thông minh đánh chặn bảo mật an ninh công nghệ

RFC 6189: ZRTP là cuối cùng một tiêu chuẩn!

11 Tháng Tư, 2011 - 22:54

Cuối cùng ZRTP đã được giao một bài tập RFC chính thức, RFC6189 ZRTP: Media Đường dẫn chính Hiệp định Unicast an toàn RTP.

Nó có như một phụ thuộc của SRTP với kích thước khóa AES 256bit mà bây giờ đã được định nghĩa là RFC6188 .

Đó là thú vị để xem RFC cuối cùng phát hành, vì nó là một cột mốc quan trọng để thiết lập ZRTP như là tiêu chuẩn chính thức cho end-to-end mã hóa giống như PGP đã được cho các email.

Bây giờ bất kỳ tổ chức trên thế giới sẽ chính thức có thể thực hiện ZRTP cho end-to-end giao thức mã hóa giọng nói

Hiện nay 3 thực hiện khác nhau công của ZRTP giao thức tồn tại:

Mỗi người trong số họ cung cấp các tính năng của giao thức khác nhau, nhưng quan trọng nhất được biết đến để có khả năng.

Một làn sóng mới đang đến với thế giới mã hóa giọng nói, irrupting vào một vùng màu xám nơi mà hầu hết các công ty làm hệ thống mã hóa điện thoại đã được thực hiện mã hóa tùy chỉnh.

Bây giờ một tiêu chuẩn đã được thiết lập và có vài lý do để thực hiện một cái gì đó khác nhau.

Hurra ông Zimmermann và tất cả các cộng đồng của các công ty (như PrivateWave ) và cá nhân (như Werner Dittmann ) làm việc trên nó!

Ngày nay nó là một ngày tuyệt vời, những loại công nghệ chính thức và cũng thực hiện hiện nhiều!

Philip, bạn đã làm nó một lần nữa, khen ngợi tinh thần quyết tâm và tinh khiết của bạn :-)

Chia
Comment (1) Thêm , , , | Bình luận (1)
đánh chặn bảo mật an ninh

Tiến bộ cho GSM nứt trong trường đại học Freiburg

23 Tháng 2, 2011 - 13:32

Thế giới thú vị của giao thức điện thoại di động (GSM, GSM-R, TETRA, UMTS, vv) hacking là nhận được các hoạt động nghiên cứu chính thức từ các trường đại học.

Việc đầu tư để làm cho mã nguồn mở của phần mềm bẻ khóa được cho cơ hội để sinh viên của trường đại học làm việc trên nó, cải thiện và làm nghiên cứu mạnh mẽ.

Đại học Freiburg chỉ phát hành giấy bài tập thực hành về GSM mã hóa A5 / 1 cùng với một công cụ hỗ trợ gsmframencoder để cải thiện quá trình đánh hơi, giải mã và nứt.

Mở phần cứng, phần mềm mở, mở giao thức chứng minh sự yếu kém của bất kỳ loại phương pháp độc quyền hoặc quá trình xây dựng công nghệ truyền thông và an ninh.

Nó nên là mục tiêu của bất kỳ nhà khoa học cố gắng để mở-up và crack bất kỳ loại công nghệ độc quyền và đóng cửa để buộc ngành công nghiệp để đi vào chỉ với cách tiếp cận tương thích và cởi mở trong khi thiết kế các giao thức viễn thông.

Chia
Comment (0) Thêm , , điện , , | Bình luận (0)
Bảo mật công nghệ

Điều khoản tham chiếu xuất cảnh nút kinh nghiệm để lọc ra lưu lượng truy cập ồn ào

24 tháng 1, 2011 - 22:14

Đầu năm nay tôi quyết định đó là thời gian để chạy một nút điều khoản tham chiếu xuất cảnh vì vậy tôi đã mang một VPS ở hetzner.de (vì họ được liệt kê như là một Good TOR ISP ) và thiết lập xuất cảnh-node với nickname privacyresearch.infosecurity.ch với các 100Mbit / kết nối cho 1 1TB dữ liệu hàng tháng, sau đó căn hộ 10Mbit / s.

Nó cũng chạy phần mềm TOR2WEB trên http://tor.infosecurity.ch .

Tôi thiết lập các lối ra chính sách như đề xuất bằng cách chạy thoát nút với sách nhiễu tối thiểu và chuẩn bị một mẫu phản ứng lạm dụng .

Trong ngày đầu tiên tôi đã chạy các nút tôi nhận được ngay lập tức Diễn đàn được khiếu nại do ngang ngang nhau lưu lượng truy cập.

Vì vậy, tôi quyết định để lọc ra một số lưu lượng truy cập P2P bằng cách sử dụng iptables OpenDPI mô-đun và Diễn đàn được phàn nàn tự động biến mất:

iptables-A OUTPUT-m opendpi-eDonkey-gadugadu-FastTrack, Gnutella DirectConnect-bittorrent-WinMX-Soulseek-j REJECT

Sau đó, vì tôi là tiếng ý, tôi quyết định để tránh nút điều khoản tham chiếu của tôi để kết nối với không gian địa chỉ internet Ý để làm giảm cơ hội ngu ngốc rằng một công tố viên sẽ đánh thức tôi dậy vào buổi sáng vì không hiểu rằng tôi đang chạy một nút điều khoản tham chiếu.

Tôi đã cố gắng, với sự giúp đỡ của hellais đã viết một kịch bản để làm cho Exit chính sách từ chối tuyên bố , từ chối tất cả các netblocks Ý dựa trên IOError của blockfinder nhưng chúng tôi thấy rằng cấu hình các tập tin torrc với 1.000 dòng có những vụ tai nạn TOR.

