श्रेणी अभिलेखागार: सुरक्षा

आरएफसी 6189: ZRTP अंत में एक मानक है!

अंत में ZRTP एक अधिकारी आरएफसी असाइनमेंट, सौंपा गया है RFC6189 Unicast सुरक्षित आरटीपी के लिए मीडिया पथ मुख्य अनुबंध: ZRTP.

यह एक निर्भरता के रूप में किया था SRTP, अब के रूप में परिभाषित किया गया है कि 256bit एईएस कुंजी आकार के साथ RFC6188 .

यह बहुत की तरह अंत करने के लिए अंत एन्क्रिप्शन के लिए सरकारी मानक के रूप में ZRTP स्थापित करने के लिए एक महत्वपूर्ण मील का पत्थर है, के रूप में आरएफसी अंत में जारी देखना रोमांचक है पीजीपी ईमेल के लिए किया गया है.

अब दुनिया में किसी भी संगठन ने आधिकारिक तौर पर अंत करने के लिए अंत प्रोटोकॉल आवाज एन्क्रिप्शन के लिए ZRTP लागू करने में सक्षम हो जाएगा

ZRTP प्रोटोकॉल के वर्तमान में 3 अलग सार्वजनिक कार्यान्वयन मौजूद है:

उनमें से प्रत्येक प्रोटोकॉल के विभिन्न सुविधाओं को प्रदान करते हैं, लेकिन सबसे महत्वपूर्ण अंतरसक्रियात्मक होने के लिए जाना जाता है.

एक नई लहर फोन एन्क्रिप्शन सिस्टम कर रही कंपनियों का सबसे पसंदीदा एन्क्रिप्शन को लागू किया गया है जहां एक ग्रे क्षेत्र में irrupting, आवाज एन्क्रिप्शन दुनिया के लिए आ रहा है.

अब एक मानक स्थापना की गई है और कुछ अलग करने को लागू करने के लिए छोड़ दिया कुछ कारण हैं.

Hurra श्री ज़िम्मरमैन और सभी कंपनियों के समुदाय (जैसे PrivateWave ) और व्यक्तियों (जैसे वर्नर Dittmann इस पर काम किया है)!

आज यह एक महान दिन है, इस तरह की तकनीक की तरह अब कई मौजूदा कार्यान्वयन के साथ सरकारी और भी है!

फिलिप, आप अपने शुद्ध भावना और दृढ़ संकल्प :-) करने के लिए, फिर मेरी तारीफ यह किया

शेयर

जीएसएम के लिए प्रगति फ्रीबर्ग विश्वविद्यालय में खुर

मोबाइल प्रोटोकॉल (जीएसएम, जीएसएम, आर, टेट्रा, UMTS, आदि) की रोमांचक दुनिया हैकिंग विश्वविद्यालयों से सरकारी अनुसंधान गतिविधियों को हो रही है.

खुर सॉफ्टवेयर की opensource कोड विज्ञप्ति बनाने के लिए निवेश, उस पर काम करते हैं इसे बेहतर बनाने और मजबूत अनुसंधान करने के लिए विश्वविद्यालय के छात्रों के लिए अवसर दे रहा है.

Freiburg विश्वविद्यालय सिर्फ कागज जारी जीएसएम एन्क्रिप्शन ए 5/1 पर व्यावहारिक व्यायाम एक साथ gsmframencoder , डिकोडिंग सूँघने और खुर प्रक्रिया में सुधार के लिए समर्थन उपकरण.

सॉफ्टवेयर खोलने, हार्डवेयर खोलने, खोलने प्रोटोकॉल मालिकाना विधि या प्रक्रिया के लिए निर्माण के संचार और सुरक्षा प्रौद्योगिकियों के किसी भी प्रकार की कमजोरी दिखाना है.

यह करने के लिए खुला हुआ कोशिश और दूरसंचार प्रोटोकॉल डिजाइन करते समय उद्योग interoperable और खुला दृष्टिकोण के साथ ही चला जाता है के लिए मजबूर करने के लिए स्वामित्व और बंद प्रौद्योगिकी के किसी भी तरह की दरार करने के लिए किसी भी वैज्ञानिकों का लक्ष्य होना चाहिए.

शेयर

टेट्रा हैकिंग आ रहा है: OsmocomTETRA

यह की रिहाई को देखने के लिए बहुत रोमांचक है OsmocomTETRA , पहले opensource एसडीआर ( सॉफ्टवेयर निर्धारित रेडियो ) टेट्रा विमाडुलक, बनावट और कम मैक परतों का कार्यान्वयन.

यह की टेट्रा संस्करण है जीएसएम airprobe इस प्रकार महान हैकिंग का अवसर दे रही है, डेटा और टेट्रा संचार प्रोटोकॉल के फ्रेम करने के लिए पहुँच अनलॉक कि!

भी टेट्रा प्रौद्योगिकी हम opensource टेट्रा sniffers को देखने के लिए, यह 2011 के दौरान, उम्मीद करनी चाहिए खोल दिया गया है और सबसे शायद यह भी चाय एन्क्रिप्शन (टेट्रा एन्क्रिप्शन एलगोरिदम) फटा अब जब कि!

टेट्रा भी नेटवर्क कवरेज की उपलब्धता (केवल एक बेस स्टेशन के बिना मोबाइल से मोबाइल) के बिना काम करता है और कुछ विशेष उच्च उपलब्धता सेवाएं प्रदान कर सकते हैं कि एक वैकल्पिक मोबाइल संचार नेटवर्क के रूप में पुलिस, आपातकालीन सेवाएं और Militaries द्वारा प्रयोग किया जाता है.

मैं अपनी स्लाइड में टेट्रा के बारे में लिखा था मेजर वॉयस सुरक्षा प्रोटोकॉल की समीक्षा करें .

OsmocomBB मेलिंग सूची में कुछ टेट्रा नेटवर्क स्थिति के बारे में पहले से ही चर्चा हुई:

  • बेल्जियम पुलिस टेट्रा ASTRID नेटवर्क: अनएन्क्रिप्टेड
  • आकिन में जर्मन पुलिस परीक्षण टेट्रा नेटवर्क: अनएन्क्रिप्टेड
  • कुछ पूर्व jugoslawia टेट्रा नेटवर्क: अनएन्क्रिप्टेड
  • नीदरलैंड C200 के टेट्रा नेटवर्क: TEA2 स्थिर कुंजी के साथ एन्क्रिप्टेड
  • ब्रिटेन Airwave टेट्रा नेटवर्क: TEA2 TEA2 साथ एन्क्रिप्टेड

यह नया डिजिटल रेडियो के लिए पुराने अनुरूप उम्र से है कि नए पुलिस और बचाव सेवा हैकिंग वापस आ रहा है देखने के लिए वास्तव में मजा आएगा :-)

शेयर

तारांकन 1.8 के साथ लैंडलाइन फोन कॉल करने के लिए एन्क्रिप्टेड मोबाइल

हम पर एक तकनीकी howto जारी सिर्फ लैंडलाइन वीओआईपी बुनियादी सुविधाओं के लिए सुरक्षित मोबाइल का निर्माण करने के तरीके के साथ:

अगले सप्ताह दूसरों howto में यह एक तरह ऐसे FreeSWITCH, पारदर्शिता और opensource सुरक्षा प्रौद्योगिकियों का लाभ उठाने की भावना में सभी के रूप में अन्य सर्वर प्लेटफार्मों का उपयोग करके बाहर आ जाएगा.

शेयर

क्रिप्टोग्राफी विनियमन के आठ महाकाव्य विफलता

पर एक बहुत रोशन लेख क्रिप्टोग्राफी विनियमन के आठ महाकाव्य विफलता और तकनीक कैसे काम करता है पर एक व्यापक दृष्टिकोण नहीं है कि सरकारी नियामकों द्वारा आम गलतफहमी.

अज्ञानी सरकारी नियामकों सख्त विनियमन निम्नलिखित कमियां होता है कि समझ नहीं है:

  1. यह सुरक्षा जोखिम पैदा करेगा
  2. यह बुरे लोगों को रोक नहीं होगा
  3. यह नवाचार को नुकसान होगा
  4. यह अमेरिकी व्यापार को नुकसान होगा
  5. यह उपभोक्ताओं को खर्च होंगे
  6. यह असंवैधानिक होगा
  7. यह कर डॉलर के एक विशाल परिव्यय होगा

शेयर

PrivateGSM: ZRTP या SRTP / SDES साथ ब्लैकबेरी iPhone / / नोकिया मोबाइल आवाज एन्क्रिप्शन

मैं पूरी तरह से उत्पाद के किसी भी प्रकार के प्रचार करने के लिए अपने स्वयं के व्यक्तिगत ब्लॉग का उपयोग करने से बचें.

उस समय यह अलग नहीं है, लेकिन मैं तुम्हें मैं फैंसी विपणन के बिना पर काम उत्पादों के बारे में तथ्यों को बताना चाहता हूँ, लेकिन तकनीकी रह.

आज, पर PrivateWave मैं कहाँ हूँ सीटीओ और सह संस्थापक , हम सार्वजनिक रूप से ब्लैकबेरी, iPhone और नोकिया के लिए मोबाइल वीओआईपी एन्क्रिप्शन उत्पादों जारी:

  • साथ 1 कभी ब्लैकबेरी एन्क्रिप्टेड वीओआईपी ZRTP - PrivateGSM वीओआईपी व्यावसायिक
  • साथ 1 कभी iPhone एन्क्रिप्टेड वीओआईपी ZRTP - PrivateGSM वीओआईपी व्यावसायिक
  • साथ 1 कभी ब्लैकबेरी एन्क्रिप्टेड वीओआईपी ग्राहक एसआईपी / टीएलएस अधिक SDES कुंजी विनिमय के साथ SRTP - PrivateGSM वीओआईपी एंटरप्राइज

लोगो privatewave-colore.png

PrivateWave में हम वहाँ से बाहर सबसे अधिक आवाज एन्क्रिप्शन कंपनी के लिए एक अलग दृष्टिकोण सम्मान का उपयोग, हमारे पढ़ने के लिए सुरक्षा के दृष्टिकोण .

प्रौद्योगिकी और उद्योग के परिदृश्य में इस उत्पाद की प्रासंगिकता पालन के रूप में संक्षेप किया जा सकता है:

  • यह केवल मानकों सुरक्षा प्रोटोकॉल (और यह सीएसडी की विरासत से आ रही मालिकाना तकनीक ही मूल्य प्रदान नहीं कर सकते स्पष्ट है कि के रूप में हम बाजार प्रतिक्रिया होगी उम्मीद है) का उपयोग कर पहली आवाज एन्क्रिप्शन कंपनी है
  • यह केवल खुला स्रोत और मानक एन्क्रिप्शन इंजन का उपयोग करने के लिए आवाज एन्क्रिप्शन में पहले दृष्टिकोण है
  • यह विभिन्न तकनीकों का प्रयोग कर विभिन्न सुरक्षा मॉडल उपलब्ध कराने के लिए पहली आवाज एन्क्रिप्शन दृष्टिकोण (के लिए अंत करने के लिए अंत है ZRTP और अंत करने के लिए साइट के लिए SRTP )

पेशेवर सुरक्षा के लिए बनाया गया मोबाइल सिक्योर ग्राहकों की उन सूट, सबसे अच्छा दूरसंचार और सुरक्षा प्रौद्योगिकियों, अच्छा प्रदर्शन भी खराब नेटवर्क की स्थिति में साथ साथ सुरक्षा के एक उच्च डिग्री प्रदान का उपयोग केवल का उपयोग करें:

आवेदन कर रहे हैं:

icona-pgsm.png

समर्थित मोबाइल उपकरणों रहे हैं:

के बारे में ZRTP हम सभी सुरक्षा और कुछ थोड़ा इसके साथ प्रोटोकॉल के पागल सुविधा तनाव और खिंचाव का फैसला किया:

हमारी सख्त पता पुस्तिका एकीकरण से परे चला जाता है ZRTP आरएफसी क्योंकि मोबाइल स्क्रीन पर देखने के लिए नहीं के उपयोगकर्ता व्यवहार के मोबाइल फोन पर इस्तेमाल किया जब कुछ हमले के लिए असुरक्षित हो सकता है कि विनिर्देश,.

ZRTP इस तरह की स्थितियों को कम करने का उपयोग करने की हमारी paranoy तरह, हम बाद में इस बारे में लिखने के लिए और / या आरएफसी शामिल किए जाने के लिए विशिष्ट जानकारी जोड़ने जाएगा.

ZRTP साथ अंत से अंत एन्क्रिप्शन के साथ PrivateGSM व्यावसायिक पर कुछ शब्द

पढ़ें तकनीकी चादर वहाँ!

करने के लिए डाउनलोड यह यहाँ क्लिक करें और बस अपना फोन नंबर डाल

उन अधिक के लिए एक मुश्किल ऑपरेटिंग वातावरण (गंदा मोबाइल नेटवर्क और गंदा मोबाइल ऑपरेटिंग सिस्टम) में चुनौतीपूर्ण प्रौद्योगिकियों (आवाज एन्क्रिप्शन) पर सब मेरे बहुत कुशल कर्मचारियों की कड़ी मेहनत (16 व्यक्तियों को 3 अलग अलग प्लेटफार्मों के लिए इस 6 परियोजनाओं पर काम किया है) का परिणाम हैं 2 साल से.

मैं हमारे स्टाफ का बहुत गर्व है!

आगे क्या?

