30 January 2010 – 2:02 am

This article want to clarify and better explain the finding at infosecurityguard.com regaring voice encryption product evaluation.
This article want to tell you a different point of view other than infosecurityguard.com and explaining which are the rational with extensive explaination from security point of view.
Today i read news saying: “PhoneCrypt: Basic Vulnerability Found in 12 out of 15 Voice Encryption Products and went to read the website infosecurityguard .

Initially it appeared to my like a great research activity but then i started reading deeply the read about it.I found that it's not properly a security research but there is are concrete elements that's a marketing campaign well done in order to attract public media and publicize a product.
Imho they was able to cheat journalists and users because the marketing campaign was absolutely well done not to be discovered on 1st read attempt. I personally considered it like a valid one on 1st ready (they cheated me initially!).

But if you go deeply… you will understand that:
- it's a camouflage marketing initiative arranged by SecurStar GmbH and not a independent security research
- they consider a only security context where local device has been compromised (no software can be secured in that case, like saying SSL can be compromised if you have a trojan!)
- they do not consider any basic security and cryptographic security criteria

However a lot of important website reported it:

This article is quite long, if you read it you will understand better what's going on around infosecurityguard.com research and research result.

I want to to tell you why and how (imho) they are wrong.

The research missed to consider Security, Cryptography and Transparency!

Well, all this research sound much like being focused on the marketing goal to say that their PhoneCrypt product is the “super” product best of all the other ones.
Any security expert that would have as duty the “software evaluation” in order to protect the confidentiality of phone calls will evaluate other different characteristics of the product and the technology.

Yes, it's true that most of the product described by SecurStar in their anonymous marketing website called http://infosecurityguard.com have some weakness.
But the relevant weakness are others and PhoneCrypt unfortunately, like most of the described products suffer from this.
Let's review which characteristics are needed basic cryptography and security requirement (the best practice, the foundation and the basics!)

a – Security Trough Obscurity does not work

A basic rule in cryptography cames from 1883 by Auguste Kerckhoffs:

In a well-designed cryptographic system, only the key needs to be secret; there should be no secrecy in the algorithm.
Modern cryptographers have embraced this principle, calling anything else “security by obscurity.”
Read what Bruce Schneir, recognized expert and cryptographer in the world say about this
Any security expert will tell you that's true. Even a novice university student will tell you that's true. Simply because that's the only way to do cryptography.
Almost all product described in the review by SecurStar GmbH, include PhoneCrypt, does not provide precise details about their cryptographic technologies.
Precise details are:
  • Detailed specification of cryptographic algorithm (that's not just saying “we use AES “)
  • Detailed specification of cryptographic protocol (that's not just saying “we use Diffie Hellman ” )
  • Detailed specification of measuring the cryptographic strenght (that's not just saying “we have 10000000 bit key size “)

Providing precise details means having extensive documentation with theoretical and practical implications documenting ANY single way of how the algorithm works, how the protocol works with precise specification to replicate it for interoperability testing.
It means that scientific community should be able to play with the technology, audit it, hack it.
If we don't know anything about the cryptographic system in details, how can we know which are the weakness and strength points?

Mike Fratto, Site editor of Network Computing, made a great article on “Saying NO to proprietary cryptographic systems” .
Cerias Purdue University tell this .

b – NON peer reviewed and NON scientifically approved Cryptography does not work

In any case and in any condition you do cryptography you need to be sure that someone else will check, review, analyze, distruct and reconstract from scratch your technology and provide those information free to the public for open discussion.
That's exactly how AES was born and like US National Institute of Standard make crypto does (with public contest with public peer review where only the best evaluated win).
A public discussion with a public contest where the a lot of review by most famous and expert cryptographer in the world, hackers (with their name,surname and face, not like Notrax) provide their contribution, tell what they thinks.
That's called “peer review”.

If a cryptographic technology has an extended and important peer review, distributed in the world coming from universities, private security companies, military institutions, hackers and all coming from different part of the world (from USA to Europe to Russia to South America to Middle east to China) and all of them agree that a specific technology it's secure…
Well, in that case we can consider the technology secure because a lot of entities with good reputation and authority coming from a lot of different place in the world have publicly reviewed, analyzed and confirmed that a technology it's secure.

