En este artículo quiero aclarar y explicar mejor el hallazgo en infosecurityguard.com regaring evaluación de productos de cifrado de voz.
En este artículo quiero decirte un punto de vista diferente que no sea infosecurityguard.com y explicar que son lo racional con una amplia explicación desde el punto de vista de seguridad.
Hoy leí las noticias diciendo: "PhoneCrypt: Vulnerabilidad básicos que se encuentran en 12 de los 15 productos de cifrado de voz y fue a leer la página web infosecurityguard .
Inicialmente parecía a mi como una gran actividad de investigación, pero luego empecé a leer profundamente la lectura sobre it.I encontró que no es propiamente una investigación sobre la seguridad, pero no se son elementos de hormigón que es una campaña de marketing bien hecho con el fin de atraer a los medios de comunicación públicos y dar a conocer un producto.
En mi humilde opinión que fue capaz de engañar a los periodistas ya los usuarios porque la campaña de comercialización fue absolutamente bien hecho no ser descubierto en primera lectura intento. Yo personalmente consideré como una válida en primera lista (me engañaron principio!).
Pero si usted va profundamente ... usted comprenderá lo siguiente:
- Es una iniciativa de marketing camuflaje organizado por SecurStar GmbH y no una investigación independiente de seguridad
- Que consideran un contexto de seguridad sólo cuando el dispositivo local se ha comprometido (sin software se puede asegurar en este caso, como decir SSL puede verse comprometida si tiene un troyano!)
- No tienen en cuenta ningún criterio de seguridad criptográfica seguridad básica y
Sin embargo, una gran cantidad de importante sitio web informó que:
Este artículo es bastante largo, si lo lees te ayudará a entender mejor lo que está sucediendo a su alrededor infosecurityguard.com investigación y resultados de la investigación.
Quiero decirles por qué y cómo (en mi humilde opinión) están equivocados.
La investigación se perdió en cuenta la seguridad, la criptografía y la transparencia!
Bueno, todo esto suena muy similar a la investigación se centró en el objetivo de marketing para decir que su producto es el mejor PhoneCrypt "super" producto de todos los demás.
Cualquier experto en seguridad que tienen como deber la "evaluación de software" con el fin de proteger la confidencialidad de las llamadas telefónicas evaluará otras características diferentes del producto y la tecnología.
Sí, es cierto que la mayor parte del producto que se describe por SecurStar en su sitio web de marketing llamada anónima http://infosecurityguard.com tienen alguna debilidad.
Pero la debilidad relevante son los demás y PhoneCrypt desgracia, como la mayoría de los productos descritos sufren de esto.
Repasemos las características que se necesitan criptografía básica y los requisitos de seguridad (la mejor práctica, el fundamento y los conceptos básicos!)
a - Oscuridad Trough seguridad no funciona
Una regla básica en criptografía cames de 1883 por Auguste Kerckhoffs:
- Especificación detallada del algoritmo de cifrado (eso no es decir "que utilizamos AES ")
- Especificación detallada del protocolo criptográfico (eso no es decir "que utilizamos Diffie Hellman ")
- Especificación detallada de la medición de la fuerza criptográfica (eso no es decir "tenemos 10 millones bits tamaño de la clave ")
Proporcionar información precisa es tener una amplia documentación con implicaciones teóricas y prácticas documentación de cualquier manera única de cómo funciona el algoritmo, cómo funciona el protocolo con especificación precisa de replicar para las pruebas de interoperabilidad.
Esto significa que la comunidad científica debería ser capaz de jugar con la tecnología, auditar él, cortarlo.
Si no sabemos nada sobre el sistema de cifrado de datos, ¿cómo podemos saber cuáles son las debilidades y puntos fuertes?
Mike Fratto, editor del sitio de Network Computing, hizo un gran artículo sobre "Decir NO a los sistemas criptográficos" .