Chúng tôi đã đi để mở một vé để báo cáo các vụ tai nạn về nỗ lực của chúng tôi để ngăn chặn chính sách điều khoản tham chiếu xuất cảnh theo quốc gia và tìm thấy một nỗ lực tương tự như nơi mà chúng tôi đóng góp, nhưng nó vẫn có vẻ là một vấn đề mở.

Kết luận rằng đó là không thể thực hiện một chính sách Thoát Nước cho nút exit TOR một cách sạch sẽ và lịch sự vì vậy tôi quyết định đi theo con đường dơ bẩn bằng cách sử dụng iptables / GeoIP . Sau khi chiến đấu để làm cho nó biên dịch đúng, nó là một dòng của iptables để ngăn chặn lưu lượng truy cập để italy:

iptables-A OUTPUT-p tcp-m state - state NEW-m GeoIP-dst-cc-j REJECT

Bây giờ từ nút xuất cảnh của tôi không có kết nối mạng của Ý sẽ được thực hiện và tôi an toàn chống lại có thể các công tố viên ngu ngốc không hiểu điều khoản tham chiếu (i có một ngoại lệ cho tất cả các địa chỉ ip nút điều khoản tham chiếu áp dụng trước).

Sau khi một số ngày khác, tôi bắt đầu nhận được than phiền do hoạt động portscan có nguồn gốc từ các nút tor của tôi.

Từ quan điểm riêng của tôi xem tôi muốn hỗ trợ mạng nặc danh, không phải vô danh hacking cố gắng và vì vậy tôi muốn để lọc ra portscan và các cuộc tấn công có nguồn gốc từ node.That của tôi là vấn đề phức tạp đòi hỏi một số nghiên cứu, do đó, trong khi chờ đợi tôi cài đặt scanlogdsnort bởi vì tôi muốn đánh giá như thế nào nhiều cuộc tấn công, trong đó loại các cuộc tấn công đang nhận được từ nút xuất cảnh điều khoản tham chiếu của tôi.
Sau đó tôi sẽ cố gắng sắp xếp một số loại lọc để chắc chắn để có thể lọc ra các cuộc tấn công lớn.
Đối với những gì liên quan đến portscan có vẻ như rằng không có công cụ nào để phát hiện và lọc portscan đi nhưng chỉ lọc portscan đến như vậy có thể sẽ cần phải viết một cái gì đó quảng cáo-hoc.
Tôi sẽ giới thiệu đang làm thế nào và nếu có sẽ có một số cách tốt đẹp để thực hiện một cách LightWave snort-nội tuyến để lựa chọn tấn công cố gắng lọc ra chủ yếu có nguồn gốc từ nút xuất cảnh của tôi.

Mục tiêu của tôi là để giữ một nút xuất cảnh chạy trong dài hạn (ít nhất là 1TB lưu lượng truy cập mỗi tháng tặng cho TOR), làm giảm các nỗ lực liên quan đến ISP khiếu nại và cố gắng làm tốt nhất của tôi để chạy theo lối ra nút với một trách nhiệm pháp lý hợp lý.

Chia
Comment (0) Download | Comment (0)
thông minh đánh chặn an ninh

TETRA hacking: OsmocomTETRA

Ngày 23 tháng 1 năm 2011 - 10:27 am

Nó rất thú vị để xem việc phát hành OsmocomTETRA , người đầu tiên mã nguồn mở SDR ( Software Defined Đài phát thanh ) thực hiện TETRA bộ giải điều chế, PHY và thấp hơn MAC lớp.

Đó là phiên bản TETRA của GSM airprobe mở khóa truy cập dữ liệu và khung của giao thức truyền thông TETRA, do đó đưa ra cơ hội tấn công tuyệt vời!

Bây giờ cũng TETRA công nghệ đã được mở, trong thời gian này năm 2011, chúng ta nên mong đợi để xem TETRA sniffer mã nguồn mở và có lẽ cũng TEA mã hóa (Encryption Algorithm Tetra) nứt!

TETRA được sử dụng bởi cảnh sát, Dịch vụ khẩn cấp và quân đội như là một mạng lưới giao thông thay thế điện thoại di động có thể hoạt động ngay cả khi không có sự sẵn có của vùng phủ sóng (chỉ có điện thoại di động điện thoại di động mà không có một trạm cơ sở) và cung cấp một số dịch vụ sẵn sàng cao đặc biệt.

Tôi đã viết về TETRA trượt giọng nói của tôi xem xét Nghị định thư chính an .

Trong danh sách gửi thư OsmocomBB đã thảo luận về một số tình trạng mạng TETRA:

  • Cảnh sát Bỉ TETRA Astrid mạng: không được mã hóa
  • Cảnh sát Đức kiểm tra TETRA mạng trong Aachen: không được mã hóa
  • Một số cựu jugoslawia TETRA mạng: không được mã hóa
  • Hà Lan C200 của TETRA mạng: TEA2 mã hóa với các phím tĩnh
  • Anh Airwave TETRA mạng: TEA2 mã hóa với TEA2

Nó sẽ thực sự thú vị để thấy rằng cảnh sát mới và trở lại dịch vụ cứu hộ hacking từ lứa tuổi cũ analog radio kỹ thuật số mới :-)

Chia
Comment (1) Thêm , , điện , | Bình luận (1)
ý tưởng Kudos

Chính phủ 2.0, dữ liệu mở và WikiLeaks

15 Tháng 1 2011 20:05

Các khái niệm đằng sau WikiLeaks, OpenLeaks, GlobalLeaks, BalkanLeaks nhiều hơn là chỉ tiết lộ bí mật cho công chúng.

