Tag Archives: markedsføring

virksomheten ledelse

Produkt ledelse og organisasjon

12 september 2010 - 08:52

Jeg måtte bedre forstå begreper, roller og oppgaver knyttet til produkt ledelse og Produkt markedsføring ledelse i software selskaper, hvorfor er nødvendig, noe som er forskjellene og hvordan de passer inn i en organisasjonsstruktur.

Mest person jeg vet aldri interessert i denne spesifikke delen av arbeidet, men når du ønsker å være et produkt selskapet (og ikke et konsulentfirma eller løsning selskap), du begynner å ha forskjellige produkter på ulike plattformer for ulike målgrupper kunder som selges gjennom forskjellige kanaler med forskjellig prising med en installasjon / annen levering prosess og at kompleksiteten må forvaltes på riktig måte.

Du innser at for å la produktet selskapet vokse i riktig retning du trenger for å organisere produktet forvaltning formelt, ikke lukke sinnet i stive organisasjon roller som markedsføring, salg, R & D.

Når vi snakker om Product Management anbefaler jeg lesning av opplysende Den strategiske rollen til Product Management (Hvordan en markedsstyrt fokus fører bedrifter til å bygge produkter folk ønsker å kjøpe) som tydeliggjør en masse ting, selv om det outlook netto separasjon av roller i produktledelse, er noe t hatten for tungt for et lite selskap som en oppstart.

Fortsatt det gi en differensiering av oppgaver mellom Product Management og Product Marketing.

En god forståelse av produktet ledelse knyttet til oppstart i S gitt i artikkelen Opprette Product Management ved oppstart dukke opp annen sak knyttet til rollene til produktet visjonær inn i selskapet.

Det introdusere begrepene administrerende direktør av produktet i den forstand at produktet lederoppgavene hoppe rundt i de ulike organisasjonen funksjon ved å gi fokus og innsats der det trengs, uavhengig av det faktum at den interne funksjoner som krever mer innsats er utvikling, markedsføring, salg eller kommunikasjon. Det er betyr praktisk talt forbedre produktet visjon som det er nødvendig i alle større produkt-relaterte funksjoner gjør visjonen corporate-bred sammenhengende.

En god representasjon av produktledelse og produktmarkedsføring aktiviteter er godt beskrevet med differensiering av mellom Strategical, Teknisk og markedsføring sektor og er ikke klart adskilt mellom Management, Marketing (og salg) og R & D:

Triad.jpg

Jeg leste at produktsjef bakgrunn og kunnskap er forskjellige avhengig av selskapets fokus ( der hører produkt i organisasjonen? ):

  • B2C -> Markedsføring erfaring
  • B2B -> Teknisk erfaring

En opplysende (for meg) og veldig viktig differensiering om produktet lederoppgavene er differensieringen mellom:

  • Product Management
  • Product Marketing

De spesifikke oppgaver som tilhører Product Marketing vs ledelse er sterkt forklart i Rolle Definisjoner Product Management og Product Marketing som jeg foreslår å lese, slik at du bedre å kunne definere oppgaver og ansvar på tvers av organisasjonen. Det gir også en god definisjon av jobbkrav hvis du trenger å lete etter det tallet!

Samtidig er det viktig å forstå hva som er IKKE produktledelse, effektivt er Product ledelsen ikke bare funksjonen prioritering .

Samtidig er det viktig å forstå hvilke profesjonell figur er ikke i seg selv et produkt manager:

  • Produktsjef er ikke et marketing manager - mens produktledelse er vanligvis sett på som en markedsføring disiplin, markedsførere fokusert på markedsføring plan og er vanligvis ikke kjører det samlede produktet retning. I den sammenheng kan imidlertid finnes Product Marketing Manager som er i armene på markedsføringen av produktet, særlig i liten organisasjon.
  • Produktsjef er ikke en salgssjef - salgssjef er i ferd med å finne ut hvordan å selge et produkt, hvoretter salg metodikk, teknikk og kanaler, og de ​​kunne drive selskapet fra en markedsorientert selskap (produkt) til en kundeorientert selskap (løsning og consulting)
  • Produktsjef er ikke en utvikler - Utviklere er fokusert på teknologi og ikke det samlede produktet. Noen flotte produktsjefer er tidligere utviklere, men det er vanskelig å gjøre begge deler på en gang. Det er en naturlig spenning mellom utviklere og produktsjefer som bør vedlikeholdes for å skape et balansert produkt.
  • Produktsjef er ikke en programvare manager - programvaren manager er en funksjonell leder og vanligvis ikke fokusert på produktet eller kundene.
  • Produktsjef er ikke en prosjektleder - prosjektledere er om hvordan og når, mens produktsjef handler om hva. Prosjektledere samarbeider tett med produktsjefer for å sikre en vellykket gjennomføring av ulike faser i produktets livssyklus.

Den typiske produkt forvaltning kan være i ekstrem syntese oppsummeres som følger:

  • Strategi: Planlegger du en produktstrategi
  • Teknisk: ledende produktutvikling
  • Markedsføring: gi produktet og teknisk innhold
  • Salg: gi pre salgsstøtte og arbeide effektivt med salg

Produktledelse så det er ikke akkurat utvikling, er ikke akkurat markedsføring, det er ikke akkurat salg, så typisk det er vanskelig å identifisere "der det bør holde" inne i organisasjonsstruktur (det er enda vanskeligere å forstå som trengs)?

Silicon Valley Product Group gir en fin innsikt i Product Organisasjon ved å peke ut hvilke er fordelene og risikoen ved flere valg. Fortsatt Cranky Product Manager si at det spiller ingen rolle hvor produktsjef leve i organisasjonen .

Det er relevant å være forsiktig med å ha personer som er for mye teknisk eller for mye salg orientert for å fylle gapet mellom annen organisasjon. For mye fragmentering av pålagte oppgaver på tvers av organisasjonen kan føre til byråkrati, kan for mye toll på en person føre til ineffektiv gjennomføring av nødvendige oppgaver i enkelte område og til en intern konkurranse oppfatning i forhold til de tradisjonelle rollene.

Sjekk det en veldig fin Resume av en fagperson med praktisk erfaring fra produktledelse (det er en halv teknikken / halvt markedsføring gutta).