CERIAS Universidad Purdue dice este .
b - pares NO revisado y NO Criptografía científicamente aprobados no funciona
En cualquier caso y en cualquier condición que usted hace la criptografía tiene que estar seguro de que alguien más va a comprobar, revisar, analizar y distruct reconstract desde cero su tecnología y proporcionar a quienes la información gratis para el público para el debate abierto.
Así es exactamente como nació AES y como Instituto Nacional de Estándar EE.UU. hacen crypto hace (con el concurso público con revisión por pares pública donde sólo gane el mejor evaluado).
Una discusión pública con un concurso público donde el un montón de revisión por criptógrafo más famoso y experto en el mundo, los piratas (con su nombre, apellido y la cara, no como Notrax) ofrecen su contribución, diga lo que piensa.
Eso se llama "revisión por pares".
Si una tecnología criptográfica tiene una revisión de pares extendida e importante, distribuidos en el mundo procedentes de universidades, empresas de seguridad privadas, instituciones militares, hackers y todas las que vienen de diferentes partes del mundo (desde EE.UU. a Europa a Rusia a América del Sur para Oriente Medio de China) y todos ellos coinciden en que una tecnología específica que es seguro ...
Bueno, en ese caso se puede considerar la tecnología de seguridad, porque muchas de las entidades con buena reputación y la autoridad que viene de una gran cantidad de diferentes parte del mundo han revisado, analizado y confirmado que una tecnología que es segura en bolsa.
¿Cómo una empresa privada, incluso puede pensar que inventar por sí mismo un protocolo de comunicación segura cuando está científicamente declaró que no es posible hacerlo de una manera "exclusiva y cerrada"?
IBM dirá que la revisión por pares se requiere para la criptografía .
Bruce Schneier te diga que "Buenas criptógrafos sabemos que nada sustituye a una exhaustiva revisión y años de análisis."
Philip Zimmermann le dirá que tener cuidado con aceite de la serpiente en la historia es: "Cada ingeniero de software se jacta de ser un criptógrafo, lo que ha llevado a la proliferación de software de cifrado muy mal."
c - Cerrado criptografía fuente no funciona
Como saben cualquier tipo de "grave" y con "buena reputación" tecnología criptográfica se implementa en código abierto.
Por lo general, la aplicación múltiple de un mismo algoritmo criptográfico y el protocolo de cifrado para poder revisar toda la forma en que funciona y certificar la interoperabilidad.
Suponiendo que utilizar un estándar con detalles precisos y extendida sobre "cómo funciona", que ha sido "revisada" por la comunidad científica, sino que se ha vuelto a implementar desde cero por un programador no es tan inteligente y la ejecución es un montón de bichos .
Bueno, si la aplicación es "opensource", esto significa que puede ser revisado, mejorado, probado, auditado y el usuario final tendrá sin duda está en su propia tenía una pieza de tecnología "que funciona de manera segura".
Google versión opensource crypto toolkit
Mozilla versión opensource crypto toolkit
Bruce Schneier te diga que la criptografía debe ser opensource .
Otro punto de vista criptográfico
No quiero convencer a nadie, sino simplemente proporcionar datos relacionados con la ciencia, en relación con la criptografía y la seguridad con el fin de reducir el efecto de desinformación realizada por las empresas de seguridad cuyo único pasa es venderle algo y no hacer algo que hacen el mundo una mejor.
Al hacer productos seguros, si no se llevan a cabo después de la gente adecuada aproximación podrían morir.
Es algo absolutamente irresponsable no utilizar las mejores prácticas para hacer cosas cripto.