अगले कुछ हफ्तों में आपको ऐसे तारक, freeswitch और मुझे यकीन है कि कुछ रोमांचक अन्य सुरक्षा प्रौद्योगिकी खबर के साथ, पीबीएक्स सक्रिय अन्य सुरक्षा के साथ एकीकरण के रूप में documentations की प्रमुख सेट के रिहा देखेंगे देखा जाएगा ;)

यह एक मुश्किल काम हो गया है और अधिक किया जाना है लेकिन मैं सुरक्षा और opensource समुदाय एक बहुत ही राजनीतिक रूप से तटस्थ (मुक्त पिछले दरवाजे) तकनीक बनाने कि खुले महत्वपूर्ण विज्ञप्ति और खुला स्रोत एकीकरण के साथ भी इस तरह के उत्पादों और हमारे पारदर्शी दृष्टिकोण की तरह विश्वास है कि .

शेयर

अच्छा वीपीएन प्रदाता के एक जोड़े

एक इंटरनेट गर्त एक वीपीएन का उपयोग करने की आवश्यकता होगी कारण है की एक बहुत हैं.

आप कुछ सामग्री (विरोधी स्थानीय सरकारी वेबसाइट, अश्लील, आदि की तरह) और / या प्रोटोकॉल (स्काइपे की तरह, वीओआईपी) अवरुद्ध एक देश में रहते हैं उदाहरण के लिए यदि आप शायद का उपयोग करके बुरा अवरुद्ध देश के बाहर अपने इंटरनेट कनेक्टिविटी स्थानांतरित करने के लिए चाहते हो जाएगा एन्क्रिप्टेड वीपीएन सुरंगों.

मैं कई मेजबानी वीपीएन सर्वर का मूल्यांकन किया और उनमें से एक जोड़ी ऐसी सेवाओं के व्यापक पेशकश के बीच काफी अच्छा लग रहा है:

SwissVPN

स्विट्जरलैंड से इंटरनेट से बाहर निकलें.

6 स्विस फ्रैंक / महीने खर्च

वैकल्पिक सार्वजनिक निर्धारित आईपी पते

अगर आप की जरूरत उपयोगी:

  • बस अच्छा उच्च बैंडविड्थ के साथ स्थानीय देश फिल्टर बायपास
  • वैकल्पिक निश्चित सार्वजनिक आईपी पते के साथ सार्वजनिक सेवाओं के गर्त वीपीएन बेनकाब.

Overplay

20 विभिन्न देशों (आप कनेक्ट हर समय) के बीच चुनने के द्वारा इंटरनेट से बाहर निकलें.

उपयोगी तुम क्या करने की जरूरत है:

  • प्रतिद्वंद्वी पर व्यापार खुफिया (उन्हें जोड़ने जब देश एक्स से आने के लिए प्रदर्शित)
  • फिल्म देखने / टेलीफिल्म केवल राष्ट्रीय आईपी वेब रिक्त स्थान से अनुमति
  • विभिन्न देशों के बीच गूगल के परिणामों को देखने

शेयर

हर वक्र अण्डाकार ही नहीं है: ईसीसी सुरक्षा पर गर्त

 मेरा अपना ईसीसी वक्र सुरक्षा और चयन विश्लेषण

vn9jna1BdgrzDCYNBJHi09q09q.jpg

अधिकांश आधुनिक क्रिप्टो उपयोग अण्डाकार वक्र क्रिप्टोग्राफिक (ईसीसी) कि, एक छोटे कुंजी आकार और, अभिकलन शक्ति को कम डीएच (डिफ्फी-Hellman) या आरएसए (रिवेस्ट, शमीर और Adleman) के रूप में जाना पारंपरिक क्रिप्टो प्रणाली के समकक्ष सुरक्षा ताकत देने के साथ.

हर कोई नहीं ईसीसी एन्क्रिप्शन भविष्य के किसी भी एन्क्रिप्शन अनुप्रयोगों के लिए और भी टीएलएस / एसएसएल (एन्क्रिप्शन वेब को हासिल करने के लिए प्रयोग किया जाता है) ईसीसी के लिए आगे बढ़ रहा है कि चयनित है कि जानता है.

मैं बहुत भी इस्तेमाल किया हो ईसीसी क्रिप्टो की तरह है जो निर्दिष्ट किए बिना मनमाना उपयोग ईसीसी बिट कुंजी आकार के लिए करते हैं कि ईसीसी विकल्प के साथ चला जाता है के लिए आरएसए और DH छोड़ दिया जो तथाकथित "मालिकाना एन्क्रिप्शन उत्पादों" का पाया.

हालांकि वहाँ एक अण्डाकार curves के आसपास भ्रम का बहुत कुछ, कुछ क्रिप्टो सामान का मूल्यांकन करते समय अपनी खुद की आकृति बनाने के लिए एक गैर क्रिप्टोग्राफी से अनुभवी उपयोगकर्ता के लिए मुश्किल बनाने के अलग अलग नाम और कुंजी आकार का एक बहुत कुछ के साथ.

क्योंकि इतनी दूर तक फैला भ्रम का मैं उपयोग करने के लिए सबसे अच्छा ईसीसी एन्क्रिप्शन घटता है और सही ईसीसी कुंजी आकार के होते हैं जो पता लगाने के लिए अपना खुद का विश्लेषण करने का फैसला किया.

इस विश्लेषण में कई मानकों और सुरक्षा प्रोटोकॉल में उठाए गए विभिन्न विकल्पों का सारांश, जो पहले साल के दौरान किया गया गया है कि गणितीय और क्रिप्टो विश्लेषणात्मक विचार छोड़ रहा है, विभिन्न घटता है और कुंजी आकार के बीच एक सुरक्षा उद्योग आधारित विकल्प प्रदान करना चाहते हैं.

पहला निष्कर्ष.

मेरे विश्लेषण से ही निम्न ईसीसी घटता विभिन्न अधिकारियों के बीच चयनित केवल एक (एएनएसआई, एनएसए, शिथिलता, NIST, ईसीसी BrainPool), विभिन्न सुरक्षा प्रोटोकॉल मानकों (IPSec, OpenPGP, ZRTP, क्योंकि एन्क्रिप्शन सिस्टम में इस्तेमाल के लिए विचार किया जाना है करबरोस, एसएसएल / टीएलएस) और केवल एक मिलान एनएसए सूट बी सुरक्षा आवश्यकताओं (de-कार्योत्तर नाटो सैन्य पर्यावरण के लिए भी मानक):

  • अण्डाकार प्रधानमंत्री वक्र 256 बिट - पी -256
  • अण्डाकार प्रधानमंत्री वक्र 384 बिट - पी 384

वैकल्पिक साथ, अभी और अधिक कुंजी आकार थोड़ा प्राप्त करना चाहते हैं कि वास्तव में पागल के लिए, अभी भी उपयोगी नहीं माना जाता है:

  • अण्डाकार प्रधानमंत्री वक्र 521 बिट - पी-521

मुझे लगता है वे क्रिप्टो विश्लेषणात्मक गतिविधि पर पर्याप्त वारंटी नहीं है और प्रभावी रूप से वे कर रहे हैं Koblitz घटता (163/283/409/571) किसी भी कुंजी आकार में, बचा जाना चाहिए कि राज्य के लिए करना चाहते हैं:

  • एनएसए सुइट बी क्रिप्टोग्राफी चयन का हिस्सा नहीं
  • ईसीसी Brainpool चयन का हिस्सा नहीं
  • एएनएसआई X9.62 चयन का हिस्सा नहीं
  • OpenPGP ईसीसी विस्तार चयन का हिस्सा नहीं
  • ईसीसी वक्र चयन के लिए Kerberos विस्तार का हिस्सा नहीं

मैं भी गहरी तकनीकी पृष्ठभूमि के बिना, लेकिन कम से कम क्रिप्टोग्राफी का एक कुछ बुनियादी बिट एक अच्छा तकनीकी पृष्ठभूमि के साथ समझा जा सकता है कि बुनियादी बातों को समझने के लिए मेरे विश्लेषण गर्त का पालन करने के लिए पाठक को आमंत्रित करते हैं.

 यहाँ हम विश्लेषण के साथ जाना
 

मेरा लक्ष्य है पर / कैसे एक विश्लेषण करने के लिए है खुला वैज्ञानिक और IETF RFC (एक खुला और सहकर्मी की समीक्षा की तरह इंटरनेट मानकों को परिभाषित जो) द्वारा परिभाषित सुरक्षा प्रोटोकॉल और मानकों में उपयोग के लिए सुरक्षा समुदाय चयन ईसीसी क्रिप्टो प्रणाली.

उपयोग करने के लिए बेहतर है और क्या बाहर करने के लिए क्या बेहतर है समझने के लिए विश्लेषण किया जाना है कि मौजूदा सिस्टम में आरएफसी शुरू करने ईसीसी का एक सेट के नीचे:

  • RFC5639 : ईसीसी Brainpool मानक घटता और वक्र पीढ़ी
  • RFC4869 : IPsec के लिए एनएसए सूट बी क्रिप्टोग्राफिक सूट
  • RFC5430 : ट्राँस्पोर्ट लेयर सुरक्षा (TLS) के लिए राष्ट्रीय सुरक्षा सलाहकार सूट बी प्रोफाइल
  • RFC5008 : सुरक्षित / बहुउद्देशीय इंटरनेट मेल एक्सटेंशन में एनएसए सूट बी (एस / माइम)
  • RFC3766 : सममित कुंजी आदान प्रदान के लिए प्रयुक्त सार्वजनिक कुंजियां के लिए निर्धारण ताकत
  • RFC5349 : करबरोस में प्रारंभिक प्रमाणीकरण के लिए सार्वजनिक कुंजी क्रिप्टोग्राफी (PKINIT) के लिए अण्डाकार वक्र क्रिप्टोग्राफी (ईसीसी) समर्थन
  • RFC4492 : ट्राँस्पोर्ट लेयर सुरक्षा (TLS) के लिए अण्डाकार वक्र क्रिप्टोग्राफी (ईसीसी) साइफर सूट
  • ZRTP आवाज एन्क्रिप्शन फिलिप ज़िम्मरमैन ईसीसी वक्र द्वारा
  • OpenPGP में ईसीसी (मसौदा घ बेड़ा-jivsov-OpenPGP-ECC-06 )
  • के लिए माइक्रोसॉफ्ट द्वारा चयनित ईसीसी घटता स्मार्ट कार्ड करबरोस लॉगिन

हम वैज्ञानिक हमारे मूल्यांकन का हिस्सा बनाने के लिए इंटरनेट सुरक्षा प्रोटोकॉल को परिभाषित द्वारा किए गए चुनाव का प्रयोग करेंगे.
इसके अतिरिक्त यह वक्र चयन छोड़ करने के लिए क्या उपयोग करने के लिए और क्या उद्योग को बताने के क्रम में घटता का अपना चयन किया है कि विभिन्न अधिकारियों से आता है कि समझ में आ जाना चाहिए:

हम अपने मूल्यांकन का हिस्सा बनाने के लिए मानकीकरण एजेंसियों में सुरक्षा आवश्यकताओं को परिभाषित वैज्ञानिक द्वारा किए गए विकल्प का उपयोग करेगा.
इसके अतिरिक्त, कुछ ज्यादातर लोगों को पता नहीं है, लेकिन यह हमारे विश्लेषण के लिए बेहद प्रासंगिक है, ईसीसी वक्र क्रिप्टोग्राफी और उनके "आकार" यह वक्र के प्रकार पर निर्भर करता है अलग है की अलग तरह की है कि वहाँ है:

  • प्रधानमंत्री फील्ड से अधिक ईसीसी घटता (अक्सर अण्डाकार वक्र के रूप में जाना जाता है और पी keysize द्वारा प्रतिनिधित्व)
  • बाइनरी फील्ड से अधिक ईसीसी घटता (अक्सर Koblitz वक्र के रूप में जाना जाता है और कश्मीर keysize द्वारा प्रतिनिधित्व)

Given a security strength equivalence the Elliptic Curve and the Kobliz Curve have different key size, for example when we read ECC 571 we are referring to Koblitz Curve with an equivalent strength to ECC 521 Prime curve.

A comparison of strength between Elliptic Curves and Kotbliz Curves is reported below (from Mikey ECC internet Draft ):

 | Koblitz | ईसीसी | डीएच / डीएसए / आरएसए
 | 163 | 192 | 1024
 | 283 | 256 | 3072
 | 409 | 384 | 7680
| 571 | 521 | 15360

नीचे सभी विभिन्न संस्थाओं और उनके संबंधित नाम (से तक सभी चयनित घटता की तुलना नहीं है टीएलएस लिए ईसीसी उपयोग के लिए IETF RFC4492 ):

Curve names chosen by different standards organizations
------------+---------------+-------------
 SECG | एएनएसआई X9.62 | NIST
------------+---------------+-------------
sect163k1 | | NIST K-163
sect163r1 | |
 sect163r2 | | NIST बी 163
sect193r1 | |
 sect193r2 | |
sect233k1 | | NIST K-233
 sect233r1 | | NIST बी -233
sect239k1 | |
sect283k1 | | NIST K-283
sect283r1 | | NIST B-283
sect409k1 | | NIST K-409
 sect409r1 | | NIST बी 409
 sect571k1 | | NIST कश्मीर-571
 sect571r1 | | NIST बी 571
secp160k1 | |
secp160r1 | |
 secp160r2 | |
 secp192k1 | |
 secp192r1 | prime192v1 | NIST, पी 192
secp224k1 | |
secp224r1 | | NIST P-224
secp256k1 | |
 secp256r1 | prime256v1 | NIST, पी 256
 secp384r1 | | NIST, पी 384
 secp521r1 | | NIST, पी 521
------------+---------------+-------------

क्या तुरंत दिखाई सभी अधिकारियों द्वारा चयनित केवल दो घटता है कि वहाँ है, और केवल सामान्यतः 3 अधिकारियों के बीच सहमति व्यक्त ANSI.The द्वारा koblitz घटता की डंपिंग एक सामान्य वहाँ है कि दो ईसीसी वक्र हैं:

  • secp192r1 / prime192v1 / NIST, पी 192
  • secp256r1 / prime256v1 / NIST, पी 256

टीएलएस लिए ईसीसी की अवस्था के उन लोगों के चयन की RFC5430 पूरी koblitz घटता को छोड़ दिया और केवल उपयोग के लिए चयनित:

  • P-256, P-384, P-521

ईसीसी Brainpool पूरी Koblitz घटता को छोड़ दिया और उपयोग निम्नलिखित ईसीसी घटता के लिए चयनित:

  • पी 160, पी 192, पी 224, पी 256, पी 320, पी 384, पी 512 (यह पी 521 लेकिन पी 512, नहीं है क्योंकि कि केवल विशेष है द्वारा संदर्भित कुंजी आकार केवल से ईसीसी brainpool. Tnx इयान सिमंस एथेना एससीएस )

पीजीपी घ में ईसीसी उपयोग के लिए OpenPGP इंटरनेट मसौदा बेड़ा-jivsov-OpenPGP-ECC-06 पूरी तरह से Koblitz घटता को छोड़ दिया और निम्न ईसीसी घटता चयनित

  • P-256, P-384, P-521

The Kerberos protocol extension for ECC use, defined in RFC5349 and defined by Microsoft for smartcard logon skipped completely Koblitz curves and selected the following ECC curves:

  • P-256, P-384, P-521

तो, Koblitz वक्र (IPSec, OpenPGP, ZRTP, करबरोस, एसएसएल टॉप सीक्रेट उपयोग के लिए और किसी भी सुरक्षा के प्रति संवेदनशील प्रोटोकॉल के लिए छोड़ दिया गया है, जबकि ईसीसी का सही चयन पी 256, पी 384 और पी 521 के लिए है कि स्पष्ट लगता है / टीएलएस).