Ah! En annen veldig vanlig misforståelse er å forvirre markedsføring med kommunikasjon der ai funnet en så god definisjon av markedsføring som jeg virkelig liker og forstå for strenge forhold til Product Management:

Markedsføring er kjenner markedet så godt at produktet selger seg selv

Men hva skjer når du ikke håndtere et produkt og produkt markedsføringsledelse prosessen i en definert måte?

En fin historie er vist som eksempel i den strategiske rollen til Product Management :

Din grunnlegger, en glimrende tekniker, startet selskapet år siden da han sluttet i jobben for å markedsføre sin idé full tid. Han laget et produkt som han visste bare andre folk trengte. Og han hadde rett. Ganske snart han leverte nok av produktet og hyret hans beste venn fra college som VP of Sales. Og selskapet vokste. Men før lenge, VP of Sales klaget: "Vi er et ingeniørfirma-ledede selskapet. Vi trenger å bli kundedrevet. "Og det hørtes fint. Bortsett fra ... hver ny kontrakt syntes å kreve tilpasset arbeid. Du signert et dusin kunder i et dusin markedssegmenter og den nyeste kundens stemme alltid dominerte produktet planer. Du konkluderte med at "kundedrevet" betydde "drevet av den siste kunden", og som ikke kunne være riktig.

Hvis du ønsker å være et produkt selskapet at det er relevant for nettopp å følge en strategi drevet av produkt markedsføring og ledelse og ikke av salget.

Forvirring mellom plikter produkt ledelse / markedsføring og salg kan føre til mislykket produkt selskap som ikke er i stand til å fortsette innenfor sin strategi, rett og slett fordi de får muligheter som driver virksomheten ut-av-omfang.

Et produkt selskapet må investere i sin egen produktutvikling og markedsføring for å la salgsaktivitet holde fokus og sikre at organisasjonen er hver dag mer effektive på markedet.

Etter denne leser, er min forståelse at det er relevant å identifisere hvordan å lage et sett av fleksible forretningsprosesser på hvordan de skal håndtere ulike produkt og produkt markedsføring plikter som skiller dem fra salg.

Del
Comment (0) Tags , , | Kommentar (0)
virksomheten ledelse Privacy sikkerhet teknologi

Slangeoljebransjen sikkerhet hevder på krypto sikkerhetsprodukt

19 juli 2010 - 21:33

Sikkerhetsmarkedet vokse, flere selskaper går til markedet, men hvor mange av dem tar på alvor det de gjør?

Du vet, gjør sikkerhetsteknologi bety at du er personlig ansvarlig for å beskytte brukerens informasjon. Du må gjøre dem klar over hva de trenger, akkurat hva du gjør og hva slags trussel modell produktet beskytte.

Et typisk problem for produktets sikkerhetsfunksjoner er representert ved manglende evne til brukeren å vurdere sikkerheten påstander om selve produktet.

Så det er mye selskaper som driver en ikke-så-etisk markedsføring av sikkerhetsfunksjoner, basert på fakta at ingen brukere vil være i stand til å vurdere det.

Den tidligere forklart situasjonen ligge i sikkerhet temaet Snake Oil Encryption, en utvikling i den vitenskapelige kryptografisk miljø som la oss i dag bruker best of breed informasjon beskyttelse teknologier uten å måtte bekymre deg for mye om bakdører eller usikkerhet.

La oss snakke om Snake Oil Encryption

Snake Oil Cryptography : I kryptografi , er snake oil et begrep som brukes for å beskrive kommersielle kryptografiske metoder og produkter som anses som falsk eller uredelig. Skille sikker kryptografi fra usikre kryptografi kan være vanskelig fra synspunktet til en bruker. Mange kryptografer, slik som Bruce Schneier og Phil Zimmermann , forplikter seg til å opplyse offentligheten i hvordan sikre kryptografi er gjort, samt synliggjøre villedende markedsføring av enkelte kryptografiske produkter.

Den mest refererte krypto sikkerhet guru, Philip Zimmermann og Bruce Schneier, var den første til å snakke om Snake Oil Kryptering:

Snake Oil av Philip Zimmermann

Snake Oil av Bruce Schneier

The Michigan Telecommunications and Technology Law Review også gjort en meget god analyse knyttet til sikkerhetsfunksjonene i Security Products, KRAV slangeoljebransjen SECURITY "Den systematiske feiltolkning av produktsikkerhet . De forklarer om de ekle markedsføring triks som brukes til å finpusse brukere manglende evne til å vurdere sikkerhetsfunksjoner, blant annet økonomisk og juridisk ansvar implikasjon.

Very famous is the sentence of Russ Nelson : Flere snake oil sikkerhet produktselskaper forklarer ikke og er ikke klart om trusselen modellen som produktet gjelder Svært kjente er dommen på. Russ Nelson :

"Husk, krypto uten en trussel modellen er som cookies uten melk. ..... Kryptografi uten en trussel modell er som morsrollen uten eplepai. Kan ikke si at nok ganger. Mer generelt er sikkerhet uten en trussel modell per definisjon kommer til å mislykkes. "

Så, hvordan å få øye snake oil sikkerhetsprodukter?

Sjekk en retningslinje for å få øye på Snake Oil Kryptering Produkter: Snake Oil advarsel skilt, kryptering programvare for å unngå av Matt Curtin .

Du kan se dette svært gode Cryptographic Snake Oil Eksempler etter Emility Ratliff (IBM Arkitekt på Linux Security), som prøvde å gjøre det klart eksempel på hvordan å få øye Cryptographic Snake Oil.

Her representerte grunnleggende retningslinje fra Matt Curtin papir:


Ved å sjekke at punktene er det mulig å vurdere hvor alvorlig en krypteringsteknologi eller produktet er.

Men alt i alt hvordan å fikse det uetisk sikkerhet tilnærming?

Det er veldig significative og det ville være veldig nyttig for hver type sikkerhet produktkategorien til å gjøre noen sterkt og uavhengig evaluering retningslinje (som OSSTMM for Penetration testing), for å gjøre denne sikkerhetsoppdateringen evalueringsprosessen virkelig i hendene på brukeren.

Det ville også være veldig fint å ha noen å lage analyser og evaluering av sikkerhet produktselskaper, publisere rapporter om Snake Oil tegn.

