Tag Archives: hacking

Framsteg för GSM sprickbildning i universitetet i Freiburg

23 februari 2011 - 13:32

Den spännande värld av mobila protokoll (GSM, GSM-R, TETRA, UMTS, etc) dataintrång blir officiell forskning från universitet.

Investeringen för att göra opensource kod utgåvor av sprickbildning mjukvara ger möjlighet att studenter universitetet för att arbeta på det, förbättra det och göra en stark forskning.

Universitetet i Freiburg ut strax pappret Praktisk övning i GSM Kryptering A5 / 1 tillsammans med en gsmframencoder stöd verktyg för att förbättra sniffa, avkodning och krackning.

Öppna hårdvara, öppna program, öppna protokoll visar svagheten i någon form av egen metod eller process för att bygga upp kommunikations-och säkerhetsteknik.

Det bör vara målet för alla forskare att försöka öppna upp och spricker någon form av egen och slutna teknik för att tvinga industrin att går på endast med driftskompatibelt och öppet förhållningssätt när man utformar telekommunikation protokoll.

Comment (0) Taggar kryptering , hacking , mobil , Integritet , voicesecurity | Kommentar (0)

intelligens avlyssning säkerhet

TETRA dataintrång kommer: OsmocomTETRA

23 januari 2011 - 10:27 am

Det är väldigt spännande att se frisläppandet av OsmocomTETRA , den första opensource SDR ( Software Defined Radio ) genomförande av TETRA demodulator, PHY och lägre MAC-lager.

Det är TETRA versionen av GSM airprobe som låser upp tillgång till data och ram av TETRA kommunikationsprotokoll, vilket ger stor hacka tillfälle!

Nu som också TETRA-tekniken har öppnats vi bör förvänta under denna 2011, för att se opensource TETRA TDE och troligtvis också te-kryptering (Tetra Encryption Algorithm) spruckna!

TETRA används av polis, räddningstjänster och militärer som ett alternativ mobilt kommunikationsnät som kan fungerar även utan tillgång till täckning (endast mobil-till-mobil utan en basstation) och ge några speciella hög tillgänglighet tjänster.

Jag skrev om TETRA i min bild Major Voice Security Protocol Review .

I OsmocomBB e-postlistor finns redan diskussioner om några TETRA-nät status:

Belgien Polisen TETRA ASTRID nätverk: okrypterad
Tyska polisen testet TETRA-nät i Aachen: okrypterade
Några ex-jugoslawia TETRA-nät: okrypterad
Netherland C200 TETRA-nät: TEA2 krypteras med statiska nycklar
Storbritannien Airwave TETRA-nät: TEA2 krypterats med TEA2

Det ska bli riktigt kul att se att nya polis-och räddningstjänst hacka kommer tillbaka från gamla analoga åldrar att de nya digitala radio :-)

Comment (1) Taggar kryptering , hacking , mobil , voicesecurity | Kommentar (1)

säkerheten teknik

ESSOR, Europeiska Secure Software Defined Radio (SDR)

25 September 2010 - 21:18

Jag hade en titt på europeisk Defense Agency webbplats och hittade ESSOR projektet, en fungerande projekt som finansierats av 106mln euro för att utveckla strategiska produkter försvaret kommunikation baserad på ny definierad Software Radio strategi.

SDR tillvägagångssätt är ett revolutionerande system som helt är att ändra det sätt vetenskapsmannen och industri är metoden någon form av trådlös teknik.

I grund och botten istället för att bränna hårdvara chip som genomför de flesta av de protokoll radiofrekvens och tekniker, de skjuts in "programvara" för specialiserad radio hårdvara som kan arbeta på en massa olika frekvenser, i egenskap av radio gränssnitt för en mängd olika radio protokoll.

Till exempel usrp (Universal Software Radio Peripheral) från Ettus Research att kostnadseffektivitet 1000-2000USD fullastad, dalvärdet för opensource gnuradio har ram sett opensource genomförande:

Och mycket mer protokoll och tekniker överföring.

Denna typ av nytt sätt att Radio Transmission System destinated att förändra systemet hur radion genomförs, vilket ger nya möjligheter som att uppgradera "radioprotokoll sig" i mjukvaran för att ge "Radioprotokoll" förbättringar.

I korta ordalag har vi också sett mycket hög säkerhet forskning med SDR teknik som GSM sprickbildning och Bluetooth sniffa .

Vi kan förvänta oss att andra tekniker, svag by Design men skyddas av begränsningen till maskinvaruenheter att hacka de låga nivå protokoll, snart kommer att bli hackad. I den första listan jag skulle verkligen vilja se hacking av TETRA, en teknik fötts med sluten tänkesätt och hemliga krypteringsalgoritmer, något jag verkligen ogillar ;-)

Comment (0) Taggar hacking , mobil | Kommentar (0)

avlyssning Integritet säkerhet

Avsides fånga snom VoIP Telefoner

10 September 2010 - 11:08 am

Jag föreslår att läsa på distans trycka VoIP-telefoner "på VoIP Security Alliance Blogg av Shawn Merdinger .

Ett konkret exempel på hur dagens telefoni infrastruktur blir mer sårbara för cyberattacker.

Comment (0) Taggar hacking , Integritet , voicesecurity | Kommentar (0)

Kudos säkerhet teknik

27C3 - CCC Congress gemensamma fiskeripolitiken: Vi kommer i fred

15 augusti 2010 - 08:39 am

Vi kommer i fred

Vi kommer i fred, sade erövrarna i Nya världen.

Vi kommer i fred, säger regeringen, när det gäller att kolonisera, reglera och militarisera den nya digitala världen.

Vi kommer i fred, säger nationalstaten stora företag som har föresatt sig att tjäna pengar på nätet och kedjan användare till deras skinande nya enheter.

Vi kommer i fred, säger vi som hackare, nördar och nördar, när vi ställde ut mot den verkliga världen och försöka förändra det, eftersom det har trängt in vår naturliga livsmiljö, cyberrymden ...

Ring för papper för deltagande 27C3 CCC kongressen är öppen, och jag såg aldrig en så spännande payoff :-)

Vi ses den 30 december 2010 i Berlin!