En resumen revisemos la revisión infosecurityguard.com de una seguridad mejor punto de vista pratice.
| Nombre del producto | Oscuridad Trough Seguridad | Revisión por pares Pública | Open Source | Compromiso a nivel local? |
| Caspertec | Oscuridad | Sin revisión pública | Cerrado | Sí |
| CellCrypt | Oscuridad | Sin revisión pública | Cerrado | Sí |
| Cryptophone | Transparencia | Opinión pública Limited | Público | Sí |
| Oro-Lock | Oscuridad | Sin revisión pública | Cerrado | Sí |
| Illix | Oscuridad | Sin revisión pública | Cerrado | Sí |
| No1.BC | Oscuridad | Sin revisión pública | Cerrado | Sí |
| PhoneCrypt | Oscuridad | Sin revisión pública | Cerrado | Sí |
| Rode y Swarz | Oscuridad | Sin revisión pública | Cerrado | Sí |
| Secure-Voice | Oscuridad | Sin revisión pública | Cerrado | Sí |
| SecuSmart | Oscuridad | Sin revisión pública | Cerrado | Sí |
| SecVoice | Oscuridad | Sin revisión pública | Cerrado | Sí |
| SegureGSM | Oscuridad | Sin revisión pública | Cerrado | Sí |
| SnapCell | Oscuridad | Sin revisión pública | Cerrado | Sí |
| Tripleton | Oscuridad | Sin revisión pública | Cerrado | Sí |
| Zfone | Transparencia | Opinión pública | Abierto | Sí |
| ZRTP | Transparencia | Opinión pública | Abierto | Sí |
* El verde significa que está de acuerdo con requisito básico para un sistema de seguridad criptográfica
Sin embargo, para ser claro, esos son sólo los parámetros básicos que se utilizarán cuando se considera un producto de cifrado de voz (sólo para evitar estar en una situación que aparece como que estoy promoviendo otros productos). Por lo que puede absolutamente posible que un producto con un buen crypto (transparencia, revisadas por pares y opensource) es absolutamente un producto no es seguro debido a cualquier razón (mal escrito, no se puede utilizar causando usuario no usarlo y utilizar llamadas texto claro, políticamente comprometida, etc , etc).
Creo que voy a preparar un criterio más amplio para las tecnologías de cifrado de voz y de los productos de cifrado de voz, por lo que sería mucho más fácil y práctico para tener un conjunto transparente llena de criterios para evaluarla.
Pero esos son realmente la base de la seguridad que ir acompañado de un buen sistema de cifrado de voz!
Lea algunos útiles diapositivas anteriores sobre los protocolos de seguridad utilizados en los sistemas de encriptación de voz (2 ª parte).
Ahora lea a continuación algunas dudas más práctico de su investigación.
El concepto de seguridad de la revisión es engañosa: cualquier dispositivo hackeado puede ser interceptado siempre!
Creo que los chicos perdieron por completo el punto: CUALQUIER TIPO DE SOFTWARE QUE SE EJECUTA EN UN SISTEMA OPERATIVO comprometido puede ser interceptada
Ahora están señalando que también Zfone de Philip Zimmermann está roto (un software de PC), sólo porque instalar un troyano en un PC como en un teléfono móvil?
Cualquier software de seguridad se basan en el hecho de que el sistema operativo subyacente es de alguna manera confiable y preservar la integridad del entorno en el que el software de funcionar.
- Si usted tiene un sistema de cifrado de disco, pero el PC si está infectado por un troyano, el equipo ya está comprometida.
- Si usted tiene un sistema de encriptación de voz, pero su PC está infectado por un troyano, el equipo ya está comprometida.
- Si usted tiene un sistema de encriptación de voz, pero su teléfono móvil está infectado por un troyano, el teléfono móvil ya está comprometida.
No importa qué software se está ejecutando, en tal caso, la seguridad de su entorno operativo se ve comprometida y de una manera u otra manera se ve comprometida toda la integridad de la información y la confidencialidad.
Como he explicado antes cómo interceptar PhoneCrypt.
Las únicas cosas que lo pueden proteger de esta amenaza se está ejecutando en un sistema operativo cerrado con capacidad de Informática Trust, aplicarla correctamente.
Por supuesto en cualquier sistema "abierto" de funcionamiento como nosotros de Windows, Windows Mobile, Linux, iPhone o Android que no hay posibilidad de proteger realmente un software.