Del
Comments (3) Tags , , , , , , | Kommentarer (3)
virksomhet avskjæring Privacy teknologi

SecurStar GmbH PhoneCrypt svar på Infosecurityguard / NoTrax saken: absolutely urimelig! :-)

1 februar 2010 - 18:04

OPPDATERING 20.04.2010: http://infosecurityguard.com har blitt deaktivert. NoTrax identitet ble kjent for flere gutter i stemmen sikkerhet miljøer (kan ikke fortelle, men du kan forestille deg, var jeg rett!) Og så våre venner besluttet å trow bort nettstedet på grunn av juridiske ansvar i henhold til UK og USA lover.

OPPDATERING: Nice sammendrag av hele historien (jeg vet, det er lang og komplisert å lese på første gang) på SIPVicious VoIP sikkerhet blogg av Sandro Gauci .

Etter mine funn, prøvde Mr. Hafner, SecurStar sjef exec, til slutt forsvare sine handlinger, som siterer helt urimelige unnskyldninger til Den Reg stedet for offentlig ba om unnskyldning for det de har gjort: å skape en falsk uavhengig sikkerhet forskning for å fremme sine PhoneCrypt produktet .

Han prøvde å overbevise oss om at personen bak IP 217.7.213.59, brukt av forfatteren av infosecurityguard.com og peker til deres kontor DSL-linje, var dette hacker NoTrax, ved hjelp av sin anonym surfing service og ikke en av sine medarbeidere på sitt kontor:

"SecurStar sjef exec Wilfried Hafner nektet enhver kontakt med NoTrax. NoTrax, sa han, må ha brukt sin firmaets anonym surfing service, SurfSolo, å produsere de resultatene som rapporteres av Pietrosanti "

La oss reflektere et øyeblikk over denne setningen ... Ville egentlig en hacker leter etter anonymitet tilbringe 64 EUR til kjøpe sin anonymitet surfing tjeneste kalt SurfSolo stedet for å bruke den frie og mye sikrere TOR (løk router) , så la oss reflektere over denne andre delen av informasjon:

  • IP 217.7.213.59 er SecurStar GmbH kontor DSL-linje
  • 217.7.213.59 har de installert deres VoIP / Asterisk PBX og Internett-gatewayen
  • De fremmer sin anonym proxy tjeneste for "Anonym p2p bruk» ( http://www.securstar.com/products_ssolo.php ). Hvem ville la brukerne gjøre p2p fra kontoret dsl linje der de har installert deres bedrifts VoIP PBX? Hvis du gjør VoIP du kan ikke la tredjepart flom din linje w / p2p trafikk, ville telefonsamtaler ble åpenbart upålitelig (Ja, ja, du kan gjøre QoS, men du ville ikke plassere en anonym navigasjon proxy på bedriftens kontor DSL linje ...).
  • Hvilket selskap som leverer en anonym navigasjon tjeneste noensinne ville bruke sitt eget kontor IP-adresse? Bare tenk hvor mange ganger du ville ha politiet banket på døren din og dine ansatte som de hovedmistenkte. (I tidligere brukte jeg til å kjøre en TOR node, jeg vet risikoen ...). Også tenke på hvor mange ganger du vil finne deg selv svartelistet på google som en spyware bot.
  • Mr. Hafner sier også "Vi har to millioner mennesker som bruker dette produktet. Eller han kan ha vært en gammel kunde av oss ". 2M brukere på en DSL-linje, egentlig?
  • Jeg bruker ikke SurfSolo service, men deres stedfortredere er trolig disse seg:

surfsolo.securstar.net - 67.225.141.74

surfsolo.securstar.com - 69.16.211.133

Oppriktig talt jeg kan lett forstå at Mr. Hafner kommer gjøre hva han kan for å beskytte sitt selskap fra skandalen, men "anonym proxy" unnskyldning er i det minste mistenkelig.

Hvordan fungerer det faktum at "uavhengig forskning" var semantisk et produkt gjennomgang av PhoneCrypt, sammen med oppdagelsen av at forfatteren kommer fra SecurStar GmbH IP-adressen kontorer, sammen med anonymiteten til denne NoTrax fyr (SecurStar kaller ham en "velkjent det sikkerhet profesjonell "i sin pressemelding ..) lyd for deg?

Det er mulig at jorden vil få et angrep fra verdensrommet som kommer til å ødelegge livet vårt?

Statistisk ekstremt vanskelig, men ja, det er mulig. Mer eller mindre som "anonym proxy" historie fortalt av Mr. Hafner å dekke det faktum at de er de bak infosecurityguard.com fake "uavhengig sikkerhetsgjennomgang".

Hei, jeg trenger ikke noe annet å overbevise meg selv eller å la smart person har sine egne tanker om dette.

Jeg tror at den beste måten for SecurStar å komme ut av dette rotet ville trolig være å gi offentlige unnskyldninger til hacking samfunnet for å misbruke navn og rykte av reelle uavhengige sikkerhet undersøkelser, for å få til en markedsføring stunt.

Hilsen,

Fabio Pietrosanti

ps Jeg er for tiden venter på noen andre info som vil mer presist bekrefter at det Mr. Hafner sier er ikke riktig sant. Følg med.

Del
Comment (0) Tags , , , , , | Kommentar (0)
virksomhet avskjæring Privacy sikkerhet

Bevis for at infosecurityguard.com / NoTrax er SecurStar GmbH PhoneCrypt - En falsk uavhengig forskning på stemmen krypto

1 februar 2010 - 12:32

Under bevis på at sikkerheten vurdering gjort av en anonym hacker på http://infosecurityguard.com er i fakta en uærlig markedsføring plan ved SecurStar GmbH for å fremme sin stemme krypto produktet.

Jeg skrev allerede om at stemmen krypto analyse som viste seg for meg svært mistenkelig.

Nå er det bekreftet, er det en falsk uavhengig hacker sikkerhet forskning ved SecurStar GmbH, det er bare en markedsføring knep!

Hvordan vet vi at Infosecurityguard.com, den falske uavhengig sikkerhet forskning, er en markedsføring knep fra SecurStar GmbH?