Comment (0) Taggar hacking | Kommentar (0)

intelligens avlyssning Integritet säkerheten teknik

GSM sprickbildning i metoder penetrationstest (OSSTMM)?

23 juli 2010 - 08:16 am

Eftersom de flesta av denna blogg läsare redan vet, under de senaste åren fanns det en hel del med anknytning till offentlig forskning för GSM revision och sprickbildning.

Men när det var enormt mediabevakning till GSM sprickbildning forskningsresultat, de verktyg gör krackning var verkligen tidigt stadium och fortfarande mycket ineffektivt.

Nu Frank Stevenson , norska kryptoanalytiker att redan bröt Content Scrambling System DVD video skiva, som deltar i A51 sprickbildning projektet startades av Karsten Nohl , utsläppt Kraken , en ny förbättrad version av A51 sprickbildning systemet.

Det är intressant att notera att WiFi sprickbildning hade en liknande historia, som den första WiFi WEP sprickbildning upptäckt var ganska långsam i tidigare tekniker men senare Korek, en hacker arbetar knäcka koden, förbättra attacken systemet drammatically.

Det är berättelsen om säkerheten forskningssamarbete, du startar en forsknings-, någon följa den och förbättra den, något annat följa den och förbättrat det och i slutet får du resultatet.

Läs mer på Kraken GSM Cracking programversion .

Och håll ögonen öppna nästa vecka på Blackhat konferensen Karsten Nohl kommer att förklara detaljerna i önskad maskinvaruinstallationen och detaljerade anvisningar om hur man gör det :-)

Jag skulle verkligen vilja se dessa verktyg som ingår i Intrångstest Linux Distribution Returrutt med OSSTMM metodik genomdriva testning av GSM avlyssning och mannen i mitten :-)

Om det fortsätter på det sättet och Ettus Research (Tillverkaren av USRP2 mjukvara vilken radioteknik som används för låg kostnad GSM-signal mottagning) kommer inte att tas ner, kan vi fortfarande se det här.

Comments (2) Taggar kryptering , hacking , Integritet , voicesecurity | Kommentarer (2)

intelligens Integritet säkerhet teknik

Web2.0 integritet läcka i Mobile Apps

17 juli 2010 - 09:02 am

Du vet att web2.0 världen det finns gott om läckage av något slag (profilering, profilering, profilering) avseende Sekretess och användare börjar bli berörda om det.

Användare ladda ner kontinuerligt program utan att känna till detaljerna i vad de gör, till exempel iFart bara för att är cool, är roliga och ibland är användbara.

På mobiltelefoner användare att installera från 1000% upp till 10,000% fler ansökningar än på en PC, och dessa program kan innehålla skadliga program eller andra oväntade funktioner.

Nyligen infobyte analyseras ubertwitter klient och upptäckte att klienten var läcker och skicka till sina server många personliga och känsliga uppgifter såsom:

- Blackberry PIN

- Telefonnummer

- E-postadress

- Geografisk positionsinformation

Läs om UbertTwitter "spionprogram" funktioner upptäckt här i infoByte .

Det finns massor av program läckande privat och känslig information utan bara ingen titta på det.

Skulle obligatoriskt lagring av uppgifter och sekretesspolicy blev en del av applikationsutveckling och underkastelse riktlinjer för mobilen?

IMHO en användare måste inte bara varnas om ansökan möjligheter och API användning, men också vad som kommer att göra med vilken typ av information det kommer att hantera inne i mobiltelefonen.

Capabilities innebär bemyndigande programmet att använda en viss funktionalitet, till exempel att använda Geolocation API, men vad programmet ska göra och vem som kommer att lämna sådan information när användaren ha godkänt det?

Det är en säkerhet profilering nivå som mobiltelefontillverkaren inte ger, och de borde, eftersom det fokuserar på information och inte om tillämpningen tillstånd / medgivande avseende på användningen av enhetens funktioner.

ps ja! OK! Jag håller med! Denna typ av inlägg skulle kräva 3-4 sidor lång diskussion om ämnet är varmt och ganska ledade men det är lördag morgon och jag måste gå!

Comment (0) Taggar hacking , mobil , politiken , Integritet | Kommentar (0)

business intelligence avlyssning Integritet säkerheten teknik

Blackberry och kryptering: Djävulen eller Angel?

7 juli 2010 - 10:39

Blackberry har bra och dåliga rykte när det gäller hans säkerhet kapacitet, beroende från vilken vinkel du ser på det.

Detta inlägg är det en sammanfattande uppsättning information för att låta läsaren få bild, utan att ta mycket en position som RIM och Blackberry kan anses, beroende på synvinkel ett mycket säkert plattform eller en extremt farlig.

Låt oss går vidare.

Å ena sidan Blackberry Det är en plattform massor av kryptering funktioner, säkerhetsfunktioner överallt, enhet krypterad (med egen krypto), kommunikation krypterade (med anpassade proprietära protokoll som IOPP), mycket bra Avancerade inställningar säkerhet, kryptering ramar från Certicom ( numera ägs av RIM ).

Å andra sidan de inte ger bara en enhet, men en overlay accessnät, som kallas BIS ( Blackberry Internet Service ), det är en global världsomspännande WAN där BlackBerry in medan du surfar eller checkmail med blackberry.net AP.

När du, eller ett program använder blackberry.net APN du inte bara ansluta till internet med transportören internetuppkoppling, men du går in på insidan av RIM nätverk som proxy och fungerar som en inkörsport för att nå internet.

Precis samma händer när man har ett företag bruk: Både BB enheten och företagens BES ansluta till det RIM nätverk som fungerar som en slags VPN koncentration nätet .

Så i princip all kommunikation passerar ho infrastruktur RIM tjänst i krypterat format med en rad egen kryptering och kommunikationsprotokoll.

Precis som ett meddelande, tror att Google att ge gtalk under blackberry.net APN, gjorde ett avtal för att erbjuda service inom BB nätverket till BB användarna. När du installerar gtalk du blir lagt 3 tjänsteböcker som pekar på GTALKNA01 det är namnet på GTalk gateway inom RIM nätverket så inom BIS kommunikation och fungerar som en GTalk gateway till Internet.