How a private company can even think to invent on it's own a secure communication protocol when it's scientifically stated that it's not possible to do it in a “proprietary and closed way” ?
IBM tell you that peer review it's required for cryptography .
Bruce Schneier tell you that “Good cryptographers know that nothing substitutes for extensive peer review and years of analysis.”
Philip Zimmermann will tell you to beware of Snake Oil where the story is: “Every software engineer fancies himself a cryptographer, which has led to the proliferation of really bad crypto software.”

c – Closed source cryptography does not work

As you know any kind of “serious” and with “good reputation” cryptographic technology is implemented in opensource.
There are usually multiple implementation of the same cryptographic algorithm and cryptographic protocol to be able to review all the way it works and certify the interoperability.
Supposing to use a standard with precise and extended details on “how it works”, that has been “peer reviewed” by the scientific community BUT that has been re-implemented from scratch by a not so smart programmer and the implementation it's plenty of bugs.

Well, if the implementation is “opensource” this means that it can be reviewed, improved, tested, audited and the end user will certaintly have in it's own had a piece of technology “that works safely” .

Google release opensource crypto toolkit
Mozilla release opensource crypto toolkit
Bruce Schneier tell you that Cryptography must be opensource .

Another cryptographic point of view

I don't want to convince anyone but just provide facts related to science, related to cryptography and security in order to reduce the effect of misinformation done by security companies whose only goes is to sell you something and not to do something that make the world a better.

When you do secure products, if they are not done following the proper approach people could die.
It's absolutely something irresponsible not to use best practice to do crypto stuff.

To summarize let's review the infosecurityguard.com review from a security best pratice point of view.

Product name Security Trough Obscurity Public peer review Open Source Compromise locally?
Caspertec Obscurity No public review Closed Да
CellCrypt Obscurity
No public review
Closed
Да
Cryptophone Transparency Limited public review Public Да
Gold-Lock Obscurity
No public review
Closed
Да
Illix Obscurity
No public review
Closed
Да
No1.BC Obscurity No public review
Closed
Да
PhoneCrypt Obscurity
No public review
Closed
Да
Rode&Swarz Obscurity
No public review
Closed
Да
Secure-Voice Obscurity
No public review
Closed
Да
SecuSmart Obscurity
No public review
Closed
Да
SecVoice Obscurity
No public review
Closed
Да
SegureGSM Obscurity
No public review
Closed
Да
SnapCell Obscurity
No public review
Closed
Да
Tripleton Obscurity
No public review
Closed
Да
Zfone Transparency Public review
Open Да
ZRTP Transparency Public review
Open Да

*Green means that it match basic requirement for a cryptographic secure system

* Red / Broken means that it does not match basic requirement for a cryptographic secure system
That's my analysis using a evaluation method based on cryptographic and security parameters not including the local compromise context that i consider useless.

However, to be clear, those are only basic parameters to be used when considering a voice encryption product (just to avoid being in a situation that appears like i am promoting other products). So it may absolutely possible that a product with good crypto ( transparency, peer reviewed and opensource) is absolutely a not secure product because of whatever reason (badly written, not usable causing user not to use it and use cleartext calls, politically compromised, etc, etc).
I think i will prepare a broader criteria for voice crypto technologies and voice crypto products, so it would be much easier and much practical to have a full transparent set of criterias to evaluate it.

But those are really the basis of security to be matched for a good voice encryption system!
Read some useful past slides on security protocols used in voice encryption systems (2nd part).

Now read below some more practical doubt about their research.

The security concept of the review is misleading: any hacked device can be always intercepted!

I think that the guys completely missed the point: ANY KIND OF SOFTWARE RUNNING ON A COMPROMISED OPERATING SYSTEM CAN BE INTERCEPTED

Now they are pointing out that also Zfone from Philip Zimmermann is broken (a pc software), just because they install a trojan on a PC like in a mobile phone?
Any security software rely on the fact that the underlying operating system is somehow trusted and preserve the integrity of the environment where the software run.