1) Jeg postet på http://infosecurityguard.com en kommentar til et innlegg med en link til bloggen min for å at artikkel om israelian forsvarsdepartementet sertifisering

2) Forfatteren av http://infosecurityguard.com gikk å godkjenne kommentaren og lese på linken på min egen blogg http://infosecurity.ch

3) Å nå min blogg han lekket IP-adressen som han kom 217.7.213.59 (hvor jeg bare klikket på fra wordpress statistikken grensesnitt)

4) På http:// 217.7.213.59/panel det er IP PBX grensesnittet til SecurStar GmbH bedriftens PBX (åpent tilmed internett!)

5) Navnene på den interne PBX bekrefte 100% at det er SecurStar GmbH:

6) Det er 100% bevis for at den anonyme hackeren av http://infosecurityguard.com er fra SecurStar GmbH

Under data og referanse som lar oss oppdage at det er alle, men uærlig markedsføring tips og ikke en uavhengig sikkerhet forskning.

Kudos til Matteo Flora for sin støtte og for hans artikkel i Debunking Infosecurityguard identitet !

Http henvisning triks

Når du leser en kobling som går fra en nettside til en annen en det er en HTTP-protokollen header, den "Henvisning", som forteller deg hvilken side noen kommer til en annen nettside.

Henvisningen viste at forfatterne av http://infosecurityguard.com lese innlegget mitt, fordi det kom fra http://infosecurityguard.com/wp-admin/edit-comments.php det er websiden du bruke som en wordpress forfatter / editor for å godkjenne / avslå kommentarer. Og her var det koblingen.

Det er loggen oppføring:

217.7.213.59 - [30/Jan/2010: 02:56:37 -0700] "GET / 20100129/licensed-by-israel-ministry-of-defense-how-things-really-works / HTTP/1.0" 200 5795 "http://infosecurityguard.com/wp-admin/edit-comments.php" "Mozilla/4.0 (compatible; MSIE 8.0, Windows NT 5.1; Trident/4.0; GTB6.3;. NET CLR 1.1.4322;. NET CLR 2.0.50727;. NET CLR 3.0.4506.2152;. NET CLR 3.5.30729; InfoPath.2) "

PBX åpent på internett forteller oss at er SecurStar GmbH

Den SecurStar GmbH PBX er åpent på internett, den inneholder alle navnene på sine ansatte og bekrefter oss at forfatteren av http:/infosecurityguard.com er at selskapet og er anonym hacker kalt NoTrax.

Her er deres forum innlegg hvor de SecurStar GmbH gutta debugging IPCOPfirewall & Asterisk sammen (slik at vi ser også detaljer om hva de bruker) der det er ip 217.7.213.59.

SecurStarproof.png

Det er også veldig gøy!

De selger sikkert telefoni, men deres selskap telefoni system er åpenlyst sårbar på internett. :-)

Jeg tenkte å ringe administrerende direktør, Hafner, via SIP på sin interne desktop PBX å kunngjøre vi oppdaget ham triks .. : ->

De målte sin markedsføring aktivitet

Ser på loggene på nettstedet mitt jeg fant ut at de var sensing google distribusjon av informasjon for følgende søkeord, for å forstå hvor effektivt de var i stand til å angripe konkurrerende produkter. Det er rimelig, hvis du investerer penger i en markedsføringskampanje du ønsker å se resultater :-)

De nådde bloggen min og jeg logget deres søk:

infosecurityguard + cryptophone

infosecurityguard + gull-lås

217.7.213.59 - [30/Jan/2010: 02:22:42 -0700] "GET / HTTP/1.0" 200 31 057 "Mozilla/4.0 (compatible; MSIE 8.0, Windows NT 5.1; Trident/4.0; GTB6.3;. NET CLR 1.1.4322;. NET CLR 2.0.50727;. NET CLR 3.0.4506.2152;. NET CLR 3.5.30729; InfoPath.2) "

217.7.213.59 - [30/Jan/2010: 04:15:07 -0700] "GET HTTP/1.0 "200 15 774 "Mozilla/4.0 (compatible; MSIE 8.0, Windows NT 5.1; Trident/4.0; GTB6.3;. NET CLR 1.1.4322;. NET CLR 2.0.50727;. NET CLR 3.0.4506.2152;. NET CLR 3.5.30729; InfoPath.2) "


Domeneregistrering data
Domenet er registrert på første desember 2009, bare to måneder til å begynne å forberede uærlig markedsføring kampanje:

Domain Name: INFOSECURITYGUARD.COM

Registrar: GODADDY.COM, INC

Oppdatert Dato: 01-dec-2009

Creation Date: 01-dec-2009

Domenet er anonymt privatliv beskyttet gjennom et whois personvern tjeneste:

Administrative Contact: Private, Registrering INFOSECURITYGUARD.COM @ domainsbyproxy.com, Domains by Proxy, Inc. DomainsByProxy.com

NoTrax hacker finnes ikke på google
Som du vet noen hacker som får publikum vanligvis har tilstedeværelsen av det er aktivitet på google, deltar mailinglister, forum, hjemmeside, tidligere forskning, deltakelse på konferanser, osv., osv.
Den falske hacker som de ville ha oss til å tenke skrev en uavhengig blogg har ikke noen spor på google. Bare noen hit om en anonym nettleser kalt NoTrax men ingenting om at hacker.
Kanskje når SecurStar gitt anonymitet verktøy til sin markedsføring byrå, for å hjelpe dem å beskytte anonymiteten for den falske forskning, forutsatt at dem den anonyme leseren notrax.So markedsføring fyren tenker kallenavnet på dette falske hackere brukt hva? NoTrax! :-)

Den "uavhengig gjennomgang" helt orientert i offentliggjøre PhoneCrypt

Av de ulike gjennomgang don den PhoneCrypt anmeldelsen er bare positive og utrolig gode tilbakemeldinger, mens den andre er bare dårlige tilbakemeldinger og ingen enkelt godt poeng.

Som du kan forestille deg, i noen form for selvstendig produkt evaluering, for alle produkter er det varer og dårlige poeng. Nei, i dette er det eneste produktet som er gode og produkt som er dårlige.

De savnet å vurdere sikkerheten av teknologien som brukes av de produktene

De helt unngås å snakke om kryptografi og sikkerhet av produktene.