Đó là một phần của một cuộc cách mạng đó là minh bạch của chính phủ, tổ chức và hợp tác với cái gọi là "web 2.0 / wiki hệ thống hợp tác.

Có một cái nhìn vào những 2,0 Chính phủ - Giới thiệu Anke Domscheit Berg, Chính phủ Chương trình đổi mới dẫn của Microsoft Đức và vợ của Daniel Berg, người đồng sáng lập WikiLeaks và người sáng lập của OpenLeaks .

Có một cái nhìn mở dữ liệu của chính phủ 2,0 sáng kiến để thực thi các chính phủ minh bạch, giảm tham nhũng và cải thiện hiệu suất của tổ chức chính phủ.

Cuộc cách mạng đó nó chỉ hơn một nhóm các chàng trai sôi nổi, tự do chủ nghĩa anarco muốn tạo ra sự hỗn loạn bằng cách bí mật lây lan, nó chỉ là bắt đầu của các cao điểm để đạt được mô hình tổ chức mới của các chính phủ bằng cách thúc đẩy tính minh bạch đầy đủ và hợp tác mạnh mẽ với công dân.

Chia
Comment (0) Download | Bình luận (0)
Bảo mật

ZORG, mới C + + và Java ZRTP thực hiện công khai phát hành

12 Tháng 1, 2011 - 02:01

Hi tất cả, ngày hôm nay vào lúc PrivateWave Italia SpA, Ý công ty tham gia trong công nghệ phát triển để bảo vệ sự riêng tư và an ninh thông tin trong viễn thông bằng giọng nói, nơi tôi CTO, chúng tôi phát hành ZORG, một nguồn mới mở ZRTP giao thức triển khai sẵn có để tải về từ http://www. zrtp.org .

ZRTP [1] cung cấp cho end-to-end trao đổi quan trọng với các đường cong elliptic Diffie-Hellmann 384bit và mã hóa AES-256 SRTP.

ZORG đã được phát triển ban đầu và thực hiện trong các sản phẩm mã hóa PrivateWave PrivateGSM giọng nói có sẵn cho các nền tảng sau đây: Blackberry, Nokia và iOS (iPhone).

Zorg C + + đã được tích hợp với mã nguồn mở PJSIP VoIP SDK [2] và nó cung cấp như tích hợp bản vá chống lại PJSIP 1.8.5. Nó đã được thử nghiệm trên iPhone, Symbian, Windows, Linux và Mac OS X.

Của Zorg Java đã được tích hợp trong một phiên bản tùy chỉnh của MJSIP [3] mã nguồn mở SDK trên Blackberry nền tảng và nó bao gồm tối ưu hóa sử dụng bộ nhớ cần thiết để giảm hoạt động thu gom rác tối thiểu.

Cả hai nền tảng này đã tách ra và mô-đun mã hóa trở lại kết thúc để thực hiện thuật toán mã hóa có thể dễ dàng trao đổi với những người khác.

. ZORG được cấp phép theo Giấy phép GNU AGPL và mã nguồn có sẵn trên github tại https://github.com/privatewave/ZORG .

Chúng tôi đang phát hành theo mã nguồn mở và gắn kết với cách tiếp cận của chúng tôi đối với an ninh [4] và chúng tôi thực sự hy vọng rằng nó có thể hữu ích cho hệ sinh thái nguồn mở để tạo ra hệ thống mã hóa thoại mới hỗ trợ tự do ngôn luận.

Hơn 20 mở pjsip dựa trên nguồn VoIP mã hóa phần mềm và một số viết bằng Java có thể được hưởng lợi trực tiếp từ ZORG phát hành.

Chúng tôi sẽ rất vui khi nhận được đề nghị hợp tác, hội nhập mới, mật mã mới back-kết thúc, lỗi trinh sát và bất cứ điều gì hữu ích để cải thiện và để cho ZRTP khẳng định như là tiêu chuẩn mã hóa giọng nói.

Zorg là có http://www.zrtp.org .

[1] ZRTP: http://en.wikipedia.org/wiki/ZRTP
[2] PJSIP: http://www.pjsip.org
[3] MJSIP: http://www.mjsip.org
[4] an ninh phương pháp tiếp cận: http://www.privatewave.com/security/approch.html

Chia
Comment (0) Download , , , , | Bình luận (0)
Bảo mật an ninh công nghệ

Mã hóa điện thoại di động để gọi điện thoại điện thoại cố định với Asterisk 1,8

Tháng Mười 25, 2010 - 12:15

Chúng tôi vừa phát hành một howto kỹ thuật về làm thế nào để xây dựng bảo đảm điện thoại di động cho cơ sở hạ tầng VoIP điện thoại cố định :

Trong tuần tiếp theo những người khác howto như thế này sẽ đi ra bằng cách sử dụng các nền tảng máy chủ khác như freeswitch, tất cả trong tinh thần minh bạch và tận dụng các công nghệ bảo mật mã nguồn mở.

Chia
Comment (0) thẻ , , , | Bình luận (0)
an ninh

Tám Epic Thất bại của Quy định Cryptography

21 Tháng 10, 2010 - 14:59

Một bài viết rất sáng tỏ Không Epic Tám Quy định Mật mã học và sự hiểu lầm phổ biến của các quan chức chính phủ không có một cái nhìn rộng về công nghệ hoạt động như thế nào.