En el sistema operativo difícil, tales como el sistema operativo Symbian o RIMOS tal vez el software que se ejecuta puede ser protegido (al menos parcialmente)
Esa es la razón por la cual el concepto de seguridad que los chicos están aprovechando para llevar a cabo su campaña de marketing no tiene ni idea.
Es sólo porque controlan el entorno, saben FlexiSpy software y por lo que cambió su software no ser interceptable cuando se instala FlexiSpy.
Si usted desarrolla un troyano con otras técnicas que he descrito anteriormente que el 100% lo intercepto PhoneCrypt.
Ese tema también Dustin Tamme l, investigador de seguridad de sistemas de punto de interrupción , señaló en las listas de correo Alianza de Seguridad de VoIP que el análisis de la seguridad se basa en conceptos erróneos .
El PhoneCrypt puede ser interceptada: es sólo que no quería decir!
PhoneCrypt puede ser interceptada por "el spyware dispositivo".
¿Por qué?
Debido a que Windows Mobile es un sistema operativo inseguro y PhoneCrypt ejecuta en Windows Mobile.
Windows Mobile no utiliza Trusted Computing por lo que cualquier software puede hacer nada.
La elección de la plataforma para un sistema de telefonía seguro es importante.
¿Cómo?
Rápidamente hablé con algunas ventanas hackers móviles informados sobre 2 manera de interceptar PhoneCrypt con un spyware en el dispositivo (dada la plataforma de Windows Mobile no segura).
Suena mucho como una actividad de marketing - no es una investigación de seguridad.
Tengo que decirte. Analicé el tema con mucho cuidado y en la mayoría de los aspectos. Todas estas cosas de los analisis de cifrado de voz me suena a una campaña de marketing de SecurStar GmbH vender PhoneCrypt y ganar reputación. Una campaña bien articulada y bien preparada para atraer a los medios de comunicación diciendo, de manera indirecta engañar a los medios de comunicación, que PhoneCrypt es el único seguro. Usted ve las notas de prensa de SecurStar y del "investigador Notrax Seguridad diciendo que PhoneCrypt es el único producto seguro" . SecurStar PhoneCrypt es el único producto que el hacker anónimo "Notrax" considere segura de las "soluciones de software".
La única "versión de software" en competencia con:
¿Le parece extraño que sólo los otros productos se consideran seguros, junto con PhoneCrypt.
También ... vamos a ver el tipo de contenido multimedia en las diferentes opiniones disponibles de Oro-Lock, Cellcrypt y PhoneCrypt para entender lo mucho que los chicos de marketing presionado para que la revisión PhoneCrypt los más atractivos:
| Aplicación | Imágenes de aplicación | Vídeo de demostración de intercepción | Demostración Network | |
| PhoneCrypt | 5 | 0 | 1 | |
| CellCrypt | 0 | 2 | 0 | |
| GoldLock | 1 | 2 | 0 |
Está claro que PhoneCrypt se revisa mostrando más características se muestran de forma explícita y de las instalaciones principales de seguridad Descripción de producto que el otro.
Demasiada diferencia entre ellos, debemos sospechar que es una serie de consejos de marketing?
Pero, de nuevo otras cosas extrañas analizar la forma en que se llevó a cabo ...
Si se trataba de "un examen imparcial y neutral" debemos ver las cosas buenas y malas en todos los productos correctos?