De ikke evaluert grunnleggende sikkerhetsfunksjoner som må være på den slags products.That 's for ikke å la noen se at de ikke fulgt grunnleggende sikkerhetsregler i å bygge opp sin PhoneCrypt.
Teknologien er lukket kildekode, ingen åpenhet om algoritmer og protokoller, review.Read ingen peer min nye sammenligning (fra grunnleggende kryptografisk kravet synspunkt) Om stemmen kryptering analyse (kriterier, feil og ulike resultater) .
Resultatene er noe annerledes enn ett deres.

OPPDATERING: Hvem er Wilfried Hafner (SecurStar grunnlegger)?

Jeg fikk en melding fra en leser om Wilfred Hafner, SecurStar grunnlegger, daglig leder og sikkerhetsekspert.

Han ble arrestert i 1997 for telefoni relatert svindel (se andre artikkel om Phrack) opptjening fra telefoni svindel 254,000 USD forårsaker skader på lokale teleselskaper trau blueboxing for 1,15 millioner USD.

Han var ikke gjør "Blueboxing" for gleden av phreaking og koble med andre hackere, men for å tjene penger.

Hacking for profitt (og ikke for moro skyld) i 1997 ... brrr .... Ingen hacker etikk i det hele tatt!

Alt i alt, er at lovlig?

Badmouthing en konkurrent utgjør en urettferdig konkurranse praksis i de fleste rettsområder, så det hevdes (for å si det mildt) at SecurStar er rett på en lovlig lyd bakken her.
Videre er det noen spesifikke lover i visse jurisdiksjoner som sørger for en grei forbud mot praksisen vi snakker om. For eksempel i Storbritannia den britiske Institute of utøvere i Advertising - i samsvar med Forbrukerbeskyttelsen fra Urettferdig Trading regulering - avgjort at:

"Feilaktig å hevde eller gi inntrykk av at den næringsdrivende ikke opptrer for formål knyttet til sin handel, næringsliv, håndverk eller yrke, eller feilaktig å framstille seg selv som en forbruker" er en straffbar handling .

Vi har ingen tvil om at PRPR (som er den britisk-baserte * PR-selskapet for SecurStar GmbH, ledet av Peter Rennison og Allie Andrews som nevnt i SecurStar Pressemelding ) gjorde gir sin klient med denne informasjonen. Pokker, de * er * i Storbritannia, de rett og slett ikke kan ignorere det!

IANAL, men jeg ville ikke være surpised hvis noen innlevert en kriminell klage eller starte sivile rettssaker for urettferdig konkurranse mot SecurStar GmbH.
Hvorvidt dette kommer til å være en sak for kriminelle og / eller sivile domstoler eller ikke er ikke så viktig. Det er imidlertid klart nok at SecurStar GmbH ser ut til å være minst etisk tvilsom og egentlig ikke verdt av tillit.

Godt forsøk, mine herrer ... men neste gang bare gjøre det riktig (enten "riktig" for dem betyr "på en ærlig måte" eller "på en måte ikke å bli fanget" Jeg vil la dem velge) "

Fabio Pietrosanti (naif)

Del
Comments (7) Tags , , , , , | Kommentarer (7)
virksomhet avskjæring Privacy sikkerhet

Uærlig sikkerhet: SecurStart GmbH PhoneCrypt saken

1 februar 2010 - 12:30

Jeg ønsker å gi hensyn på begrepet etikk som et vaktselskap skal ha respekt for brukerne, media og sikkerhetsmiljøet.

SecurStar GmbH gjort svært dårlige ting gjør at infosecuriguard.com falske uavhengig forskning.

Det er urettferdig tilnærming i forhold til hacking samfunnet.

Det er urettferdig markedsføring til sluttbruker. De bør ikke lure ved å opprette falske uavhengig gjennomgang.

Det er urettferdig konkurranse i sikkerhetsmarkedet.

La oss gjøre noe mer viktig hensyn på dette.

Må være alvorlig på kryptografiske produkter. De er ikke leketøy

Når du gjør kryptografiske verktøy du bør være veldig klar over hva du gjør, må du være veldig alvorlig.

Hvis du gjør det dårlig krypto folk kunne dø.

Hvis du ikke følger grunnleggende sikkerhetsregler for åpenhet og trygghet for kryptografi du setter mennesker liv i fare.

Du tar ansvar for dette. (Jeg ønsker å sove om natten, tror ikke SecurStar CEO / CTO bryr seg om dette ...)

Sikkerhet forskningsbehov referanse og åpenhet

Sikkerhet forskning må være offentlige, godt gjort, alltid gjenstand for offentlig diskusjon og samarbeid.
Sikkerhet forskning bør ikke være instrumentelt brukes til markedsføring purpose.Security forskning bør gjøres for bevissthet og vokse i kjennskap den verdensomspennende sikkerhetsmiljøet.

Hacking miljø er nøytral, ikke bør brukes instrumentelt

Hackere anses nøytral, nerder, gjør hva de gjør for deres glede og lidenskap.

Hvis du arbeider i sikkerhetsmarkedet du jobber med hackere.

Hvis du bruker hackere og hacking miljø for dine egne markedsføringsformål du gjør noe veldig ekkel.

Hackere gi deg den teknologi og kunnskap, og du bruker dem for din egen kommersielle formål.

Vederlaget på autoriteten til informasjon på nettet

Det er noe som utgjør seriøs vurdering på autoritet informasjon online.An anonym hacker, uten referanse på nettet, laget et produkt sikkerhet vurdering som ser ut som en selvstendig ett. Jeg må si at den falske anmeldelsen ble svært godt forberedt, er det alltid stilt gode / dårlige ting på en indirekte måte. Det har ikke dukket opp til meg på første gang som en forfalskning. Men går dypt jeg fant hva som skjer.

Men journalister, nyheter medier og blogger gikk til fellen og anmeldt sin falske forskning. TheRegister, NetworkWorld og mange blogger rapporterte det. Selv om forfatteren var helt anonym.

Det de har gjort er allerede ulovlig i Storbritannia

SecurStar GmbH er heldig at de ikke er i Storbritannia, hvor gjøre denne typen ting er ulovlig .

