Архівы: Канфідэнцыяльнасць

RFC 6189: ZRTP, нарэшце, стандарт!

Нарэшце ZRTP быў прысвоены афіцыйны прызначэння RFC, RFC6189 ZRTP: Медыя Шлях ўзгаднення ключоў для бяспечнага RTP Unicast.

Гэта было як залежнасць SRTP AES з памерам ключа 256 біт, што цяпер было вызначана як RFC6188 .

Гэта цікава, каб убачыць, нарэшце, выпусціла RFC, так як гэта важная вяха для ўстаноўкі ZRTP як афіцыйны стандарт для канца ў канец шыфравання гэтак жа, як PGP была для электронных лістоў.

Зараз любая арганізацыя ў свеце будзе афіцыйна ў стане ажыццявіць ZRTP для канца ў канец шыфравання голасу пратакола

У цяперашні час 3 розных грамадскіх рэалізацый пратаколу ZRTP існуе:

Кожны з іх забяспечваюць розныя асаблівасці пратаколу, але самае галоўнае, як вядома, можа ўзаемадзейнічаць.

Новая хваля прыходзіць у свет шыфравання голасу, irrupting ў шэрую вобласць, дзе большасць кампаній робяць тэлефонных сістэм шыфравання была рэалізавана адмысловая шыфравання.

Цяпер стандартны была ўстаноўка і ёсць некалькі прычын злева рэалізацыі нешта іншае.

Ура г-н Цімермана і ўсё супольнасць кампаній (як PrivateWave ) і фізічных асоб (напрыклад, Вернер Dittmann ), які працаваў над ім!

Сёння вялікі дзень, такога роду тэхналогіі ў цяперашні час афіцыйным, а таксама з некалькімі існуючай рэалізацыі!

Філіп, ты зрабіў гэта зноў, мае кампліменты вашым чыстым духам і рашучасцю :-)

Доля

Прагрэс для GSM расколін у універсітэце Фрайбурга

Захапляльны свет мабільных пратаколаў (GSM, GSM-R, TETRA, UMTS і г.д.) ўзлом становіцца афіцыйным навукова-даследчай дзейнасці універсітэтаў.

Інвестыцыі, каб зрабіць адкрытым зыходным кодам рэлізаў код праграмы для ўзломвання дае магчымасць студэнтам універсітэта для працы на ім, палепшыць яго і зрабіць моцным даследаванняў.

Універсітэт Фрайбурга толькі што выпусціў паперы Практычныя заняткі па GSM шыфравання A5 / 1 разам з gsmframencoder інструментам падтрымкі для паляпшэння нюхаюць, дэкадавання і крэкінгу.

Адкрыццё апаратнага забеспячэння, праграмнага забеспячэння адкрыцця, адкрыццё пратакол дэманструюць слабасць любога выгляду ўласнага метаду або працэсу нарошчванне сувязі і бяспекі тэхналогій.

Гэта павінна быць мэтай любога вучоных, каб паспрабаваць адкрыць-і ўзламаць любы від уласнасці і закрытыя тэхналогіі, каб прымусіць галіны працягваецца толькі з сумяшчальнымі і адкрыты падыход пры праектаванні тэлекамунікацыйных пратаколаў.

Доля

Мой вопыт TOR выхаднога вузла паспрабаваць адфільтраваць шумнага руху

У пачатку гэтага года я вырашыў, што прыйшоў час для запуску TOR выхаднога вузла так што я прынёс на VPS hetzner.de (таму што яны пералічаныя як добры TOR ISP ) і налады экзіт-вузел з нікам privacyresearch.infosecurity.ch з 100 Мбіт / • Злучэнне для першай 1 Тб дадзеных за месяц, то 10MBit / с кватэры.

Ён таксама запусціць TOR2WEB праграмнага забеспячэння на http://tor.infosecurity.ch .

Я магу наладзіць выхад-палітыкі , як гэта прапаноўваецца, запусціўшы экзіт-вузла з мінімальным дамаганнях і падрыхтавалі шаблон злоўжываннем адказ .

У першы дзень я бягу вузла я атрымаў неадкладна DMCA скардзяцца-за пірынгавых трафіку.

Таму я вырашыў адфільтраваць некаторыя P2P трафік, выкарыстоўваючы OpenDPI Iptables модуль і DMCA скардзяцца аўтаматычна знікаюць:

Iptables-OUTPUT-м opendpi-Edonkey-GaduGadu-FastTrack-Gnutella-DirectConnect-BitTorrent-WinMX-Soulseek-J REJECT

Тады бо я італьянец, я вырашыў, каб пазбегнуць маіх TOR вузла для падлучэння да італьянскай адраснай прасторы Інтэрнэту, каб паменшыць верагоднасць таго, што дурны пракурор абудзіць мяне на раніцу, таму што не разумеў, што я бягу TOR вузла.

Я спрабаваў, з дапамогай hellais , што напісаў сцэнар, каб зрабіць палітыку выхаду адхіліць заяву , адмовіцца ад усіх італьянскіх netblocks аснове IOError ў blockfinder але мы выявілі, што torrc канфігурацыі файлы з +1000 лініі рабіла TOR аварыі.

Мы пайшлі, каб адкрыць білет паведаміць аб нашай аварыі спрабаваць блакаваць выхад TOR палітыкі краіны і знайшоў аналагічную спробу , дзе мы спрыялі, але ён усё яшчэ, здаецца, адкрытым пытаннем.

Зроблены выснову, што гэта не магчыма зрабіць палітыкі краіны выхад для выхаднога вузла TOR ў чыстым і ветлівым спосабам, таму я вырашыў пайсці брудны спосаб з дапамогай Iptables / GeoIP . Пасля барацьбы, каб зрабіць яго кампіляцыі належным чынам, гэта была адна лінія Iptables перакрыць рух збіраецца ў Італію:

Iptables-OUTPUT-р TCP-м дзяржава-дзяржава NEW-м GeoIP-ДСТ-CC IT-J REJECT

Зараз ад майго выхаду вузла ніякага дачынення да італьянскай сеткі не будзе зроблена, і я знаходжуся пад абаронай супраць, магчыма, па-дурному пракуроры не разумеючы TOR (у мяне ёсць выключэнні для ўсіх IP-адрасоў TOR вузле прымяняецца да).

Пасля некаторых іншых дзён я пачаў атрымліваць скаргі ў сувязі з дзейнасцю PortScan адпраўлена ад маёй Tor вузлоў.

З маёй уласнай пункту гледжання я хачу падтрымаць ананімнасць сеткі, а ня ананімных хакераў, і таму я хачу, каб адфільтраваць сканавання партоў і нападаў, якія адбываюцца з маіх node.That 'ы складаным пытаннем, які патрабуе некаторага вывучэння, так што ў той жа час я ўсталяваў scanlogd і пырхаюць , таму што я хачу, каб ацаніць, як шмат нападаў, які выгляд атакі выходзяць з майго ТЗ выхаднога вузла.
Пазней я паспрабую арганізаваць свайго роду фільтрацыі, каб пераканацца, каб мець магчымасць адфільтраваць буйных тэрактаў.
Для таго, што звязана з PortScan здаецца, што няма ніякіх грамадскіх сродкаў выяўлення і фільтрацыі выходнага сканавання партоў, але толькі для фільтрацыі ўваходзяць PortScan таму, верагодна, трэба будзе напісаць нешта бессістэмна.
Я буду называць, як ідуць справы, і калі там будуць нейкія добры спосаб рэалізаваць такім чынам, Lightwave Snort-убудаваны выбарачна адфільтраваць сур'ёзная спроба атакі, якія адбываюцца з маіх экзіт-вузла.

Мая мэта, каб трымаць выхадны вузел працуе ў доўгатэрміновай (не менш за 1 Тб трафіку ў месяц ахвяраваў ТЗ), зніжаючы аб'ём работ, звязаных з правайдэрам скардзіцца і спрабуе зрабіць усё магчымае, каб запусціць экзіт-вузла з разумнай адказнасці.

Доля

ZORG, новыя C + + і Java ZRTP рэалізацыі публічны рэліз

Прывітанне ўсім, сёння ў PrivateWave Italia SpA, італьянская кампанія, якая займаецца распрацоўкай тэхналогій для абароны прыватнасці і інфармацыйнай бяспекі ў тэлекамунікацыйнай голасам, дзе я тэхнічны дырэктар, мы выпускаем ZORG, новы адкрыты зыходны код ZRTP рэалізацыі пратаколу даступная для загрузкі з http://www. zrtp.org .

ZRTP [1] забяспечвае канца ў канец абмену ключамі з эліптычнай крывой Диффи-Хэлман і 384bit AES-256 шыфраванне SRTP.

ZORG была першапачаткова распрацавана і ўкаранёна ў PrivateGSM голас PrivateWave магчымасцям шыфравання прадукты даступныя для наступных платформаў: Blackberry, Nokia і IOS (iPhone).

Zorg C + + была інтэграваная з адкрытым зыходным кодам PJSIP VoIP SDK [2], і гэта пры ўмове, як інтэграцыя патч PJSIP 1.8.5. Ён быў пратэставаны на iPhone, Symbian, Windows, Linux і Mac OS X.

Zorg Java была інтэграваная ў карыстацкай версіі MJSIP [3] SDK з адкрытым зыходным кодам на платформе Blackberry і ўключае ў сябе аптымізацыю выкарыстання памяці, неабходных для зніжэння пры мінімальнай актыўнасці зборшчыка смецця.

Абедзве платформы маюць модульную аддзяляецца і крыптаграфічнай назад-рэшт так, што крыптаграфічныя алгарытмы рэалізацыі можа быць лёгка заменены іншым.

. ZORG пад ліцэнзіяй GNU AGPL і зыходны код даступны на GitHub на https://github.com/privatewave/ZORG .

Мы выпускаем яго пад адкрытым зыходным кодам і ў ўзгодненасці з нашым падыходам да бяспекі [4], паколькі мы сапраўды спадзяемся, што яна можа быць карысная для адкрытай экасістэмы крыніцай для стварэння новых сістэм шыфравання галасы ў падтрымку свабоды слова.

Больш за 20 pjsip адкрытым кодам на аснове VoIP-праграмнае забеспячэнне шыфравання і некалькі напісаны на Java можа прамую выгаду ад ZORG рэлізе.

Мы былі б рады атрымаць прапанову аб супрацоўніцтве, новая інтэграцыя, новыя крыптаграфічныя задняй часткі канвеера, памылка разведкі і любую карысную для паляпшэння і хай ZRTP зацвердзіцца ў голасе стандартнага шыфравання.

Zorg даступная http://www.zrtp.org .