Why i made this analysis?

I have done this analysis following a discussion i had regarding certain voice encryption products, all based on custom and proprietary protocols, that are all using Elliptic Curve Diffie Hellman 571 bit / ECDH 571 / 571-bit ECDH / Koblitz 571 bits .
सभी उन्हें पहले वर्णित के रूप में, सभी सुरक्षा संवेदनशील पर्यावरण और प्रोटोकॉल से हटा दिया है और अपने आप को मैं अपने क्रिप्टोग्राफिक चुनाव बिल्कुल सबसे अच्छा सुरक्षा विकल्प नहीं लगता है कि आवाज एन्क्रिप्शन सामान की एक डिजाइनर होने के नाते किया गया है, कि कश्मीर-571 का उपयोग कर रहे हैं.
Probably it has been done just for marketing purpose, because K-571 (Koblitz curve) seems stronger than P-521 (Elliptic curve based on Prime number). If you have “more bit” your marketing guys can claim to be “more secure”. Koblitz अण्डाकार वक्र शीर्ष गुप्त सक्षम प्रधानमंत्री अण्डाकार वक्र की तुलना में तेजी से कर रहे हैं और इसलिए उत्पाद प्रबंधक कुंजी विनिमय उपवास रखते हुए यह है खुद के उत्पाद में "अधिक बिट" प्रदान करने के लिए एक मौका दे.

It's a matter of philosophical choice.

I prefer to follow the trend of scientific community with the humility of not to considering myself a cryptographic expert, knowledgable more than the overall security and scientific community itself.

I prefer instead to use only algorithms that are approved for use in highly sensitive environments (top secret classification), that have been selected by all the authorities and working group analyzing encryption algorithms existing out-there and that represent the choice of almost all standard security protocols (IPSec, OpenPGP, ZRTP, Kerberos, SSL/TLS, etc).
I prefer to count the amount of brains working on the crypto i use, that check that's really secure, that evaluate whether there's some weakness.

The number of brais working on Crypto widely diffused are of order of magnitude more than the number of brains working on crypto used by just few people (like Koblitz curve).
So i am not demonizing who use ECDH 571 using Koblitz Curve, but for sure i can affirm that they did not taken the best choice in terms of security and that any security professionals doing a security benchmarking would consider the fact that Elliptic Curve Diffie Hellman 571 bit done with Koblitz Curve is not widely diffused, it's dumped from standard security protocols and it's not certified for top secret use.

शेयर

ESSOR, यूरोपीय सिक्योर सॉफ्टवेयर निर्धारित रेडियो (एसडीआर)

I had a look at European Defense Agency website and found the ESSOR project, a working project funded for 106mln EUR to develop strategic defense communication products based on new Software Defined Radio approach.

SDR approach is a revolutionary system that's completely changing the way scientist and industry is approach any kind of wireless technology.

Basically instead of burning hardware chip that implement most of the radio frequency protocols and techniques, they are pushed in “software” to specialized radio hardware that can work on a lot of different frequency, acting as radio interface for a lot of different radio protocols.

For example the USRP (Universal Software Radio Peripheral) from Ettus Research that cost 1000-2000USD fully loaded, trough the opensource GnuRadio framework, have seen opensource implementation of:

And a lot more protocols and transmission technologies.

That kind of new approach to Radio Transmission System is destinated to change the way radio system are implemented, giving new capability such as to upgrade the “radio protocol itself” in software in order to provide “radio protocol” improvements.

In the short terms we have also seen very strong security research using SDR technologies such as the GSM cracking and the Bluetooth Sniffing .

We can expect that other technologies, weak by design but protected by the restriction to hardware devices to hack the low level protocols, will be soon get hacked. In the first list i would really like to see the hacking of TETRA, a technology born with closed mindset and secret encryption algorithms, something i really dislike ;-)

शेयर

Remotely intercepting snom VoIP phones

I suggest reading remotely tapping VoIp phones ” on VoIP Security Alliance Blog by Shawn Merdinger .

A concrete example on how current telephony infrastructure are getting more vulnerable to cyber attacks.

शेयर

Voice communication security workshop

हाय,

i made a talk about voice communication security technologies at University of Trento following an interesting information exchange with Crypto Lab managed Professor Massimiliano Sala .

I suggest interested people to read it, especially the second part, as there is an innovative categorization of the various voice encryption technologies that get used in several sectors.

I tried to explain and get out from this widely fragmented technological sector by providing a wide overview on technologies that usually are absolutely unrelated one-each-other but practically they all apply to voice encryption following that categorization:

  • Mobile TLC Industry voice encryption standards
  • Government and Military voice encryption standards
  • Public safety voice encryption standards
  • IETF voice encryption standards
  • Misc proprietary voice encryption technologies

It's a huge slideware, 122 slides, i suggest to go reading the 2nd part skipping interception technologies overview already covered by my presentation of 2009.

Voice communication security

विशेष रूप से मैं साँप तेल एन्क्रिप्शन अवधारणा पर कुछ नवीनता प्रदान करना चाहते हैं कि चॉकलेट ग्रेड एन्क्रिप्शन की अवधारणा की तरह.

लेकिन मैं चॉकलेट ग्रेड एन्क्रिप्शन संदर्भ के बारे में गहराई में अधिक पाने की जरूरत है, शायद समझ पर लागू पाठ्यक्रम उपलब्ध कराने और विभिन्न आवाज एन्क्रिप्शन प्रौद्योगिकी का व्यावहारिक रूप से वास्तविक सुरक्षा प्रसंग का मूल्यांकन द्वारा अंत के वर्ष से पहले क्या करेंगे.

शेयर

27C3 – CCC Congress CFP: We come in peace

We come in peace

189322778_8cb9af1365_m.jpg

We come in peace, said the conquerers of the New World.

We come in peace, says the government, when it comes to colonise, regulate, and militarise the new digital world.

We come in peace, say the nation-state sized companies that have set out to monetise the net and chain the users to their shiny new devices.

We come in peace, we say as hackers, geeks and nerds, when we set out towards the real world and try to change it, because it has intruded into our natural habitat, the cyberspace…

Call for paper for participation to 27C3 CCC congress is open, and i never saw a so exciting payoff :-)

See you on 30 December 2010 in Berlin!

शेयर

जीएसएम प्रवेश परीक्षा के तरीके (OSSTMM) में खुर?

As most of this blog reader already know, in past years there was a lot of activities related to public research for GSM auditing and cracking.

हालांकि जीएसएम खुर शोध के परिणामों के लिए बड़ा मीडिया कवरेज था जब वहाँ, उपकरण टूटेंगे अभी भी बहुत अक्षम वास्तव में प्रारंभिक चरण था और बनाने के लिए.

Now Frank Stevenson , norwegian cryptanalyst that already broke the Content Scrambling System of DVD video disc, participating to the A51 cracking project started by Karsten Nohl , released Kraken , a new improved version of the A51 cracking system.

यह पहली बार है कि वाईफाई WEP टूटेंगे खोज पहले तकनीक में काफी धीमी थी लेकिन बाद में Korek, खुर कोड पर काम कर रहे एक हैकर, drammatically हमले प्रणाली में सुधार के रूप में वाईफ़ाई खुर, एक ऐसी ही कहानी थी सूचना के लिए दिलचस्प है.

That's the story of security research cooperation, you start a research, someone follow it and improve it, some other follow it and improved it and at the end you get the result.

पर और अधिक पढ़ें Kraken जीएसएम क्रैकिंग सॉफ्टवेयर रिलीज .

और Blackhat सम्मेलन कर्स्टन Nohl में अगले सप्ताह के रूप में देखते रहने के लिए आवश्यक के विवरण की व्याख्या करेगा हार्डवेयर सेटअप और यह कैसे करना है पर विस्तृत निर्देश :-)

I would really like to see those tools incorporated into Penetration Testing Linux Distribution BackTrack with OSSTMM methodology enforcing the testing of GSM interception and man in the middle :-)

If things proceed that way and Ettus Research (The producer of USRP2 software radio used for low cost GSM signal receiving) will not be taken down, we can still see this.

शेयर

Snake-oil security claims on crypto security product

Security market grow, more companies goes to the market, but how many of them are taking seriously what they do?

आप सुरक्षा प्रौद्योगिकी आप उपयोगकर्ता की जानकारी की सुरक्षा के लिए व्यक्तिगत रूप से जिम्मेदार हैं, इसका मतलब यह कर रही है, पता है. आप अपने कर रहे हैं और खतरा मॉडल की तरह है जो अपने उत्पाद की रक्षा क्या वास्तव में, वे क्या जरूरत के लिए उन्हें जागरूक करना चाहिए.

उत्पाद की सुरक्षा सुविधाओं का एक विशिष्ट समस्या उत्पाद खुद की सुरक्षा के दावों का मूल्यांकन करने के लिए उपयोगकर्ता की अक्षमता का प्रतिनिधित्व करती है.

तो कोई उपयोगकर्ता यह मूल्यांकन करने में सक्षम हो जाएगा कि तथ्यों के आधार पर सुरक्षा सुविधाओं की एक नहीं, तो कुछ नैतिक विपणन कर एक बहुत कंपनियों, वहाँ है.

पहले समझाया स्थिति साँप तेल एन्क्रिप्शन, हमें आज backdoors या असुरक्षा के बारे में बहुत ज्यादा चिंता करने के लिए बिना नस्ल सूचना सुरक्षा प्रौद्योगिकी का सबसे अच्छा उपयोग करते हैं कि वैज्ञानिक क्रिप्टोग्राफिक वातावरण में एक विकास की सुरक्षा के विषय में रहते हैं.

के बारे में साँप तेल एन्क्रिप्शन बोलने दो.

साँप का तेल क्रिप्टोग्राफी : में क्रिप्टोग्राफी , सांप के तेल वाणिज्यिक क्रिप्टोग्राफ़िक विधियों और फर्जी या धोखाधड़ी माना जाता है जो उत्पादों का वर्णन शब्द का इस्तेमाल किया है. असुरक्षित क्रिप्टोग्राफी से सुरक्षित क्रिप्टोग्राफी भेद एक उपयोगकर्ता की दृष्टि से मुश्किल हो सकता है. जैसे कई cryptographers, ब्रूस Schneier और फिल ज़िम्मरमैन , क्रिप्टोग्राफी कैसे सुरक्षित किया जाता है में जनता को शिक्षित करने का कार्य है, साथ ही कुछ क्रिप्टोग्राफिक उत्पादों की भ्रामक विपणन को उजागर करने के रूप में.

सबसे संदर्भित क्रिप्टो सुरक्षा गुरु, फिलिप ज़िम्मरमैन और ब्रूस Schneier, साँप तेल एन्क्रिप्शन के बारे में बात करने के लिए 1 था:

साँप का तेल फिलिप ज़िम्मरमैन द्वारा

साँप का तेल ब्रूस Schneier द्वारा

मिशिगन दूरसंचार और प्रौद्योगिकी कानून की समीक्षा भी सुरक्षा उत्पाद की सुरक्षा सुविधाओं से संबंधित एक बहुत अच्छा विश्लेषण किया, साँप का तेल सुरक्षा उत्पाद सुरक्षा की "व्यवस्थित गलत बयानी दावा . वे मूल्यांकन करने के लिए उपयोगकर्ताओं असमर्थता tweak करने के लिए प्रयोग किया जाता है बुरा विपणन चाल के बारे में समझाना आर्थिक और कानूनी जिम्मेदारी के निहितार्थ सहित सुरक्षा सुविधाओं,.

Very famous is the sentence of Russ Nelson : कई सांप के तेल सुरक्षा उत्पाद कंपनियों की व्याख्या नहीं करता है और उत्पाद पर लागू करने के लिए जो खतरे के मॉडल के बारे में स्पष्ट नहीं कर रहे हैं बहुत प्रसिद्ध की सजा है. Russ नेल्सन :

"एक खतरा मॉडल के बिना, क्रिप्टो याद रखें दूध के बिना कुकीज़ की तरह है. ..... एक खतरा मॉडल के बिना क्रिप्टोग्राफी सेब पाई के बिना मातृत्व की तरह है. कि बहुत बार कह नहीं सकते. आम तौर पर, एक खतरा मॉडल के बिना सुरक्षा परिभाषा विफल करने के लिए जा रहा है. "

तो, सांप के तेल सुरक्षा उत्पादों हाजिर करने के लिए कैसे?