De mobila operatörerna oftast inte ens tillåtet att inspektera trafiken mellan Blackberry enheten och Blackberry Network.

Så RIM och Blackberry på något sätt är unika för sin inställning eftersom de ger en plattform, ett nätverk och en tjänst alla paketerade tillsammans och du kan inte bara "få enheten och programvaran" men användaren och företagets alltid bundna och anslutna till tjänsten nätverket.

Det är bra och det är dåligt, eftersom det innebär att RIM ger extremt bra säkerhetsfunktioner och förmåga att skydda information, enhet och tillgång till information på olika nivå mot tredje part.

Men det är alltid svårt att uppskatta hotet och risken i samband med RIM sig själv och som kunde göra politiskt tryck mot RIM.

Tänk att jag inte säga "RIM tittar på dina data" men att göra en objektiv riskanalys: för hur plattformen görs RIM har auktoritet på enheten, den information on-the-enheten och på den information som korsar nätverket. (Läs mina Mobile Security Bilder ).

Till exempel låt oss betrakta det mycket samma sammanhang för Nokia telefoner.

När Nokia-enheten säljs, har Nokia inte auktoritet på enheten, och inte heller den information on-the-enhet eller på den information som korsar nätverket. Men det är också sant att Nokia bara ge enheten och inte ger mervärde tjänster såsom Enterprise integration (RIM VPN-tunnel), BIS accessnätet och alla lokala och avlägsna säkerhet reserveringar funktioner som Blackberry ger.

Så det handlar om med tanke på den risk sammanhang i ett korrekt sätt vid valet av plattform, med ett exempel mycket lik att välja Microsoft Exchange Server (på egen service) eller om att få en SaaS-tjänst som Google Apps.

I båda fallen måste du lita på leverantören, men i första exemplet måste du lita på Microsoft som inte sätta en bakdörr på programmet medan den 2: a exemplet du behöver för att lita på Google, som en plattform och tjänsteleverantör, som inte åt din information.

Så det är en annan paradigm som ska utvärderas beroende på hotet modell.

Om din hotet modellen låter du överväga RIM som en betrodd tredje part tjänster (ungefär som Google) än det är ok. Om du har en mycket hög risk sammanhang som topphemligt en, låt oss betrakta och utvärdera noga om det inte är bättre att hålla BlackBerry-tjänster helt isolerad från enheten eller använda ett annat system utan interaktion med tillverkarens servrar och tjänster.

Nu ska vi gå tillbaka till en del efterforskningar och några fakta om björnbär och björnbär säkerheten själv.

Först av allt flera regeringar haft att göra med RIM för att tvinga dem att ge tillgång till den information som korsar deras servicenät medan andra bestämt sig för att direkt förbjuda Blackberry användning för höga tjänstemän på grund av servrar som är placerade i Storbritannien och USA, medan andra bestämt sig för att installera sina egna bakdörrar.

Ryska underrättelsetjänsten (FSB) nå en överenskommelse med RIM och nu FSB kan avlyssna Blackberry e-post och webbtrafik i Ryssland
Frankrikes regering förbjudit Blackberry för användning av regeringstjänstemän och även ersatt enheten för röst-kryptering används
Indiska regeringen gjorde press på RIM att minska krypteringsfunktioner och senare meddelat att de har knäckt björnbär kryptering . En sammanfattning av Indien-RIM berättelse av Bruce Schneier .
Förenade Arabemiraten (UAE) Etisalat operatören försökt för att installera en regering spionprogram på alla länder björnbär , men de fastnade
USA National Security Agency början förbjudet Obama att använda Blackberry för sina president verk som ger honom en Sectera Edge Secure Phone , efter 2 år har de lyckats få den med en egen kryptering lager sker särskilt genom att NSA och får Obama att använda en anpassad säker björnbär

Det finns en hel del diskussioner om de ämnen som är RIM Blackberry och regeringar av olika skäl.

Nedan följer en lista av officiella säkerhet relaterad information på RIM BlackBerry plattform:

Officiell Säkerhet Kunskapsdatabas på RIM hemsida
BlackBerry Internet Service säkerhetsfunktioner
Wireless Data Security

Och här en uppsättning inofficiell säkerhet och Hacking relaterad information på RIM Blackberry plattform:

Hackish blackbox säkerhet analys av FX i Phenoelit : Analys Komplexa system - Blackberry fallet
Komma företags intranät ho Blackberry BBProxy Hack
Blackberry Master Control Program lite hacking
Hur kringgå Blackberry IT-policy
Björnbär vända forskning (främst av Dr Bolsen, men ingen har någonsin dekompileras och publicerat hela RIMOS)
- Förbi Blackberry COD Signatur

Eftersom det är 23,32 (GMT +1), jag är trött, tror jag att detta inlägg kommer att hamna här.

Jag hoppas ha gett läsaren en rad nyttig information och hänsyn till gå mer på djupet att analysera och överväga den övergripande björnbär säkerheten (i det goda och i dåliga, det beror alltid på ditt hot modell!).

Skål

Fabio Pietrosanti (Naif)

ps jag är att hantera utvecklingen säkerhetsteknik (röst kryptering Tech) på Blackberry-plattformen, och jag kan berätta att från utvecklingen synvinkel är absolut bättre än Nokia i fråga om överensstämmelse och snabba utveckling, men använd endast RIMOS 5,0 +!

Comments (3) Taggar företag och kryptering och hacking och mobila och Privacy | Kommentarer (3)

Kudos säkerhet

Firar "Hackers" efter 25 år

1 juli 2010 - 08:25 am

En kultbok , ständigt gröna sedan 25 år.