[1] ZRTP: http://en.wikipedia.org/wiki/ZRTP
[2] PJSIP: http://www.pjsip.org
[3] MJSIP: http://www.mjsip.org
[4] падыход да забеспячэння бяспекі: http://www.privatewave.com/security/approch.html

Доля

Зашыфраваныя мабільны тэлефон, каб тэлефанаваць на стацыянарныя нумары з Asterisk 1.8

Мы толькі што выпусцілі тэхнічныя практычнымі рэкамендацыямі на тым, як пабудаваць забяспечаных мабільнай на фіксаваную інфраструктуры VoIP з:

У наступным HOWTO тыдняў іншым, як гэты будзе выходзіць з дапамогай іншых серверных платформаў, такіх як FreeSWITCH, усё ў духу транспарэнтнасці і рычагі прымянення адкрытых тэхналогій бяспекі.

Доля

PrivateGSM: Blackberry / iPhone / Nokia мабільных шыфравання голасу з ZRTP або SRTP / SDES

Я абсалютна пазбягаць выкарыстоўваць свой асабісты блог, каб зрабіць прасоўванне любога віду прадукцыі.

У той час гэта не розныя, але я хачу расказаць вам факты аб прадуктах я працую без фантазіі маркетынгу, але заставацца тэхнічным.

Сёння, у PrivateWave дзе я тэхнічны дырэктар і сузаснавальнік , мы выпусцілі публічна мабільнага шыфравання VoIP прадуктаў для Blackberry, iPhone і Nokia:

  • 1-й калі-небудзь Blackberry зашыфраваныя VoIP з ZRTP - PrivateGSM VoIP Прафесійныя
  • 1-й калі-небудзь iPhone зашыфраваныя VoIP з ZRTP - PrivateGSM VoIP Прафесійныя
  • 1-й калі-небудзь Blackberry зашыфраваныя VoIP кліент з SRTP з SDES абмену ключамі па SIP / TLS - PrivateGSM VoIP прадпрыемства

Лагатып-privatewave-colore.png

У PrivateWave мы выкарыстоўваем іншы падыход да адносінах найбольш голасам кампаніі шыфраванне там, прачытайце наш падыход да бяспекі .

Актуальнасць дадзенай прадукцыі ў ландшафце тэхналогій і прамысловасці можна рэзюмаваць наступным чынам:

  • Гэта першая кампанія шыфравання маўленчых паведамленняў, выкарыстоўваючы толькі стандарты бяспекі пратаколаў (і мы чакаем, што рынак будзе рэагаваць, як становіцца ясна, што ўласнасць Tech Далей са спадчыны CSD не можа забяспечыць тое ж значэнне)
  • Гэта першы падыход у голасе шыфравання выкарыстоўваць толькі з адкрытым зыходным кодам і стандартны рухавік шыфравання
  • Гэта першы падыход шыфравання голасу, каб забяспечыць розныя мадэлі бяспекі з выкарыстаннем розных тэхналогій (з канца ў канец для ZRTP і канца-сайт для SRTP )

Тыя набор мабільных абароненых кліентах, прызначаны для прафесійных бяспекі выкарыстоўвайце толькі з выкарыстаннем лепшых тэлекамунікацыйных тэхналогій і бяспекі, забяспечваюць высокую ступень абароны разам з добрай прадукцыйнасцю і ў дрэнных умовах сеткі:

Вобласці ўжывання:

Icona-pgsm.png

Падтрымліваюцца мабільныя прылады:

Што тычыцца ZRTP мы вырашылі падкрэсліць і расцягнуць ўсе бяспекі і паранаідальнай да пратаколу, з некаторымі невялікае дапаўненне:

Наша строгая інтэграцыю адраснай кнігі, выходзіць за рамкі ZRTP RFC спецыфікацыі, якія могуць быць уразлівыя для пэўных нападаў пры выкарыстанні на мабільных тэлефонах карыстальнікаў з-за паводзін не глядзець на экране мабільнага тэлефона.

Нашы paranoy спосаб выкарыстання ZRTP змякчэння такіх умовах, мы напішам пра гэта пазней і / або дададуць спецыфічныя дэталі для ўключэння RFC.

Некалькі слоў пра PrivateGSM Прафесійныя з канца ў канец шыфравання з ZRTP

Чытайце тэхнічным там!

Каб спампаваць націсніце тут і проста паставіць свой ​​нумар тэлефона

Такія вынікі напружанай працы ўсіх маіх вельмі кваліфікаваны персанал (16 чалавек працавалі над гэтым 6 праектаў для розных платформаў 3) на складаных тэхналогій (шыфравання прамовы) у складанай аперацыйнай асяроддзі (брудныя мабільных сетак і брудныя мабільных аперацыйных сістэм) для больш больш за 2 гадоў.

Я вельмі ганаруся нашым супрацоўнікам!

Што ж далей?

У бліжэйшыя тыдні вы ўбачыце выпускаючы буйных набор дакументацыі, такія як інтэграцыя з зорачкамі, FreeSWITCH бяспекі і іншых УПАТС, а таксама некаторыя іншыя захапляльныя навіны тэхналогій бяспекі, якія, я ўпэўнены, будзе заўважана ;)

Гэта была цяжкая праца і многае іншае павінна быць зроблена, але я ўпэўнены, што бяспека і з адкрытым зыходным кодам супольнасці спадабаюцца такія прадукты і нашы празрысты падыход таксама з адкрытымі важныя рэлізы і адкрытай інтэграцыі крыніцы, якія робяць вельмі палітычна нейтральным (бэкдор бясплатна) тэхналогіі .

Доля

Некалькі добрых пастаўшчык VPN

Ёсць шмат прычын, чаму трэба было б атрымаць доступ да інтэрнэту праз VPN.

Напрыклад, калі вы жывяце ў краіне, блакуючы пэўныя ўтрымання (як анты-мясцовым вэб-сайце ўрада, порна, і г.д.) і / або пратаколаў (напрыклад, Skype, VoIP), вы, верагодна, хочаце, каб перамясціць падключэнне да Інтэрнэту за межамі краіны брыдка блакавання з дапамогай шыфраваных тунэляў VPN.

Я ацаніў некалькі размешчанай VPN сервера і пару з іх гучыць даволі добра сярод шырокага прапановы такіх паслуг:

SwissVPN

Выхад у Інтэрнэт са Швейцарыі.

Кошт 6 CHF / месяцаў

Па жаданні Адкрыты Фіксаваны IP адрас

Карысна, калі вам трэба:

  • Проста абыйсці лакальныя фільтры краіне з добрай высокай прапускной здольнасцю
  • Expose грамадскіх паслуг праз VPN з дадатковым фіксаваным публічны адрас IP.

Перагульваць

Выхад у інтэрнэт, выбраўшы адзін з 20 розных краін (пры кожным падключэнні).

Карысна, калі вам трэба зрабіць:

  • бізнес-аналітыкі на канкурэнта (якія з'яўляюцца прыйсці з краіны Х пры іх падключэнні)
  • гл. фільм / тэлефільме дапускаецца толькі з нацыянальным IP вэб-прасторы
  • Паглядзець праз Google вынікаў паміж рознымі краінамі

Доля

Выдалена перахопу VoIP тэлефонаў Snom

Я прапаную чытанні выдалена націснуўшы VoIP тэлефоны "на VoIP Security Alliance Дзённік Шон Merdinger .

Пэўным прыкладам таго, як існуючая інфраструктура тэлефаніі становяцца ўсё больш уразлівымі для Кібератакі.

Доля

Галасавая сувязь бяспекі семінары

Прывітанне,

Я зрабіў размовы аб галасавой сувязі тэхналогій бяспекі ў Універсітэце Трэнта пасля цікавы абмен інфармацыяй з Crypto Лабараторыі загадваў прафесар Масіміліяна Сала .

Я прапаную зацікаўленым людзям чытаць гэта, асабліва ў другой частцы, так як ёсць інавацыйныя катэгарызацыі розных тэхналогій шыфравання голасу, якія прывыклі ў некалькіх сектарах.

Я спрабаваў растлумачыць, і выбрацца з гэтага шырока разнастайнымі тэхналагічнымі сектара, падаючы шырокі агляд тэхналогій, якія звычайна зусім не звязаныя адно-кожны-другі, але практычна ўсе яны ставяцца да Шыфраванне прамове пасля гэтай катэгорыі:

  • Мабільная прамысловасці TLC стандарты шыфравання голасу
  • Урад і ваенныя стандарты шыфравання голасу
  • Стандартаў бяспекі шыфравання голасу
  • IETF стандартаў шыфравання голасу
  • Розныя фірмовыя тэхналогіі шыфравання маўленчых паведамленняў

Гэта велізарная слайды, 122 слайдаў, я прапаную пайсці чытання 2-й часткі пропуску агляд тэхналогій перахопу ўжо ахоплены свой выступ 2009 года.

Галасавая сувязь бяспекі


Паглядзець больш прэзентацый ад Фабіа Pietrosanti .

Асабліва мне падабаецца канцэпцыя Шакалад шыфравання класа, якія хочуць прадставіць некаторыя інавацыі на шыфраванне канцэпцыі Нафта Змеі.

Але мне трэба, каб атрымаць больш глыбокае аб шыфраванні кантэксце класа шакалад, верагодна, будзе рабіць да канца года шляхам прадастаўлення прыкладнога курса па разуменню і ацэнцы практычна рэальны кантэкст бяспекі розных тэхналогій шыфравання голасу.

Доля

GSM расколін у пранікненні методыкі выпрабаванняў (OSSTMM)?

As most of this blog reader already know, in past years there was a lot of activities related to public research for GSM auditing and cracking.

However when there was huge media coverage to GSM cracking research results, the tools to make the cracking was really early stage and still very inefficient.

Now Frank Stevenson , norwegian cryptanalyst that already broke the Content Scrambling System of DVD video disc, participating to the A51 cracking project started by Karsten Nohl , released Kraken , a new improved version of the A51 cracking system.

It's interesting to notice that WiFi cracking had a similar story, as the first WiFi wep cracking discovery was quite slow in earlier techniques but later Korek, an hacker working on cracking code, improve the attack system drammatically.

That's the story of security research cooperation, you start a research, someone follow it and improve it, some other follow it and improved it and at the end you get the result.

Read more on the Kraken GSM Cracking software release .

And stay tuned as next week at Blackhat Conference Karsten Nohl will explain the details of the required hardware setup and detailed instructions on how to do it :-)

I would really like to see those tools incorporated into Penetration Testing Linux Distribution BackTrack with OSSTMM methodology enforcing the testing of GSM interception and man in the middle :-)

If things proceed that way and Ettus Research (The producer of USRP2 software radio used for low cost GSM signal receiving) will not be taken down, we can still see this.

Доля

Snake-нафтавай бяспекі сцвярджае аб прадукце Crypto бяспекі

Security market grow, more companies goes to the market, but how many of them are taking seriously what they do?