: नाग तेल एन्क्रिप्शन उत्पाद हाजिर करने के लिए एक दिशानिर्देश जाँच से बचने के लिए साँप तेल चेतावनी के संकेत, एन्क्रिप्शन सॉफ्टवेयर द्वारा मैट कर्टिन .

आप यह बहुत अच्छा देख सकते हैं क्रिप्टोग्राफिक साँप तेल उदाहरण हैं कि क्रिप्टोग्राफिक साँप तेल हाजिर करने के बारे में स्पष्ट उदाहरण बनाने की कोशिश की Emility Ratliff (लिनक्स सुरक्षा में आईबीएम वास्तुकार) से.

यहाँ से बुनियादी दिशानिर्देश प्रतिनिधित्व मैट कर्टिन कागज:


बताते हैं कि जाँच करके यह एक एन्क्रिप्शन तकनीक या उत्पाद कितना गंभीर है मूल्यांकन करने के लिए संभव है.

लेकिन सब में है कि कैसे अनैतिक सुरक्षा दृष्टिकोण तय करने के लिए?

यह बहुत अभिप्रायपूण है और यह कुछ दृढ़ता और स्वतंत्र मूल्यांकन दिशानिर्देश (जैसे बनाने के लिए सुरक्षा उत्पाद श्रेणी के प्रत्येक प्रकार के लिए वास्तव में उपयोगी होगा OSSTMM प्रवेश के परीक्षण के लिए), उपयोगकर्ता के हाथों में वास्तव में इस सुरक्षा मूल्यांकन प्रक्रिया बनाने के लिए.

यह किसी साँप तेल के संकेत के बारे में रिपोर्ट प्रकाशित करने, सुरक्षा उत्पाद कंपनियों के विश्लेषण और मूल्यांकन कर रही है करने के लिए भी बहुत अच्छा होगा.

शेयर

मोबाइल क्षुधा में web2.0 गोपनीयता रिसाव

आप web2.0 दुनिया यह शुरू होता गोपनीयता और उपयोगकर्ताओं से संबंधित किसी भी तरह (रूपरेखा, रूपरेखा, रूपरेखा) के रिसाव की खूब पता है कि संबंधित जा रहा है इसके बारे में.

उपयोगकर्ता लगातार उदाहरण के लिए, वे क्या कर का विवरण जानने के बिना आवेदन पत्र डाउनलोड iFart , शांत कर रहे हैं मज़ा कर रहे हैं और कुछ समय उपयोगी होते हैं सिर्फ इसलिए.

thumb.php.jpg

मोबाइल फोन पर उपयोगकर्ताओं को एक पीसी पर से 10.000% अधिक आवेदन करने के लिए ऊपर 1000% से स्थापित है, और उन क्षुधा मैलवेयर हो सकता है या अन्य अप्रत्याशित कार्यक्षमताओं.

हाल ही में विश्लेषण किया infobyte ubertwitter ग्राहक और ग्राहक लीक और इस तरह के रूप में अपने सर्वर कई निजी और संवेदनशील डेटा को भेज रहा था कि पता चला:

- ब्लैकबेरी पिन

- फोन नंबर

- ईमेल एड्रेस

- भौगोलिक स्थिति की जानकारी

UbertTwitter पढ़ने के बारे में यहाँ 'स्पाइवेयर' सुविधाओं की खोज द्वारा infoByte .

यह निजी और संवेदनशील जानकारी लीक अनुप्रयोगों के बहुत सारे है, लेकिन अभी कोई भी इसे देख सकते है.

अनिवार्य चाहिए डेटा प्रतिधारण और गोपनीयता नीतियों मोबाइल आवेदन के लिए आवेदन विकास और प्रस्तुत करने के दिशानिर्देश का हिस्सा बन गया?

Imho एक उपयोगकर्ता केवल आवेदन क्षमताओं और एपीआई के उपयोग के बारे में चेतावनी दी नहीं होना चाहिए, लेकिन यह भी क्या यह मोबाइल फोन के अंदर संभाल करने के लिए जा रहा है जानकारी की तरह है जो के साथ क्या होगा.

क्षमताओं जियोलोकेशन एपीआई का उपयोग करने के लिए उदाहरण के लिए, एक निश्चित functionalities का उपयोग करने के लिए आवेदन अधिकृत मतलब है, लेकिन आवेदन क्या करेंगे और एक बार उपयोगकर्ता यह अधिकृत है ऐसी जानकारी जो प्रदान करेगा करने के लिए?

यह सूचना के आधार पर नहीं है और डिवाइस की क्षमताओं का उपयोग करने के लिए आवेदन प्राधिकरण / अनुमति के सम्मान पर ध्यान केंद्रित है, क्योंकि मोबाइल फोन निर्माता प्रदान नहीं करता है और वे चाहिए कि एक सुरक्षा रूपरेखा स्तर है.

पी एस हाँ! ठीक है! मैं सहमत हूँ! विषय गर्म और काफी व्यक्त है क्योंकि इस पद के इस तरह 3-4 पृष्ठों लंबी चर्चा की आवश्यकता होगी, लेकिन यह शनिवार सुबह है और मुझे जाना है!

शेयर

एईएस एल्गोरिथ्म अंतरिक्ष में प्रयोग के लिए चयनित

मैं यह सबसे अच्छा अंतरिक्ष जहाज और उपकरणों के द्वारा अंतरिक्ष में प्रयोग के लिए अनुकूल है जो एन्क्रिप्शन एल्गोरिथ्म पर विश्लेषण और विचार के बारे में एक अच्छा कागज का सामना करना पड़ा.

कागज के द्वारा किया गया है अंतरिक्ष डाटा सिस्टम्स के लिए सलाहकार समिति कि संचयी संभाला से अधिक भर के सभी अंतरिक्ष एजेंसी के एक संघ है कि अंतरिक्ष के लिए 400 मिशन .

topban.jpg

कागज पढ़ें एन्क्रिप्शन एलगोरिदम व्यापार सर्वेक्षण यह अलग एन्क्रिप्शन एल्गोरिदम के बीच दिलचस्प विचार और तुलना देता है.

जाहिर है अंत में चयनित एल्गोरिथ्म है एईएस Kasumi (UMTS नेटवर्क में प्रयुक्त) हटा दिया गया है, जबकि.

शेयर

ब्लैकबेरी सुरक्षा और एन्क्रिप्शन: शैतान या परी?

ब्लैकबेरी तुम इसे देखो जो कोण से निर्भर करता है, उसकी सुरक्षा की क्षमता के बारे में अच्छा और बुरा प्रतिष्ठा है.

इस पोस्ट में यह एक रिम और ब्लैकबेरी देखने के बिंदु, एक अत्यंत सुरक्षित मंच या एक बेहद खतरनाक एक पर निर्भर करता है, माना जा सकता है के रूप में ज्यादा एक स्थान लेने के बिना, पाठक मिल तस्वीर बताने के लिए जानकारी का सेट संक्षेप है.

bblock.jpg

चलो पर चला जाता है.

एक तरफ ब्लैकबेरी पर यह एन्क्रिप्शन सुविधाओं, हर जगह सुरक्षा सुविधाओं, डिवाइस (कस्टम क्रिप्टो) के साथ एन्क्रिप्टेड, संचार (साथ एन्क्रिप्टेड का एक मंच काफी है कस्टम मालिकाना प्रोटोकॉल ऐसे IPPP के रूप में), बहुत अच्छा उन्नत सुरक्षा सेटिंग्स, से एन्क्रिप्शन ढांचे Certicom ( अब के स्वामित्व रिम ).

दूसरी तरफ वे भारतीय मानक ब्यूरो (बुलाया ही एक डिवाइस है, लेकिन एक उपरिशायी नेटवर्क का उपयोग, प्रदान नहीं करता है ब्लैकबेरी इंटरनेट सेवा आप ब्राउज़ या blackberry.net एपी का उपयोग कर checkmail जबकि अपने ब्लैकबेरी प्रवेश जहां एक वैश्विक दुनिया भर में वाइड एरिया नेटवर्क है कि),.

आप, या एक आवेदन, आप सिर्फ वाहक इंटरनेट कनेक्शन के साथ इंटरनेट से कनेक्ट नहीं कर रहे हैं blackberry.net APN उपयोग करें, लेकिन आप रिम नेटवर्क के अंदर प्रवेश कर रहे हैं जब कि एक के रूप में छद्म और अधिनियम इंटरनेट तक पहुँचने के लिए प्रवेश द्वार.

बी बी डिवाइस और कॉर्पोरेट BES के एक प्रकार के रूप में कार्य रिम नेटवर्क से कनेक्ट दोनों: आप एक कॉर्पोरेट उपयोग है जब बहुत ही हो वीपीएन एकाग्रता नेटवर्क .

तो बुनियादी तौर पर सभी संचार एक सेट मालिकाना एन्क्रिप्शन और संचार प्रोटोकॉल के साथ एन्क्रिप्टेड स्वरूप में गर्त रिम सेवा बुनियादी सुविधाओं के पार.

बस एक नोटिस के रूप में, गूगल बी.बी. उपयोगकर्ताओं के लिए बी बी नेटवर्क के भीतर सेवा प्रदान करने के लिए एक समझौता किया blackberry.net APN अधिक gtalk, प्रदान करने के लिए लगता है. आप gtalk स्थापित जब आप 3 जोड़ा मिल सेवा पुस्तकें बात करने के लिए कि GTALKNA01 कि इंटरनेट के लिए एक GTalk प्रवेश द्वार के रूप में अंतर बीआईएस संचार और कार्य की अनुमति के लिए रिम नेटवर्क के अंदर GTalk प्रवेश द्वार का नाम है.

मोबाइल ऑपरेटरों आमतौर पर भी ब्लैकबेरी डिवाइस और ब्लैकबेरी नेटवर्क के बीच यातायात का निरीक्षण करने की अनुमति नहीं है.

रिम और ब्लैकबेरी वे एक मंच, एक नेटवर्क और सभी एक साथ बंडल एक सेवा प्रदान करते हैं और आप बस "उपकरण और सॉफ्टवेयर प्राप्त नहीं कर सकते" के रूप में किसी भी तरह अपने दृष्टिकोण के लिए अद्वितीय हैं लेकिन तो उपयोगकर्ता और कॉर्पोरेट हमेशा ही है और सेवा से जुड़े हैं नेटवर्क.

यह रिम जानकारी, युक्ति और तीसरे पक्ष के खिलाफ विभिन्न स्तर पर जानकारी के लिए उपयोग की रक्षा के लिए बहुत अच्छा सुरक्षा सुविधाओं और क्षमताओं को उपलब्ध कराने का मतलब है कि, क्योंकि यह अच्छा है और जो बुरा है.

लेकिन यह रिम ही है और रिम के खिलाफ राजनीतिक दबाव बना सकता है जो करने के लिए संबंधित खतरे और जोखिम आकलन करने के लिए हमेशा मुश्किल होता है.

मैं "रिम अपने डेटा को देख रहा है" कह रही है, लेकिन एक उद्देश्य जोखिम विश्लेषण नहीं कर रहा हूँ कि विचार करें: मंच रिम कैसे किया जाता है के लिए डिवाइस पर सूचना के आधार पर और पार कि सूचना के आधार पर, डिवाइस पर अधिकार है नेटवर्क. (मेरी पढ़ें मोबाइल सुरक्षा स्लाइड्स ).

उदाहरण के लिए नोकिया फोन के लिए बहुत ही प्रसंग पर विचार करते हैं.

नोकिया डिवाइस बेचा जाता है एक बार, नोकिया डिवाइस पर, न ही डिवाइस पर सूचना के आधार पर और न ही नेटवर्क के पार है कि सूचना के अधिकार नहीं है. लेकिन यह नोकिया डिवाइस प्रदान भी सच है कि और मूल्य इस तरह के उद्यम एकीकरण (रिम वीपीएन सुरंग), भारतीय मानक ब्यूरो के नेटवर्क का उपयोग और ब्लैकबेरी उपलब्ध कराने कि सभी स्थानीय और दूरदराज के सुरक्षा प्रावधान सुविधाओं के रूप में सेवाएं प्रदान नहीं करता है.

इसलिए यह बहुत माइक्रोसॉफ्ट एक्सचेंज सर्वर (अपने स्वयं सेवा पर) के चयन के लिए इसी तरह की या Google Apps तरह एक सास सेवा हो रही है कि क्या एक उदाहरण के साथ मंच का चयन करते समय उचित तरीके से जोखिम प्रसंग पर विचार की बात है.

दोनों मामले में आप प्रदाता पर भरोसा करने की जरूरत है, लेकिन 2 उदाहरण में आप गूगल, एक मंच है और सेवा प्रदाता के रूप में, उस का उपयोग नहीं करता है पर भरोसा करने की जरूरत है, जबकि पहले उदाहरण में आप सॉफ्टवेयर पर एक पिछले दरवाजे डाल नहीं है कि माइक्रोसॉफ्ट पर भरोसा करने की जरूरत है आपकी जानकारी.

तो यह आपके खतरा मॉडल के आधार पर मूल्यांकन किया जाना एक अलग प्रतिमान है.