Det har gått 25 år sedan "Hackare" publicerades. Författare Steven Levy reflekterar över boken och rörelsen.

 http://radar.oreilly.com/2010/06/hackers-at-25.html Steven Levy skrev en bok i mitten av 1980-talet som införde begreppet "hacker" - den positiva klang - till en bred publik.  I de följande 25 åren har det ordet och dess medföljande samhället genomgått en enorm förändring.  Boken i sig blev en stöttepelare i Tech libraries.O 'Reilly nyligen släppt en uppdaterad 25-årsjubileum upplagan av "Hackers", så jag kollade in med Levy för att diskutera bokens utveckling, dess inflytande och roll hackare fortsätta att spela.

Comment (0) Taggar hacking | Kommentar (0)

säkerhet

IOScat - en hamn Netcat till Cisco IOS

13 juni 2010 - 03:25

En portning av berömda netcat till Cisco IOS router operativsystem: IOSCat

Den enda väsentliga begränsningen är att den inte stöder UDP, men det är en väldigt cool verktyg!

En mycket bra txt att läsa är Netcat hacker Manual .

Comment (0) Taggar hacking | Kommentar (0)

verksamhet avlyssning Integritet säkerheten teknik

Mobile Security föredrag vid WHYMCA konferens

2 jun 2010 - 19:56

Jag vill dela några bilder jag brukade prata om mobil säkerhet på whymca mobil konferensen i Milano.

Läs här mina bilder på mobil säkerhet .

Bilderna ger en bred fördjupad överblick av mobila säkerhetsrelaterade frågor, bör jag göra lite slidecast åt det att sätta även ljud. Kanske kommer att göra, kanske inte, det beror på tiden att det alltid tillräckligt med resurser.

Comment (0) Taggar affärer , kryptering , dataintrång , mobil , Integritet , voicesecurity , zrtp | Kommentar (0)

Integritet säkerhet teknik

iPhone PIN: värdelös kryptering

1 juni 2010 - 02:53

Jag bytte nyligen en av mina många mobiltelefoner som jag går runt till iPhone.

Jag är särskilt bekymrad över dataskydd vid stöld och så började med en titt runt om iPhone som skydd.

Det är en intressant uppsättning av iPhone Funktioner Business Security som gör mig att tro att iPhone går åt rätt väg för säkerhetsskydd av telefonen, men ändå en massa saker som måste göras, särskilt för allvarliga företag och användare regeringen.

Till exempel visade sig att iPhone PIN-skydd är onödigt och det kan brytas bara att koppla in iPhone till en Linux-maskin och gå in på enheten som en USB-minne.

Det är något att störa mig paranoid tänkesätt som får mig att tänka att inte använda känsliga uppgifter på min iPhone om jag inte kan skydda mina data.

Förmodligen en iPhone oberoende hårddiskkryptering produkt skulle vara mycket användbart för att låta marknaden skapa skyddade scheman som passar de olika risker sammanhang som olika användare kan ha.

Förmodligen en allmän konsumenten inte är orolig för denna PIN-kod sårbarhet men för mig, som arbetar inom mycket konfidentiell envirnonment som intelligens, finans och militära, är det något som jag inte kan acceptera.

Jag behöver en stark diskkryptering på min mobiltelefon.

Jag gör stark röst kryptering för det , men det skulle vara riktigt trevligt att ha också något för att skydda hela iPhone data och inte bara telefonsamtal.

Comment (0) Taggar kryptering , hacking , mobil , Integritet , voicesecurity | Kommentar (0)

Kudos Integritet säkerhet teknik

Utnyttja kod mot SecurStar DriveCrypt publicerad

25 maj 2010 - 05:00

Det verkar som om hacking samhället på något sätt rikta securstar produkter, kanske för att hacka samfundet inte gillar ofta visat oetiska tillvägagångssätt som redan beskrivits tidigare i den här bloggen av föremål och användarens kommentarer.

År 2004 en hel del anklagelsen mot Hafner i SecurStar gick ut på grund av påstått intrång i immateriella rättigheter avseende opensource-koder som Kryptering 4 massorna och den rättsliga Advert även mot fria och opensource TrueCrypt projekt.

År 2008 fanns det en pre-boot autentisering hacking mot DriveCrypt Plus skrivit på Full-Disclosure.

Början av 2010 var det dags för falska InfoSecurity forskningen hemlighet sponsras av securstar på http://infosecurityguard.com (som nu de försökte ta bort från webben på grund av pinsam situation, men backup av berättelsen finns tillgängliga, hacking samhället väntar fortfarande för ursäkter).

Nu, i mitten av 2010 efter en forskning publicerad i december 2009 om program Disk Encryption sårbarheter som gjorts av Neil Vattenkokare (mu-b), Säkerhet forskare vid tvåsiffriga-labb och penetration testare på Convergent Network Solutions , var DriveCrypt visade sig vara sårbara och utnyttjas brytning på enheten säkerheten i systemet och exploit kod har precis släppt.

Utnyttja koden redovisas nedan (tack Neil för koden release!):

Godtycklig kärnan säkerhetsproblem attack av DriveCrypt: drivecrypt-dcr.c

Godtycklig fil läsning / skrivning säkerhet exploit via okontrollerade användardefinierade parametrar ZxCreateFile / ReadFile / WriteFile: drivecrypt-fopen.c

Den exploit koden har testats mot DriveCrypt 5,3, för närvarande släppt DriveCrypt 5,4 uppges vara sårbara för, eftersom det har bara smärre förändringar i samband med Win7 kompatibilitet. Kan någon göra en dubbelkontroll och rapportera en kommentar här?

Mycket bra jobb Neil!

Under tiden fri TrueCrypt är förmodligen det självklara valet för disk kryptering, med tanke på att det är svårt att lita DriveCrypt, har PGP har förvärvats av Symantec och det finns mycket dåliga rykten om det förtroende som människor har i Symantec och det finns inte många allmänt tillgängliga alternativ.

Rykten säger att även PhoneCrypt binärer är att få analyseras och den egenutvecklade krypteringssystemet kunde avslöja något roligt ...

Comment (0) Taggar kryptering , hacking , Integritet , voicesecurity | Kommentar (0)

verksamhet avlyssning Integritet teknik

SecurStar GmbH Phonecrypt svar på Infosecurityguard / Notrax fall: absolut orimligt! :-)

1 Februari 2010 - 18:04

UPDATE 2010/04/20: http://infosecurityguard.com har inaktiverats. Notrax identitet blev känd för flera killar i de miljöer röst säkerhet (kan inte säga, men du kan tänka dig, var jag rätt!) Och så våra vänner bestämde sig för att Trow bort hemsidan på grund av juridiska ansvaret i Storbritannien och USA lagar.