Вы ведаеце, робяць тэхналогію бяспекі азначае, што вы несяце асабістую адказнасць за абарону інфармацыі карыстальніка. You must make them aware of what they need, exactly what your are doing and which kind of threat model your product protect.

Тыповая праблема бяспекі усе функцыі прадукту, прадстаўлена няздольнасць карыстачу ацаніць бяспеку прэтэнзій самога прадукту.

Такім чынам, ёсць шмат кампаній, якія вядуць не вельмі этычна маркетынгу функцый бяспекі, заснаванай на фактах, ні адзін карыстальнік не зможа зразумець яе.

Раней патлумачыў сітуацыю знаходзяцца ў бяспецы тэмай змяінае алей шыфраванне, эвалюцыі ў навуковым асяроддзі крыптаграфічных, якія дазваляюць нам сёння выкарыстоўваць лепшыя ў сваім класе тэхналогіі абароны інфармацыі, не турбуючыся занадта шмат пра бэкдор або няўпэўненасці.

Let's speak about Snake Oil Encryption

Snake Oil Cryptography : In cryptography , snake oil is a term used to describe commercial cryptographic methods and products which are considered bogus or fraudulent. Адметныя бяспечны крыптаграфію ад небяспечных крыптаграфіі можа быць цяжкім з пункту гледжання карыстальніка. Many cryptographers, such as Bruce Schneier and Phil Zimmermann , undertake to educate the public in how secure cryptography is done, as well as highlighting the misleading marketing of some cryptographic products.

Найбольш папулярны Crypto гуру бяспекі, Філіп Цымермана і Брус Шнайер, быў 1. Казаць пра Змяя Шыфраванне алей:

Snake Oil by Philip Zimmermann

Snake Oil by Bruce Schneier

The Michigan Telecommunications and Technology Law Review also made a very good analysis related to the Security Features of Security Products, SNAKE-OIL SECURITY CLAIMS” THE SYSTEMATIC MISREPRESENTATION OF PRODUCT SECURITY . They explain about the nasty marketing tricks used to tweak users inability to evaluate the security features, including economic and legal responsibility implication.

Several snake oil security product companies does not explain and are not clear about the threat model to which the product apply. Very famous is the sentence of Russ Nelson :

"Памятаеце, Crypto без пагрозы мадэль як печыва без малака. ..... Cryptography without a threat model is like motherhood without apple pie. Can't say that enough times. More generally, security without a threat model is by definition going to fail.”

Такім чынам, як вызначыць змяю нафтапрадуктаў бяспекі?

Check a guideline of to spot Snake Oil Encryption Products: Snake Oil Warning Signs, Encryption Software to Avoid by Matt Curtin .

Вы можаце ўбачыць гэта вельмі добрая крыптаграфічныя Прыклады змяінае алей па Emility Ratliff (IBM архітэктар Linux Security), якія спрабавалі зрабіць наглядны прыклад пра тое, як вызначыць Нафта крыптаграфічныя Змея.

Тут прадстаўлена асноўным арыенцірам ад Мэтта Курцін паперы:


By checking that points it's possible to evaluate how serious an encryption technology or product is.

Але ў цэлым, як выправіць гэта неэтычным падыход да забеспячэння бяспекі?

Гэта вельмі значны, і было б сапраўды карысна для кожнага віду катэгорыі бяспекі прадукту, каб зрабіць некаторыя моцна і незалежнай ацэнкі кіраўніцтва (як OSSTMM для пранікнення тэставанне), каб зрабіць гэты працэс ацэнкі бяспекі сапраўды ў руках карыстальніка.

It would be also very nice to have someone making analysis and evaluation of security product companies, publishing reports about Snake Oil signs.

Доля

Web2.0 прыватнасці уцечку ў Мабільныя прыкладання

You know that web2.0 world it's plenty of leak of any kind (profiling, profiling, profiling) related to Privacy and users starts being concerned about it.

Users continuously download applications without knowing the details of what they do, for example iFart just because are cool, are fun and sometime are useful.

thumb.php.jpg

On mobile phones users install from 1000% up to 10.000% more applications than on a PC, and those apps may contain malware or other unexpected functionalities.

Recently infobyte analyzed ubertwitter client and discovered that the client was leaking and sending to their server many personal and sensitive data such as:

- Blackberry PIN

- Phone Number

- Email Address

- Geographic positioning information

Read about UbertTwitter 'spyware' features discovery here by infoByte .

It's plenty of applications leaking private and sensitive information but just nobody have a look at it.

Should mandatory data retention and privacy policies became part of application development and submission guideline for mobile application?

Imho a users must not only be warned about the application capabilities and API usage but also what will do with which kind of information it's going to handle inside the mobile phone.

Capabilities means authorizing the application to use a certain functionalities, for example to use GeoLocation API, but what the application will do and to who will provide such information once the user have authorized it?

That's a security profiling level that mobile phone manufacturer does not provide and they should, because it focus on the information and not on the application authorization/permission respect to the usage of device capabilities.

ps yes! ok! Я згодны! This kind of post would require 3-4 pages long discussion as the topic is hot and quite articulated but it's saturday morning and i gotta go!

Доля

AES algorithm selected for use in space

I encountered a nice paper regarding analysis and consideration on which encryption algorithm it's best suited for use in the space by space ship and equipments.

The paper has been done by the Consultative Committee for Space Data Systems that's a consortium of all space agency around that cumulatively handled more than 400 mission to space .

topban.jpg

Read the paper Encryption Algorithm Trade Survey as it gives interesting consideration and comparison between different encryption algorithms.

Obviously the finally selected algorithm is AES , while KASUMI (used in UMTS networks) was avoided.

Доля

Blackberry Security and Encryption: Devil or Angel?

Blackberry have good and bad reputation regarding his security capability, depending from which angle you look at it.

This post it's a summarized set of information to let the reader the get picture, without taking much a position as RIM and Blackberry can be considered, depending on the point of view, an extremely secure platform or an extremely dangerous one .

bblock.jpg

Let's goes on.

On one side Blackberry it's a platform plenty of encryption features, security features everywhere, device encrypted (with custom crypto), communication encrypted (with custom proprietary protocols such as IPPP), very good Advanced Security Settings, Encryption framework from Certicom ( now owned by RIM ).

On the other side they does not provide only a device but an overlay access network, called BIS ( Blackberry Internet Service ), that's a global worldwide wide area network where your blackberry enter while you browse or checkmail using blackberry.net AP.

When you, or an application, use the blackberry.net APN you are not just connecting to the internet with the carrier internet connection, but you are entering inside the RIM network that will proxy and act as a gateway to reach the internet.

The very same happen when you have a corporate use: Both the BB device and the corporate BES connect to the RIM network that act as a sort of vpn concentration network .

So basically all the communications cross trough RIM service infrastructure in encrypted format with a set proprietary encryption and communication protocols.

Just as a notice, think that google to provide gtalk over blackberry.net APN, made an agreement in order to offer service inside the BB network to the BB users. When you install gtalk you get added 3 service books that point to GTALKNA01 that's the name of GTALK gateway inside the RIM network to allow intra-BIS communication and act as a GTALK gateway to the internet.

The mobile operators usually are not even allowed to inspect the traffic between the Blackberry device and the Blackberry Network.

So RIM and Blackberry are somehow unique for their approach as they provide a platform, a network and a service all bundled together and you cannot just “get the device and the software” but the user and the corporate are always bound and connected to the service network.

That's good and that's bad, because it means that RIM provide extremely good security features and capabilities to protect information, device and access to information at various level against third party .

But it's always difficult to estimate the threat and risk related to RIM itself and who could make political pressure against RIM.

Please consider that i am not saying “RIM is looking at your data” but making an objective risk analysis: for how the platform is done RIM have authority on the device, on the information on-the-device and on the information that cross the network. (Read my Mobile Security Slides ).

For example let's consider the very same context for Nokia phones.

Once the Nokia device is sold, Nokia does not have authority on the device, nor on the information on-the-device nor on the information that cross the network. But it's also true that Nokia just provide the device and does not provide the value added services such as the Enterprise integration (The RIM VPN tunnel), the BIS access network and all the local and remote security provisioned features that Blackberry provide.

So it's a matter of considering the risk context in the proper way when choosing the platform, with an example very similar to choosing Microsoft Exchange Server (on your own service) or whether getting a SaaS service like Google Apps.

In both case you need to trust the provider, but in first example you need to trust Microsoft that does not put a backdoor on the software while in the 2nd example you need to trust Google, as a platform and service provider, that does not access your information.

So it's a different paradigm to be evaluated depending on your threat model.

If your threat model let you consider RIM as a trusted third party service provider (much like google) than it's ok. If you have a very high risk context, like top-secret one, then let's consider and evaluate carefully whether it's not better to keep the Blackberry services fully isolated from the device or use another system without interaction with manufacturer servers and services.

Now, let's get back to some research and some facts about blackberry and blackberry security itself.

First of all several governments had to deal with RIM in order to force them to provide access to the information that cross their service networks while other decided to directly ban Blackberry usage for high officials because of servers located in UK and USA, while other decided to install their own backdoors.

There's a lot of discussion when the topics are RIM Blackberry and Governments for various reasons.

Below a set of official Security related information on RIM blackberry platform:

And here a set of unofficial Security and Hacking related information on RIM Blackberry platform:

Because it's 23.32 (GMT+1), i am tired, i think that this post will end up here.

I hope to have provided the reader a set of useful information and consideration to go more in depth in analyzing and considering the overall blackberry security (in the good and in the bad, it always depends on your threat model!).

Ура

Fabio Pietrosanti (naif)

ps i am managing security technology development (voice encryption tech) on Blackberry platform, and i can tell you that from the development point of view it's absolutely better than Nokia in terms of compatibility and speed of development, but use only RIMOS 5.0+ !

Доля

Botnet for RSA cracking?

I read an interesting article about putting 1.000.000 computers, given the chance for a serious botnet owner to get it, to crack RSA.

The result is that in such context attacking an RSA 1024bit key would take only 28 years, compared to theoretical 19 billion of years.

Reading of this article , is extremely interesting because it gives our very important consideration on the cryptography strength respect to the computation power required to carry on cracking attempt, along with industry approach to “default security level”.

I would say a must read .

Доля

China Encryption Regulations

Прывітанне ўсім,

i found this very interesting paper on China Encryption Import/Export/Domestic Regulations done by Baker&Mckenzie in the US.

It's strongly business and regulatory oriented giving a very well done view on how china regulations works and how it may behave in future.

Read here Decrypting China Encryption's Regulations (form Bakernet website) .

Доля

Mobile Security talk at WHYMCA conference

I want to share some slides i used to talk about mobile security at whymca mobile conference in Milan.