अपनी धमकी मॉडल आप यह ठीक है की तुलना में (बहुत गूगल की तरह) एक विश्वसनीय तृतीय पक्ष सेवा प्रदाता के रूप में रिम ​​पर विचार करते हैं. आप एक बहुत ही उच्च जोखिम संदर्भ है, शीर्ष गुप्त एक तरह तो है पर विचार करें और यह डिवाइस से पूरी तरह से अलग ब्लैकबेरी सेवाओं रखने या निर्माता सर्वरों और सेवाओं के साथ संपर्क के बिना किसी अन्य प्रणाली का उपयोग करने के लिए बेहतर नहीं है कि क्या ध्यान से मूल्यांकन करते हैं.

अब, चलो कुछ अनुसंधान और ब्लैकबेरी और ब्लैकबेरी सुरक्षा खुद के बारे में कुछ तथ्यों को वापस जाओ.

अन्य का फैसला किया है, जबकि सभी कई सरकारों पहले, उन्हें अन्य सीधे क्योंकि ब्रिटेन और अमरीका में स्थित सर्वरों के उच्च अधिकारियों के लिए ब्लैकबेरी के उपयोग पर प्रतिबंध लगाने का फैसला किया जबकि उनकी सेवा नेटवर्क के पार है कि जानकारी तक पहुँच प्रदान करने के लिए बाध्य करने के लिए रिम के साथ सौदा किया था अपने स्वयं के backdoors स्थापित करें.

विषयों के विभिन्न कारणों के लिए रिम ब्लैकबेरी और सरकारें हैं जब चर्चा का एक बहुत कुछ है.

रिम ब्लैकबेरी प्लेटफार्म पर सरकारी सुरक्षा संबंधी जानकारी का एक सेट के नीचे:

और यहाँ अनौपचारिक सुरक्षा और रिम ब्लैकबेरी मंच पर हैकिंग से संबंधित जानकारी का एक सेट:

यह 23.32 (GMT +1) है, क्योंकि मैं थक गया हूँ, मैं इस पोस्ट को यहां खत्म हो जाएगा लगता है.

मैं पाठक समग्र ब्लैकबेरी सुरक्षा विश्लेषण और विचार करने में अधिक गहराई में जाने के लिए उपयोगी जानकारी और विचार का एक सेट की व्यवस्था की है के लिए आशा (अच्छा और बुरा में, यह हमेशा के लिए अपने खतरे के मॉडल पर निर्भर करता है!).

चियर्स

फैबियो Pietrosanti (भोला - भाला)

पी एस मैं ब्लैकबेरी मंच पर सुरक्षा प्रौद्योगिकी विकास (आवाज एन्क्रिप्शन तकनीक) के प्रबंध कर रहा हूँ, और मैं देखने के विकास बिंदु से यह संगतता और विकास की गति के मामले में नोकिया की तुलना में पूरी तरह से बेहतर है कि आप बता सकते हैं, लेकिन केवल RIMOS 5.0 + का उपयोग कर सकते हैं!

शेयर

25 साल के बाद "हैकर" मनाना

एक पंथ पुस्तक 25 साल के बाद से कभी हरे,.

201007010924.jpg

यह "हैकर" प्रकाशित किया गया था, के बाद से 25 साल हो गया है. लेखक स्टीवन लेवी किताब और आंदोलन को दर्शाता है.

 http://radar.oreilly.com/2010/06/hackers-at-25.html 
एक व्यापक दर्शकों के लिए - सकारात्मक अर्थ - स्टीवन लेवी शब्द "हैकर" शुरू की है कि 1980 के मध्य में एक पुस्तक लिखी. आगामी 25 वर्षों में, उस शब्द और उसके साथ समुदाय जबरदस्त परिवर्तन के माध्यम से चले गए हैं. किताब ही तकनीक पुस्तकालयों में एक मुख्य आधार बन गया.
ओ रेली ने हाल ही में "हैकर" का एक अद्यतन 25 वीं वर्षगांठ संस्करण जारी किया है तो मैं इस पुस्तक का विकास, अपने प्रभाव, और भूमिका हैकर्स खेलना जारी चर्चा करने के लिए लेवी के साथ में जाँच की.
शेयर

आरएसए खुर के लिए botnet?

मैं एक पढ़ा दिलचस्प लेख आरएसए दरार करने के लिए, इसे पाने के लिए एक गंभीर botnet के मालिक के लिए मौका दिया, 1.000.000 कंप्यूटर लगाने के बारे में.

परिणाम एक आरएसए 1024bit कुंजी हमला ऐसे संदर्भ में साल की सैद्धांतिक 19 अरब डॉलर की तुलना में केवल 28 साल लग जाएगा.

के पढ़ने के इस लेख में यह "डिफ़ॉल्ट सुरक्षा स्तर" करने के लिए उद्योग दृष्टिकोण के साथ, खुर प्रयास पर ले जाने के लिए आवश्यक गणना सत्ता में क्रिप्टोग्राफी शक्ति सम्मान पर हमारे बहुत महत्वपूर्ण विचार देता है, अत्यंत रोचक है.

मैं एक पढ़ा होगा कहेंगे.

शेयर

चीन एन्क्रिप्शन विनियम

हाय सब,

मैं अमेरिका में जगह Mckenzie द्वारा किया चीन एन्क्रिप्शन आयात / निर्यात / घरेलू विनियम पर यह बहुत दिलचस्प पेपर मिल गया.

यह दृढ़ता से व्यापार और चीन के नियमों से काम करता है और यह भविष्य में व्यवहार कैसे कर सकते हैं पर एक बहुत अच्छी तरह से किया विचार दे रही उन्मुख नियामक है.

यहां पढ़ें चीन एन्क्रिप्शन के विनियम Decrypting (प्रपत्र Bakernet वेबसाइट).

शेयर

IOScat - सिस्को IOS के लिए netcat के एक पोर्ट

प्रसिद्ध का एक पोर्टिंग netcat के लिए सिस्को IOS रूटर ऑपरेटिंग सिस्टम: IOSCat

केवल मुख्य सीमा यह यूडीपी का समर्थन नहीं करता है, लेकिन यह एक बहुत अच्छा उपकरण है!

पढ़ने के लिए एक बहुत अच्छा पाठ है netcat हैकर मैनुअल .

शेयर

(पुराने) क्रिप्टो एजी का मामला है और इसके बारे में कुछ सोच

'90 में, स्रोत और मालिकाना क्रिप्टोग्राफी दुनिया सत्तारूढ़ गया था बंद कर दिया.

यह खुला स्रोत से पहले है और वैज्ञानिक रूप से मंजूरी दे दी एन्क्रिप्टेड प्रौद्योगिकियों क्रिप्टो सामान करने के लिए एक सबसे अच्छा अभ्यास के रूप में बाहर चला गया.

1992 में, संयुक्त राज्य अमरीका इसराइल के साथ था, जब मैं अपने संचार दोहन करने के लिए ईरान सरकार को backdoored (मालिकाना और गुप्त) प्रौद्योगिकियों प्रदान करने के लिए उन्हें इस्तेमाल किया समाधान सुरक्षित था कि लगता है कि धोखा दे, कुछ भी कर रही है, एक साथ स्विट्जरलैंड के साथ, याद दिलाना चाहूँगा 2010 में इस पर आज विचार.

caq63crypto.t.jpg

यही कहा जाता है क्रिप्टो एजी मामले , संयुक्त राज्य अमेरिका से जुड़े एक ऐतिहासिक तथ्य राष्ट्रीय सुरक्षा एजेंसी के सिग्नल इंटेलिजेंस डिवीजन के साथ रक्षा इसराइल मंत्रालय दृढ़ता स्विस क्रिप्टोग्राफी निर्माता कंपनी के साथ एक समझौता किया था पर शक कर रहे हैं कि क्रिप्टो एजी .

असल में उन संस्थाओं के वे ईरान के संचार को बीच ईरान के लिए प्रदान की जाती है कि सुरक्षित क्रिप्टो उपकरण में एक पिछले दरवाजे रखा.

उनके क्रिप्टो क्रिप्टो एजी द्वारा विकसित की है और अंत में ईरान सरकार के लिए अनुकूलित रहस्य और मालिकाना एन्क्रिप्शन एल्गोरिदम पर आधारित था.

आप क्रिप्टो एजी पिछले दरवाजे से संबंधित मुद्दों के बारे में कुछ अन्य तथ्यों को पढ़ सकते हैं:

वैश्विक दूरसंचार सुरक्षा का निधन

एनएसए-क्रिप्टो एजी डंक

कोड तोड़कर: एक असंभव काम करके बीबीसी

डेर स्पीगेल क्रिप्टो एजी (जर्मन) लेख

अब, 2010 में, हम सभी जानते हैं और रहस्य और मालिकाना क्रिप्टो काम नहीं करता है समझते हैं.

नीचे शीर्ष दुनिया भर क्रिप्टोग्राफिक विशेषज्ञों द्वारा बस कुछ संदर्भ:

गोपनीयता, सुरक्षा, अंधकार से ब्रूस Schneier

बस मालिकाना क्रिप्टोग्राफिक एल्गोरिदम के लिए नहीं कहना नेटवर्क कंप्यूटिंग (माइक Fratto) द्वारा

अंधकार के माध्यम से सुरक्षा से Ceria पर्ड्यू विश्वविद्यालय

क्रिप्टो के रहस्यों का ताला खोलने: क्रिप्टोग्राफी, एन्क्रिप्शन और कूटलिपि समझाया Symantec द्वारा

टाइम बातें संपर्क कर रहे हैं जिस तरह से बदल जाते हैं.

मैं बहुत ज्यादा प्रसिद्ध पसंद फिलिप ज़िम्मरमैन जोर:

"क्रिप्टोग्राफी रोजमर्रा की जिंदगी को थोड़ा प्रासंगिकता के एक अस्पष्ट विज्ञान, हुआ करते थे. ऐतिहासिक, यह हमेशा सैन्य और कूटनीतिक संचार में एक विशेष भूमिका थी. लेकिन सूचना युग में, क्रिप्टोग्राफी एक सरकार और उसके लोगों के बीच सत्ता के रिश्ते के बारे में, राजनीतिक शक्ति के बारे में, और विशेष रूप से है. यह अकेले नहीं छोड़ा जा सकता निजता के अधिकार, अभिव्यक्ति की स्वतंत्रता, राजनीतिक संघ की स्वतंत्रता, प्रेस की स्वतंत्रता, अनुचित खोज और जब्ती से स्वतंत्रता, स्वतंत्रता के बारे में है. "

किसी भी वैज्ञानिक आज स्वीकार करने और मंजूरी Kerckhoffs 'सिद्धांत में 1883 में उस Cryptographie Militaire कागज कहा:

एक क्रिप्टो सिस्टम की सुरक्षा लेकिन केवल संख्यात्मक कुंजी गुप्त रखने पर, एल्गोरिथ्म गुप्त रखने पर निर्भर नहीं करना चाहिए.

यह सबसे अच्छा आज सार्वजनिक समीक्षा के अधीन खुले क्रिप्टोग्राफी, क्या करना obbly किसी गंभीर व्यक्ति क्रिप्टोग्राफी करने के लिए अभ्यास और उस Kerckhoff सिद्धांत का पालन करें कि पूरी तरह से स्पष्ट है.

तो, हम बंद स्रोत, सुरक्षा गर्त अंधकार अवधारणाओं पर आधारित है कि मालिकाना क्रिप्टोग्राफी के बारे में क्या सोचना चाहिए?

आज, 2010 में, सूचना समाज की उम्र में मैं पर कुछ अखबार पढ़ा जब मैं बहुत हैरान था क्रिप्टो एजी वेबसाइट.

मैंने फोन क्रिप्टो एजी सुरक्षा पेपर पढ़ने के लिए सभी को आमंत्रित क्रिप्टो एजी द्वारा डिजाइन आधुनिकतम सुरक्षा वास्तुकला आप नीचे एक महत्वपूर्ण अंश प्राप्त कर सकते हैं जो की:

इस वास्तुकला के डिजाइन क्रिप्टो एजी प्रत्येक ग्राहक क्रिप्टोग्राफिक सुरक्षा और ग्राहक की सुरक्षा नीति के लिए अधिकतम समर्थन की सही डिग्री को आश्वस्त करने के लिए निर्दिष्ट किया जा सकता है कि एक गुप्त मालिकाना कलन विधि प्रदान करने के लिए अनुमति देता है. बदले में, सुरक्षा वास्तुकला आप अपने एन्क्रिप्शन समाधान के संबंध में पूरी तरह से स्वतंत्र होने की जरूरत प्रभाव देता है. आप क्रिप्टोग्राफी द्वारा कवर और कलन विधि कैसे काम करता है की पुष्टि कर रहे हैं कि सभी क्षेत्रों का निर्धारण कर सकते हैं. क्रिप्टो एजी का मूल रहस्य मालिकाना कलन विधि सुरक्षा वास्तुकला का आधार है.

I have to say that their architecture is absolutely good from TLC point of view. Also they have done a very good job in making the design of the overall architecture in order to make a tamper-proof resistant crypto system by using dedicated crypto processor .
However there is still something missing:

T he overall cryptographic concept is misleading, based on wrong encryption concepts .

You may think that i am a troll telling this, but given the history of Crypto AG and given the fact that all the scientific and security community does not approve security trough obscurity concepts , it would legitimate to ask ourself:

Why they are still doing security trough obscurity cryptography with secret and proprietary algorithms ?



Hey, i think that they have very depth knowledge on telecommunication and security, but given that the science tell us not to follow the secrecy of algorithms, i really have serious doubt on why they are still providing proprietary encryption and does not move to standard solutions (eventually with some kind of custom enhancement).

शेयर

Missiles against cyber attacks?

The cyber conflicts are really reaching a point where war and cyberwar merge together.

NATO countries have the right to use the force against attacks on computer networks .

शेयर

WHYMCA सम्मेलन में मोबाइल सुरक्षा बात

मैं मैं पर मोबाइल सुरक्षा के बारे में बात करने के लिए इस्तेमाल किया कुछ स्लाइडों को साझा करना चाहते हैं whymca मोबाइल सम्मेलन मिलान में.