Fabio Pietrosanti (naif)

Del
Comment (0) Tags , , , , | Kommentar (0)
business interception Privacy security technology

About the SecurStar GmbH Phonecrypt voice encryption analysis (criteria, errors and different results)

30 January 2010 – 2:02 am

This article want to clarify and better explain the finding at infosecurityguard.com regaring voice encryption product evaluation.
This article want to tell you a different point of view other than infosecurityguard.com and explaining which are the rational with extensive explaination from security point of view.
Today i read news saying: “PhoneCrypt: Basic Vulnerability Found in 12 out of 15 Voice Encryption Products and went to read the website infosecurityguard .

Initially it appeared to my like a great research activity but then i started reading deeply the read about it.I found that it's not properly a security research but there is are concrete elements that's a marketing campaign well done in order to attract public media and publicize a product.
Imho they was able to cheat journalists and users because the marketing campaign was absolutely well done not to be discovered on 1st read attempt. I personally considered it like a valid one on 1st ready (they cheated me initially!).

But if you go deeply… you will understand that:
- it's a camouflage marketing initiative arranged by SecurStar GmbH and not a independent security research
- they consider a only security context where local device has been compromised (no software can be secured in that case, like saying SSL can be compromised if you have a trojan!)
- they do not consider any basic security and cryptographic security criteria

However a lot of important website reported it:

This article is quite long, if you read it you will understand better what's going on around infosecurityguard.com research and research result.

I want to to tell you why and how (imho) they are wrong.

The research missed to consider Security, Cryptography and Transparency!

Well, all this research sound much like being focused on the marketing goal to say that their PhoneCrypt product is the “super” product best of all the other ones.
Any security expert that would have as duty the “software evaluation” in order to protect the confidentiality of phone calls will evaluate other different characteristics of the product and the technology.

Yes, it's true that most of the product described by SecurStar in their anonymous marketing website called http://infosecurityguard.com have some weakness.
But the relevant weakness are others and PhoneCrypt unfortunately, like most of the described products suffer from this.
Let's review which characteristics are needed basic cryptography and security requirement (the best practice, the foundation and the basics!)

a – Security Trough Obscurity does not work

A basic rule in cryptography cames from 1883 by Auguste Kerckhoffs:

In a well-designed cryptographic system, only the key needs to be secret; there should be no secrecy in the algorithm.
Modern cryptographers have embraced this principle, calling anything else “security by obscurity.”
Read what Bruce Schneir, recognized expert and cryptographer in the world say about this
Any security expert will tell you that's true. Even a novice university student will tell you that's true. Simply because that's the only way to do cryptography.
Almost all product described in the review by SecurStar GmbH, include PhoneCrypt, does not provide precise details about their cryptographic technologies.
Precise details are:
  • Detailed specification of cryptographic algorithm (that's not just saying “we use AES “)
  • Detailed specification of cryptographic protocol (that's not just saying “we use Diffie Hellman ” )
  • Detailed specification of measuring the cryptographic strenght (that's not just saying “we have 10000000 bit key size “)

Providing precise details means having extensive documentation with theoretical and practical implications documenting ANY single way of how the algorithm works, how the protocol works with precise specification to replicate it for interoperability testing.
It means that scientific community should be able to play with the technology, audit it, hack it.
If we don't know anything about the cryptographic system in details, how can we know which are the weakness and strength points?

Mike Fratto, Site editor of Network Computing, made a great article on “Saying NO to proprietary cryptographic systems” .
Cerias Purdue University tell this .

b – NON peer reviewed and NON scientifically approved Cryptography does not work

In any case and in any condition you do cryptography you need to be sure that someone else will check, review, analyze, distruct and reconstract from scratch your technology and provide those information free to the public for open discussion.
That's exactly how AES was born and like US National Institute of Standard make crypto does (with public contest with public peer review where only the best evaluated win).
A public discussion with a public contest where the a lot of review by most famous and expert cryptographer in the world, hackers (with their name,surname and face, not like Notrax) provide their contribution, tell what they thinks.
That's called “peer review”.

If a cryptographic technology has an extended and important peer review, distributed in the world coming from universities, private security companies, military institutions, hackers and all coming from different part of the world (from USA to Europe to Russia to South America to Middle east to China) and all of them agree that a specific technology it's secure…
Well, in that case we can consider the technology secure because a lot of entities with good reputation and authority coming from a lot of different place in the world have publicly reviewed, analyzed and confirmed that a technology it's secure.

How a private company can even think to invent on it's own a secure communication protocol when it's scientifically stated that it's not possible to do it in a “proprietary and closed way” ?
IBM tell you that peer review it's required for cryptography .
Bruce Schneier tell you that “Good cryptographers know that nothing substitutes for extensive peer review and years of analysis.”
Philip Zimmermann will tell you to beware of Snake Oil where the story is: “Every software engineer fancies himself a cryptographer, which has led to the proliferation of really bad crypto software.”

c – Closed source cryptography does not work

As you know any kind of “serious” and with “good reputation” cryptographic technology is implemented in opensource.
There are usually multiple implementation of the same cryptographic algorithm and cryptographic protocol to be able to review all the way it works and certify the interoperability.
Supposing to use a standard with precise and extended details on “how it works”, that has been “peer reviewed” by the scientific community BUT that has been re-implemented from scratch by a not so smart programmer and the implementation it's plenty of bugs.

Well, if the implementation is “opensource” this means that it can be reviewed, improved, tested, audited and the end user will certaintly have in it's own had a piece of technology “that works safely” .

Google release opensource crypto toolkit
Mozilla release opensource crypto toolkit
Bruce Schneier tell you that Cryptography must be opensource .

Another cryptographic point of view

I don't want to convince anyone but just provide facts related to science, related to cryptography and security in order to reduce the effect of misinformation done by security companies whose only goes is to sell you something and not to do something that make the world a better.

When you do secure products, if they are not done following the proper approach people could die.
It's absolutely something irresponsible not to use best practice to do crypto stuff.

To summarize let's review the infosecurityguard.com review from a security best pratice point of view.