Read here my slides on mobile security .

The slides provide a wide an in-depth overview of mobile security related matters, i should be doing some slidecast about it putting also audio. Maybe will do, maybe not, it depends on time that's always a insufficient resource.

Доля

iPhone PIN: useless encryption

I recently switched one of my multiple mobile phones with which i go around to iPhone.

I am particularly concerned about data protection in case of theft and so started having a look around about the iPhone provided protection system.

There is an interesting set of iPhone Business Security Features that make me think that iPhone is moving in the right path for security protection of the phone, but still a lot of things has to be done, especially for serious Enterprise and Government users.

201006011551.jpg

For example it turned out that the iPhone PIN protection is useless and it can be broken just plugging the iPhone to a Linux machine and accessing the device like a USB stick.

That's something disturbing my paranoid mindset that make me think not to use sensitive data on my iPhone if i cannot protect my data.

Probably an iPhone independent disk encryption product would be very useful in order to let the market create protection schemas that fit the different risk contexts that different users may have.

Probably a general consumer is not worried about this PIN vulnerability but for me, working within highly confidential envirnonment such as intelligence, finance and military, it's something that i cannot accept.

I need strong disk encryption on my mobile phone.

I do strong voice encryption for it , but it would be really nice to have also something to protect the whole iPhone data and not just phone calls.

Доля

Exploit code against SecurStar DriveCrypt published

It seems that the hacking community somehow like to target securstar products, maybe because hacking community doesn't like the often revealed unethical approach already previously described in this blog by articles and user's comments.

In 2004 a lot of accusation against Hafner of SecurStar went out because of alleged intellectual property theft regarding opensource codes such as Encryption 4 the masses and legal advert also against the Free and opensource TrueCrypt project .

In 2008 there was a pre-boot authentication hacking against DriveCrypt Plus posted on Full-Disclosure.

Early 2010 it was the time of the fake infosecurity research secretly sponsored by securstar at http://infosecurityguard.com (that now they tried to remove from the web because of embarrassing situation, but backup of the story are available, hacking community still wait for apologies) .

Now, mid 2010, following a research published in December 2009 about Disk Encryption software vulnerabilities made by Neil Kettle (mu-b), Security researcher at digit-labs and Penetration tester at Convergent Network Solutions , DriveCrypt was found to be vulnerable and exploitable breaking on-device security of the system and exploit code has been just released.

Exploit code reported below (thanks Neil for the code release!):

  • Arbitrary kernel code execution security exploit of DriveCrypt: drivecrypt-dcr.c
  • Arbitrary file reading/writing security exploit via unchecked user-definable parameters to ZxCreateFile/ReadFile/ WriteFile: drivecrypt-fopen.c

The exploit code has been tested against DriveCrypt 5.3, currently released DriveCrypt 5.4 is reported to be vulnerable too as it has just minor changes related to win7 compatibility. Can anyone make a double check and report a comment here?

Very good job Neil!

In the meantime the Free Truecrypt is probably the preferred choice for disk encryption, given the fact that it's difficult to trust DriveCrypt, PGP has been acquired by Symantec and there are very bad rumors about the trust that people have in Symantec and there are not many widely available alternatives.

Rumors say that also PhoneCrypt binaries are getting analyzed and the proprietary encryption system could reveal something fun…

Доля

Quantum cryptography broken

Quantum cryptography it's something very challenging, encryption methods that leverage the law of phisycs to secure communications over fiber lines.

To oversimplify the system is based on the fact that if someone cut the fiber, put a tap in the middle, and joint together the other side of the fiber, the amount of “errors” that will be on the communications path will be higher than 20% .

So if QBER (Quantum Bit Error Rate) goes above 20% then it's assumed that the system is intercepted.

Researcher at university of toronto was able to cheat the system with a staying below the 20%, at 19.7% , thus tweaking the threshold used by the system to consider the communication channel secure vs compromised.

The product found vulnerable is called Cerberis Layer2 and produced by the Swiss ID Quantique .

Some possibile approach to detect the attack has been provided but probably, imho, such kind of systems does not have to be considered 100% reliable until the technology will be mature enough.

Traditional encryption has to be used together till several years, eventually bundled with quantum encryption whether applicable.

When we will see a quantum encryption systems on an RFC like we have seen for ZRTP , PGP and SSL ?

-naif

Доля

great point of view

Because security of a cryptographic system it's not a matter of “how many bits do i use” but using the right approach to do the right thing to mitigate the defined security risk in the most balanced way.

security.png

Доля

Encryption is not scrambling: be aware of scrambler!

Most of us know about voice scrambler that can be used across almost any kind of voice based communication technology.

Extremely flexible approach: works everything

Extreme performance: very low latency

but unfortunately…

Extremely weak: Scrambling cannot be considered secure.

Only encryption can be considered secure under the Kerckoff's principle .

So please don't even consider any kind of analog scrambler if you need real security.

Read deeply the paper Implementation of a real-time voice encryption system ” by Markus Brandau, especially the cryptoanalysis paragraph.

Доля

SecurStar GmbH Phonecrypt answers on the Infosecurityguard/Notrax case: absolutely unreasonable! :-)

UPDATE 20.04.2010: http://infosecurityguard.com has been disabled. Notrax identity became known to several guys in the voice security environments (cannot tell, but you can imagine, i was right!) and so our friends decided to trow away the website because of legal responsibility under UK and USA laws.

UPDATE: Nice summary of the whole story (i know, it's long and complicated to read at 1st time) on SIPVicious VoIP security blog by Sandro Gauci .

Пасля майго адкрыцця, г-н Хафнер, SecurStar галоўны Exec, у канчатковым рахунку, спрабавалі апраўдаць свае дзеянні, спасылаючыся абсалютна неабгрунтаваныя апраўдання для Рэг замест публічна папрасіў прабачэння за тое, што яны зрабілі, стварэнні падробленых незалежныя даследаванні бяспекі для прасоўвання сваіх прадуктаў PhoneCrypt .

Ён паспрабаваў пераканаць нас, што чалавек за IP 217.7.213.59, якія выкарыстоўваюцца аўтарам infosecurityguard.com і паказваючы на іх лініі DSL офіс, гэта быў хакерам Notrax, выкарыстоўваючы сваю службу ананімнага серфінгу, а не аднаго з сваіх супрацоўнікаў на сваім працоўным месцы:

"SecurStar галоўны Exec Вілфрыд Хафнер адмаўлялі любыя кантакты з Notrax. Notrax, сказаў ён, павінна быць, выкарыстаў ананімны прагляд яго фірмы абслугоўвання, SurfSolo, для атрымання вынікаў, паведамляе Pietrosanti "

Давайце задумаемся момант на гэтую прапанову ... Будзе сапраўды хакер шукае ананімнасці выдаткаваць 64 еўра да купіць іх ананімнасць серфінгу сэрвіс пад назвай SurfSolo замест выкарыстання вольнага і значна больш бяспечным TOR (Onion Router) ? Тады давайце разважаць над гэтым іншая частка інфармацыя:

  • IP 217.7.213.59 з'яўляецца офіса SecurStar GmbH DSL-лініі
  • На 217.7.213.59 яны ўсталявалі свае VoIP / PBX Asterisk і інтэрнэт-шлюзаў
  • Яны прасоўваюць свае ананімныя проксі-службам "Anonymous выкарыстання p2p» ( http://www.securstar.com/products_ssolo.php ). Хто б дазваляе карыстальнікам рабіць p2p ад лініі DSL офіс, дзе яны ўсталявалі свае карпаратыўныя VoIP АТС? Калі вы робіце VoIP вы не можаце дазволіць трэцяй партыі паводкі вашай лініі ж / p2p трафік, вашы тэлефонныя званкі стала б відавочна ненадзейных (так, так, вы можаце зрабіць QoS, але вы не размясціць ананімны проксі навігацыі на вашым офісе кампаніі DSL лініі ...).
  • Якая кампанія, якая прадстаўляе ананімны навігацыі будзе калі-небудзь выкарыстоўваць свой ​​уласны IP-адрас офіса? Толькі падумайце, колькі разоў вы б паліцыя стукаецца ў вашу дзверы і вашы супрацоўнікі, як галоўных падазраваных. (У мінулым я выкарыстаў для запуску вузла ТЗ, я ведаю, рызыкі ...). Акрамя таго, думаю, колькі раз вы апынецеся ў чорным спісе на Google у якасці шпіёнскага бота.
  • Г-н Хафнер таксама кажа: "У нас ёсць два мільёны чалавек выкарыстанні гэтага прадукту. Ці ж ён, магчыма, быў стары кліент нашага ". 2М карыстальнікаў на лініі DSL, на самай справе?
  • Я не выкарыстоўваю SurfSolo абслугоўванне, аднак іх давераных асоб, верагодна, гэтыя з іх:

surfsolo.securstar.net - 67.225.141.74

surfsolo.securstar.com - 69.16.211.133

Шчыра кажучы, я лёгка зразумець, што г-н Хафнер будзе рабіць усё, што ён можа абараніць сваю кампанію ад скандалу, але "ананімны проксі" Апраўданне па меншай меры падазрона.

Як працуе той факт, што "незалежныя даследаванні" быў семантычна Водгук аб тавары PhoneCrypt, разам з адкрыццём, што аўтар зыходзіць ад SecurStar офісаў GmbH IP-адрас, а таксама ананімнасць гэтага Notrax хлопец (SecurStar называе яго "добра вядомая прафесіянал у сферы бяспекі "у сваім прэс-рэлізе ..) гучыць для вас?

Цалкам магчыма, што зямлю атрымае атакі з космасу, які збіраецца разбурыць наша жыццё?

Statistically extremely difficult, but yes, possible. More or less like the “anonymous proxy” story told by Mr. Hafner to cover the fact that they are the ones behind the infosecurityguard.com fake “independent security review”.

Hey, I don't need anything else to convince myself or to let the smart person have his own thoughts on this.

I just think that the best way for SecurStar to get out of this mess would probably be to provide public excuses to the hacking community for abusing the name and reputation of real independent security researches, for the sake of a marketing stunt.

З павагай,

Fabio Pietrosanti

ps I am currently waiting for some other infos that will more precisely confirm that what Mr. Hafner is saying is not properly true. Stay tuned.

Доля

Evidence that infosecurityguard.com/notrax is SecurStar GmbH Phonecrypt – A fake independent research on voice crypto

Below evidence that the security review made by an anonymous hacker on http://infosecurityguard.com is in facts a dishonest marketing plan by the SecurStar GmbH to promote their voice crypto product.

I already wrote about that voice crypto analysis that appeared to me very suspicious.

Now it's confirmed, it's a fake independent hacker security research by SecurStar GmbH, its just a marketing trick!