मेरे यहाँ पढ़ें मोबाइल सुरक्षा पर स्लाइड .

The slides provide a wide an in-depth overview of mobile security related matters, i should be doing some slidecast about it putting also audio. शायद हो सकता है, नहीं क्या करेंगे, यह हमेशा एक अपर्याप्त संसाधन है कि समय पर निर्भर करता है.

शेयर

iPhone पिन: बेकार एन्क्रिप्शन

मैं हाल ही में मैं iPhone करने के लिए चारों ओर जाने के साथ जो मेरे कई मोबाइल फोन में से एक बंद कर दिया.

मैं विशेष रूप से चोरी के मामले में डेटा सुरक्षा के बारे में चिंतित हैं और इसलिए iPhone प्रदान की सुरक्षा व्यवस्था के बारे में चारों ओर एक नज़र रखने शुरू कर रहा हूँ.

There is an interesting set of iPhone Business Security Features that make me think that iPhone is moving in the right path for security protection of the phone, but still a lot of things has to be done, especially for serious Enterprise and Government users.

201006011551.jpg

For example it turned out that the iPhone PIN protection is useless and it can be broken just plugging the iPhone to a Linux machine and accessing the device like a USB stick.

That's something disturbing my paranoid mindset that make me think not to use sensitive data on my iPhone if i cannot protect my data.

Probably an iPhone independent disk encryption product would be very useful in order to let the market create protection schemas that fit the different risk contexts that different users may have.

Probably a general consumer is not worried about this PIN vulnerability but for me, working within highly confidential envirnonment such as intelligence, finance and military, it's something that i cannot accept.

I need strong disk encryption on my mobile phone.

I do strong voice encryption for it , but it would be really nice to have also something to protect the whole iPhone data and not just phone calls.

शेयर

Who extract Oil in Iran? Business and UN sanction together

I like geopolitic and i am following carefully iran issues.

I went to National Iranian Oil Company website and have seen “ Exploration & Production ” section where are listed all the companies and their country of origin that are allowed to make Exploration of oil in Iran.

On that list we find the list of countries along with the data of signing of exploration agreement:

  • Norway/Russia (2000)
  • Australia/Spain/Chile (2001)
  • India (2002)
  • China (2001)
  • Brazil (2004)
  • Spain (2004)
  • Thailand (2005)
  • China x 2 (2005)
  • Norway (2006)
  • Italy (2008)
  • Vietnam (2008)

Those countries's oil companies are allowed to do oil extraction in Iran and i would like to point out that Iran is the 2nd world Oil Reserve just after Saudi Arabia.

As you can see there's NO USA company doing extraction.

Of European Countries the only one doing business with IRAN are:

IRAN Norway Relationship

IRAN ITALY Relationship

IRAN SPAIN Relationship

While of the well known non-US-simpatizing countries, the one doing Oil business with Iran are:

IRAN RUSSIA Relationship

IRAN BRAZIL Relationship

IRAN China Relationship

Don't missing some Asian involvement.

IRAN India Relationship

IRAN Vietnam Relationship

As you can see Iran is doing Oil business with most big south America and Far Asia countries, with some little exception in Europe for what apply to Norway, Italy and Spain.

To me it sounds that those European countries are going to face serious trouble whether they will accept and subscribe UN sanction against Iran.

Or some of them, like Italy, are protected by the strenghtening cooperation they are doing with Russia on Energy matters?

Well, i don't know how things will end up, but it's possible the most hypocrit countries like the European ones doing business in Iran while applying Sanctions will be the only European winning in the international competition for Iran Oil (Unless France did not drop a nuclear bomb on theran ;) ).

शेयर

Exploit code against SecurStar DriveCrypt published

It seems that the hacking community somehow like to target securstar products, maybe because hacking community doesn't like the often revealed unethical approach already previously described in this blog by articles and user's comments.

In 2004 a lot of accusation against Hafner of SecurStar went out because of alleged intellectual property theft regarding opensource codes such as Encryption 4 the masses and legal advert also against the Free and opensource TrueCrypt project .

In 2008 there was a pre-boot authentication hacking against DriveCrypt Plus posted on Full-Disclosure.

Early 2010 it was the time of the fake infosecurity research secretly sponsored by securstar at http://infosecurityguard.com (that now they tried to remove from the web because of embarrassing situation, but backup of the story are available, hacking community still wait for apologies) .

Now, mid 2010, following a research published in December 2009 about Disk Encryption software vulnerabilities made by Neil Kettle (mu-b), Security researcher at digit-labs and Penetration tester at Convergent Network Solutions , DriveCrypt was found to be vulnerable and exploitable breaking on-device security of the system and exploit code has been just released.

Exploit code reported below (thanks Neil for the code release!):

  • Arbitrary kernel code execution security exploit of DriveCrypt: drivecrypt-dcr.c
  • Arbitrary file reading/writing security exploit via unchecked user-definable parameters to ZxCreateFile/ReadFile/ WriteFile: drivecrypt-fopen.c

The exploit code has been tested against DriveCrypt 5.3, currently released DriveCrypt 5.4 is reported to be vulnerable too as it has just minor changes related to win7 compatibility. Can anyone make a double check and report a comment here?

Very good job Neil!

In the meantime the Free Truecrypt is probably the preferred choice for disk encryption, given the fact that it's difficult to trust DriveCrypt, PGP has been acquired by Symantec and there are very bad rumors about the trust that people have in Symantec and there are not many widely available alternatives.

Rumors say that also PhoneCrypt binaries are getting analyzed and the proprietary encryption system could reveal something fun…

शेयर

Quantum cryptography broken

Quantum cryptography it's something very challenging, encryption methods that leverage the law of phisycs to secure communications over fiber lines.

To oversimplify the system is based on the fact that if someone cut the fiber, put a tap in the middle, and joint together the other side of the fiber, the amount of “errors” that will be on the communications path will be higher than 20% .

So if QBER (Quantum Bit Error Rate) goes above 20% then it's assumed that the system is intercepted.

Researcher at university of toronto was able to cheat the system with a staying below the 20%, at 19.7% , thus tweaking the threshold used by the system to consider the communication channel secure vs compromised.

The product found vulnerable is called Cerberis Layer2 and produced by the Swiss ID Quantique .

Some possibile approach to detect the attack has been provided but probably, imho, such kind of systems does not have to be considered 100% reliable until the technology will be mature enough.

Traditional encryption has to be used together till several years, eventually bundled with quantum encryption whether applicable.

When we will see a quantum encryption systems on an RFC like we have seen for ZRTP , PGP and SSL ?

-naif

शेयर

FUN! Infosecurity consideration on some well known films

Please read it carefully Film that needed better infosec .

One the the review, imho the most fun one on film Star Wars :

The scene

Death star getting blown up

Infosec Analysis

Darth Vader must be heralded as the prime example of a chief executive who really didn't care about information security. The entire board was unapproachable and clearly no system testing was undertaken. The network security was so poor that it was hacked into and the designs for the death star were stolen without anyone knowing.

Even worse than that, the death star had a major design flaw where by dropping a bomb thingy into a big hole on the outside, it actually blew up the entire thing!

Darth Vader needed to employ a good Security Consultant to sit on the executive board and promise not to force choke him. Should have commissioned a full risk assessment of the death star followed by a full penetration test. Only then should the death star have been released into the production environment.

शेयर

great point of view

Because security of a cryptographic system it's not a matter of “how many bits do i use” but using the right approach to do the right thing to mitigate the defined security risk in the most balanced way.

security.png

शेयर

Encryption is not scrambling: be aware of scrambler!

Most of us know about voice scrambler that can be used across almost any kind of voice based communication technology.

Extremely flexible approach: works everything

Extreme performance: very low latency

but unfortunately…

Extremely weak: Scrambling cannot be considered secure.

Only encryption can be considered secure under the Kerckoff's principle .

So please don't even consider any kind of analog scrambler if you need real security.

Read deeply the paper Implementation of a real-time voice encryption system ” by Markus Brandau, especially the cryptoanalysis paragraph.

शेयर

Evidence that infosecurityguard.com/notrax is SecurStar GmbH Phonecrypt – A fake independent research on voice crypto

Below evidence that the security review made by an anonymous hacker on http://infosecurityguard.com is in facts a dishonest marketing plan by the SecurStar GmbH to promote their voice crypto product.

I already wrote about that voice crypto analysis that appeared to me very suspicious.

Now it's confirmed, it's a fake independent hacker security research by SecurStar GmbH, its just a marketing trick!

How do we know that Infosecurityguard.com, the fake independent security research, is a marketing trick from SecurStar GmbH?

1) I posted on http://infosecurityguard.com a comments to a post with a link to my blog to that article on israelian ministry of defense certification

2) The author of http://infosecurityguard.com went to approve the comment and read the link on my own blog http://infosecurity.ch

3) Reaching my blog he leaked the IP address from which he was coming 217.7.213.59 (where i just clicked on from wordpress statistic interface)

4) On http:// 217.7.213.59/panel there is the IP PBX interface of the SecurStar GmbH corporate PBX (openly reachable trough the internet!)

5) The names of the internal PBX confirm 100% that it's the SecurStar GmbH:

6) There is 100% evidence that the anonymous hacker of http://infosecurityguard.com is from SecurStar GmbH

Below the data and reference that let us discover that it's all but a dishonest marketing tips and not an independent security research.

Kudos to Matteo Flora for it's support and for his article in Debunking Infosecurityguard identity !

The http referral tricks

When you read a link going from a website to another one there is an HTTP protocol header, the “Referral”, that tell you from which page someone is going to another webpage.

The referral demonstrated that the authors of http://infosecurityguard.com read my post, because it was coming from http://infosecurityguard.com/wp-admin/edit-comments.php that's the webpage you use as a wordpress author/editor to approve/refuse comments. And here there was the link.

That's the log entry:

217.7.213.59 – - [30/Jan/2010:02:56:37 -0700] “GET /20100129/licensed-by-israel-ministry-of-defense-how-things-really-works/ HTTP/1.0″ 200 5795 “ http://infosecurityguard.com/wp-admin/edit-comments.php ” “Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB6.3; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)”

The PBX open on the internet tell us that's SecurStar GmbH

The SecurStar GmbH PBX is open on the internet, it contains all the names of their employee and confirm us that the author of http:/infosecurityguard.com is that company and is the anonymous hacker called Notrax.

Here there is their forum post where the SecurStar GmbH guys are debugging IPCOPfirewall & Asterisk together (so we see also details of what they use) where there is the ip 217.7.213.59 .

SecurStarproof.png

That's also really fun!

They sell secure telephony but their company telephony system is openly vulnerable on the internet . :-)

I was thinking to call the CEO, Hafner, via SIP on his internal desktop PBX to announce we discovered him tricks.. :->

They measured their marketing activity

Looking at the logs of my website i found that they was sensing the google distribution of information for the following keywords, in order to understand how effectively they was able to attack competing products. It's reasonable, if you invest money in a marketing campaign you want to see the results :-)

They reached my blog and i logged their search:

infosecurityguard+cryptophone

infosecurityguard+gold-lock

217.7.213.59 – - [30/Jan/2010:02:22:42 -0700] “GET / HTTP/1.0″ 200 31057 “http://www.google.de/search?sourceid=navclient&ie=UTF-8&rlz=1T4SKPB_enDE350DE350&q=infosecurityguard+cryptophone” “Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB6.3; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)”

217.7.213.59 – - [30/Jan/2010:04:15:07 -0700] “GET /20100130/about-the-voice-encryption-analysis-phonecrypt-can-be-intercepted-serious-security-evaluation-criteria/ HTTP/1.0″ 200 15774 “http://www.google.de/search?sourceid=navclient&ie=UTF-8&rlz=1T4SKPB_enDE350DE350&q=gold-lock+infosecurityguard” “Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB6.3; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)”


The domain registration data

The domain have been registered on 1st December 2009, just two months to start preparing the dishonest marketing campaign:

Domain Name: INFOSECURITYGUARD.COM

Registrar: GODADDY.COM, INC.

Updated Date: 01-dec-2009

Creation Date: 01-dec-2009

The domain is anonymously privacy protected trough a whois privacy service:

Administrative Contact: Private, Registration INFOSECURITYGUARD.COM@domainsbyproxy.com , Domains by Proxy, Inc. DomainsByProxy.com

Notrax hacker does not exist on google
As you know any hacker that get public usually have presence of it's activity on google, attending mailinglists, forum, homepage, past research, participation to conferences, etc, etc.
The fake hacker that they wanted us to to think was writing an independent blog does NOT have any trace on google. Only some hit about an anonymous browser called Notrax but nothing about that hacker.
Maybe when SecurStar provided the anonymity tool to their marketing agency, to help them protecting anonymity for the fake research, their provided them the anonymous browser notrax.So the marketing guy thinking about the nickname of this fake hackers used what? Notrax! :-)

The “independent review”completely oriented in publicizing PhoneCrypt

Of the various review don the phonecrypt review is only positive and amazing good feedback, while the other are only bad feedback and no single good point.

As you can imagine, in any kind of independent product evaluation, for all products there are goods and bad points. No. In this one there are only product that are good and product that are bad.

They missed to consider the security of the technology used by the products

They completely avoided to speak about cryptography and security of the products.

They do not evaluated basic security features that must be in that kind of products.That's in order not to let anyone see that they did not followed basic security rules in building up their PhoneCrypt.
The technology is closed source, no transparency on algorithms and protocols, no peer review.Read my new comparison (from the basic cryptographic requirement point of view) About the voice encryption analysis (criteria, errors and different results) .
The results are somehow different than their one .

UPDATE: Who's Wilfried Hafner (SecurStar founder) ?

