Acest articol să se clarifice și să explice mai bine constatarea la infosecurityguard.com regaring voce de criptare evaluare a produselor.
Acest articol vreau să vă spun un alt punct de vedere decât infosecurityguard.com și să explice care sunt raționale cu explaination extinse din punct de vedere al securității.
Azi am citit știri spunând: "PhoneCrypt: Vulnerabilitate de bază au găsit în 12 din 15 de produse de criptare voce și a mers pentru a citi site-ul infosecurityguard .
Inițial a apărut pentru a-mi ca o activitate de cercetare mare, dar apoi am început să citesc profund citit despre it.I a constatat că nu este corect o cercetare în domeniul securității, dar există elemente concrete care este o campanie de marketing bine făcut, în scopul de a atrage mass-media publice și publicitate un produs.
IMHO au fost în măsură să trișeze jurnaliști și utilizatori, deoarece campania de marketing a fost absolut bine făcut, nu să fie descoperite pe prima încercare de citit. Eu personal l considerat ca fiind valabil de la 1 gata (m-au înșelat inițial!).
Dar dacă te duci profund ... vei intelege ca:
- Este o initiativa de marketing camuflaj aranjate de SecurStar GmbH, și nu o cercetare de securitate independente
- Pe care le consideră un context de securitate numai în cazul în care dispozitivul locale a fost compromisă (nu software-ul poate fi asigurată în acest caz, cum ai spune SSL poate fi compromisă dacă aveți un troian!)
- Nu consideră nici criteriile de securitate criptografice de securitate de bază și
Cu toate acestea o mulțime de site-ul de important raportate:
Acest articol este destul de lungă, dacă ai citit-o, veți înțelege mai bine ce se întâmplă în jurul infosecurityguard.com cercetare și rezultat de cercetare.
Vreau sa-ti spun de ce si cum (IMHO) sunt greșite.
Cercetarea a ratat să ia în considerare securitate, Criptografie și transparență!
Ei bine, tot acest sunet de cercetare de mult ca fiind axat pe obiectivul de marketing pentru a spune că produsul lor PhoneCrypt este "super" cel mai bun produs de toate celelalte.
Orice expert de securitate, care ar avea ca datoria "de evaluare software", în scopul de a proteja confidențialitatea convorbirilor telefonice va evalua alte caracteristici diferite ale produsului și tehnologiei.
Da, este adevărat că cea mai mare a produsului descris de SecurStar în site-ul lor de marketing anonim numit http://infosecurityguard.com avea vreo slăbiciune.
Dar slăbiciunea relevante sunt altele și PhoneCrypt Din păcate, la fel ca cele mai multe dintre produsele descrise sufera de aceasta.
Să recapitulăm ce caracteristici sunt necesare criptografie de bază și cerințele de securitate (cele mai bune practici, fundatia si elementele de bază!)
o - Prin Obscuritatea de securitate nu funcționează
O regulă de bază în criptografie cames din 1883 de Kerckhoffs Auguste:
- Specificații detaliate de algoritm criptografic (care nu doar că "vom folosi AES ")
- Specificații detaliate de protocol criptografic (care nu doar că "vom utiliza Diffie Hellman ")
- Specificație detaliată de măsurare a rezistentei criptografice (care nu doar că "avem 10000000 pic dimensiune cheie ")
Furnizarea de detalii precise înseamnă a avea o documentație vastă cu implicații teoretice și practice documentarea nici un fel unic de modul în care funcționează algoritmul, modul în care protocolul funcționează cu specificațiile precise pentru a se reproduce pentru testarea interoperabilității.
Aceasta înseamnă că comunitatea științifică ar trebui să poată să se joace cu tehnologia, auditului, hack.
Dacă noi nu știm nimic despre sistemul criptografic în detalii, cum putem ști care sunt slăbiciune și puncte de putere?
Mike Fratto, editor Site-ul de Network Computing, a făcut o mare de articol pe "spune nu la sistemele criptografice de proprietate" .