How do we know that Infosecurityguard.com, the fake independent security research, is a marketing trick from SecurStar GmbH?

1) I posted on http://infosecurityguard.com a comments to a post with a link to my blog to that article on israelian ministry of defense certification

2) The author of http://infosecurityguard.com went to approve the comment and read the link on my own blog http://infosecurity.ch

3) Reaching my blog he leaked the IP address from which he was coming 217.7.213.59 (where i just clicked on from wordpress statistic interface)

4) On http:// 217.7.213.59/panel there is the IP PBX interface of the SecurStar GmbH corporate PBX (openly reachable trough the internet!)

5) The names of the internal PBX confirm 100% that it's the SecurStar GmbH:

6) There is 100% evidence that the anonymous hacker of http://infosecurityguard.com is from SecurStar GmbH

Below the data and reference that let us discover that it's all but a dishonest marketing tips and not an independent security research.

Kudos to Matteo Flora for it's support and for his article in Debunking Infosecurityguard identity !

The http referral tricks

When you read a link going from a website to another one there is an HTTP protocol header, the “Referral”, that tell you from which page someone is going to another webpage.

The referral demonstrated that the authors of http://infosecurityguard.com read my post, because it was coming from http://infosecurityguard.com/wp-admin/edit-comments.php that's the webpage you use as a wordpress author/editor to approve/refuse comments. And here there was the link.

That's the log entry:

217.7.213.59 – - [30/Jan/2010:02:56:37 -0700] “GET /20100129/licensed-by-israel-ministry-of-defense-how-things-really-works/ HTTP/1.0″ 200 5795 “ http://infosecurityguard.com/wp-admin/edit-comments.php ” “Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB6.3; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)”

The PBX open on the internet tell us that's SecurStar GmbH

The SecurStar GmbH PBX is open on the internet, it contains all the names of their employee and confirm us that the author of http:/infosecurityguard.com is that company and is the anonymous hacker called Notrax.

Here there is their forum post where the SecurStar GmbH guys are debugging IPCOPfirewall & Asterisk together (so we see also details of what they use) where there is the ip 217.7.213.59 .

SecurStarproof.png

That's also really fun!

They sell secure telephony but their company telephony system is openly vulnerable on the internet . :-)

I was thinking to call the CEO, Hafner, via SIP on his internal desktop PBX to announce we discovered him tricks.. :->

They measured their marketing activity

Looking at the logs of my website i found that they was sensing the google distribution of information for the following keywords, in order to understand how effectively they was able to attack competing products. It's reasonable, if you invest money in a marketing campaign you want to see the results :-)

They reached my blog and i logged their search:

infosecurityguard+cryptophone

infosecurityguard+gold-lock

217.7.213.59 – - [30/Jan/2010:02:22:42 -0700] “GET / HTTP/1.0″ 200 31057 “http://www.google.de/search?sourceid=navclient&ie=UTF-8&rlz=1T4SKPB_enDE350DE350&q=infosecurityguard+cryptophone” “Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB6.3; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)”

217.7.213.59 – - [30/Jan/2010:04:15:07 -0700] “GET /20100130/about-the-voice-encryption-analysis-phonecrypt-can-be-intercepted-serious-security-evaluation-criteria/ HTTP/1.0″ 200 15774 “http://www.google.de/search?sourceid=navclient&ie=UTF-8&rlz=1T4SKPB_enDE350DE350&q=gold-lock+infosecurityguard” “Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB6.3; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)”


The domain registration data

The domain have been registered on 1st December 2009, just two months to start preparing the dishonest marketing campaign:

Domain Name: INFOSECURITYGUARD.COM

Registrar: GODADDY.COM, INC.

Updated Date: 01-dec-2009

Creation Date: 01-dec-2009

The domain is anonymously privacy protected trough a whois privacy service:

Administrative Contact: Private, Registration INFOSECURITYGUARD.COM@domainsbyproxy.com , Domains by Proxy, Inc. DomainsByProxy.com

Notrax hacker does not exist on google
As you know any hacker that get public usually have presence of it's activity on google, attending mailinglists, forum, homepage, past research, participation to conferences, etc, etc.
The fake hacker that they wanted us to to think was writing an independent blog does NOT have any trace on google. Only some hit about an anonymous browser called Notrax but nothing about that hacker.
Maybe when SecurStar provided the anonymity tool to their marketing agency, to help them protecting anonymity for the fake research, their provided them the anonymous browser notrax.So the marketing guy thinking about the nickname of this fake hackers used what? Notrax! :-)

The “independent review”completely oriented in publicizing PhoneCrypt

Of the various review don the phonecrypt review is only positive and amazing good feedback, while the other are only bad feedback and no single good point.

As you can imagine, in any kind of independent product evaluation, for all products there are goods and bad points. No. In this one there are only product that are good and product that are bad.

They missed to consider the security of the technology used by the products

They completely avoided to speak about cryptography and security of the products.

They do not evaluated basic security features that must be in that kind of products.That's in order not to let anyone see that they did not followed basic security rules in building up their PhoneCrypt.
The technology is closed source, no transparency on algorithms and protocols, no peer review.Read my new comparison (from the basic cryptographic requirement point of view) About the voice encryption analysis (criteria, errors and different results) .
The results are somehow different than their one .

UPDATE: Who's Wilfried Hafner (SecurStar founder) ?

I got a notice from a reader regarding Wilfred Hafner, SecurStar founder, CEO and security expert.

He was arrested in 1997 for telephony related fraud (check 2nd article on Phrack) earning from telephony fraud 254.000 USD causing damages to local telcos trough blueboxing for 1.15 Million USD.

He was not doing “Blueboxing” for the pleasure of phreaking and connecting with other hackers, but to earn money.

Hacking for profit (and not for fun) in 1997… brrr…. No hacker's ethic at all!

All in all, is that lawful?

Badmouthing a competitor amounts to an unfair competition practice in most jurisdictions, so it is arguable (to say the least) that SecurStar is right on a legally sound ground here.
Moreover, there are some specific statutes in certain jurisdictions which provide for a straightforward ban on the practice we are talking about. For example in the UK the British Institute of Practitioners in Advertising - in compliance with the Consumer protection from Unfair Trading regulation – ruled that:

”falsely claiming or creating the impression that the trader is not acting for the purposes relating to his trade, business, craft or profession, or falsely representing oneself as a consumer” is a criminal offense .

We have no doubt that PRPR (which is the UK-based *PR company for SecurStar GmbH, led by Peter Rennison and Allie Andrews as stated in SecurStar Press Release ) did provide their client with this information. Heck, they *are* in the UK, they simply cannot ignore that!

IANAL, but I would not be surpised if someone filed a criminal complaint or start civil litigation for unfair competition against SecurStar GmbH.
Whether this is going to be a matter for criminal and/or civil Courts or not is not that important. However, it is clear enough that SecurStar GmbH appears to be at least ethically questionable and not really worth of trust.

Nice try, gentlemen… however, next time just do it right (whether “right” for them means “in a honest manner” or “in a fashion not to be caught” I will let them choose)”

Fabio Pietrosanti (naif)

Доля

Dishonest security: The SecurStart GmbH Phonecrypt case

I would like to provide considerations on the concept of ethics that a security company should have respect to the users, the media and the security environment.

SecurStar GmbH made very bad things making that infosecuriguard.com fake independent research.

It's unfair approach respect to hacking community.

It's unfair marketing to end user. They should not be tricking by creating fake independent review.

It's unfair competition in the security market.

Let's make some more important consideration on this.

Must be serious on cryptographic products. They are not toys

When you do cryptographic tools you should be really aware of what you are doing, you must be really serious.

If you do bad crypto people could die.

If you don't follow basic security rules for transparency and security for cryptography you are putting people life at risk.

You are taking the responsibility of this. (I want to sleep at night, don't think SecurStar CEO/CTO care about this…)

Security research need reference and transparency

Security research have to be public, well done, always subject to public discussion and cooperation.
Security research should not be instrumentally used for marketing purpose.Security research should be done for awareness and grow of the knowledge of the worldwide security environment.

Hacking environment is neutral, should not be used instrumentally

Hackers are considered neutral, nerds, doing what they do for their pleasure and passion.

If you work in the security market you work with hackers.

If you use hackers and hacking environment for your own marketing purposes you are making something very nasty.

Hackers give you the technology and knowledge and you use them for your own commercial purpose.

Consideration on the authority of the information online

That's something that pose serious consideration on the authority of information online.An anonymous hacker, with no reference online, made a product security review that appear like an independent one. I have to say that the fake review was very well prepared, it always posed good/bad things in an indirect way. It did not appeared to me at 1st time like a fake. But going deeply i found what's going on.

However Journalists, news media and blogger went to the TRAP and reviewed their fake research. TheRegister, NetworkWorld and a lot of blogs reported it. Even if the author was completely anonymous.

What they have done is already illegal in UK

SecurStar GmbH is lucky that they are not in the UK, where doing this kind of things is illegal .

Fabio Pietrosanti (naif)

Доля

About the SecurStar GmbH Phonecrypt voice encryption analysis (criteria, errors and different results)

This article want to clarify and better explain the finding at infosecurityguard.com regaring voice encryption product evaluation.
This article want to tell you a different point of view other than infosecurityguard.com and explaining which are the rational with extensive explaination from security point of view.
Today i read news saying: “PhoneCrypt: Basic Vulnerability Found in 12 out of 15 Voice Encryption Products and went to read the website infosecurityguard .

Initially it appeared to my like a great research activity but then i started reading deeply the read about it.I found that it's not properly a security research but there is are concrete elements that's a marketing campaign well done in order to attract public media and publicize a product.
Imho they was able to cheat journalists and users because the marketing campaign was absolutely well done not to be discovered on 1st read attempt. I personally considered it like a valid one on 1st ready (they cheated me initially!).

But if you go deeply… you will understand that:
- it's a camouflage marketing initiative arranged by SecurStar GmbH and not a independent security research
- they consider a only security context where local device has been compromised (no software can be secured in that case, like saying SSL can be compromised if you have a trojan!)
- they do not consider any basic security and cryptographic security criteria

However a lot of important website reported it:

This article is quite long, if you read it you will understand better what's going on around infosecurityguard.com research and research result.

I want to to tell you why and how (imho) they are wrong.

The research missed to consider Security, Cryptography and Transparency!

Well, all this research sound much like being focused on the marketing goal to say that their PhoneCrypt product is the “super” product best of all the other ones.
Any security expert that would have as duty the “software evaluation” in order to protect the confidentiality of phone calls will evaluate other different characteristics of the product and the technology.