UPPDATERING: Nice sammanfattning av hela historien (jag vet, det är lång och komplicerad att läsa på 1: a gången) på SIPVicious VoIP säkerhet blogg med Sandro Gauci .

Efter mina upptäckter, försökte Mr Hafner, SecurStar chef exec, för att slutligen försvara sina handlingar, med hänvisning till helt orimliga ursäkter till The Reg i stället för att offentligt be om ursäkt för vad de har gjort: att skapa en falsk oberoende säkerheter forskning för att främja deras PhoneCrypt produkter .

Han försökte övertyga oss om att personen bakom IP 217.7.213.59, som används av författaren till infosecurityguard.com och pekar till deras kontor DSL-linje, var detta hacker Notrax, använda deras anonym surfning tjänst och inte en av sina anställda på sina kontor:

"SecurStar chefen exec Wilfried Hafner förnekade all kontakt med Notrax. Notrax, sade han, måste ha använt hans företags anonym surfning service, SurfSolo, att ge de resultat som rapporteras av Pietrosanti "

Låt oss fundera en stund på denna mening ... skulle verkligen en hacker letar efter anonymitet spenderar 64 euro till köpa deras anonymitet att surfa tjänst som kallas surfsolo istället för att använda den fria och mycket säkrare TOR (löken routern) ? Då vi fundera på denna andra del av information:

IP 217.7.213.59 är SecurStar GmbH kontor DSL-linje
På 217.7.213.59 de har installerat sina VoIP / Asterisk PBX och internet gateway
De främjar deras anonym proxy för "Anonymous P2P användning" ( http://www.securstar.com/products_ssolo.php ). Vem skulle låta användarna göra P2P från kontoret DSL-linje där de har installerat sitt företags VoIP PBX? Om du VoIP att du inte kan låta tredje part översvämning din linje w / p2p trafik, skulle dina telefonsamtal blev uppenbart otillförlitliga (ja, ja, kan du göra QoS, men du skulle inte sätta en anonym navigering proxy på ditt företags kontor DSL line ...).
Vilket företag som tillhandahåller en anonym navigeringstjänst någonsin skulle använda sin egen adress kontor IP? Tänk bara hur många gånger du skulle ha polisen knackar på din dörr och dina anställda som huvudmisstänkta. (I tidigare jag brukade köra en Tor-nod, jag vet riskerna ...). Också fundera hur många gånger du skulle hitta dig svartlistad på Google som ett spionprogram bot.
Mr Hafner säger också "Vi har två miljoner människor som använder den här produkten. Eller han kan ha varit en gammal kund hos oss ". 2M användare på en DSL-linje, egentligen?
Jag använder inte Surfsolo service, men deras ombud är förmodligen De här:

surfsolo.securstar.net - 67.225.141.74

surfsolo.securstar.com - 69.16.211.133

Ärligt talat jag lätt kan förstå att Mr Hafner kommer göra vad han kan för att skydda sitt företag från skandalen, men "anonym proxy" ursäkt är minst sagt misstänksam.

Hur det faktum att "oberoende forskning" var semantiskt en produkt översyn av PhoneCrypt, tillsammans med upptäckten att författaren kommer från SecurStar GmbH kontoren IP-adress, tillsammans med anonymitet här Notrax killen (SecurStar kallar honom en "välkänd IT-säkerhet professionell "i sitt pressmeddelande ..) ljud för dig?

Det är möjligt att jorden kommer att få en attack från yttre rymden som händer att förstöra våra liv?

Statistiskt mycket svårt, men ja, möjligt. Mer eller mindre som "anonym proxy" berättas av Mr Hafner för att täcka det faktum att det är de bakom infosecurityguard.com falska "oberoende säkerhetsgranskning".

Hej, jag behöver inte något annat att övertyga mig själv eller att låta smart person har sina egna tankar om detta.

Jag tycker bara att det bästa sättet för SecurStar att komma ur den här röran skulle antagligen vara att tillhandahålla offentliga ursäkter till dataintrång gemenskapen för att missbruka namn och rykte av verkliga oberoende säkerhet forskare, av hänsyn till ett reklamjippo.

Hälsningar,

Fabio Pietrosanti

PS Jag är för närvarande väntar på en del andra Infos som kommer att mer exakt bekräfta att det Mr Hafner säger är inte korrekt sant. Håll ögonen öppna.

Comment (0) Taggar affärer , kryptering , dataintrång , marknadsföring , Integritet , voicesecurity | Kommentar (0)

verksamhet avlyssning Integritet säkerhet

Bevis för att infosecurityguard.com / notrax är SecurStar GmbH Phonecrypt - Ett falskt oberoende forskning om talkrypto

1 Februari 2010 - 12:32 am

Nedanför bevis på att säkerheten översyn gjorts av en anonym hackare på http://infosecurityguard.com är fakta en oärlig marknadsplan som SecurStar GmbH att främja deras talkrypto produkt.

I already wrote about that voice crypto analysis that appeared to me very suspicious.

Now it's confirmed, it's a fake independent hacker security research by SecurStar GmbH, its just a marketing trick!

How do we know that Infosecurityguard.com, the fake independent security research, is a marketing trick from SecurStar GmbH?

1) I posted on http://infosecurityguard.com a comments to a post with a link to my blog to that article on israelian ministry of defense certification

2) The author of http://infosecurityguard.com went to approve the comment and read the link on my own blog http://infosecurity.ch

3) Reaching my blog he leaked the IP address from which he was coming 217.7.213.59 (where i just clicked on from wordpress statistic interface)

4) On http:// 217.7.213.59/panel there is the IP PBX interface of the SecurStar GmbH corporate PBX (openly reachable trough the internet!)