Ok, consulte la tabla siguiente con respecto a la opinión indicada en cada párrafo de las diferentes opiniones disponibles de Oro-Lock, CellCrypt y PhoneCrypt (son la única disponible) para ver si son positivos o negativos.
| Aplicación | Número de puntos | Puntos positivos | Puntos negativos | Párrafos Neutral |
| PhoneCrypt | 9 | 9 | 0 | 0 |
| CellCrypt | 12 | 0 | 10 | 2 |
| GoldLock | 9 | 0 | 8 | 1 |
| Párrafo de opinión | Dictamen emitido |
| Desde su página web | Retroalimentación positiva de Marketing |
| El iPhone de Apple | Retroalimentación positiva de Marketing |
| Disk Encryption o encriptación de voz | Retroalimentación positiva de Marketing |
| PBX Compatibilidad? Realmente | Retroalimentación positiva de Marketing |
| Cracking <10. No. | Retroalimentación positiva de Marketing |
| Bien pensado! | Retroalimentación positiva de Marketing |
| Un poco de acción de la red | Retroalimentación positiva de Marketing |
| UI | Retroalimentación positiva de Marketing |
| Buen gusto | Retroalimentación positiva de Marketing |
| Párrafo de opinión | Dictamen emitido |
| Desde su página web | Retroalimentación negativa de Marketing |
| Autorizado por el Ministerio de Denfese israelí | Retroalimentación negativa de Marketing |
| Real Compañía Parcial manía | Retroalimentación negativa de Marketing |
| Autenticación de 16.000 bits | Retroalimentación negativa de Marketing |
| DH 256 | Retroalimentación negativa de Marketing |
| Downad e instalación! | Retroalimentación de Marketing Neutral |
| Partirla <10 | Retroalimentación negativa de Marketing |
| Comercialización BS101 | Retroalimentación negativa de Marketing |
| Cosas Cool video | Retroalimentación negativa de Marketing |
| Párrafo de opinión | Dictamen emitido |
| Desde su página web | Retroalimentación de Marketing Neutral |
| Un poco de historia acerca de Cellcrypt | Retroalimentación negativa de Marketing |
| Master de Marketing | Retroalimentación negativa de Marketing |
| Secure llamadas de voz | Retroalimentación negativa de Marketing |
| ¿Quién está comprando sus productos | Retroalimentación negativa de Marketing |
| Downad e instalación! | Retroalimentación de Marketing Neutral |
| Mi entorno de demostración | Retroalimentación negativa de Marketing |
| ¿Olvidaron algo de código | Retroalimentación negativa de Marketing |
| Partirla <5 | Retroalimentación negativa de Marketing |
| Room w / supervisión FlexiSpy | Retroalimentación negativa de Marketing |
| Cellcrypt características únicas .. | Retroalimentación negativa de Marketing |
| Plain intercepción de edad | Retroalimentación negativa de Marketing |
| Los enemigos por ahí | Retroalimentación negativa de Marketing |
Ahora está claro que desde su punto de vista sobre PhoneCrypt no hay mal un solo punto, mientras que el otro siempre se describen de una manera negativa.
Ningún buen punto. Strange?
Todos estos elementos, junto con las próximas realmente me dejaron que eso es muy probable que una revisión de marketing y no una revisión independiente.
Otro intento de comercialización similar de SecurStar
SecurStar GmbH se sabe que han utilizado en las actividades de marketing más allá de aprovechar este tipo de "especulaciones técnicas", abusando de la información parcial y falsa sin confirmar cosas piratería para hacer la cobertura de los medios de comunicación / marketing.
En mi humilde opinión una mezcla rara de injusticia en el aprovechamiento de la difícil que la gente entienda realmente la complejidad de la seguridad y la criptografía.
Ya se utilizan en las actividades de marketing anteriores como el de la creación de un troyano para Windows Mobile y diciendo que su software sea seguro desde el troyano que ellos escribieron.
Lea acerca de sus trucos de marketing de 2007
Ellos desarrollaron un troyano (RexSpy) para Windows Mobile, hizo una demostración de la capacidad del troyano y más tarde dijeron que incluyen la capacidad de "Anti-Trojan" a su PhoneCrypt software.They nunca lanzado información acerca de este troyano, ni siquiera demostró que existe .
El investigador Collin Mulliner dijo en ese momento que suena como una serie de consejos de marketing (también porque no era capaz de obtener de SecurStar CEO Hafner ninguna información sobre ese troyano):
Ahora, vamos a tratar de hacer un poco de reasignación lógica.