Так, гэта праўда, што большая частка прадукту апісваецца SecurStar ў іх ананімнага вэб-сайт маркетынгу называецца http://infosecurityguard.com ёсць некаторыя слабасці.
Але адпаведныя слабасць іншых і PhoneCrypt На жаль, як і большасць з апісаных прадуктаў пакутуюць ад гэтага.
Давайце разгледзім, якія характарыстыкі неабходныя асноўныя крыптаграфічныя алгарытмы і патрабаванні (лепшыя практыкі, падмурак і асновы!)

- Бяспека прагіну Невядомасць не працуе

Асноўнае правіла ў АМСВО крыптаграфіі з 1883 па Керкхофа Агюст:

У добра прадуманых крыптаграфічнай сістэмы, толькі ключ павінен быць тайным, там не павінна быць ніякай сакрэтнасці ў алгарытме.
Сучасная крыптаграфія прынялі гэты прынцып, называючы-небудзь яшчэ "бяспека праз маскіроўку».
Чытайце тое, што Брус Schneir, прызнаны эксперт і крыптаграфіі ў свеце кажуць пра гэта
Любы эксперт па пытаннях бяспекі скажа вам, што гэта праўда. Нават пачатковец студэнт скажа вам, што гэта праўда. Проста таму, што гэта адзіны спосаб зрабіць крыптаграфіі.
Амаль усе вырабы, апісанага ў аглядзе SecurStar GmbH, уключыце PhoneCrypt, не дае дакладнай інфармацыі аб сваіх крыптаграфічных тэхналогій.
Дакладныя дэталі:
  • Падрабязныя спецыфікацыі крыптаграфічнага алгарытму (гэта не проста кажу "мы выкарыстоўваем AES ")
  • Падрабязныя спецыфікацыі крыптаграфічнага пратаколу (гэта не проста кажу "мы выкарыстоўваем Диффи Хэлман ")
  • Падрабязная спецыфікацыя вымярэння крыптаграфічнай трываласць (гэта не проста кажу, што "у нас ёсць 10 мільёнаў біт памер ключа ")

Прадастаўленне дакладнай інфармацыі азначае наяўнасць шырокай дакументацыі з тэарэтычнымі і практычнымі наступствамі дакументавання любой адзіночны спосаб, як алгарытм працуе, як працуе пратакол з дакладнай спецыфікацыі паўтарыць яго для тэставання сумяшчальнасці.
Гэта азначае, што навуковае супольнасць павінна быць у стане гуляць з тэхналогіяй, яго праверкі, ўзламаць яго.
Калі мы нічога не ведаем пра крыптаграфічнай сістэмы ў дэталях, як мы можам ведаць, якія з'яўляюцца слабасць і сіла ачкоў?

Майк Fratto, Рэдактар ​​сайта сеткавых вылічэнняў, зрабіў вялікі артыкул пра "сказаць няма ўласных крыптаграфічных сістэм" .
CERIAS Універсітэта Перд'ю сказаць гэта .

B - NON рэцэнзуюцца і не навукова правераных крыптаграфіі не працуе

У любым выпадку і ў любым стане вы робіце крыптаграфіі вы павінны быць упэўненыя, што нехта будзе правяраць, аналізаваць, аналізаваць, і distruct reconstract з нуля тэхналогіі і прадастаўляць гэтыя інфармацыі вольныя грамадскасці для адкрытага абмеркавання.
Менавіта так AES нарадзіўся і як амерыканскага Нацыянальнага інстытута Стандартны Марка Crypto робіць (з публічным конкурс з грамадскасцю экспертнай ацэнкі, дзе толькі лепшыя ацэньваецца перамога).
Грамадскае абмеркаванне з грамадскасцю конкурс, дзе шмат агляду самых вядомых і эксперт крыптаграфіі ў свеце, хакеры (з іх прозвішча, імя і твар, а не як Notrax) забяспечваюць іх уклад, сказаць, што яны думаюць.
Гэта называецца «экспертнай ацэнкі».

Калі крыптаграфічных тэхналогій мае пашыраны і важнай экспертнай ацэнкі, распаўсюджваецца ў свеце з боку універсітэтаў, прыватных ахоўных прадпрыемстваў, ваенных устаноў, хакераў і ўсе, хто прыходзіў з самых розных куткоў свету (ад ЗША да Еўропы ў Расею ў Паўднёвую Амерыку, на Блізкі Усход ў Кітай), і ўсе яны згодныя, што канкрэтнай тэхналогіі гэта бяспечна ...
Ну, у такім выпадку мы можам разгледзець бяспечныя тэхналогіі, таму што шмат асоб з добрай рэпутацыяй і аўтарытэтам Зыходзячы з шмат розных месца ў свеце публічна вывучыць, прааналізаваць і пацвердзілі, што тэхналогія гэта бяспечна.

Як прыватная кампанія можа нават думаць, каб прыдумаць на сваім уласным пратакол бяспечнай перадачы дадзеных, калі ён заявіў, што навукова гэта не магчыма зрабіць гэта ў "маёмасныя і закрытым спосабам"?
IBM сказаць вам, што экспертную ацэнку, што гэта неабходна для крыптаграфіі .
Брус Шнайер сказаць вам , што "Добрыя крыптаграфіяй ведаю, што не замяняе шырокай экспертнай ацэнкі і гады аналізу".
Філіп Цымермана скажа вам сцерагчыся змяінае алей , дзе гісторыя гучыць так: "Кожны інжынер-праграміст ўяўляе сябе ў крыптаграфіі, што прывяло да распаўсюджвання праграмнага забеспячэння сапраўды дрэнна шыфравання."

C - Зачыненыя крыптаграфіі крыніца не працуе

Як вы ведаеце якой-небудзь "сур'ёзнай" і з "добрай рэпутацыяй" крыптаграфічныя тэхналогіі рэалізуецца ў з адчыненым зыходным кодам.
Ёсць правіла, некалькі рэалізацыя таго ж алгарытму крыптаграфічнай і крыптаграфічны пратакол, каб мець магчымасць разгледзець усе, як ён працуе і сертыфікацыі сумяшчальнасці.
Выкажам здагадку выкарыстоўваць стандартны з дакладнымі і дадатковыя дадзеныя на тэму "як гэта працуе", які быў "рэцэнзуюцца" з боку навуковай супольнасці, але затым былі зноў рэалізаваны з нуля, не такі разумны праграміст і рэалізацыі гэта шмат памылак .

Ну, калі рэалізацыя "з адкрытым зыходным кодам", гэта азначае, што яно можа быць перагледжана, палепшана, выпрабаваныя, правераныя і канчатковы карыстальнік будзе certaintly маюць у сваім уласным была частка тэхналогіі ", якая працуе бяспечна".

Google з адкрытым зыходным кодам Crypto рэліз інструментара
Mozilla рэліз інструментара з адкрытым зыходным кодам Crypto
Брус Шнайер сказаць вам, што крыптаграфія павінна быць з адкрытым зыходным кодам .

Іншы пункту гледжання крыптаграфіі

Я не хачу нікога пераконваць, але проста даць факты, звязаныя з навукай, звязаных з крыптаграфіяй і бяспекі для таго, каб паменшыць уплыў дэзінфармацыі зроблена бяспекі кампаній, чыя ідзе з'яўляецца прадаць вам што-то, а не рабіць тое, што зрабіць свет лепш.

Калі вы робіце бяспечных прадуктаў, калі яны не зрабілі пасля належнага падыходу людзей можа памерці.
Гэта абсалютна безадказная нешта не выкарыстоўваць лепшыя практыкі, каб зрабіць крыптаграфічныя.

Падводзячы вынік давайце разгледзім infosecurityguard.com агляд ад лепшых бяспекі Pratice пункту гледжання.

Назва прадукту Невядомасць бяспекі прагіну Грамадскі экспертны агляд Open Source Кампраміс на мясцовым узроўні?
Caspertec Невядомасць Няма публічных агляд Закрыта Так
CellCrypt Невядомасць
Няма публічных агляд
Закрыта
Так
Cryptophone Празрыстасць Абмежаваная публічнае абмеркаванне Грамадскасць Так
Золата-Lock Невядомасць
Няма публічных агляд
Закрыта
Так
Illix Невядомасць
No public review
Closed
Так
No1.BC Obscurity No public review
Closed
Так
PhoneCrypt Obscurity
No public review
Closed
Так
Rode&Swarz Obscurity
No public review
Closed
Так
Secure-Voice Obscurity
No public review
Closed
Так
SecuSmart Obscurity
No public review
Closed
Так
SecVoice Obscurity
No public review
Closed
Так
SegureGSM Obscurity
No public review
Closed
Так
SnapCell Obscurity
No public review
Closed
Так
Tripleton Obscurity
No public review
Closed
Так
Zfone Transparency Public review
Open Так
ZRTP Transparency Public review
Open Так

*Green means that it match basic requirement for a cryptographic secure system

* Red / Broken means that it does not match basic requirement for a cryptographic secure system
That's my analysis using a evaluation method based on cryptographic and security parameters not including the local compromise context that i consider useless.

However, to be clear, those are only basic parameters to be used when considering a voice encryption product (just to avoid being in a situation that appears like i am promoting other products). So it may absolutely possible that a product with good crypto ( transparency, peer reviewed and opensource) is absolutely a not secure product because of whatever reason (badly written, not usable causing user not to use it and use cleartext calls, politically compromised, etc, etc).
I think i will prepare a broader criteria for voice crypto technologies and voice crypto products, so it would be much easier and much practical to have a full transparent set of criterias to evaluate it.

But those are really the basis of security to be matched for a good voice encryption system!
Read some useful past slides on security protocols used in voice encryption systems (2nd part).

Now read below some more practical doubt about their research.

The security concept of the review is misleading: any hacked device can be always intercepted!

I think that the guys completely missed the point: ANY KIND OF SOFTWARE RUNNING ON A COMPROMISED OPERATING SYSTEM CAN BE INTERCEPTED

Now they are pointing out that also Zfone from Philip Zimmermann is broken (a pc software), just because they install a trojan on a PC like in a mobile phone?
Any security software rely on the fact that the underlying operating system is somehow trusted and preserve the integrity of the environment where the software run.

  • If you have a disk encryption system but your PC if infected by a trojan, the computer is already compromised.
  • If you have a voice encryption system but your PC is infected by a trojan, the computer is already compromised.
  • If you have a voice encryption system but your mobile phone is infected by a trojan, the mobile phone is already compromised.

No matter which software you are running, in such case the security of your operating environment is compromised and in one way or another way all the information integrity and confidentiality is compromised.

Like i explained above how to intercept PhoneCrypt.