5) The names of the internal PBX confirm 100% that it's the SecurStar GmbH:

Hafner : Wilfried Hafner, CEO and founder of SecurStar GmbH (linkedin profile)
Can : Can Yavuzyilman, Country Manager at SecurStar GmbH (linkedin profile)
Markus : Markus Bensinger, System Administrator at SecurStar GmbH (linkedin profile)

6) There is 100% evidence that the anonymous hacker of http://infosecurityguard.com is from SecurStar GmbH

Below the data and reference that let us discover that it's all but a dishonest marketing tips and not an independent security research.

Kudos to Matteo Flora for it's support and for his article in Debunking Infosecurityguard identity !

The http referral tricks

When you read a link going from a website to another one there is an HTTP protocol header, the “Referral”, that tell you from which page someone is going to another webpage.

The referral demonstrated that the authors of http://infosecurityguard.com read my post, because it was coming from http://infosecurityguard.com/wp-admin/edit-comments.php that's the webpage you use as a wordpress author/editor to approve/refuse comments. And here there was the link.

That's the log entry:

217.7.213.59 – - [30/Jan/2010:02:56:37 -0700] “GET /20100129/licensed-by-israel-ministry-of-defense-how-things-really-works/ HTTP/1.0″ 200 5795 “ http://infosecurityguard.com/wp-admin/edit-comments.php ” “Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB6.3; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)”

The PBX open on the internet tell us that's SecurStar GmbH

The SecurStar GmbH PBX is open on the internet, it contains all the names of their employee and confirm us that the author of http:/infosecurityguard.com is that company and is the anonymous hacker called Notrax.

Here there is their forum post where the SecurStar GmbH guys are debugging IPCOPfirewall & Asterisk together (so we see also details of what they use) where there is the ip 217.7.213.59 .

That's also really fun!

They sell secure telephony but their company telephony system is openly vulnerable on the internet . :-)

I was thinking to call the CEO, Hafner, via SIP on his internal desktop PBX to announce we discovered him tricks.. :->

They measured their marketing activity

Looking at the logs of my website i found that they was sensing the google distribution of information for the following keywords, in order to understand how effectively they was able to attack competing products. It's reasonable, if you invest money in a marketing campaign you want to see the results :-)

They reached my blog and i logged their search:

infosecurityguard+cryptophone

infosecurityguard+gold-lock

217.7.213.59 – - [30/Jan/2010:02:22:42 -0700] “GET / HTTP/1.0″ 200 31057 “Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB6.3; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)”

217.7.213.59 – - [30/Jan/2010:04:15:07 -0700] “GET HTTP/1.0″ 200 15774 “Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB6.3; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)”

The domain registration data
The domain have been registered on 1st December 2009, just two months to start preparing the dishonest marketing campaign:

Domain Name: INFOSECURITYGUARD.COM

Registrar: GODADDY.COM, INC.

Updated Date: 01-dec-2009

Creation Date: 01-dec-2009

The domain is anonymously privacy protected trough a whois privacy service:

Administrative Contact: Private, Registration INFOSECURITYGUARD.COM@domainsbyproxy.com , Domains by Proxy, Inc. DomainsByProxy.com

Notrax hacker does not exist on google
As you know any hacker that get public usually have presence of it's activity on google, attending mailinglists, forum, homepage, past research, participation to conferences, etc, etc.
The fake hacker that they wanted us to to think was writing an independent blog does NOT have any trace on google. Only some hit about an anonymous browser called Notrax but nothing about that hacker.
Maybe when SecurStar provided the anonymity tool to their marketing agency, to help them protecting anonymity for the fake research, their provided them the anonymous browser notrax.So the marketing guy thinking about the nickname of this fake hackers used what? Notrax! :-)

The “independent review”completely oriented in publicizing PhoneCrypt

Of the various review don the phonecrypt review is only positive and amazing good feedback, while the other are only bad feedback and no single good point.

As you can imagine, in any kind of independent product evaluation, for all products there are goods and bad points. No. In this one there are only product that are good and product that are bad.

They missed to consider the security of the technology used by the products

They completely avoided to speak about cryptography and security of the products.

They do not evaluated basic security features that must be in that kind of products.That's in order not to let anyone see that they did not followed basic security rules in building up their PhoneCrypt.
The technology is closed source, no transparency on algorithms and protocols, no peer review.Read my new comparison (from the basic cryptographic requirement point of view) About the voice encryption analysis (criteria, errors and different results) .
The results are somehow different than their one .

UPDATE: Who's Wilfried Hafner (SecurStar founder) ?

I got a notice from a reader regarding Wilfred Hafner, SecurStar founder, CEO and security expert.

He was arrested in 1997 for telephony related fraud (check 2nd article on Phrack) earning from telephony fraud 254.000 USD causing damages to local telcos trough blueboxing for 1.15 Million USD.

He was not doing “Blueboxing” for the pleasure of phreaking and connecting with other hackers, but to earn money.

Hacking for profit (and not for fun) in 1997… brrr…. No hacker's ethic at all!

All in all, is that lawful?

Badmouthing a competitor amounts to an unfair competition practice in most jurisdictions, so it is arguable (to say the least) that SecurStar is right on a legally sound ground here.
Moreover, there are some specific statutes in certain jurisdictions which provide for a straightforward ban on the practice we are talking about. For example in the UK the British Institute of Practitioners in Advertising - in compliance with the Consumer protection from Unfair Trading regulation – ruled that:

”falsely claiming or creating the impression that the trader is not acting for the purposes relating to his trade, business, craft or profession, or falsely representing oneself as a consumer” is a criminal offense .

We have no doubt that PRPR (which is the UK-based *PR company for SecurStar GmbH, led by Peter Rennison and Allie Andrews as stated in SecurStar Press Release ) did provide their client with this information. Heck, they *are* in the UK, they simply cannot ignore that!

IANAL, but I would not be surpised if someone filed a criminal complaint or start civil litigation for unfair competition against SecurStar GmbH.
Whether this is going to be a matter for criminal and/or civil Courts or not is not that important. However, it is clear enough that SecurStar GmbH appears to be at least ethically questionable and not really worth of trust.