Điều chỉnh chính phủ ngu dốt không hiểu rằng quy định nghiêm ngặt sẽ có những hạn chế sau đây:

  1. Nó sẽ tạo ra nguy cơ bảo mật
  2. Nó sẽ không ngăn chặn những kẻ xấu
  3. Nó sẽ gây tổn hại cho sự đổi mới
  4. Nó sẽ gây tổn hại cho doanh nghiệp Hoa Kỳ
  5. Nó sẽ chi phí người tiêu dùng
  6. Nó sẽ là không hợp hiến
  7. Nó sẽ là một số kinh phí rất lớn của đô la thuế

Chia
Comment (0) Download , | Bình luận (0)
Bảo mật an ninh công nghệ

PrivateGSM: mã hóa thoại di động Blackberry / iPhone / Nokia với ZRTP hoặc SRTP / SDES

19 October 2010 - 09:10 am

Tôi tuyệt đối tránh sử dụng blog cá nhân của tôi để làm cho chương trình khuyến mại của bất kỳ loại sản phẩm.

Thời gian không phải là khác nhau, nhưng tôi muốn để cho bạn biết sự thật về sản phẩm tôi làm việc trên mà không cần tiếp thị ưa thích, nhưng ở kỹ thuật.

Ngày nay, tại PrivateWave CTO và đồng sáng lập , chúng tôi phát hành công khai các sản phẩm mã hóa điện thoại di động VoIP cho Blackberry, iPhone và Nokia:

  • The 1st bao giờ Blackberry được mã hóa VoIP với ZRTP - PrivateGSM VoIP chuyên nghiệp
  • The 1st bao giờ iPhone mã hóa VoIP với ZRTP - PrivateGSM VoIP chuyên nghiệp
  • The 1st bao giờ Blackberry được mã hóa VoIP khách hàng với SRTP với SDES trao đổi quan trọng trên SIP / TLS - PrivateGSM VoIP doanh nghiệp

logo-privatewave-colore.png

Tại PrivateWave, chúng tôi sử dụng một sự tôn trọng cách tiếp cận khác nhau để công ty hầu hết các mã hóa giọng nói ra khỏi đó, đọc của chúng tôi cách tiếp cận an ninh .

Sự liên quan của sản phẩm này trong bối cảnh công nghệ và ngành công nghiệp có thể được tóm tắt như sau:

  • Nó là tiếng nói công ty mã hóa đầu tiên sử dụng các tiêu chuẩn giao thức bảo mật duy nhất (và chúng tôi kỳ vọng thị trường sẽ phản ứng, vì nó rõ ràng là sở hữu độc quyền công nghệ cao đến từ di sản của CSD không thể cung cấp cùng một giá trị)
  • Đó là phương pháp tiếp cận đầu tiên trong mã hóa giọng nói để sử dụng mã nguồn mở công cụ mã hóa tiêu chuẩn
  • Đó là tiếng nói phương pháp mã hóa đầu tiên cung cấp mô hình bảo mật khác nhau bằng cách sử dụng các công nghệ khác nhau (end-to-end cho ZRTPend-to-site SRTP )

Những bộ các khách hàng điện thoại di động an toàn, được thiết kế để bảo vệ chuyên nghiệp chỉ sử dụng bằng cách sử dụng viễn thông tốt nhất và công nghệ bảo mật, cung cấp một mức bảo mật cao cùng với hiệu suất tốt cũng trong điều kiện mạng xấu:

  • Nhiều mô hình bảo mật: mã hóa end-to-end với ZRTP và mã hóa end-to-site với SRTP
  • Tiếng nói mã hóa
  • Tín hiệu mã hóa
  • Kỹ thuật số giấy chứng nhận kiểm tra nghiêm ngặt của SIP / TLS (99% khách hàng voip không làm trong kiểm tra nghiêm ngặt TLS )
  • AMR 4.75kbit giải mã (cùng một công nghệ và các định dạng âm thanh của các cuộc gọi điện thoại chuẩn GSM)
  • Cực kỳ tối ưu hóa bộ đệm jitter (Nó hoạt động ngay cả trong GPRS và thông qua WiFi trên truyền hình vệ tinh)
  • Tự động luôn luôn kết nối lại bằng cách sử dụng Nokia Kỹ thuật chế độ chờ để tiết kiệm pin mạnh mẽ

Các ứng dụng là:

icona-pgsm.png

Các thiết bị di động hỗ trợ là:

Về ZRTP, chúng tôi quyết định để nhấn mạnh và kéo dài tất cả các an ninh và tính năng hoang tưởng của các giao thức với một số bổ sung nhỏ:

Cuốn sách địa chỉ tích hợp chặt chẽ của chúng tôi, vượt xa ZRTP RFC đặc điểm kỹ thuật, đó có thể dễ bị tấn công nhất định khi được sử dụng trên điện thoại di động vì hành vi người dùng không nhìn vào màn hình điện thoại di động.

Cách paranoy của chúng tôi bằng cách sử dụng ZRTP giảm nhẹ điều kiện như vậy, chúng tôi sẽ viết về điều này sau đó và / hoặc sẽ thêm các chi tiết cụ thể cho RFC bao gồm.

Một số lời trên PrivateGSM chuyên nghiệp với end-to-end mã hóa với ZRTP

Đọc tờ kỹ thuật có!

Để tải về nó ở đây và chỉ cần đặt số điện thoại của bạn

Đó là kết quả của công việc khó khăn của tất cả đội ngũ nhân viên rất có tay nghề của tôi (16 người làm việc trên 6 dự án này trong 3 nền tảng khác nhau) trên các công nghệ đầy thử thách (mã hóa giọng nói) trong một môi trường hoạt động khó khăn (bẩn mạng điện thoại di động và hệ điều hành di động bẩn) để biết thêm hơn 2 năm.