Cerias Purdue University spun asta .
b - la egal la egal NON revizuite și NON criptografie aprobate științific nu funcționează
În orice caz, și în orice condiții faci criptografie aveți nevoie pentru a fi sigur că cineva va verifica, analiza, analiza, distruct și reconstract de la zero tehnologie și să ofere aceste informații gratuit pentru public pentru discuții deschise.
Asta e exact cum sa născut AES și cum ar fi SUA, Institutul National de Standard face cripto face (cu concurs public cu peer review publice în care doar cel mai bun câștig evaluat).
O discuție publică cu un concurs public în cazul în care o mulțime de revizuire de criptograf cel mai faimos și expert în lume, hackeri (cu numele, prenumele și fata, nu ca NoTrax) asigura contribuția lor, spune ceea ce crede.
Asta se numește "peer review".
Dacă o tehnologie de criptare are un peer review extins și importante, distribuite în lumea care vine de la universități, companii private de securitate, instituții militare, hackeri și toate provin din diferite părți ale lumii (din SUA în Europa în Rusia în America de Sud la Orientul Mijlociu pentru China) și toate dintre ele sunt de acord că o tehnologie specifică e sigur ...
Ei bine, în acest caz, putem considera tehnologia sigur că o mulțime de persoane cu o reputație bună și de autoritate provenind de la o mulțime de alt loc în lume s-au analizat în public, a analizat și a confirmat că o tehnologie este sigură.
Cum o companie privată poate gândi chiar să inventeze de la sine un protocol securizat de comunicare, atunci când este declarat științific că nu este posibil să se facă într-un "mod de proprietate și închis"?
IBM vă spun că peer review este necesar pentru criptografie .
Bruce Schneier spune că "criptografilor buni știu că nimic înlocuitori pentru peer review extinse și ani de analiză."
Philip Zimmermann vă va spune să se ferească de ulei de sarpe unde povestea este: "Fiecare inginer software-ul se crede un criptograf, care a dus la proliferarea într-adevăr rău software Crypto."
C - criptografie closed source nu funcționează
După cum știți orice fel de "grave" și cu "buna reputație" tehnologie criptografică este implementat în open source.
Există, de obicei, implementarea multiple de același algoritm criptografic și protocol de criptare pentru a putea analiza toate modul în care funcționează și certifica interoperabilitatea.
Să presupunem că pentru a utiliza un standard cu detalii precise și extinse cu privire la "modul în care funcționează", care a fost "inter pares", de către comunitatea științifică, dar că a fost re-puse în aplicare de la zero de către un programator nu atât de inteligent și de punere în aplicare este o multime de bug-uri .
Ei bine, în cazul în care punerea în aplicare este "open source", aceasta înseamnă că pot fi revizuite, îmbunătățite, testate, auditat și utilizatorul final va avea certaintly în ea proprii a avut o bucată de tehnologie ", care funcționează în condiții de siguranță".
Google lansare opensource cripto Toolkit
Mozilla eliberare opensource cripto Toolkit
Bruce Schneier vă spun că Criptografie trebuie să fie open source .
Un alt punct de vedere criptografic
Nu vreau sa conving pe nimeni, ci doar oferă date legate de știință, legate de criptografie și de securitate, în scopul de a reduce efectul de dezinformare făcută de către companiile de securitate a căror singură merge este de a vinde ceva și să nu facă ceva care face lumea o mai bună.
Când face produse sigure, în cazul în care nu se fac în urma oamenii buna abordare ar putea muri.
Este absolut ceva iresponsabil să nu utilizeze cele mai bune practici pentru a face lucruri Crypto.