Nice try, gentlemen… however, next time just do it right (whether “right” for them means “in a honest manner” or “in a fashion not to be caught” I will let them choose)”

Fabio Pietrosanti (naif)

Tags business , encryption , hacking , marketing , Privacy , voicesecurity | Comments (7)

business interception Privacy security

Dishonest security: The SecurStart GmbH Phonecrypt case

1 February 2010 – 12:30 am

I would like to provide considerations on the concept of ethics that a security company should have respect to the users, the media and the security environment.

SecurStar GmbH made very bad things making that infosecuriguard.com fake independent research.

It's unfair approach respect to hacking community.

It's unfair marketing to end user. They should not be tricking by creating fake independent review.

It's unfair competition in the security market.

Let's make some more important consideration on this.

Must be serious on cryptographic products. They are not toys

When you do cryptographic tools you should be really aware of what you are doing, you must be really serious.

If you do bad crypto people could die.

If you don't follow basic security rules for transparency and security for cryptography you are putting people life at risk.

You are taking the responsibility of this. (I want to sleep at night, don't think SecurStar CEO/CTO care about this…)

Security research need reference and transparency

Security research have to be public, well done, always subject to public discussion and cooperation.
Security research should not be instrumentally used for marketing purpose.Security research should be done for awareness and grow of the knowledge of the worldwide security environment.

Hacking environment is neutral, should not be used instrumentally

Hackers are considered neutral, nerds, doing what they do for their pleasure and passion.

If you work in the security market you work with hackers.

If you use hackers and hacking environment for your own marketing purposes you are making something very nasty.

Hackers give you the technology and knowledge and you use them for your own commercial purpose.

Consideration on the authority of the information online

That's something that pose serious consideration on the authority of information online.An anonymous hacker, with no reference online, made a product security review that appear like an independent one. I have to say that the fake review was very well prepared, it always posed good/bad things in an indirect way. It did not appeared to me at 1st time like a fake. But going deeply i found what's going on.

However Journalists, news media and blogger went to the TRAP and reviewed their fake research. TheRegister, NetworkWorld and a lot of blogs reported it. Even if the author was completely anonymous.

What they have done is already illegal in UK

SecurStar GmbH is lucky that they are not in the UK, where doing this kind of things is illegal .

Fabio Pietrosanti (naif)

Tags business , hacking , marketing , Privacy , voicesecurity | Comment (0)

cyberwarfare intelligence interception Privacy security

Licensed by Israel Ministry of Defense? How things really works!

29 January 2010 – 10:12 am

You should know that Israel is a country where if a company need to develop encryption product they must be authorized by the government.

The government don't want that companies doing cryptography can do anything bad to them and what they can do of good for the government, so they have to first be authorized.

Companies providing interception and encryptio n m ust apply to a license because Israel law on this is so restrictive to be similar to china law .

That's because those kind of technologies are considered fundamental for the intelligence and espionage capabilities of Israel country.

To give some example of “Licensed by Israel Ministry of Defense” companies:

GSM encryption products “Licensed by Israel Ministry of Defense” – Gold-lock

Interception of communication products “Licensed by Israel Ministry of Defense” – Verint

HF encrypted Radio “Licensed by Israel Ministry of Defense” – Kavit

Surveillance services and equipment “Licensed by Israel Ministry of Defense” – Multi Tier Solutions

For example how to apply for a “License by Israel Ministry of Defense” if you do encryption technologies in Israel?

Be sure to be an israeli company, click here and fill the forms.

Someone will contact you from encryption-control@mod.gov.il and will discuss with you whether to give you or not the license to sell.

What does the department of defense will require from an israeli company in order to provide them the authorization to make and sell interception and encryption products?

Well, what they want and what they really ask nobody knows.

It's a secret dealing of Israel Ministry of Defense with each “licensed” company.

What we know for sure is that Verint, a “Licensed by Israel Ministry of Defense”, placed a backdoor to intercept companies and governments in the US and Netherland into the interception systems they was selling.

Verint, a Licensed by Israel Ministry of Defense Company, provided to Israel government eavesdropped communications of private and government users in the United States and in the Netherland .

CIA officier reported that Israel Ministry of Defense was known to pay Verint a reimbursement of 50% of their costs in order to have from Verint espionage services trough their commercial activity on selling “backdoored” interception equipment to spy foreign users.

It can be a legitimate doubt that the cooperation within the Israeli Ministry of Defense may be problematic for an Israeli company that want to sell interception and encryption product abroad.

Those companies may be forced to make the interests of Israel Ministry of Defense and not the interests of the customers (like Verint scandal is a real-world example).

So, how would a “Licensed by Israel Ministry of Defense” be a good things to promote?

It represent the risk that the “Israel Ministry of Defense”, like is publicly known that it has already have done with Verint, will interfere with what the company do.

It represent the risk that the “Israel Ministry of Defense” may reasonably provide “reimbursement” of costs paying the company and get what they would likely would like to get.

So, what does really “Israel Ministry of Defense” want from Israel companies doing encryption and interception technologies?

Should we ask ourself whether Israeli companies doing encryption and interception businesses are more interested to do business or to do “outsourced espionage services” for their always paying customer, the “Israel Ministry of Defense”.

For sure, in the age of financial crisis, the Israel Ministry of Defense is a paying customer that does not have budget problem…

Strict control, strict rules, strong government strategic and military cooperation.

Be careful.

If you want to read more about this matters, about how technologies from certain countries is usually polluted with their governments military and secret services strategies stay tuned as i am preparing a post about this .

You will much better understand about that subjects on the “Licensed by Israel Ministry of Defense”.

Tags cyberwarfare , hacking , mobile , Privacy , voicesecurity | Comment (0)

security

Recuva: Nice windows data recovery tool

12 November 2009 – 1:10 pm

Not a professional tool but an easy, quick and free one.

If you just accidently deleted some files on windows or your employee leave the company deleting all his data, well that you get out from trouble quickly.

It also came out in a 'portable' version to be loaded from an usb stick drive.

Check Recuva recovery tool

Tags hacking | Comment (0)

business security technology

Iphone jailbreaking crashing towers? FUD!