I got a notice from a reader regarding Wilfred Hafner, SecurStar founder, CEO and security expert.

He was arrested in 1997 for telephony related fraud (check 2nd article on Phrack) earning from telephony fraud 254.000 USD causing damages to local telcos trough blueboxing for 1.15 Million USD.

He was not doing “Blueboxing” for the pleasure of phreaking and connecting with other hackers, but to earn money.

Hacking for profit (and not for fun) in 1997… brrr…. No hacker's ethic at all!

All in all, is that lawful?

Badmouthing a competitor amounts to an unfair competition practice in most jurisdictions, so it is arguable (to say the least) that SecurStar is right on a legally sound ground here.
Moreover, there are some specific statutes in certain jurisdictions which provide for a straightforward ban on the practice we are talking about. For example in the UK the British Institute of Practitioners in Advertising - in compliance with the Consumer protection from Unfair Trading regulation – ruled that:

”falsely claiming or creating the impression that the trader is not acting for the purposes relating to his trade, business, craft or profession, or falsely representing oneself as a consumer” is a criminal offense .

We have no doubt that PRPR (which is the UK-based *PR company for SecurStar GmbH, led by Peter Rennison and Allie Andrews as stated in SecurStar Press Release ) did provide their client with this information. Heck, they *are* in the UK, they simply cannot ignore that!

IANAL, but I would not be surpised if someone filed a criminal complaint or start civil litigation for unfair competition against SecurStar GmbH.
Whether this is going to be a matter for criminal and/or civil Courts or not is not that important. However, it is clear enough that SecurStar GmbH appears to be at least ethically questionable and not really worth of trust.

Nice try, gentlemen… however, next time just do it right (whether “right” for them means “in a honest manner” or “in a fashion not to be caught” I will let them choose)”

Fabio Pietrosanti (naif)

शेयर

Dishonest security: The SecurStart GmbH Phonecrypt case

I would like to provide considerations on the concept of ethics that a security company should have respect to the users, the media and the security environment.

SecurStar GmbH made very bad things making that infosecuriguard.com fake independent research.

It's unfair approach respect to hacking community.

It's unfair marketing to end user. They should not be tricking by creating fake independent review.

It's unfair competition in the security market.

Let's make some more important consideration on this.

Must be serious on cryptographic products. They are not toys

When you do cryptographic tools you should be really aware of what you are doing, you must be really serious.

If you do bad crypto people could die.

If you don't follow basic security rules for transparency and security for cryptography you are putting people life at risk.

You are taking the responsibility of this. (I want to sleep at night, don't think SecurStar CEO/CTO care about this…)

Security research need reference and transparency

Security research have to be public, well done, always subject to public discussion and cooperation.
Security research should not be instrumentally used for marketing purpose.Security research should be done for awareness and grow of the knowledge of the worldwide security environment.

Hacking environment is neutral, should not be used instrumentally

Hackers are considered neutral, nerds, doing what they do for their pleasure and passion.

If you work in the security market you work with hackers.

If you use hackers and hacking environment for your own marketing purposes you are making something very nasty.

Hackers give you the technology and knowledge and you use them for your own commercial purpose.

Consideration on the authority of the information online

That's something that pose serious consideration on the authority of information online.An anonymous hacker, with no reference online, made a product security review that appear like an independent one. I have to say that the fake review was very well prepared, it always posed good/bad things in an indirect way. It did not appeared to me at 1st time like a fake. But going deeply i found what's going on.

However Journalists, news media and blogger went to the TRAP and reviewed their fake research. TheRegister, NetworkWorld and a lot of blogs reported it. Even if the author was completely anonymous.

What they have done is already illegal in UK

SecurStar GmbH is lucky that they are not in the UK, where doing this kind of things is illegal .

Fabio Pietrosanti (naif)

शेयर

About the SecurStar GmbH Phonecrypt voice encryption analysis (criteria, errors and different results)

This article want to clarify and better explain the finding at infosecurityguard.com regaring voice encryption product evaluation.
This article want to tell you a different point of view other than infosecurityguard.com and explaining which are the rational with extensive explaination from security point of view.
Today i read news saying: “PhoneCrypt: Basic Vulnerability Found in 12 out of 15 Voice Encryption Products and went to read the website infosecurityguard .

Initially it appeared to my like a great research activity but then i started reading deeply the read about it.I found that it's not properly a security research but there is are concrete elements that's a marketing campaign well done in order to attract public media and publicize a product.
Imho they was able to cheat journalists and users because the marketing campaign was absolutely well done not to be discovered on 1st read attempt. I personally considered it like a valid one on 1st ready (they cheated me initially!).

But if you go deeply… you will understand that:
- it's a camouflage marketing initiative arranged by SecurStar GmbH and not a independent security research
- they consider a only security context where local device has been compromised (no software can be secured in that case, like saying SSL can be compromised if you have a trojan!)
- they do not consider any basic security and cryptographic security criteria

However a lot of important website reported it:

This article is quite long, if you read it you will understand better what's going on around infosecurityguard.com research and research result.

I want to to tell you why and how (imho) they are wrong.

The research missed to consider Security, Cryptography and Transparency!

Well, all this research sound much like being focused on the marketing goal to say that their PhoneCrypt product is the “super” product best of all the other ones.
Any security expert that would have as duty the “software evaluation” in order to protect the confidentiality of phone calls will evaluate other different characteristics of the product and the technology.

Yes, it's true that most of the product described by SecurStar in their anonymous marketing website called http://infosecurityguard.com have some weakness.
But the relevant weakness are others and PhoneCrypt unfortunately, like most of the described products suffer from this.
Let's review which characteristics are needed basic cryptography and security requirement (the best practice, the foundation and the basics!)

a – Security Trough Obscurity does not work

A basic rule in cryptography cames from 1883 by Auguste Kerckhoffs:

In a well-designed cryptographic system, only the key needs to be secret; there should be no secrecy in the algorithm.
Modern cryptographers have embraced this principle, calling anything else “security by obscurity.”
Read what Bruce Schneir, recognized expert and cryptographer in the world say about this
Any security expert will tell you that's true. Even a novice university student will tell you that's true. Simply because that's the only way to do cryptography.
Almost all product described in the review by SecurStar GmbH, include PhoneCrypt, does not provide precise details about their cryptographic technologies.
Precise details are:
  • Detailed specification of cryptographic algorithm (that's not just saying “we use AES “)
  • Detailed specification of cryptographic protocol (that's not just saying “we use Diffie Hellman ” )
  • Detailed specification of measuring the cryptographic strenght (that's not just saying “we have 10000000 bit key size “)

Providing precise details means having extensive documentation with theoretical and practical implications documenting ANY single way of how the algorithm works, how the protocol works with precise specification to replicate it for interoperability testing.
It means that scientific community should be able to play with the technology, audit it, hack it.
If we don't know anything about the cryptographic system in details, how can we know which are the weakness and strength points?

Mike Fratto, Site editor of Network Computing, made a great article on “Saying NO to proprietary cryptographic systems” .
Cerias Purdue University tell this .

b – NON peer reviewed and NON scientifically approved Cryptography does not work

As you know any kind of “serious” and with “good reputation” cryptographic technology is implemented in opensource.
There are usually multiple implementation of the same cryptographic algorithm and cryptographic protocol to be able to review all the way it works and certify the interoperability.
Supposing to use a standard with precise and extended details on “how it works”, that has been “peer reviewed” by the scientific community BUT that has been re-implemented from scratch by a not so smart programmer and the implementation it's plenty of bugs.

Well, if the implementation is “opensource” this means that it can be reviewed, improved, tested, audited and the end user will certaintly have in it's own had a piece of technology “that works safely” .

Google release opensource crypto toolkit
Mozilla release opensource crypto toolkit
Bruce Schneier tell you that Cryptography must be opensource .

Another cryptographic point of view

I don't want to convince anyone but just provide facts related to science, related to cryptography and security in order to reduce the effect of misinformation done by security companies whose only goes is to sell you something and not to do something that make the world a better.

When you do secure products, if they are not done following the proper approach people could die.
It's absolutely something irresponsible not to use best practice to do crypto stuff.

To summarize let's review the infosecurityguard.com review from a security best pratice point of view.

Product name Security Trough Obscurity Public peer review Open Source Compromise locally?
Caspertec Obscurity No public review Closed हां
CellCrypt Obscurity
No public review
Closed
हां
Cryptophone Transparency Limited public review Public हां
Gold-Lock Obscurity
No public review
Closed
हां
Illix Obscurity
No public review
Closed
हां
No1.BC Obscurity No public review
Closed
हां
PhoneCrypt Obscurity
No public review
Closed
हां
Rode&Swarz Obscurity
No public review
Closed
हां
Secure-Voice Obscurity
No public review
Closed
हां
SecuSmart Obscurity
No public review
Closed
हां
SecVoice Obscurity
No public review
Closed
हां
SegureGSM Obscurity
No public review
Closed
हां
SnapCell Obscurity
No public review
Closed
हां
Tripleton Obscurity
No public review
Closed
हां
Zfone Transparency Public review
Open हां
ZRTP Transparency Public review
Open हां

*Green means that it match basic requirement for a cryptographic secure system

* लाल / यह एक क्रिप्टोग्राफिक सुरक्षित प्रणाली के लिए बुनियादी आवश्यकता से मेल नहीं खाता है कि टूटी साधन
That's my analysis using a evaluation method based on cryptographic and security parameters not including the local compromise context that i consider useless.

हालांकि, स्पष्ट होना करने के लिए, उन एक आवाज एन्क्रिप्शन उत्पाद (बस मैं अन्य उत्पादों को बढ़ावा देने हूँ की तरह प्रतीत होता है कि एक स्थिति में होने से बचने के लिए) पर विचार करते हैं, तो केवल बुनियादी मानकों हैं. तो यह अच्छा क्रिप्टो के साथ एक उत्पाद (पारदर्शिता, की समीक्षा की और opensource सहकर्मी) बिल्कुल की वजह से एक सुरक्षित नहीं उत्पाद है कि पूरी तरह से संभव हो सकता है जो भी कारण (बुरी तरह से आदि, राजनीतिक रूप से समझौता किया है, उसका उपयोग और क्लियर कॉल का उपयोग नहीं करने के लिए उपयोगकर्ता के कारण प्रयोग करने योग्य, नहीं लिखा , आदि).
मैं मैं आवाज क्रिप्टो प्रौद्योगिकियों और आवाज क्रिप्टो उत्पादों के लिए एक व्यापक मापदंड तैयार करेंगे लगता है, तो यह है कि यह मूल्यांकन करने के लिए criterias की एक पूर्ण पारदर्शी सेट करने के लिए बहुत आसान और ज्यादा व्यावहारिक होगा.

But those are really the basis of security to be matched for a good voice encryption system!
पर कुछ उपयोगी अतीत स्लाइड पढ़ें आवाज एन्क्रिप्शन सिस्टम में इस्तेमाल सुरक्षा प्रोटोकॉल (भाग 2).

अब अपने शोध के बारे में कुछ अधिक व्यावहारिक संदेह नीचे पढ़ें.

The security concept of the review is misleading: any hacked device can be always intercepted!

I think that the guys completely missed the point: ANY KIND OF SOFTWARE RUNNING ON A COMPROMISED OPERATING SYSTEM CAN BE INTERCEPTED

अब वे एक मोबाइल फोन की तरह एक पीसी पर एक ट्रोजन स्थापित है, सिर्फ इसलिए भी फिलिप ज़िम्मरमैन से Zfone (एक पीसी सॉफ्टवेयर) टूट गया है कि बाहर की ओर इशारा करते हैं?
Any security software rely on the fact that the underlying operating system is somehow trusted and preserve the integrity of the environment where the software run.

  • एक ट्रोजन से संक्रमित अगर आप एक डिस्क एन्क्रिप्शन प्रणाली लेकिन अपने पीसी है, तो कंप्यूटर पहले से ही समझौता किया है.
  • If you have a voice encryption system but your PC is infected by a trojan, the computer is already compromised.
  • तुम एक आवाज एन्क्रिप्शन प्रणाली है, लेकिन अपने मोबाइल फोन एक ट्रोजन से संक्रमित है, तो मोबाइल फोन पहले से ही समझौता किया है.

No matter which software you are running, in such case the security of your operating environment is compromised and in one way or another way all the information integrity and confidentiality is compromised.

Like i explained above how to intercept PhoneCrypt.

इस खतरे से बचाने के लिए कर सकते हैं कि केवल बातें ठीक से इसे लागू करने, ट्रस्ट कंप्यूटिंग क्षमता के साथ एक बंद ऑपरेटिंग सिस्टम में चल रहा है.
For sure on any “Open” operating system such us Windows, Windows Mobile, Linux, iPhone or Android there's no chance to really protect a software.
On difficult operating system such as Symbian OS or RimOS maybe the running software can be protected (at least partially)

That's the reason for which the security concept that guys are leveraging to carry on their marketing campaign has no clue.
It's just because they control the environment, they know Flexispy software and so they adjusted their software not to be interceptable when Flexispy is installed.
If you develop a trojan with the other techniques i described above you will 100% intercept PhoneCrypt.

On that subject also Dustin Tamme l, Security researcher of BreakPoint Systems , pointed on on VoIP Security Alliance mailing lists that the security analysis is based on wrong concepts .

The PhoneCrypt can be intercepted: it's just that they don't wanted to tell you!