Tôi rất tự hào về đội ngũ nhân viên của chúng tôi!

Điều gì tiếp theo?

Trong những tuần tiếp theo, bạn sẽ thấy phát hành của bộ chính của tài liệu chẳng hạn như tích hợp với dấu hoa thị, freeswitch và an ninh khác Bật PBX, cùng với một số tin tức thú vị khác công nghệ bảo mật mà tôi chắc chắn sẽ được chú ý;

Nó đã được một công việc khó khăn và phải được thực hiện nhưng tôi tin tưởng rằng an ninh và cộng đồng mã nguồn mở sẽ thích các sản phẩm như vậy và cách tiếp cận minh bạch của chúng tôi cũng có phiên bản mở quan trọng và tích hợp mã nguồn mở mà làm cho một công nghệ (backdoor miễn phí) rất chính trị trung lập .

Chia
Comment (1) Thêm , , , , | Bình luận (1)
công nghệ an ninh bảo mật đánh chặn

Một vài nhà cung cấp dịch vụ VPN tốt đẹp

17 Tháng 10, 2010 - 12:39

Có rất nhiều lý do tại sao một sẽ cần phải truy cập internet trough một VPN.

Ví dụ nếu bạn sống ở một quốc gia ngăn chặn các nội dung nhất định (như chống chính phủ địa phương khiêu dâm, trang web, vv) và / hoặc các giao thức (như skype, voip) có thể bạn sẽ muốn di chuyển kết nối internet của bạn ở bên ngoài đất nước ngăn chặn khó chịu bằng cách sử dụng mã hóa VPN đường hầm.

Tôi đánh giá một số máy chủ lưu trữ trên máy chủ VPN và một vài người trong số họ âm thanh khá tốt trong số các cung cấp rộng rãi các dịch vụ như:

SwissVPN

Thoát khỏi Internet từ Thụy Sĩ.

Chi phí 6 CHF / tháng

Tùy chọn công cộng địa chỉ IP cố định

Hữu ích nếu bạn cần:

  • Chỉ cần vượt qua bộ lọc nước sở tại với băng thông cao tốt
  • Đưa ra các dịch vụ công cộng máng VPN với các địa chỉ IP cố định tùy chọn nào.

Overplay

Thoát khỏi internet bằng cách chọn trong số 20 quốc gia khác nhau (mỗi lần bạn kết nối).

Hữu ích nếu bạn cần làm:

  • kinh doanh tình báo về đối thủ cạnh tranh (xuất hiện để đến từ nước X khi kết nối)
  • xem phim / Telefilm cho phép chỉ từ không gian web IP quốc gia
  • xem các kết quả google giữa các quốc gia khác nhau

Chia
Comment (0) Thêm , | Comment (0)
an ninh công nghệ

Không phải tất cả các đường cong elliptic là như nhau: máng an ninh trên ECC

26 Tháng 9, 2010 - 01:05 
 ECC an ninh của đường cong và phân tích lựa chọn

 vn9jna1BdgrzDCYNBJHi09q09q.jpg 
  Hiện đại nhất mật mã sử dụng mật mã đường cong elliptic (ECC), với kích thước phím nhỏ hơn và giảm bớt quyền lực tính toán, cho cường độ bảo mật tương đương với hệ thống mật mã truyền thống được gọi là DH (Diffie-Hellman) hoặc RSA (Rivest, Shamir và Adleman). 
  Không phải mọi người đều biết rằng ECC mã hóa được lựa chọn cho bất kỳ ứng dụng mã hóa trong tương lai và thậm chí TLS / SSL (mã hóa được sử dụng để đảm bảo web) được di chuyển ECC. 
  Tôi tìm thấy rất nhiều cái gọi là "sản phẩm mã hoá độc quyền" bị bỏ rơi RSA và DH đi với ECC lựa chọn thay thế, mà có xu hướng sử dụng tùy ý kích thước phím ECC bit mà không cần quy định cụ thể loại ECC mật mã được sử dụng. 
  Tuy nhiên, có là một sự nhầm lẫn xung quanh các đường cong elliptic, với rất nhiều tên khác nhau và kích thước khóa khó khăn cho không mã hóa, người dùng có kinh nghiệm để làm cho con số của riêng bạn khi đánh giá một số công cụ mật. 
  Do nhầm lẫn nên khuếch tán, tôi quyết định làm cho phân tích của riêng tôi để tìm hiểu là tốt nhất ECC đường cong mã hóa và phím kích thước ECC phải sử dụng. 
  Phân tích này sẽ muốn cung cấp một sự lựa chọn dựa trên ngành công nghiệp an ninh giữa các đường cong khác nhau và độ dài khoá, để lại những cân nhắc phân tích toán học và mật mã đã được đã được thực hiện trong năm, tổng kết các sự lựa chọn khác nhau được thực hiện trong một số tiêu chuẩn và các giao thức bảo mật. 
  Đầu tiên là kết luận. 
  Từ phân tích của tôi chỉ ECC đường cong sau đây để được xem xét để sử dụng trong các hệ thống mã hóa bởi vì chỉ có một lựa chọn giữa các cơ quan khác nhau (ANSI, NSA, SAG, NIST, BrainPool ECC), các tiêu chuẩn giao thức bảo mật khác nhau (IPSec, OpenPGP, ZRTP, Kerberos, SSL / TLS) và là người duy nhất phù hợp với NSA Suite B yêu cầu bảo mật (de-facto tiêu chuẩn cho môi trường quân sự NATO): 
  •   Thủ tướng Chính phủ Đường cong elliptic 256 bit - P-256 
  •   Thủ tướng Chính phủ Đường cong elliptic 384 bit - P-384 
 với tùy chọn, chỉ cần cho thực sự hoang tưởng muốn có được kích thước bit quan trọng hơn, vẫn không được coi là hữu ích: 
  •   Thủ tướng Chính phủ Đường cong elliptic 521 bit - P-521 
  Tôi muốn nhà nước đường cong Koblitz thể tránh được, trong bất kỳ kích thước quan trọng (163/283/409/571) khi họ không có bảo hành đầy đủ về hoạt động mật mã phân tích và hiệu quả: 
  •   Không phải một phần của NSA lựa chọn mật mã Suite-B 
  •   Không phải một phần của ECC Brainpool lựa chọn 
  •   Không phải một phần của ANSI X9.62 lựa chọn 
  •   Không phải một phần của phần mở rộng lựa chọn OpenPGP ECC 
  •   Không một phần của Kerberos mở rộng cho lựa chọn đường cong ECC 
  Tôi mời gọi người đọc theo máng phân tích của tôi để hiểu được nguyên tắc cơ bản có thể được hiểu ngay cả khi không có nền tảng kỹ thuật sâu sắc nhưng ít nhất là với một nền tảng công nghệ tốt một chút một số cơ bản của mật mã. 
 Ở đây chúng tôi đi với phân tích