  • If you have a disk encryption system but your PC if infected by a trojan, the computer is already compromised.
  • If you have a voice encryption system but your PC is infected by a trojan, the computer is already compromised.
  • If you have a voice encryption system but your mobile phone is infected by a trojan, the mobile phone is already compromised.

No matter which software you are running, in such case the security of your operating environment is compromised and in one way or another way all the information integrity and confidentiality is compromised.

Like i explained above how to intercept PhoneCrypt.

The only things that can protect you from this threat is running in a closed operating system with Trust Computing capability, implementing it properly.
For sure on any “Open” operating system such us Windows, Windows Mobile, Linux, iPhone or Android there's no chance to really protect a software.
On difficult operating system such as Symbian OS or RimOS maybe the running software can be protected (at least partially)

That's the reason for which the security concept that guys are leveraging to carry on their marketing campaign has no clue.
It's just because they control the environment, they know Flexispy software and so they adjusted their software not to be interceptable when Flexispy is installed.
If you develop a trojan with the other techniques i described above you will 100% intercept PhoneCrypt.

On that subject also Dustin Tamme l, Security researcher of BreakPoint Systems , pointed on on VoIP Security Alliance mailing lists that the security analysis is based on wrong concepts .

The PhoneCrypt can be intercepted: it's just that they don't wanted to tell you!

PhoneCrypt can be intercepted with “on device spyware”.
Зашто?
Because Windows Mobile is an unsecure operating environment and PhoneCrypt runs on Windows Mobile.
Windows Mobile does not use Trusted Computing and so any software can do anything.
The platform choice for a secure telephony system is important.
Како?
I quickly discussed with some knowledgeable windows mobile hackers about 2 different way to intercept PhoneCrypt with an on-device spyware (given the unsecure Windows Mobile Platform).

a) Inject a malicious DLL into the software and intercept from within the Phonecrypt itself.
In Windows Mobile any software can be subject to DLL code injection.
What an attacker can do is to inject into the PhoneCrypt software (or any software running on the phone), hooking the Audio related functions acting as a “function proxy” between the PhoneCrypt and the real API to record/play audio.
It's a matter of “hooking” only 2 functions, the one that record and the one that play audio.
Read the official Microsoft documentation on how to do DLL injection on Windows Mobile processes. or forum discussing the technique of injecting DLL on windows mobile processes.
That's simple, any programmer will tell you to do so.
They simply decided that's better not to make any notice about this.
b) Create a new audio driver that simply act as a proxy to the real one and intercept PhoneCrypt
In Windows Mobile you can create new Audio Drivers and new Audio Filters.
What an attacker can do is to load a new audio driver that does not do anything else than passing the real audio driver function TO/FROM the realone. In the meantime intercept everything recorded and everything played :-)
Here there is an example on how to do Audio driver for Windows Mobile .
Here a software that implement what i explain here for Windows “Virtual Audio Cable” .
The very same concept apply to Windows Mobile. Check the book “Mobile Malware Attack and Defense” at that link explaining techniques to play with those techniques.
They simply decided that's better not to make any notice to that way of intercepting phone call on PhoneCrypt .
Those are just 2 quick ideas, more can be probably done.

Sounds much like a marketing activity – Not a security research.

I have to tell you. I analyzed the issue very carefully and on most aspects. All this things about the voice encryption analisys sounds to me like a marketing campaign of SecurStar GmbH to sell PhoneCrypt and gain reputation. A well articulated and well prepared campaign to attract the media saying, in an indirect way cheating the media, that PhoneCrypt is the only one secure. You see the press releases of SecurStar and of the “Security researcher Notrax telling that PhoneCrypt is the only secure product” . SecurStar PhoneCrypt is the only product the anonymous hacker “Notrax” consider secure of the “software solutions”.
The only “software version” in competition with:

SnapCell – No one can buy it. A security company that does not even had anymore a webpage. The company does not almost exist anymore.
rohde-schawarz – A company that have in his list price and old outdated hardware secure phone . No one would buy it, it's not good for genera use.