PhoneCrypt can be intercepted with “on device spyware”.
क्यों?
Because Windows Mobile is an unsecure operating environment and PhoneCrypt runs on Windows Mobile.
Windows Mobile does not use Trusted Computing and so any software can do anything.
The platform choice for a secure telephony system is important.
How?
I quickly discussed with some knowledgeable windows mobile hackers about 2 different way to intercept PhoneCrypt with an on-device spyware (given the unsecure Windows Mobile Platform).

a) Inject a malicious DLL into the software and intercept from within the Phonecrypt itself.
In Windows Mobile any software can be subject to DLL code injection.
What an attacker can do is to inject into the PhoneCrypt software (or any software running on the phone), hooking the Audio related functions acting as a “function proxy” between the PhoneCrypt and the real API to record/play audio.
It's a matter of “hooking” only 2 functions, the one that record and the one that play audio.
Read the official Microsoft documentation on how to do DLL injection on Windows Mobile processes. or forum discussing the technique of injecting DLL on windows mobile processes.
That's simple, any programmer will tell you to do so.
They simply decided that's better not to make any notice about this.
b) Create a new audio driver that simply act as a proxy to the real one and intercept PhoneCrypt
In Windows Mobile you can create new Audio Drivers and new Audio Filters.
What an attacker can do is to load a new audio driver that does not do anything else than passing the real audio driver function TO/FROM the realone. In the meantime intercept everything recorded and everything played :-)
Here there is an example on how to do Audio driver for Windows Mobile .
Here a software that implement what i explain here for Windows “Virtual Audio Cable” .
The very same concept apply to Windows Mobile. Check the book “Mobile Malware Attack and Defense” at that link explaining techniques to play with those techniques.
They simply decided that's better not to make any notice to that way of intercepting phone call on PhoneCrypt .
Those are just 2 quick ideas, more can be probably done.

Sounds much like a marketing activity – Not a security research.

I have to tell you. I analyzed the issue very carefully and on most aspects. All this things about the voice encryption analisys sounds to me like a marketing campaign of SecurStar GmbH to sell PhoneCrypt and gain reputation. A well articulated and well prepared campaign to attract the media saying, in an indirect way cheating the media, that PhoneCrypt is the only one secure. You see the press releases of SecurStar and of the “Security researcher Notrax telling that PhoneCrypt is the only secure product” . SecurStar PhoneCrypt is the only product the anonymous hacker “Notrax” consider secure of the “software solutions”.
The only “software version” in competition with:

SnapCell – No one can buy it. A security company that does not even had anymore a webpage. The company does not almost exist anymore.
rohde-schawarz – A company that have in his list price and old outdated hardware secure phone . No one would buy it, it's not good for genera use.

Does it sounds strange that only those other products are considered secure along with PhoneCrypt .

Also… let's check the kind of multimedia content in the different reviews available of Gold-Lock, Cellcrypt and Phonecrypt in order to understand how much the marketing guys pressed to make the PhoneCrypt review the most attractive:

Application Screenshots of application Video with demonstration of interception Network demonstration
PhoneCrypt 5 0 1
CellCrypt 0 2 0
GoldLock 1 2 0

It's clear that PhoneCrypt is reviewed showing more features explicitly shown and major security features product description than the other.

Too much difference between them, should we suspect it's a marketing tips?

But again other strange things analyzing the way it was done…
If it was “an impartial and neutral review” we should see good and bad things on all the products right?

Ok, see the table below regarding the opinion indicated in each paragraph of the different reviews available of Gold-Lock, CellCrypt and Phonecrypt (are the only available) to see if are positive or negative.

Application Number of paragraphs Positive paragraphs Negative paragraphs Neutral paragraphs
PhoneCrypt 9 9 0 0
CellCrypt 12 0 10 2
GoldLock 9 0 8 1

Detailed paragraphs opinion analysis of Phonecrypt
Paragraph of review Opinion expressed
From their website Positive Marketing feedback
Apple iPhone Positive Marketing feedback
Disk Encryption or voice Encryption Positive Marketing feedback
PBX Compatibility? Really Positive Marketing feedback
Cracking <10. Not. Positive Marketing feedback
Good thinking! Positive Marketing feedback
A little network action Positive Marketing feedback
UI Positive Marketing feedback
Good Taste Positive Marketing feedback
Detailed paragraphs opinion analysis of Gold-Lock 3G
Paragraph of review Opinion expressed
From their website Negative Marketing feedback
Licensed by The israeli Ministry of Denfese Negative Marketing feedback
Real Company or Part Time hobby Negative Marketing feedback
16.000 bit authentication Negative Marketing feedback
DH 256 Negative Marketing feedback
Downad & Installation! Neutral Marketing feedback
Cracking it <10 Negative Marketing feedback
Marketing BS101 Negative Marketing feedback
Cool video stuff Negative Marketing feedback
Detailed paragraphs opinion analysis of CellCrypt
Paragraph of review Opinion expressed
From their website Neutral Marketing feedback
A little background about cellcrypt Negative Marketing feedback
Master of Marketing Negative Marketing feedback
Secure Voice calling Negative Marketing feedback
Who's buying their wares Negative Marketing feedback
Downad & Installation! Neutral Marketing feedback
My Demo environment Negative Marketing feedback
Did they forget some code Negative Marketing feedback
Cracking it <5 Negative Marketing feedback
Room Monitoring w/ FlexiSpy Negative Marketing feedback
Cellcrypt unique features.. Negative Marketing feedback
Plain old interception Negative Marketing feedback
The Haters out there Negative Marketing feedback

Now it's clear that from their point of view on PhoneCrypt there is no single bad point while the other are always described in a negative way.
No single good point. Strange?
All those considerations along with the next ones really let me think that's very probably a marketing review and not an independent review.

Other similar marketing attempt from SecurStar

SecurStar GmbH is known to have used in past marketing activity leveraging this kind of “technical speculations”, abusing of partial information and fake unconfirmed hacking stuff to make marketing/media coverage.
Imho a rare mix of unfairness in leveraging the difficult for people to really understand the complexity of security and cryptography.

They already used in past Marketing activities like the one about creating a trojan for Windows Mobile and saying that their software is secure from the trojan that they wrote.
Read about their marketing tricks of 2007

They developed a Trojan (RexSpy) for Windows Mobile, made a demonstration capability of the trojan and later on told that they included “Anti-Trojan” capability to their PhoneCrypt software.They never released informations on that trojan, not even proved that it exists.

The researcher Collin Mulliner told at that time that it sounds like a marketing tips (also because he was not able to get from SecurStar CEO Hafner any information about that trojan):

“This makes you wonder if this is just a marketing thing.”

Now, let's try to make some logical reassignment.
It's part of the way they do marketing, an very unfriendly and unpolite approach with customers, journalist and users trying to provide wrong security concepts for a market advantage. Being sure that who read don't have all the skills to do in depth security evaluation and find the truth behind their marketing trips.

Who is the hacker notrax?

It sounds like a camouflage of a fake identity required to have an “independent hacker” that make an “independent review” that is more strong on reputation building.
Read about his bio:

¾ Human, ¼ Android (Well that would be cool at least.) I am just an enthusiast of pretty much anything that talks binary and if it has a RS232 port even better. During the day I masquerade as an engineer working on some pretty cool projects at times, but mostly I do the fun stuff at night. I have been thinking of starting an official blog for about 4.5 years to share some of the things I come across, can't figure out, or just cross my mind. Due to my day job and my nighttime meddling, I will update this when I can. I hope some find it useful, if you don't, well you don't.

There are no information about this guy on google.
Almost any hacker that get public have articles online, post in mailing archive and/or forum or some result of their activity.
For notrax, nothing is available.

Additionally let's look at the domain…
The domain infosecurityguard.com is privacy protected by domainsbyproxy to prevent understanding who is the owner.
The domain has been created 2 months ago on 01-Dec-09 on godaddy.com registrar.

What's also very interesting to notice that this “unknown hacker with no trace on google about him that appeared on December 2009 on the net” is referred on SecurStar GmbH Press Release as a “An IT security expert”.

Maybe they “know personally” who's this anonymous notrax? :)

Am i following my own conspiracy thinking or maybe there's some reasonable doubt that everything was arrange in that funny way just for a marketing activity?

Social consideration

If you are a security company you job have also a social aspects, you should also work to make the world a better place (sure to make business but “not being evil”). You cannot cheat the skills of the end users in evaluating security making fake misleading information.

You should do awareness on end users, to make them more conscious of security issues, giving them the tools to understand and decide themselves.

Hope you had fun reading this article and you made your own consideration about this.

फैबियो Pietrosanti (भोला - भाला)

ps Those are my personal professional opinion, let's speak about technology and security, not marketing.
pps i am not that smart in web writing, so sorry for how the text is formatted and how the flow of the article is unstructured!

शेयर

Licensed by Israel Ministry of Defense? How things really works!

You should know that Israel is a country where if a company need to develop encryption product they must be authorized by the government.

The government don't want that companies doing cryptography can do anything bad to them and what they can do of good for the government, so they have to first be authorized.

क्योंकि अवरोधन और encryptio एनएम उस्त प्रदान कंपनियों के लिए एक लाइसेंस के लिए लागू इसराइल कानून इस पर के समान होने की बहुत सीमित है चीन कानून .

प्रौद्योगिकियों की उन तरह इसराइल देश के खुफिया और जासूसी क्षमताओं के लिए मौलिक विचार कर रहे हैं वह है.

"रक्षा इसराइल मंत्रालय द्वारा लाइसेंस" कंपनियों के कुछ उदाहरण दे करने के लिए:

"रक्षा इसराइल मंत्रालय द्वारा लाइसेंस" जीएसएम एन्क्रिप्शन उत्पादों - सोने का ताला

Interception of communication products “Licensed by Israel Ministry of Defense” – Verint

"रक्षा इसराइल मंत्रालय द्वारा लाइसेंस" एचएफ एन्क्रिप्टेड रेडियो - Kavit

Surveillance services and equipment “Licensed by Israel Ministry of Defense” – Multi Tier Solutions

कैसे आप इसराइल में एन्क्रिप्शन प्रौद्योगिकियों करते हैं एक "रक्षा इसराइल मंत्रालय द्वारा लाइसेंस" के लिए लागू करने के लिए उदाहरण के लिए?

एक इजरायली कंपनी होने का यकीन है, क्लिक करें यहाँ और रूपों भरें.

Someone will contact you from encryption-control@mod.gov.il and will discuss with you whether to give you or not the license to sell.

What does the department of defense will require from an israeli company in order to provide them the authorization to make and sell interception and encryption products?

Well, what they want and what they really ask nobody knows.

It's a secret dealing of Israel Ministry of Defense with each “licensed” company.

What we know for sure is that Verint, a “Licensed by Israel Ministry of Defense”, placed a backdoor to intercept companies and governments in the US and Netherland into the interception systems they was selling.

Verint, a Licensed by Israel Ministry of Defense Company, provided to Israel government eavesdropped communications of private and government users in the United States and in the Netherland .

CIA officier reported that Israel Ministry of Defense was known to pay Verint a reimbursement of 50% of their costs in order to have from Verint espionage services trough their commercial activity on selling “backdoored” interception equipment to spy foreign users.


It can be a legitimate doubt that the cooperation within the Israeli Ministry of Defense may be problematic for an Israeli company that want to sell interception and encryption product abroad.

Those companies may be forced to make the interests of Israel Ministry of Defense and not the interests of the customers (like Verint scandal is a real-world example).

So, how would a “Licensed by Israel Ministry of Defense” be a good things to promote?

It represent the risk that the “Israel Ministry of Defense”, like is publicly known that it has already have done with Verint, will interfere with what the company do.

It represent the risk that the “Israel Ministry of Defense” may reasonably provide “reimbursement” of costs paying the company and get what they would likely would like to get.

So, what does really “Israel Ministry of Defense” want from Israel companies doing encryption and interception technologies?

Should we ask ourself whether Israeli companies doing encryption and interception businesses are more interested to do business or to do “outsourced espionage services” for their always paying customer, the “Israel Ministry of Defense”.

For sure, in the age of financial crisis, the Israel Ministry of Defense is a paying customer that does not have budget problem…

Strict control, strict rules, strong government strategic and military cooperation.

Be careful.

If you want to read more about this matters, about how technologies from certain countries is usually polluted with their governments military and secret services strategies stay tuned as i am preparing a post about this .

You will much better understand about that subjects on the “Licensed by Israel Ministry of Defense”.

शेयर

Recuva: Nice windows data recovery tool

Not a professional tool but an easy, quick and free one.

If you just accidently deleted some files on windows or your employee leave the company deleting all his data, well that you get out from trouble quickly.

It also came out in a 'portable' version to be loaded from an usb stick drive.

Check Recuva recovery tool

शेयर

Military contractors going commercial

Most military contractors are suffering from the restriction of government's budgets for military expenses and are moving into commercial markets, still they have to adjust a lot of things.

Read here a nice analysis from rochtel on how military contractors should adapt their strategy.

शेयर

Brazilian Electrical Blackout: preview of cyberwar

In 2005 and 2007 in Brazil million of people was targetted by a blackout.

Initially it appeared like an accident.

Now it's known that was caused by a cyber attack against electricity control systems.

That was just a preview of what a cyber attack in a cyberwar means.

In near future we'll probably see something like 'virtual custom offices' at internet borders, defining what get in and what get out like several “not so democratic” countries are doing.

Does the cyberwar will affect digital rights? Probably yes, even i hope not.

शेयर

Conventionality is not morality.

During my daily RSS OCD reading I had to deal with this article : it has been written by a “senior anti-virus researcher at Kaspersky Lab's “. Talk about personal interest.

I wont comment on the practical implications of useless signature based AV's and how cyber criminals will never need amateur-ish projects to carry on their malicious tactics.

But what is always interesting is watching the very same people who use billion dollar scare tactics to sell you a perfectly useless piece of software (which will give you a false sense of security, hence will make you more insecure), talking about ethics.

शेयर

Hackers Hacking Hackers

Hackers hacking hackers are always pretty fun.

And I am not talking about ZF0 5 (which was cool reading, even if not as cool as ~El8 was), I am talking about this .

शेयर