Pentru a rezuma să trecem în revistă revizuire infosecurityguard.com la o securitate mai bun punct Practica de vedere.
| Numele produsului | Prin Obscuritatea securitate | Peer review publice | Open Source | Compromis la nivel local? |
| Caspertec | Obscuritate | Nici o revizuire publice | Închis | Da |
| CellCrypt | Obscuritate | Nici o revizuire publice | Închis | Da |
| CryptoPhone | Transparență | Revizuire pe acțiuni | Public | Da |
| Aur-Lock | Obscuritate | Nici o revizuire publice | Închis | Da |
| Illix | Obscuritate | Nici o revizuire publice | Închis | Da |
| No1.BC | Obscuritate | Nici o revizuire publice | Închis | Da |
| PhoneCrypt | Obscuritate | Nici o revizuire publice | Închis | Da |
| Rode & Swarz | Obscuritate | Nici o revizuire publice | Închis | Da |
| Secure-Voice | Obscuritate | Nici o revizuire publice | Închis | Da |
| Secusmart | Obscuritate | Nici o revizuire publice | Închis | Da |
| SecVoice | Obscuritate | Nici o revizuire publice | Închis | Da |
| SegureGSM | Obscuritate | Nici o revizuire publice | Închis | Da |
| SnapCell | Obscuritate | Nici o revizuire publice | Închis | Da |
| Tripleton | Obscuritate | Nici o revizuire publice | Închis | Da |
| Zfone | Transparență | Revizuire publice | Deschide | Da |
| ZRTP | Transparență | Revizuire publice | Deschide | Da |
* Verde înseamnă că se potrivesc cerință de bază pentru un sistem securizat criptografic
Cu toate acestea, să fie clar, acestea sunt doar parametri de bază pentru a fi folosite atunci când se analizează un produs de criptare voce (doar pentru a evita să fie într-o situație care apare ca eu sunt promovarea altor produse). Deci, se poate absolut posibil ca un produs cu bun cripto (transparență, inter pares și open source), este absolut un produs nu este sigur că, indiferent de motiv (prost scrise, nu utilizabil cauzând utilizatorul nu să-l folosească și de a folosi apeluri text clar, compromis politic, etc , etc).
Cred că i se va pregăti un criteriu mai larg de tehnologii de voce Crypto și produse de voce de criptare, asa ca ar fi mult mai ușor și mult mai practic de a avea un set complet transparent de criterii pentru a evalua.
Dar cei care sunt într-adevăr la baza de securitate pentru a fi potrivite pentru un sistem bun de criptare voce!
Citiți câteva diapozitive ultimii utile pe protocoale de securitate folosite în sistemele de criptare voce (2 parte).
Acum, citiți mai jos unele îndoieli mai practic despre cercetarea lor.
Conceptul de securitate de revizuire este înșelătoare: orice dispozitiv de tocat poate fi întotdeauna interceptat!
Cred ca baietii ratat complet punct: orice program care rulează pe un sistem de operare compromisă poate fi interceptate
Acum, ei sunt subliniind că, de asemenea, Zfone de Philip Zimmermann este rupt (un software pentru PC), doar pentru că a instala un troian pe un PC ca pe un telefon mobil?
Orice software de securitate se bazează pe faptul că sistemul de operare de bază este într-un fel de încredere și pentru a păstra integritatea mediului în care rula software-ul.
- Dacă aveți un sistem de criptare, dar PC-ul, dacă infectat de un troian, calculatorul este deja compromis.
- Dacă aveți un sistem de criptare voce, dar PC-ul este infectat de un troian, calculatorul este deja compromis.
- Dacă aveți un sistem de criptare voce, dar telefonul mobil este infectat de un troian, telefonul mobil este deja compromisa.
Indiferent care software-ul se execută, în acest caz, securitatea mediului de operare este compromisă și într-un fel sau altul modul în care este compromisă toate integritatea informațiilor și confidențialitatea.
Cum am explicat mai sus cum de a intercepta PhoneCrypt.
Singurele lucruri pe care le poate proteja de această amenințare se execută într-un sistem de operare închis cu capacitatea de calcul Trust, punerea sa în aplicare în mod corespunzător.
Pentru că la orice "Open" sistem de operare, cum ar noi pentru Windows, Windows Mobile, Linux, iPhone sau Android nu există nici o șansă de a proteja într-adevăr un software.
Pe sistemul de operare dificile, cum ar fi sistemul de operare Symbian sau Rimos poate software-ul rulează poate fi protejat (cel puțin parțial)
Acesta este motivul pentru care conceptul de securitate care băieții sunt pârghie pentru a continua campania lor de marketing nu are nici un indiciu.