 

  Mục tiêu của tôi là làm cho một phân tích về những gì / làm thế nào mở khoa học và hệ thống an ninh cộng đồng chọn ECC mật để sử dụng trong giao thức bảo mật và các tiêu chuẩn quy định của IETF RFC (những người xác định các tiêu chuẩn Internet một cách cởi mở và peer-xem xét). 
  Dưới đây một tập hợp của RFC Giới thiệu ECC vào hệ thống hiện tại mà có được phân tích để hiểu những gì là tốt hơn để sử dụng và những gì tốt hơn để loại trừ: 
 
  •   RFC5639 : ECC Brainpool chuẩn Curves thế hệ đường cong 
  •   RFC4869 : NSA Suite B Cryptographic Suites cho IPsec 
  •   RFC5430 : NSA Suite B hồ sơ cá nhân Transport Layer Security (TLS) 
  •   RFC5008 : NSA Suite B trong an toàn / Multipurpose Internet Mail Extensions (S / MIME) 
  •   RFC3766 : Xác định điểm mạnh Đối với các phím công cộng được sử dụng cho Trao đổi phím đối xứng 
  •   RFC5349 : Đường cong elliptic Cryptography (ECC) Hỗ trợ cho mật mã khóa công cộng để xác thực ban đầu trong Kerberos (PKINIT) 
  •   RFC4492 : Đường cong elliptic Cryptography (ECC) Suites Cơ yếu Transport Layer Security (TLS) 
  •   ZRTP mã hóa giọng nói của Philip Zimmermann ECC đường cong 
  •   ECC trong OpenPGP (dự thảo d bè jivsov-OpenPGP-ecc-06 ) 
  •  ECC Curves lựa chọn bởi Microsoft cho thẻ thông minh Kerberos đăng nhập 
  Chúng tôi sẽ sử dụng sự lựa chọn được thực hiện bằng cách xác định nhà khoa học của các giao thức Internet Security để làm cho một phần của việc đánh giá của chúng tôi. 
  Ngoài ra nó phải được hiểu rằng việc lựa chọn đường cong đến từ các cơ quan khác nhau mà lựa chọn riêng của Curves để cho ngành công nghiệp sử dụng và những gì để bỏ qua: 
  Chúng tôi sẽ sử dụng sự lựa chọn được thực hiện bởi nhà khoa học xác định các yêu cầu an ninh trong các cơ quan tiêu chuẩn hóa để làm cho một phần của việc đánh giá của chúng tôi. 
  Ngoài ra, một cái gì đó mà hầu hết mọi người không biết, nhưng đó là cực kỳ liên quan đến phân tích của chúng tôi, là có khác nhau loại của ECC đường cong mật mã và "kích cỡ" của họ là khác nhau tùy thuộc vào loại của đường cong: 
  •   ECC Curves trên trường Thủ tướng Chính phủ (thường được gọi là đường cong elliptic và đại diện của P-keysize) 
  •   ECC Curves trên trường nhị phân (thường được gọi là đường cong Koblitz và đại diện của K-keysize) 
  Được đưa ra một sức mạnh bảo mật tương đương cong Elliptic Curve Kobliz có kích thước khác nhau quan trọng, ví dụ như khi chúng ta đọc ECC 571 chúng tôi đang đề cập đến đường cong Koblitz với một sức mạnh tương đương với đường cong ECC 521 Thủ tướng Chính phủ. 
  Một so sánh sức mạnh giữa các đường cong elliptic và Kotbliz Curves được báo cáo dưới đây (từ Mikey ECC internet Dự thảo ): 
 | Koblitz | ECC | DH / DSA / RSA
 | 163 | 192 | 1024
 | 283 | 256 | 3072
 | 409 | 384 | 7680
 | 571 | 521 ​​| 15360