The only things that can protect you from this threat is running in a closed operating system with Trust Computing capability, implementing it properly.
For sure on any “Open” operating system such us Windows, Windows Mobile, Linux, iPhone or Android there's no chance to really protect a software.
On difficult operating system such as Symbian OS or RimOS maybe the running software can be protected (at least partially)

That's the reason for which the security concept that guys are leveraging to carry on their marketing campaign has no clue.
It's just because they control the environment, they know Flexispy software and so they adjusted their software not to be interceptable when Flexispy is installed.
If you develop a trojan with the other techniques i described above you will 100% intercept PhoneCrypt.

On that subject also Dustin Tamme l, Security researcher of BreakPoint Systems , pointed on on VoIP Security Alliance mailing lists that the security analysis is based on wrong concepts .

The PhoneCrypt can be intercepted: it's just that they don't wanted to tell you!

PhoneCrypt can be intercepted with “on device spyware”.
Чаму?
Because Windows Mobile is an unsecure operating environment and PhoneCrypt runs on Windows Mobile.
Windows Mobile does not use Trusted Computing and so any software can do anything.
The platform choice for a secure telephony system is important.
How?
I quickly discussed with some knowledgeable windows mobile hackers about 2 different way to intercept PhoneCrypt with an on-device spyware (given the unsecure Windows Mobile Platform).

a) Inject a malicious DLL into the software and intercept from within the Phonecrypt itself.
In Windows Mobile any software can be subject to DLL code injection.
What an attacker can do is to inject into the PhoneCrypt software (or any software running on the phone), hooking the Audio related functions acting as a “function proxy” between the PhoneCrypt and the real API to record/play audio.
It's a matter of “hooking” only 2 functions, the one that record and the one that play audio.
Read the official Microsoft documentation on how to do DLL injection on Windows Mobile processes. or forum discussing the technique of injecting DLL on windows mobile processes.
That's simple, any programmer will tell you to do so.
They simply decided that's better not to make any notice about this.
b) Create a new audio driver that simply act as a proxy to the real one and intercept PhoneCrypt
In Windows Mobile you can create new Audio Drivers and new Audio Filters.
What an attacker can do is to load a new audio driver that does not do anything else than passing the real audio driver function TO/FROM the realone. In the meantime intercept everything recorded and everything played :-)
Here there is an example on how to do Audio driver for Windows Mobile .
Here a software that implement what i explain here for Windows “Virtual Audio Cable” .
The very same concept apply to Windows Mobile. Check the book “Mobile Malware Attack and Defense” at that link explaining techniques to play with those techniques.
They simply decided that's better not to make any notice to that way of intercepting phone call on PhoneCrypt .
Гэта толькі 2 хуткіх ідэй, больш верагодна, можна зрабіць.

Гукі гэтак жа, як маркетынгавая дзейнасць - не з'яўляецца каштоўнай паперай даследаванняў.

Я павінен сказаць вам. Я прааналізаваў пытанне вельмі старанна і па большасці аспектаў. Усё гэта рэчы пра аналізамі шыфравання прамовы гучыць для мяне як маркетынгавая кампанія SecurStar GmbH PhoneCrypt прадаць і атрымаць рэпутацыю. Выразна сфармуляваны і добра падрыхтаванай кампаніі па прыцягненню сродкаў масавай кажучы, ўскосным шляхам падману сродкаў масавай інфармацыі, што PhoneCrypt з'яўляецца адзіным бяспечным. Вы бачыце, што прэс-рэлізы SecurStar і "Даследчык бяспекі Notrax PhoneCrypt Паказальна, што адзіны бяспечны прадукт» . SecurStar PhoneCrypt з'яўляецца адзіным прадуктам ананімны хакер "Notrax" лічаць бяспечным з "праграмных рашэнняў".
Адзінае «Версія праграмнага забеспячэння" ў канкурэнцыі з:

- SnapCell - ніхто не можа купіць яго. Бяспекі кампаніі, якая нават не была больш вэб-старонкі. Кампанія амаль не існуе больш.
- Rohde-schawarz - кампаніі, якія маюць у сваім прайс-лісце і старых састарэлае абсталяванне бяспечны тэлефон . Ніхто не купіў бы яго, гэта не добра для родаў выкарыстання.

Ці мае гэта гучыць дзіўна, што толькі тыя іншыя прадукты лічацца бяспечнымі разам з PhoneCrypt.

Таксама ... давайце праверым выгляд мультымедыйнага кантэнту ў розных аглядаў, даступных з золата-Lock, Cellcrypt і PhoneCrypt для таго, каб зразумець, наколькі маркетолагі націснутая зрабіць агляд PhoneCrypt найбольш прывабнымі:

Ужыванне Скрыншоты прыкладання Відэа з дэманстрацыяй перахопу Сетка дэманстрацыі
PhoneCrypt 5 0 1
CellCrypt 0 2 0
GoldLock 1 2 0

Зразумела, што PhoneCrypt разглядаецца паказваць больш магчымасцяў відавочна паказалі і асноўныя функцыі бяспекі, апісанне прадукту, чым іншыя.

Занадта вялікая розніца паміж імі, мы павінны падазраю, што гэта парады па маркетынгу?

Але, зноў жа іншыя дзіўныя рэчы аналізу таго, як гэта было зроблена ...
Калі б гэта быў "бесстароннім і нейтральнай водгук" мы павінны бачыць добрыя і дрэнныя рэчы на ​​ўсе прадукты, ці не так?

Добра, гл. табліцу ніжэй з меркаваннем, паказана ў кожным абзацы розныя водгукі даступныя Золата-Lock, CellCrypt і PhoneCrypt (гэта адзіны існуючы), каб пераканацца, станоўчымі або адмоўнымі.

Ужыванне Колькасць пунктаў Станоўчыя пункты Адмоўныя пункты Нейтральныя пунктах
PhoneCrypt 9 9 0 0
CellCrypt 12 0 10 2
GoldLock 9 0 8 1

Detailed paragraphs opinion analysis of Phonecrypt
Paragraph of review Opinion expressed
From their website Positive Marketing feedback
Apple iPhone Positive Marketing feedback
Disk Encryption or voice Encryption Positive Marketing feedback
PBX Compatibility? Really Positive Marketing feedback
Cracking <10. Not. Positive Marketing feedback
Good thinking! Positive Marketing feedback
A little network action Positive Marketing feedback
UI Positive Marketing feedback
Good Taste Positive Marketing feedback
Detailed paragraphs opinion analysis of Gold-Lock 3G
Paragraph of review Opinion expressed
From their website Negative Marketing feedback
Licensed by The israeli Ministry of Denfese Negative Marketing feedback
Real Company or Part Time hobby Negative Marketing feedback
16.000 bit authentication Negative Marketing feedback
DH 256 Negative Marketing feedback
Downad & Installation! Neutral Marketing feedback
Cracking it <10 Negative Marketing feedback
Marketing BS101 Negative Marketing feedback
Cool video stuff Negative Marketing feedback
Detailed paragraphs opinion analysis of CellCrypt
Paragraph of review Opinion expressed
From their website Neutral Marketing feedback
A little background about cellcrypt Negative Marketing feedback
Master of Marketing Negative Marketing feedback
Secure Voice calling Negative Marketing feedback
Who's buying their wares Negative Marketing feedback
Downad & Installation! Neutral Marketing feedback
My Demo environment Negative Marketing feedback
Did they forget some code Negative Marketing feedback
Cracking it <5 Negative Marketing feedback
Room Monitoring w/ FlexiSpy Negative Marketing feedback
Cellcrypt unique features.. Negative Marketing feedback
Plain old interception Negative Marketing feedback
The Haters out there Negative Marketing feedback

Now it's clear that from their point of view on PhoneCrypt there is no single bad point while the other are always described in a negative way.
No single good point. Strange?
All those considerations along with the next ones really let me think that's very probably a marketing review and not an independent review.

Other similar marketing attempt from SecurStar

SecurStar GmbH is known to have used in past marketing activity leveraging this kind of “technical speculations”, abusing of partial information and fake unconfirmed hacking stuff to make marketing/media coverage.
Imho a rare mix of unfairness in leveraging the difficult for people to really understand the complexity of security and cryptography.

They already used in past Marketing activities like the one about creating a trojan for Windows Mobile and saying that their software is secure from the trojan that they wrote.
Read about their marketing tricks of 2007

They developed a Trojan (RexSpy) for Windows Mobile, made a demonstration capability of the trojan and later on told that they included “Anti-Trojan” capability to their PhoneCrypt software.They never released informations on that trojan, not even proved that it exists.

The researcher Collin Mulliner told at that time that it sounds like a marketing tips (also because he was not able to get from SecurStar CEO Hafner any information about that trojan):

“This makes you wonder if this is just a marketing thing.”

Now, let's try to make some logical reassignment.
It's part of the way they do marketing, an very unfriendly and unpolite approach with customers, journalist and users trying to provide wrong security concepts for a market advantage. Being sure that who read don't have all the skills to do in depth security evaluation and find the truth behind their marketing trips.

Who is the hacker notrax?

It sounds like a camouflage of a fake identity required to have an “independent hacker” that make an “independent review” that is more strong on reputation building.
Read about his bio:

¾ Human, ¼ Android (Well that would be cool at least.) I am just an enthusiast of pretty much anything that talks binary and if it has a RS232 port even better. During the day I masquerade as an engineer working on some pretty cool projects at times, but mostly I do the fun stuff at night. I have been thinking of starting an official blog for about 4.5 years to share some of the things I come across, can't figure out, or just cross my mind. Due to my day job and my nighttime meddling, I will update this when I can. I hope some find it useful, if you don't, well you don't.

There are no information about this guy on google.
Almost any hacker that get public have articles online, post in mailing archive and/or forum or some result of their activity.
For notrax, nothing is available.

Акрамя таго давайце паглядзім на дамен ...
Дамен infosecurityguard.com прыватная жыццё абаронена domainsbyproxy для прадухілення разумення таго, хто з'яўляецца ўладальнікам.
Дамен быў створаны 2 месяцы таму на 01-Dec-09 на godaddy.com рэгістратара.

Тое, што таксама вельмі цікава заўважыць, што гэты "невядомы хакер без слядоў на Google пра яго, якія з'явіліся ў снежні 2009 года ў сетцы" называецца на SecurStar GmbH Прэс рэліз як "ІТ-эксперт па пытаннях бяспекі".

Можа быць, яны "ведаю асабіста" хто гэты ананімны NoTrax? :)

Ці магу я пасля майго ўласнага мыслення змовы ці, можа быць, ёсць некаторыя разумныя сумневы, што ўсё было задаволіць у тым дзіўным чынам толькі для маркетынгавай дзейнасці?

Сацыяльная разгляду

Калі вы з'яўляецеся бяспекі кампаніі вы працу таксама сацыяльныя аспекты, вы таксама павінны працаваць, каб зрабіць свет лепш (для правядзення дзелавых але "не будучы злы»). Вы не можаце падмануць навыкаў канчатковых карыстальнікаў пры ацэнцы бяспекі робіць падробленыя ўводзіць у зман інфармацыі.