Este doar pentru că ei controlează mediul, ei știu FlexiSPY software-ul și astfel ei au adaptat software-ul lor să nu fie interceptable atunci când este instalat FlexiSPY.
Dacă vă dezvolta un troian cu alte tehnici le-am descris mai sus va de 100% de interceptare PhoneCrypt.
Pe acest subiect, de asemenea, Dustin Tamme L, cercetator de securitate a sistemelor punct de întrerupere , a arătat pe la VoIP de securitate listele de discuții Alianței că analiza de securitate se bazează pe concepte greșite .
PhoneCrypt pot fi interceptate: e doar că nu a vrut să-ți spun!
PhoneCrypt pot fi interceptate cu "spyware pe dispozitiv".
De ce?
Pentru ca Windows Mobile este un mediu de operare nesigură și PhoneCrypt rulează pe Windows Mobile.
Windows Mobile nu utilizează Trusted Computing și astfel orice software-ul poate face nimic.
Alegerea platformă pentru un sistem de telefonie securizat este importantă.
Cum?
Imediat mi-am discutat cu niste cunostinte ferestre hackeri mobile de aproximativ 2 mod diferit de a intercepta PhoneCrypt cu un spyware de pe dispozitiv (dat fiind nesigur platforma Windows Mobile).
Sună mai mult ca o activitate de marketing - Nu este o cercetare de securitate.
Trebuie să-ți spun. Am analizat problema foarte atent și pe cele mai multe aspecte. Toate aceste lucruri despre analiza de criptare voce mi se pare o campanie de marketing de SecurStar GmbH a vinde PhoneCrypt și să câștige reputație. O campanie bine articulat și bine pregătit pentru a atrage mass-media spune, într-un mod indirect inseala mass-media, care PhoneCrypt este singurul sigură. Veți vedea comunicatele de presă ale SecurStar și de "cercetător NoTrax de Securitate spune că PhoneCrypt este singurul produs sigur" . SecurStar PhoneCrypt este singurul produs hacker anonim "NoTrax", considera sigură a "solutii software".
Numai "versiune de software", în competiție cu:
Nu pare ciudat că numai acele produse sunt considerate sigure, împreună cu PhoneCrypt.
De asemenea, ... Să verificăm fel de conținut multimedia în diferite comentarii disponibile de aur-Lock, Cellcrypt și PhoneCrypt pentru a înțelege cât de mult baietii de marketing presat să facă revizuirea PhoneCrypt cele mai atractive:
| Cerere | Imagini de aplicare | Video cu demonstrații de interceptare | Demonstrație rețea | |
| PhoneCrypt | 5 | 0 | 1 | |
| CellCrypt | 0 | 2 | 0 | |
| GoldLock | 1 | 2 | 0 |
Este clar că PhoneCrypt este revizuit arată mai multe caracteristici prezentate în mod explicit și caracteristici importante pentru securitatea descrierea produsului decât celălalt.
O diferență prea mare între ele, ar trebui să bănuim că este o sfaturi de marketing?
Dar, din nou, alte lucruri ciudate analiza modul în care a fost făcut ...
Dacă ar fi fost "o analiză imparțială și neutră" ar trebui să vedem lucrurile bune și rele pe toate produsele potrivite?
Ok, consultați tabelul de mai jos cu privire la opinia indicate în fiecare paragraf din diferitele comentarii disponibile de aur-Lock, CellCrypt și PhoneCrypt (sunt disponibile numai), pentru a vedea dacă sunt pozitive sau negative.