30 July 2009 – 9:14 am

It's interesting to read a news about an anti-jailbreaking statement by apple that say that with jailbreaked phones it may be possible to crash mobile operator's towers:

By tinkering with this code, “a local or international hacker could potentially initiate commands (such as a denial of service attack) that could crash the tower software, rendering the tower entirely inoperable to process calls or transmit data,”

So fun, as the Baseband Processor interface of iPhone is precisely the same of Google android and all Windows Mobile powered devices:

Basically the operating system use AT commands (do you remember old hayes modem commands?) with additional parameters documented and standardized by 3GPP that let more deep (but not that much deep) interaction with the mobile networks.

Please note that those AT commands are standard and widely available on all phones and are the interface to the Baseband Processor .

On iPhone that's the list of commands that an from apple point of view could let “a international hacker to crash the tower software” :

Undocumented commands on iPhone

Damn, those European anarchist of Nokia are providing publicly also their AT command sets, and are AVAILABLE TO ANYONE:

Nokia AT Commands

Oh jesus! Also the terrorist oriented Microsoft corporation let third party to use AT commands:

Windows Mobile AT Commands

It's absolutely unacceptable that also RIM, canadian funky against USA, provide access to AT commands:

Blackberry AT commands

And it's unbelivable to see that Google Android also document how the system speak to the Baseband Processor and find on forums that it's ease to access it:

Google Android Basedband Processor

Not to speak to ALL other mobile manufactuer that use the very same approach and let any party to speak via AT commands to the baseband processor of the phone.

Is the baseband processor of iphone buggy and the AT&T tower software buggy so that it's dangerous to let the user make experiment with it?

Probably yes, and so those are only excuse because the software involved are not robust enough.

Apple, be careful, you have the trust of your users because you are apple you always have done things for the user advantages.

Users does like telephone companies that are huge lobbies that try to restrict and control users as much as possible.

If you, Apple, start behaving like a phone company users will not trust you anymore.

Be careful with FUD statements.

Tags business , hacking , mobile | Comment (0)

Uncategorized

Letter from a suicide hackers

27 July 2009 – 9:51 pm

The concept of freedom of an hacker, killing himself not to loose the most important value of his life.

Read there

Tags civilrights , hacking | Comment (0)

cyberwarfare intelligence interception Privacy security

UAE government placing backdoors into Blackberry devices

21 July 2009 – 2:25 pm

Nice attempt to place backdoors inside Blackberry devices.

It seems that UAE government wanted to do something nasty placing backdoors trough software upgrades in Etilsat (local mobile operator) blackberry devices, obviously with the cooperation of the mobile operator itself.

Fortunately, the power of the security community discovered and unveiled the facts. Kolla in det.

Etisat patch designed for surveillance

Wired magazine: Blackberry spies

Security exists only with transparency.

Tags civilrights , cyberwarfare , hacking , Privacy | Comment (0)

security technology

Mobile platform hacking: worms and botnet from phones?

7 July 2009 – 8:33 am

The hacking community is finally starting seriously auditing and hacking Symbian OS, even if it's difficult, hard to work on, unpleasant to debug it .

There are so many mobile operating systems (Symbian OS, Nokia S40, Windows Mobile, RIM OS, Mac OS X, Android/Linux, Brew) that a worm/virus being able to leverage a cross-platform vulnerability it's just a theory.

Trusted computing platforms, security model of J2ME Java only phones (like RIM and S40), digital signature everywhere are all tools that make massive hacking on mobile platform really difficult.

It's difficult and costly to develop on mobile platforms, it's difficult and costly too doing hacking on that platforms.

Still look at a very nice achievement of paper from SEC Consult called Pwning Nokia phones (and other Symbian based smartphones) .

Can we expect future worms or botnet on mobile? I don't expect so, too many different OS with hard-to-beat security model.

And even if a worm would be able to penetrate a single mobile paltform bugs, mobile operators would be able to block it very quickly (compare how many GSM/UMTS operator exists compared to Internet Service Provider?).

Tags hacking , mobile | Comment (0)

cybercrime cyberwarfare intelligence

Hackers hired from UK Office of Cyber Security

6 July 2009 – 10:25 pm

It seems that in UK the management became illuminated, they discovered that the most efficient way to fight a cyber war is to hire soldier that play in the battlefield everyday, only for passion.

UK Employs 'Naughty Boys' to Battle Other Hackers UK Employs 'Naughty Boys' to Battle Other Hackers

Tags cybercrime , cyberwarfare , hacking , Untitled | Comment (0)

Playhouse av privatlivet, säkerhet, hacking, kryptering, intelligens och några affärer saker

Tag Archives: hacking

Framsteg för GSM sprickbildning i universitetet i Freiburg

TETRA dataintrång kommer: OsmocomTETRA

ESSOR, Europeiska Secure Software Defined Radio (SDR)

Avsides fånga snom VoIP Telefoner

27C3 - CCC Congress gemensamma fiskeripolitiken: Vi kommer i fred

GSM sprickbildning i metoder penetrationstest (OSSTMM)?

Web2.0 integritet läcka i Mobile Apps

Blackberry och kryptering: Djävulen eller Angel?

Firar "Hackers" efter 25 år

IOScat - en hamn Netcat till Cisco IOS

Mobile Security föredrag vid WHYMCA konferens

iPhone PIN: värdelös kryptering

Utnyttja kod mot SecurStar DriveCrypt publicerad

SecurStar GmbH Phonecrypt svar på Infosecurityguard / Notrax fall: absolut orimligt! :-)

Bevis för att infosecurityguard.com / notrax är SecurStar GmbH Phonecrypt - Ett falskt oberoende forskning om talkrypto

Dishonest security: The SecurStart GmbH Phonecrypt case

Licensed by Israel Ministry of Defense? How things really works!

Recuva: Nice windows data recovery tool

Iphone jailbreaking crashing towers? FUD!

Letter from a suicide hackers

UAE government placing backdoors into Blackberry devices

Mobile platform hacking: worms and botnet from phones?

Hackers hired from UK Office of Cyber Security

Översättare

Ca

Twitter

Senaste inlägg