Es parte de su forma de hacer marketing, un enfoque muy desagradable y descortés con los clientes, periodistas y usuarios tratando de proporcionar los conceptos de seguridad mal para una ventaja en el mercado. Estar seguro de que quien lee no tiene todas las habilidades para hacer la evaluación de seguridad de profundidad y descubrir la verdad detrás de sus viajes comerciales.
¿Quién es el NoTrax hacker?
Suena como un camuflaje de una identidad falsa obligados a tener un "hacker independiente" que crea un "examen independiente", que es más fuerte en la construcción de la reputación.
Lea acerca de su biografía:
No hay información acerca de este tipo en google.
Casi cualquier hacker que recibe público tiene artículos en línea, mensaje en el archivo de correo y / o foro o algún resultado de su actividad.
Para NoTrax, no hay nada disponible.
Además vamos a ver el dominio ...
El dominio se infosecurityguard.com privacidad protegido por domainsbyproxy para evitar entender quién es el propietario.
El dominio fue creado hace 2 meses el 01-dic-09 en godaddy.com registrador.
Lo que también es muy interesante notar que este "hacker desconocido, sin rastro de google en él que apareció en diciembre de 2009 sobre la red" se refiere en SecurStar GmbH Comunicado de prensa como "un experto en seguridad de TI".
¿Estoy siguiendo mi propio pensamiento conspiración o tal vez hay alguna duda razonable de que todo se arregle de esa manera divertida sólo para una actividad de marketing?
Consideración Social
Si usted es una empresa de seguridad que ha trabajo también a los aspectos sociales, también debe trabajar para hacer del mundo un lugar mejor (seguro de hacer negocios, pero "no estar mal"). No se puede engañar a las habilidades de los usuarios finales en la evaluación de la seguridad que la información engañosa falsa.
Usted debe hacer conciencia en los usuarios finales, para que sean más conscientes de los problemas de seguridad, dándoles las herramientas para entender y decidir por sí mismos.
Espero que te hayas divertido leyendo este artículo y usted hizo su propia cuenta de esto.
Fabio Pietrosanti (naif)
ps Esos son mi opinión personal profesional, vamos a hablar acerca de la tecnología y la seguridad, no la comercialización.
pps no soy tan inteligente en la escritura de la tela, lo siento por el formato del texto y cómo el flujo de este artículo no es estructurado!
4 Comentarios
Absolutamente correcto, yo sabía que el pirata informático no es más que un muñeco de marketing, parece que tenía razón
Después de haber seguido esto desde el Reg, yo también estoy muy interesado en los dos comentarios elogiosos idénticos (14 y 15 de http://infosecurityguard.com/?p=26 # comments ) que recientemente Dominios de gran registrados 01 de diciembre y el 28 de diciembre 09 ) y también han comentado favorablemente en otros puestos.
A google rápida de "Carroll B Merriman" fue instructivo - un commentor totalmente libre de contexto con interviene extraños en todo, desde California 'go-go "y sushi bar (donde él posts sobre Zune?) A Lancashire reparación de computadoras y diseño web (así , Blackpool no está demasiado lejos) y, lo más revelador acerca de la comercialización del Internet afiliados. El sitio de PC Blackpool herido en el karma (goldfish pobres, sitio de basura) y, curiosamente, parece estar extrañamente registrado - a una persona no residente en el Reino Unido (en lugar de una empresa del Reino Unido). 'David Pennington "bien puede estar conectado a' Steve Pennington 'que tiene aaafleetwoodpcrepair.co.uk, que está conectado a" tickets4u Ltd "- una compañía registrada en Reino Unido.
V cutre, en mi opinión profesional - esta hierba es claramente plástico.
Buen trabajo, bastante completo. Si usted va a reventar a alguien, es bueno ser cuidadoso.
Niza para leer este artículo y será bueno si se puede incluir más software espía de teléfono celular como el teléfono celular Mobistealth y otra y software espía sms