| Cerere | Numărul de paragrafe | Punctele pozitive | Punctele negative | Punctele neutre |
| PhoneCrypt | 9 | 9 | 0 | 0 |
| CellCrypt | 12 | 0 | 10 | 2 |
| GoldLock | 9 | 0 | 8 | 1 |
| Paragraful de revizuire | Opinia exprimată |
| De la site-ul lor | Feedback-ul de marketing pozitiv |
| Apple iPhone | Feedback-ul de marketing pozitiv |
| Disk Encryption sau criptare voce | Feedback-ul de marketing pozitiv |
| PBX compatibilitate? Într-adevăr | Feedback-ul de marketing pozitiv |
| Cracare <10. Nu. | Feedback-ul de marketing pozitiv |
| Bine gândit! | Feedback-ul de marketing pozitiv |
| O acțiune rețea mică | Feedback-ul de marketing pozitiv |
| UI | Feedback-ul de marketing pozitiv |
| Bun gust | Feedback-ul de marketing pozitiv |
| Paragraful de revizuire | Opinia exprimată |
| De la site-ul lor | Feedback-ul de marketing negativ |
| Autorizate de către Ministerul israelian de Denfese | Feedback-ul de marketing negativ |
| Compania real sau Part Time hobby | Feedback-ul de marketing negativ |
| Autentificare 16.000 bit | Feedback-ul de marketing negativ |
| DH 256 | Feedback-ul de marketing negativ |
| Downad & Instalare! | Feedback-ul de marketing neutru |
| Cracare este <10 | Feedback-ul de marketing negativ |
| Marketing BS101 | Feedback-ul de marketing negativ |
| Chestii misto film | Feedback-ul de marketing negativ |
| Paragraful de revizuire | Opinia exprimată |
| De la site-ul lor | Feedback-ul de marketing neutru |
| Un pic de fond despre cellcrypt | Feedback-ul de marketing negativ |
| Maestru de Marketing | Feedback-ul de marketing negativ |
| Secure apelurile vocale | Feedback-ul de marketing negativ |
| Cine cumpără marfa lor | Feedback-ul de marketing negativ |
| Downad & Instalare! | Feedback-ul de marketing neutru |
| Mediul meu Demo | Feedback-ul de marketing negativ |
| Au uitat un cod | Feedback-ul de marketing negativ |
| Cracare l <5 | Feedback-ul de marketing negativ |
| Camera de monitorizare W / FlexiSpy | Feedback-ul de marketing negativ |
| Cellcrypt caracteristici unice .. | Feedback-ul de marketing negativ |
| Interceptarea simplu vechi | Feedback-ul de marketing negativ |
| Cele Haters acolo | Feedback-ul de marketing negativ |
Acum este clar că din punctul lor de vedere cu privire PhoneCrypt nu există nici un punct rău singur, în timp ce altele sunt întotdeauna descrise într-un mod negativ.
Nici un punct bun. Ciudat?
Toate aceste considerații, împreună cu cele următorii într-adevăr să mă gândesc că e foarte probabil, o analiză de marketing și nu o analiză independentă.
Altă încercare de marketing similare de la SecurStar
SecurStar GmbH este cunoscut pentru a fi utilizate în activitatea de marketing trecut pârghie acest tip de "speculații tehnice", abuz de informații parțiale și fals lucruri neconfirmate de hacking pentru a face marketing / mass-media.
IMHO un amestec rar de nedreptate în pârghie dificil pentru oameni să înțeleagă cu adevărat complexitatea de securitate și criptografie.
Ei au deja utilizate în activități de marketing trecute ca cea despre crearea unui troian pentru Windows Mobile și spunând că software-ul lor este sigur de troian, care au scris.
Citiți despre trucuri de marketing ale anului 2007
Ei au dezvoltat un troian (RexSpy) pentru Windows Mobile, a făcut o capacitate demonstrație de troieni și mai târziu a spus că au inclus "Anti-troian" capacitatea de a lor PhoneCrypt software.They nu a lansat informatii pe care troian, nici măcar nu s-au dovedit că există .
Cercetătorul Collin Mulliner spus la acel moment că sună ca un sfaturi de marketing (de asemenea, că el nu a fost capabil de a obține de la SecurStar CEO Hafner orice informații despre care troian):
Acum, haideți să încercăm să facem ceva mutare logică.
Este o parte din modul în care se comercializează, o abordare foarte neprietenos și unpolite cu clienții, jurnalist și utilizatorii care încearcă să ofere concepte de securitate greșite pentru un avantaj de piață. Fiind sigur că cei care citesc nu are toate aptitudinile necesare pentru a face în evaluarea de securitate profunzime și de a găsi adevărul din spatele călătoriile lor de marketing.