  Dưới đây là một so sánh của tất cả các đường cong được lựa chọn bởi tất cả các thực thể khác nhau và tương ứng với tên của họ (từ IETF RFC4492 cho ECC cách sử dụng TLS ): 
 Đường cong tên được lựa chọn bởi tổ chức tiêu chuẩn khác nhau
 ------------ + --------------- + -------------
 SECG | ANSI X9.62 | NIST
 ------------ + --------------- + -------------
 sect163k1 | | NIST K-163
 sect163r1 | |
 sect163r2 | | NIST B-163
 sect193r1 | |
 sect193r2 | |
 sect233k1 | | NIST K-233
 sect233r1 | | NIST B-233
 sect239k1 | |
 sect283k1 | | NIST K-283
 sect283r1 | | NIST B-283
 sect409k1 | | NIST K-409
 sect409r1 | | NIST B-409
 sect571k1 | | NIST K-571
 sect571r1 | | NIST B-571
 secp160k1 | |
 secp160r1 | |
 secp160r2 | |
 secp192k1 | |
 secp192r1 | prime192v1 | NIST P-192
 secp224k1 | |
 secp224r1 |​​ | NIST P-224
 secp256k1 | |
 secp256r1 | prime256v1 | NIST P-256
 secp384r1 | | NIST P-384
 secp521r1 | | NIST P-521
 ------------ + --------------- + -------------