Does it sounds strange that only those other products are considered secure along with PhoneCrypt .

Also… let's check the kind of multimedia content in the different reviews available of Gold-Lock, Cellcrypt and Phonecrypt in order to understand how much the marketing guys pressed to make the PhoneCrypt review the most attractive:

Application Screenshots of application Video with demonstration of interception Network demonstration
PhoneCrypt 5 0 1
CellCrypt 0 2 0
GoldLock 1 2 0

It's clear that PhoneCrypt is reviewed showing more features explicitly shown and major security features product description than the other.

Too much difference between them, should we suspect it's a marketing tips?

But again other strange things analyzing the way it was done…
If it was “an impartial and neutral review” we should see good and bad things on all the products right?

Ok, see the table below regarding the opinion indicated in each paragraph of the different reviews available of Gold-Lock, CellCrypt and Phonecrypt (are the only available) to see if are positive or negative.

Application Number of paragraphs Positive paragraphs Negative paragraphs Neutral paragraphs
ПхонеЦрипт 9 9 0 0
CellCrypt 12 0 10 2
GoldLock 9 0 8 1

Detailed paragraphs opinion analysis of Phonecrypt
Paragraph of review Opinion expressed
From their website Positive Marketing feedback
Apple iPhone Positive Marketing feedback
Disk Encryption or voice Encryption Positive Marketing feedback
PBX Compatibility? Really Positive Marketing feedback
Cracking <10. Not. Positive Marketing feedback
Good thinking! Positive Marketing feedback
A little network action Positive Marketing feedback
UI Positive Marketing feedback
Good Taste Positive Marketing feedback
Detailed paragraphs opinion analysis of Gold-Lock 3G
Paragraph of review Opinion expressed
From their website Negative Marketing feedback
Licensed by The israeli Ministry of Denfese Negative Marketing feedback
Real Company or Part Time hobby Negative Marketing feedback
16.000 bit authentication Negative Marketing feedback
DH 256 Negative Marketing feedback
Downad & Installation! Neutral Marketing feedback
Cracking it <10 Negative Marketing feedback
Marketing BS101 Negative Marketing feedback
Cool video stuff Negative Marketing feedback
Detailed paragraphs opinion analysis of CellCrypt
Paragraph of review Opinion expressed
From their website Neutral Marketing feedback
A little background about cellcrypt Negative Marketing feedback
Master of Marketing Negative Marketing feedback
Secure Voice calling Negative Marketing feedback
Who's buying their wares Negative Marketing feedback
Downad & Installation! Neutral Marketing feedback
My Demo environment Negative Marketing feedback
Did they forget some code Negative Marketing feedback
Cracking it <5 Negative Marketing feedback
Room Monitoring w/ FlexiSpy Negative Marketing feedback
Cellcrypt unique features.. Negative Marketing feedback
Plain old interception Negative Marketing feedback
The Haters out there Negative Marketing feedback

Now it's clear that from their point of view on PhoneCrypt there is no single bad point while the other are always described in a negative way.
No single good point. Strange?
All those considerations along with the next ones really let me think that's very probably a marketing review and not an independent review.

Other similar marketing attempt from SecurStar

SecurStar GmbH is known to have used in past marketing activity leveraging this kind of “technical speculations”, abusing of partial information and fake unconfirmed hacking stuff to make marketing/media coverage.
Imho a rare mix of unfairness in leveraging the difficult for people to really understand the complexity of security and cryptography.

They already used in past Marketing activities like the one about creating a trojan for Windows Mobile and saying that their software is secure from the trojan that they wrote.
Read about their marketing tricks of 2007

They developed a Trojan (RexSpy) for Windows Mobile, made a demonstration capability of the trojan and later on told that they included “Anti-Trojan” capability to their PhoneCrypt software.They never released informations on that trojan, not even proved that it exists.

The researcher Collin Mulliner told at that time that it sounds like a marketing tips (also because he was not able to get from SecurStar CEO Hafner any information about that trojan):

“This makes you wonder if this is just a marketing thing.”