Cine este NoTrax hacker?
Se pare ca un camuflaj de o identitate falsă necesare pentru a avea un "hacker independent", care face o "analiză independentă", care este mult mai puternic pe creșterea reputației.
Citiți despre bio lui:
Nu există informații despre acest tip de pe Google.
Aproape orice hacker care se publică au articole on-line, mesaj în arhivă corespondență și / sau un forum sau un rezultat al activității lor.
Pentru NoTrax, nimic nu este disponibilă.
În plus, să ne uităm la domeniul de ...
Infosecurityguard.com domeniu este intimitatea protejat de domainsbyproxy pentru a preveni înțelegerea cine este proprietarul.
Domeniul a fost creat acum 2 luni pe 01-Dec-09 pe godaddy.com grefier.
Ce este, de asemenea, foarte interesant de observat că acest "hacker necunoscut, cu nici o urmă pe Google despre el că a apărut pe decembrie 2009, pe net" se face referire la SecurStar GmbH comunicat de presă ca un "Un expert în securitate IT".
Sunt urma propria mea gândire conspirație sau poate există o îndoială că totul sa aranja în așa amuzant doar pentru o activitate de marketing?
Considerație socială
Dacă sunteți o companie de securitate ce locuri de muncă au, de asemenea, un aspectele sociale, ar trebui, de asemenea, de lucru pentru a face lumea un loc mai bun (sigur de a face afaceri, dar "nu fi rău"). Nu se poate înșela abilitățile utilizatorilor finali în evaluarea de securitate a face informații înșelătoare fals.
Ar trebui să faci gradului de conștientizare asupra utilizatorilor finali, pentru a le face mai conștienți de problemele de securitate, oferindu-le instrumentele necesare pentru a înțelege și de a decide ei înșiși.
Sper că te-ai distrat citind acest articol și ați făcut dvs. de vedere propriu cu privire la acest lucru.
Fabio Pietrosanti (Naif)
ps Acestea sunt opinia mea personală profesională, să vorbească despre tehnologie și de securitate, nu de marketing.
PPS Eu nu sunt asa de destept în scris de web, atât de rău pentru modul în care este formatat textul și modul în care fluxul de articol este nestructurat!
4 Comentarii
Absolut corect, am știut că hacker nu este altceva decât un manechin de marketing, se pare ca am avut dreptate
După ce a urmat aceasta de la el Reg, eu sunt, de asemenea, destul de interesat de două comentarii laudative identice (14 & 15 pe http://infosecurityguard.com/?p=26 # comments ) au recent domenii primul-inregistrate 01 decembrie și 28 decembrie 09 ) și au comentat, de asemenea, favorabil la alte posturi.
Un Google rapid pentru "Carroll B. Merriman", a fost instructiv - un comentator complet context-free cu interjects ciudate pe orice, de la California "Go-Go & sushi-bar (în cazul în care el posturi despre Zune?) La Lancashire reparatii calculatoare si web design (bine , Blackpool nu este prea departe) și, cel mai grăitor, de internet marketing afiliat. Blackpool Site-ul PC-ul rănit în karma (săraci carasi, site-ul rahat) și, interesant, pare să fie înregistrate ciudat - a unei persoane fizice rezidente non-Marea Britanie (mai degrabă decât o companie din Marea Britanie). "David Pennington" poate fi bine conectat la "Steve Pennington", care are aaafleetwoodpcrepair.co.uk, care este conectat la "tickets4u SRL" - o companie înregistrată din Marea Britanie.
V dubios, în opinia mea profesională - aceasta iarba este în mod clar de plastic.
Bună treabă, destul de aprofundată. Dacă aveți de gând să cineva bust, e bine să fie aprofundată.
Nisa pentru a citi acest articol si-l va fi minunat dacă puteți include mai multe software-ul spion telefon mobil cum ar fi telefon mobil Mobistealth și alte și software-ul spion sms