Product name Security Trough Obscurity Public peer review Open Source Compromise locally?
Caspertec Obscurity No public review Closed Ja
CellCrypt Obscurity
No public review
Closed
Ja
Cryptophone Transparency Limited public review Public Ja
Gold-Lock Obscurity
No public review
Closed
Ja
Illix Obscurity
No public review
Closed
Ja
No1.BC Obscurity No public review
Closed
Ja
PhoneCrypt Obscurity
No public review
Closed
Ja
Rode&Swarz Obscurity
No public review
Closed
Ja
Secure-Voice Obscurity
No public review
Closed
Ja
SecuSmart Obscurity
No public review
Closed
Ja
SecVoice Obscurity
No public review
Closed
Ja
SegureGSM Obscurity
No public review
Closed
Ja
SnapCell Obscurity
No public review
Closed
Ja
Tripleton Obscurity
No public review
Closed
Ja
Zfone Transparency Public review
Open Ja
ZRTP Transparency Public review
Open Ja

*Green means that it match basic requirement for a cryptographic secure system

* Rød / Broken betyr at det ikke samsvarer grunnleggende forutsetning for en kryptografisk sikkert system
Det er min analyse ved hjelp av en evaluering metode basert på kryptografiske og sikkerhetsinnstillinger ikke inkludert lokale kompromiss sammenheng at jeg anser ubrukelig.

However, to be clear, those are only basic parameters to be used when considering a voice encryption product (just to avoid being in a situation that appears like i am promoting other products). So it may absolutely possible that a product with good crypto ( transparency, peer reviewed and opensource) is absolutely a not secure product because of whatever reason (badly written, not usable causing user not to use it and use cleartext calls, politically compromised, etc, etc).
I think i will prepare a broader criteria for voice crypto technologies and voice crypto products, so it would be much easier and much practical to have a full transparent set of criterias to evaluate it.

But those are really the basis of security to be matched for a good voice encryption system!
Read some useful past slides on security protocols used in voice encryption systems (2nd part).

Now read below some more practical doubt about their research.

The security concept of the review is misleading: any hacked device can be always intercepted!

I think that the guys completely missed the point: ANY KIND OF SOFTWARE RUNNING ON A COMPROMISED OPERATING SYSTEM CAN BE INTERCEPTED

Now they are pointing out that also Zfone from Philip Zimmermann is broken (a pc software), just because they install a trojan on a PC like in a mobile phone?
Any security software rely on the fact that the underlying operating system is somehow trusted and preserve the integrity of the environment where the software run.

  • If you have a disk encryption system but your PC if infected by a trojan, the computer is already compromised.
  • If you have a voice encryption system but your PC is infected by a trojan, the computer is already compromised.
  • If you have a voice encryption system but your mobile phone is infected by a trojan, the mobile phone is already compromised.

No matter which software you are running, in such case the security of your operating environment is compromised and in one way or another way all the information integrity and confidentiality is compromised.

Like i explained above how to intercept PhoneCrypt.

The only things that can protect you from this threat is running in a closed operating system with Trust Computing capability, implementing it properly.
For sure on any “Open” operating system such us Windows, Windows Mobile, Linux, iPhone or Android there's no chance to really protect a software.
On difficult operating system such as Symbian OS or RimOS maybe the running software can be protected (at least partially)

That's the reason for which the security concept that guys are leveraging to carry on their marketing campaign has no clue.
It's just because they control the environment, they know Flexispy software and so they adjusted their software not to be interceptable when Flexispy is installed.
If you develop a trojan with the other techniques i described above you will 100% intercept PhoneCrypt.

On that subject also Dustin Tamme l, Security researcher of BreakPoint Systems , pointed on on VoIP Security Alliance mailing lists that the security analysis is based on wrong concepts .

The PhoneCrypt can be intercepted: it's just that they don't wanted to tell you!

PhoneCrypt can be intercepted with “on device spyware”.
Hvorfor?
Because Windows Mobile is an unsecure operating environment and PhoneCrypt runs on Windows Mobile.
Windows Mobile does not use Trusted Computing and so any software can do anything.
The platform choice for a secure telephony system is important.
How?
I quickly discussed with some knowledgeable windows mobile hackers about 2 different way to intercept PhoneCrypt with an on-device spyware (given the unsecure Windows Mobile Platform).

a) Inject a malicious DLL into the software and intercept from within the Phonecrypt itself.
In Windows Mobile any software can be subject to DLL code injection.
What an attacker can do is to inject into the PhoneCrypt software (or any software running on the phone), hooking the Audio related functions acting as a “function proxy” between the PhoneCrypt and the real API to record/play audio.
It's a matter of “hooking” only 2 functions, the one that record and the one that play audio.
Read the official Microsoft documentation on how to do DLL injection on Windows Mobile processes. or forum discussing the technique of injecting DLL on windows mobile processes.
That's simple, any programmer will tell you to do so.
They simply decided that's better not to make any notice about this.
b) Create a new audio driver that simply act as a proxy to the real one and intercept PhoneCrypt
In Windows Mobile you can create new Audio Drivers and new Audio Filters.
What an attacker can do is to load a new audio driver that does not do anything else than passing the real audio driver function TO/FROM the realone. In the meantime intercept everything recorded and everything played :-)
Here there is an example on how to do Audio driver for Windows Mobile .
Here a software that implement what i explain here for Windows “Virtual Audio Cable” .
The very same concept apply to Windows Mobile. Check the book “Mobile Malware Attack and Defense” at that link explaining techniques to play with those techniques.
They simply decided that's better not to make any notice to that way of intercepting phone call on PhoneCrypt .
Those are just 2 quick ideas, more can be probably done.

Sounds much like a marketing activity – Not a security research.

I have to tell you. I analyzed the issue very carefully and on most aspects. All this things about the voice encryption analisys sounds to me like a marketing campaign of SecurStar GmbH to sell PhoneCrypt and gain reputation. A well articulated and well prepared campaign to attract the media saying, in an indirect way cheating the media, that PhoneCrypt is the only one secure. You see the press releases of SecurStar and of the “Security researcher Notrax telling that PhoneCrypt is the only secure product” . SecurStar PhoneCrypt is the only product the anonymous hacker “Notrax” consider secure of the “software solutions”.
The only “software version” in competition with:

SnapCell – No one can buy it. A security company that does not even had anymore a webpage. The company does not almost exist anymore.
rohde-schawarz – A company that have in his list price and old outdated hardware secure phone . No one would buy it, it's not good for genera use.