Вы павінны зрабіць дасведчанасць аб канчатковых карыстальнікаў, каб зрабіць іх больш свядомымі пытанняў бяспекі, падаючы ім прылады для разумення і вырашайце самі.

Спадзяюся, вам было весела чытаць гэты артыкул, і вы зрабілі свой уласны разгляд па гэтай нагоды.

Фабіа Pietrosanti (наіўны)

PS Гэта мае асабістыя прафесійнае меркаванне, давайце казаць аб тэхналогіі і бяспекі, а ня маркетынгу.
PPS Я не такі разумны ў вэб-пісьмовай форме, так шкада, як тэкст адфарматаваны і як паток неструктураваны артыкул!

Доля

Ліцэнзія Ізраілі Міністэрства абароны? How things really works!

You should know that Israel is a country where if a company need to develop encryption product they must be authorized by the government.

The government don't want that companies doing cryptography can do anything bad to them and what they can do of good for the government, so they have to first be authorized.

Companies providing interception and encryptio n m ust apply to a license because Israel law on this is so restrictive to be similar to china law .

That's because those kind of technologies are considered fundamental for the intelligence and espionage capabilities of Israel country.

To give some example of “Licensed by Israel Ministry of Defense” companies:

GSM encryption products “Licensed by Israel Ministry of Defense” – Gold-lock

Interception of communication products “Licensed by Israel Ministry of Defense” – Verint

HF encrypted Radio “Licensed by Israel Ministry of Defense” – Kavit

Surveillance services and equipment “Licensed by Israel Ministry of Defense” – Multi Tier Solutions

For example how to apply for a “License by Israel Ministry of Defense” if you do encryption technologies in Israel?

Be sure to be an israeli company, click here and fill the forms.

Someone will contact you from encryption-control@mod.gov.il and will discuss with you whether to give you or not the license to sell.

What does the department of defense will require from an israeli company in order to provide them the authorization to make and sell interception and encryption products?

Well, what they want and what they really ask nobody knows.

It's a secret dealing of Israel Ministry of Defense with each “licensed” company.

What we know for sure is that Verint, a “Licensed by Israel Ministry of Defense”, placed a backdoor to intercept companies and governments in the US and Netherland into the interception systems they was selling.

Verint, a Licensed by Israel Ministry of Defense Company, provided to Israel government eavesdropped communications of private and government users in the United States and in the Netherland .

CIA officier reported that Israel Ministry of Defense was known to pay Verint a reimbursement of 50% of their costs in order to have from Verint espionage services trough their commercial activity on selling “backdoored” interception equipment to spy foreign users.


It can be a legitimate doubt that the cooperation within the Israeli Ministry of Defense may be problematic for an Israeli company that want to sell interception and encryption product abroad.

Those companies may be forced to make the interests of Israel Ministry of Defense and not the interests of the customers (like Verint scandal is a real-world example).

So, how would a “Licensed by Israel Ministry of Defense” be a good things to promote?

It represent the risk that the “Israel Ministry of Defense”, like is publicly known that it has already have done with Verint, will interfere with what the company do.

It represent the risk that the “Israel Ministry of Defense” may reasonably provide “reimbursement” of costs paying the company and get what they would likely would like to get.

So, what does really “Israel Ministry of Defense” want from Israel companies doing encryption and interception technologies?

Should we ask ourself whether Israeli companies doing encryption and interception businesses are more interested to do business or to do “outsourced espionage services” for their always paying customer, the “Israel Ministry of Defense”.

For sure, in the age of financial crisis, the Israel Ministry of Defense is a paying customer that does not have budget problem…

Strict control, strict rules, strong government strategic and military cooperation.

Будзьце асцярожныя.

If you want to read more about this matters, about how technologies from certain countries is usually polluted with their governments military and secret services strategies stay tuned as i am preparing a post about this .

You will much better understand about that subjects on the “Licensed by Israel Ministry of Defense”.

Доля

Location Based Services: the big brother thanks you ;-)

Do you use your iphone, google phone, blackberry or nokia smartphone with cool built-in GPS?

Well law enforcement can now know even better where you are, at any time, even with historical data and much better than BTS based location systems.

Sprint has given 8 million times customer's GPS information to law enforcement (sound something like a semi-automatic request).

Read here .

Nice extract is:

Sprint Nextel provided law enforcement agencies with its customers' (GPS) location information over 8 million times between September 2008 and October 2009. This massive disclosure of sensitive customer information was made possible due to the roll-out by Sprint of a new, special web portal for law enforcement officers.

The informations was provided at wiretapping and interception industry conference ISS WASH in Washingtown.

If you want see directly the video:


Sprint: 50 million customers, 8 million law enforcement GPS requests in 1 year from Christopher Soghoian on Vimeo .


Then you know that “big brother” is watching you only because you let him to watch you.

Доля

Gold-Lock Security Encryption Contest: be careful!

This post is to talk about the “unfair” marketing approach of Gold-Lock, an israeli company doing mobile voice encryption authorized by Israeli Ministry of Defence .

Following an announcement seen on Linkedin “Information Security Community” group:

GoldLock is offering US$ 100.000 and a job for an unencryption

GoldLock, an israeli encryption and security company is offering US$ 100.000 and a job to anyone capable to decrypt a cellular conversation contained in a file provided in their site ( https://www.gold-lock.com/app/en/?wicket:interface=:8 ::::).
The transcription must be sent back to GoldLock until February 1st, 2010.
The contest is open to all and any tools or technology may be used.
Good luck to all!!!

I commented:

Not having a public protocol specification is not even scientifically serious to make a marketing tricks like this.
I would say to gold-lock, let's release the source code and let anyone compile the cryptographic engine if you trust not to to have something nasty inside… ;)

Toni Koivunen from F-secure said:

So… They will pay $100k if you get through the AES and the hassle with keys.
If someone would pull it off they would certainly make a truckload more money elsewhere. Plus they would retain the rights to the code/technology that they created, which isn't the case if they go for the $100k since the License pretty clearly says that:
# An assignment letter to Gold Line, in a form satisfactory to Gold Line of your technology and the Work Plan (the “Technology”). Such assignment form shall enable Gold Line to transfer the rights on the Technology to Gold Line, including the right to register patents and all other rights.
# A release and waiver form, in a form satisfactory to Gold Line, duly executed by you and any other participant of any rights to the Technology.
Plus of course Gold Line retains the right to change the rules of the game with prior notice. Or needing to notify afterwards either.
Sounds fair :)

Michel Scovetta from Computer Associates said:

It sounds like the purpose of this is to get some cheap testing out of it, and to be able to say something like, “The best crypto experts in the world tried to break it, and were unable to.”

According to some of the docs on Gold Lock's website, they use ECC-256 and a “modified DH key exchange” (which tingles my spidey senses), SHA-256, and then XOR for the actual data encryption. They use practically blasphemous language like, “Each component of the Gold Lock Enterprise solution is tested and proven secure against any conceivable attack.”

*Proven* secure? *Any conceivable* attack? Плясь!

In another doc on their site, they talk about their first layer relying on 1024-bit RSA. GoDaddy doesn't even allow 1024-bit keys to be used anymore when generating $20 SSL certificates. They quote 300 billion MIPS-years to break, but if my math is correct, that comes down to about 52 days on the top supercomputer right now. Not trivial, but this is an offline attack, so time is on the side of the attacker.

The description then talks about the device generating 16k keys when you register the device. If the protocol is “secure”, then it should be “secure” with only a single key. If it's not secure with a single key, then generating 16k keys could only make it 16k times more secure, which is far off from a proof of security.

I agree with Fabio – a fair contest would be to include source code and the cryptographic specification. Also, as other contests have proven (eg SecureWebMail), the weakest point isn't usually the cryptography. It's all of the other stuff, and it doesn't look like any of it is being disclosed for the contest.

http://xkcd.com/538/

Mike

I would say that all those considerations from security experts from well known and established security companies bring us to consider that:

  • Gold-lock is not transparent on their encryption at all and they work trough bad practice of Security Trough Obscurity (no one know what's inside the product)
  • Gold-lock is not playing a fair game by proposing this 'security contest'
  • Gold-lock being certified by Israeli ministry of defence may raise doubt related to possible relationship with the intelligence… Read by post Certified by Israeli MInistry of Defense .

Voice security is a sensible matters and lacks of transparency and governmental relationship for cryptographic choices usually does not provide anything good…

Падумайце пра гэта ...

Доля

Disk encryption sometimes 'works'

I am one of the person convinced that a computer disk encryption system will not protect you from public authorities if they are convinced enough and the case is very important.

There are a lot of way to convince a person to release a password.

However there's a case in Australia where not revealing the disk password resulted in a successful way to avoid going in jail:

Secret code saves man who spied on flatmates

My opinion is just that spying flatmates is not a so relevant and particular crime and that law enforcement did not used 'convincing systems' to get the password of encrypted disk.

UPDATE 29.06.2010: It also worked for Daniel Dantas against FBI .

Доля

Political conflict in Turkey between Prosecutors and Wiretappers

It seems that in Turkey the Telecommunication Directorate (TIB), in charge of managing the wiretapping, intercepted the president of the Judge and Prosecutors Associations.

Prosecutors and Judge usually does not like being tapped, and so the 1st High Criminal Court ordered an audit of all the recording done by the TIB since 2006.

Read more here .

Доля

UAE government placing backdoors into Blackberry devices

Nice attempt to place backdoors inside Blackberry devices.

It seems that UAE government wanted to do something nasty placing backdoors trough software upgrades in Etilsat (local mobile operator) blackberry devices, obviously with the cooperation of the mobile operator itself.

Fortunately, the power of the security community discovered and unveiled the facts. Праверце гэта.

Etisat patch designed for surveillance

Wired magazine: Blackberry spies

Security exists only with transparency.

Доля

Voice encryption in government sectors

I will make some in depth articles about how voice encryption really works in government environments.

The open standards and open source still have to reach the military and government environments for what's related to secure speech.

To give you an idea of the complexity and kind of particular issues that exists, look at the USA 3G Wireless Security: A Government Perspective and the A Waveform Architecture to Support Security and Interoperability in Multi-National Wireless Networks for Tactical Communication .

They are using so-custom protocols like Secure Communications Interoperability Protocol that require the use of patented MELPe ultra-narrowband codec that there's not a real market of application and equipment using this. Only a small elite of government controlled companies from few countries manage this de-facto lobby.

Should we change this bringing open standards also to government sectors?

Доля

Voice Security and Privacy slides

Below my slides on voice security and privacy from Security Summit 2009 .

mmm, yes i am working in this area from 2005, will write again about it.

sux

Доля