Now, let's try to make some logical reassignment.
It's part of the way they do marketing, an very unfriendly and unpolite approach with customers, journalist and users trying to provide wrong security concepts for a market advantage. Being sure that who read don't have all the skills to do in depth security evaluation and find the truth behind their marketing trips.

Who is the hacker notrax?

It sounds like a camouflage of a fake identity required to have an “independent hacker” that make an “independent review” that is more strong on reputation building.
Read about his bio:

¾ Human, ¼ Android (Well that would be cool at least.) I am just an enthusiast of pretty much anything that talks binary and if it has a RS232 port even better. During the day I masquerade as an engineer working on some pretty cool projects at times, but mostly I do the fun stuff at night. I have been thinking of starting an official blog for about 4.5 years to share some of the things I come across, can't figure out, or just cross my mind. Due to my day job and my nighttime meddling, I will update this when I can. I hope some find it useful, if you don't, well you don't.

There are no information about this guy on google.
Almost any hacker that get public have articles online, post in mailing archive and/or forum or some result of their activity.
For notrax, nothing is available.

Additionally let's look at the domain…
The domain infosecurityguard.com is privacy protected by domainsbyproxy to prevent understanding who is the owner.
The domain has been created 2 months ago on 01-Dec-09 on godaddy.com registrar.

What's also very interesting to notice that this “unknown hacker with no trace on google about him that appeared on December 2009 on the net” is referred on SecurStar GmbH Press Release as a “An IT security expert”.

Maybe they “know personally” who's this anonymous notrax? :)

Am i following my own conspiracy thinking or maybe there's some reasonable doubt that everything was arrange in that funny way just for a marketing activity?

Social consideration

If you are a security company you job have also a social aspects, you should also work to make the world a better place (sure to make business but “not being evil”). You cannot cheat the skills of the end users in evaluating security making fake misleading information.

You should do awareness on end users, to make them more conscious of security issues, giving them the tools to understand and decide themselves.

Hope you had fun reading this article and you made your own consideration about this.

Фабио Пиетросанти (Наиф)

ps Those are my personal professional opinion, let's speak about technology and security, not marketing.
pps i am not that smart in web writing, so sorry for how the text is formatted and how the flow of the article is unstructured!

Удео
Tags , , , , , , | Comments (4)
business technology

Saas: is the end of the myth?

10 July 2009 – 7:00 am

Saas business models growth a lot during the past few years and i personally appreciate it.

No software to be installed, configured, maintained, service available when you needed with a early adoption time and most important reduction (or apparent reduction) of the total costs of ownership.

I had few experience with SaaS business (as a customer) and i have to say that the following Gartner Group analysis on SaaS businesses imho tell you the truth only for half of statements:

  • There is always a partial integration issue (not all systems are so flexible to really integrate into your business like you would like)
  • There is often a lacks of the technical requirements needed by the specific business case
  • I DO NOT agree that there is a barrier in the costs, as SaaS usually let you start spending only a few. However it's true that while doing the deployment you should be more conservative in the usage of features and items (es: I am using for my company a hosted VoIP PBX system, we pay for each extension we add. We don't have test extension or extensions that are not strictly needed because it costs. When we had an internal VoIP PBX system, we was plenty of test extension. This slightly increase some complexity in maintenance and deployment, even if the total cost of maintenance is a lot lower than an internal system to be managed.

So we can assume that Saas it's for most but not for all, especially if the need of customizations for the very specific business needs are relevant.

An in depth analysis and testing has to be carried on, in order to discover all the limits of the solution, on functionalities and pricing, to really discover if the specific solution fit the business need.

Удео
Tags , | Comment (0)
business management technology

The real goal of online marketing: lead generation

7 July 2009 – 7:57 am

Often i discuss about online marketing, however it include the mysterious “marketing” magic word that's tipically subject to misunderstanding and misconception .

The end goal of online marketing is to generate qualified leads coming from international markets.

Some interesting links about it, and how things should be properly done are below:

I would really like to see an effective leverage of online techniques and tools as the main interface and providers of information, the main pre-sales agent of the company explaining almost everything required to get back a qualified lead.

Удео
Comment (0) Тагс: , , | Коментар (0)