Does it sounds strange that only those other products are considered secure along with PhoneCrypt .

Also… let's check the kind of multimedia content in the different reviews available of Gold-Lock, Cellcrypt and Phonecrypt in order to understand how much the marketing guys pressed to make the PhoneCrypt review the most attractive:

Application Screenshots of application Video with demonstration of interception Network demonstration
PhoneCrypt 5 0 1
CellCrypt 0 2 0
GoldLock 1 2 0

It's clear that PhoneCrypt is reviewed showing more features explicitly shown and major security features product description than the other.

Too much difference between them, should we suspect it's a marketing tips?

But again other strange things analyzing the way it was done…
If it was “an impartial and neutral review” we should see good and bad things on all the products right?

Ok, see the table below regarding the opinion indicated in each paragraph of the different reviews available of Gold-Lock, CellCrypt and Phonecrypt (are the only available) to see if are positive or negative.

Application Number of paragraphs Positive paragraphs Negative paragraphs Neutral paragraphs
PhoneCrypt 9 9 0 0
CellCrypt 12 0 10 2
GoldLock 9 0 8 1

Detailed paragraphs opinion analysis of Phonecrypt
Paragraph of review Opinion expressed
From their website Positive Marketing feedback
Apple iPhone Positive Marketing feedback
Disk Encryption or voice Encryption Positive Marketing feedback
PBX Compatibility? Really Positive Marketing feedback
Cracking <10. Not. Positive Marketing feedback
Godt tenkt! Positive Marketing feedback
A little network action Positive Marketing feedback
UI Positive Marketing feedback
Good Taste Positive Marketing feedback
Detailed paragraphs opinion analysis of Gold-Lock 3G
Paragraph of review Opinion expressed
From their website Negative Marketing feedback
Licensed by The israeli Ministry of Denfese Negative Marketing feedback
Real Company or Part Time hobby Negative Marketing feedback
16.000 bit authentication Negative Marketing feedback
DH 256 Negative Marketing feedback
Downad & Installation! Neutral Marketing feedback
Cracking it <10 Negative Marketing feedback
Marketing BS101 Negative Marketing feedback
Cool video stuff Negative Marketing feedback
Detailed paragraphs opinion analysis of CellCrypt
Paragraph of review Opinion expressed
From their website Neutral Marketing feedback
A little background about cellcrypt Negative Marketing feedback
Master of Marketing Negative Marketing feedback
Secure Voice calling Negative Marketing feedback
Who's buying their wares Negative Marketing feedback
Downad & Installation! Neutral Marketing feedback
My Demo environment Negative Marketing feedback
Did they forget some code Negative Marketing feedback
Cracking it <5 Negative Marketing feedback
Room Monitoring w/ FlexiSpy Negative Marketing feedback
Cellcrypt unique features.. Negative Marketing feedback
Plain old interception Negative Marketing feedback
The Haters out there Negative Marketing feedback

Now it's clear that from their point of view on PhoneCrypt there is no single bad point while the other are always described in a negative way.
No single good point. Strange?
All those considerations along with the next ones really let me think that's very probably a marketing review and not an independent review.

Other similar marketing attempt from SecurStar

SecurStar GmbH is known to have used in past marketing activity leveraging this kind of “technical speculations”, abusing of partial information and fake unconfirmed hacking stuff to make marketing/media coverage.
Imho a rare mix of unfairness in leveraging the difficult for people to really understand the complexity of security and cryptography.

What's also very interesting to notice that this “unknown hacker with no trace on google about him that appeared on December 2009 on the net” is referred on SecurStar GmbH Press Release as a “An IT security expert”.

Maybe they “know personally” who's this anonymous notrax? :)

Am i following my own conspiracy thinking or maybe there's some reasonable doubt that everything was arrange in that funny way just for a marketing activity?

Social consideration

If you are a security company you job have also a social aspects, you should also work to make the world a better place (sure to make business but “not being evil”). You cannot cheat the skills of the end users in evaluating security making fake misleading information.

You should do awareness on end users, to make them more conscious of security issues, giving them the tools to understand and decide themselves.

Hope you had fun reading this article and you made your own consideration about this.

Fabio Pietrosanti (naif)

ps Those are my personal professional opinion, let's speak about technology and security, not marketing.
pps i am not that smart in web writing, so sorry for how the text is formatted and how the flow of the article is unstructured!

Del
Tags , , , , , , | Comments (4)
business technology

Saas: is the end of the myth?

10 July 2009 – 7:00 am

Saas business models growth a lot during the past few years and i personally appreciate it.

No software to be installed, configured, maintained, service available when you needed with a early adoption time and most important reduction (or apparent reduction) of the total costs of ownership.

I had few experience with SaaS business (as a customer) and i have to say that the following Gartner Group analysis on SaaS businesses imho tell you the truth only for half of statements:

  • There is always a partial integration issue (not all systems are so flexible to really integrate into your business like you would like)
  • There is often a lacks of the technical requirements needed by the specific business case
  • I DO NOT agree that there is a barrier in the costs, as SaaS usually let you start spending only a few. However it's true that while doing the deployment you should be more conservative in the usage of features and items (es: I am using for my company a hosted VoIP PBX system, we pay for each extension we add. We don't have test extension or extensions that are not strictly needed because it costs. When we had an internal VoIP PBX system, we was plenty of test extension. This slightly increase some complexity in maintenance and deployment, even if the total cost of maintenance is a lot lower than an internal system to be managed.

So we can assume that Saas it's for most but not for all, especially if the need of customizations for the very specific business needs are relevant.

An in depth analysis and testing has to be carried on, in order to discover all the limits of the solution, on functionalities and pricing, to really discover if the specific solution fit the business need.

Del
Tags , | Comment (0)
business management technology

The real goal of online marketing: lead generation

7 July 2009 – 7:57 am

Often i discuss about online marketing, however it include the mysterious “marketing” magic word that's tipically subject to misunderstanding and misconception .

The end goal of online marketing is to generate qualified leads coming from international markets.

Some interesting links about it, and how things should be properly done are below:

I would really like to see an effective leverage of online techniques and tools as the main interface and providers of information, the main pre-sales agent of the company explaining almost everything required to get back a qualified lead.

Del
Tags , , | Comment (0)