  Ngay lập tức xuất hiện là chỉ có hai đường cong lựa chọn bởi tất cả các cơ quan có thẩm quyền, và có bán phá giá chung của các đường cong Koblitz ANSI.The chỉ thường thoả thuận giữa 3 cơ quan là hai ECC đường cong sau: 
  •   secp192r1 / prime192v1 / NIST P-192 
  •   secp256r1 / prime256v1 / NIST P-256 
  Trong số những lựa chọn của ECC đường cong TLS RFC5430 bỏ qua hoàn toàn đường cong Koblitz và lựa chọn cho việc sử dụng chỉ: 
  •   P-256, P-384, P-521 
  Brainpool ECC bỏ qua hoàn toàn đường cong Koblitz và lựa chọn cho việc sử dụng ECC Curves sau: 
  •   P-160, P-192, P-224, P-256, P-320, P-384, P-512 (đó là các đặc biệt chỉ bởi vì nó là không P-521 nhưng P-512, những chỉ quan trọng, kích thước được giới thiệu bởi brainpool ECC. Tnx Ian Simons từ Athena SCS ) 
  Dự thảo internet OpenPGP cho ECC sử dụng trong PGP d bè jivsov-OpenPGP-ecc-06 hoàn toàn bỏ qua các đường cong Koblitz và chọn đường cong ECC sau 
  •   P-256, P-384, P-521 
  Kerberos giao thức mở rộng cho ECC sử dụng, được định nghĩa trong RFC5349 và được xác định bởi Microsoft cho đăng nhập thẻ thông minh hoàn toàn bỏ qua các đường cong Koblitz và lựa chọn các đường cong ECC sau đây: 
  •   P-256, P-384, P-521 
 Vì vậy, âm thanh rõ ràng rằng việc lựa chọn đúng đắn của ECC cho P-256, P-384 và P-521 trong khi các đường cong Koblitz đã được bỏ qua cho đầu sử dụng bí mật và cho bất kỳ giao thức bảo mật nhạy cảm (IPSec, OpenPGP, ZRTP, Kerberos, SSL / TLS). 
  Tại sao tôi đã thực hiện phân tích này? 
  Tôi đã làm điều này phân tích sau một cuộc thảo luận tôi đã liên quan đến sản phẩm nhất định mã hóa giọng nói, tất cả đều dựa trên các giao thức tùy chỉnh và độc quyền, được tất cả bằng cách sử dụng Elliptic cong Diffie Hellman 571 bit / ECDH 571/571-bit ECDH / Koblitz 571 bit. 
  Tất cả họ đang sử dụng K-571, như được mô tả, đã được gỡ bỏ từ tất cả các môi trường an ninh nhạy cảm và các giao thức và bản thân mình một nhà thiết kế các công cụ mã hóa giọng nói, tôi nghĩ rằng sự lựa chọn mật mã của họ là hoàn toàn không phải là sự lựa chọn bảo mật tốt nhất. 
  Có lẽ nó đã được thực hiện cho mục đích tiếp thị, bởi vì K-571 (Koblitz đường cong) có vẻ mạnh hơn so với P-521 (Elliptic đường cong dựa trên số lượng Thủ tướng Chính phủ).  Nếu bạn có "hơn chút" kẻ tiếp thị của bạn có thể yêu cầu bồi thường là "an toàn hơn".  Koblitz đường cong elliptic là nhanh hơn so với mật đường cong elliptic kích hoạt chính và do đó cung cấp cho quản lý sản phẩm một cơ hội để cung cấp "bit" trong sản phẩm riêng của nó trong khi vẫn giữ nhanh chóng trao đổi khóa. 
  Đó là một vấn đề của sự lựa chọn triết học. 
  Tôi thích theo xu hướng của cộng đồng khoa học với sự khiêm tốn của không coi bản thân mình một chuyên gia về mật mã, có kiến ​​thức nhiều hơn an ninh tổng thể và cộng đồng khoa học của chính nó. 
  Tôi thích thay vì chỉ sử dụng các thuật toán được chấp thuận cho sử dụng trong môi trường có độ nhạy cao (phân loại tối mật), đã được lựa chọn bởi tất cả các cơ quan chức và nhóm làm việc phân tích các thuật toán mã hóa hiện tại, có đại diện cho sự lựa chọn của gần như tất cả các an ninh tiêu chuẩn giao thức (IPSec, OpenPGP, ZRTP, Kerberos, SSL / TLS, vv). 
  Tôi thích đếm số lượng của bộ não làm việc trên các mật mã sử dụng, đó kiểm tra đó là thực sự an toàn, đánh giá liệu có là một số điểm yếu. 
  Số brais làm việc trên Crypto rộng rãi khuếch tán là thứ tự của độ lớn hơn hơn số lượng của bộ não làm việc trên mật mã được sử dụng bởi chỉ vài người (như Koblitz đường cong). 
  Vì vậy, tôi không phải là tà ma, người sử dụng ECDH 571 bằng cách sử dụng đường cong Koblitz, nhưng chắc chắn tôi có thể khẳng định rằng họ không đưa ra những lựa chọn tốt nhất về mặt an ninh và rằng bất kỳ chuyên gia bảo mật làm một điểm chuẩn an ninh sẽ xem xét thực tế rằng đường cong elliptic Diffie Hellman 571 bit thực hiện với đường cong Koblitz không phải là rộng rãi khuếch tán, nó được bán phá giá từ các giao thức bảo mật tiêu chuẩn và nó không được chứng nhận để sử dụng bí mật hàng đầu. 
 Chia 
  Comments (3) Thêm  ,  ,  | Comments (3) 
  an ninh công nghệ 
  ESSOR, phần mềm bảo mật châu Âu Xác định Radio (SDR) 
  Tháng Chín 25, 2010 - 21:18 
  Tôi có một cái nhìn tại châu Âu Cơ quan Quốc phòng trang web và tìm thấy ESSOR dự án, một dự án làm việc tài trợ cho EUR 106mln để phát triển các sản phẩm quốc phòng chiến lược truyền thông dựa trên Đài phát thanh Phần mềm mới Xác định phương pháp tiếp cận. 
  SDR là cách tiếp cận một hệ thống cách mạng đó là hoàn toàn thay đổi cách nhà khoa học và ngành công nghiệp là phương pháp tiếp cận bất kỳ loại công nghệ không dây. 
  Về cơ bản, thay vì đốt cháy chip phần cứng thực hiện hầu hết các giao thức và các kỹ thuật tần số vô tuyến, họ bị đẩy vào "phần mềm" phần cứng phát thanh chuyên ngành, có thể làm việc trên rất nhiều tần số khác nhau, hoạt động như giao diện vô tuyến cho rất nhiều các giao thức vô tuyến khác nhau. 
  Ví dụ các USRP (Universal Software Đài phát thanh ngoại vi) từ Research Ettus mà chi phí 1000-2000USD nạp đầy đủ, máng mã nguồn mở GnuRadio khuôn khổ, đã thực hiện mã nguồn mở: 
  Và rất nhiều các giao thức và công nghệ truyền dẫn. 
  Đó là loại phương pháp tiếp cận mới để hệ thống truyền thanh được destinated để thay đổi hệ thống phát thanh được thực hiện, đưa ra khả năng mới như nâng cấp các "giao thức đài phát thanh chính nó" trong phần mềm để cung cấp cho "đài phát thanh giao thức" cải tiến. 
  Trong thời gian ngắn, chúng tôi cũng đã nhìn thấy nghiên cứu bảo mật rất mạnh bằng cách sử dụng công nghệ SDR như nứt GSMBluetooth Sniffing . 
  Chúng ta có thể mong đợi rằng các công nghệ khác, yếu bởi thiết kế nhưng được bảo vệ bằng cách hạn chế với các thiết bị phần cứng để hack các giao thức mức độ thấp, sẽ được sớm nhận được hack.  Trong danh sách đầu tiên tôi thực sự muốn nhìn thấy hacking của TETRA, một công nghệ được sinh ra với tư duy khép kín và các thuật toán mã hóa bí mật, một cái gì đó tôi thực sự không thích ;-) 
 Chia 
  Comment (0) Download  ,  | Bình luận (0) 
  quản lý kinh doanh 
  Quản lý sản phẩm và tổ chức 
  Tháng chín 12, 2010 - 08:52 
  Tôi đã hiểu rõ hơn về các khái niệm, vai trò và nhiệm vụ liên quan đến sản phẩm quản lý và quản lý tiếp thị sản phẩm trong các công ty phần mềm, tại sao là cần thiết, đó là sự khác biệt và làm thế nào họ phù hợp với bên trong một cấu trúc tổ chức. 
  Hầu hết người tôi biết không bao giờ quan tâm vào khu vực này cụ thể của công việc, nhưng khi bạn muốn là một công ty sản phẩm (và không phải là một công ty tư vấn hoặc giải pháp), bạn bắt đầu có sản phẩm khác nhau trên các nền tảng khác nhau cho các khách hàng mục tiêu khác nhau bán các kênh máng khác nhau với khác nhau giá cả với một quá trình cài đặt / giao hàng khác nhau và phức tạp mà phải được quản lý một cách thích hợp. 
  Bạn nhận ra rằng để cho sản phẩm của công ty phát triển đúng hướng, bạn cần tổ chức các hoạt động quản lý sản phẩm chính thức, không phải đóng tâm trí của bạn trong vai trò tổ chức cứng nhắc như Marketing, Bán hàng, R & D. 
  Khi chúng tôi nói về quản lý sản phẩm, tôi khuyên bạn nên đọc sáng tỏ vai trò chiến lược của quản lý sản phẩm (tập trung định hướng thị trường dẫn các công ty để xây dựng các sản phẩm mọi người muốn mua) làm sáng tỏ rất nhiều điều, ngay cả khi nó nhìn tách ròng của vai trò trong quản lý sản phẩm, một cái gì đó t mũ là quá nặng cho một công ty nhỏ như khởi động. 
  Tuy nhiên nó cung cấp một sự khác biệt của nhiệm vụ giữa quản lý sản phẩmtiếp thị sản phẩm. 
 Một hiểu biết tốt về quản lý sản phẩm liên quan đến khởi động i s được đưa ra trong bài viết Tạo Quản lý sản phẩm tại Startup hiển thị trường hợp khác nhau liên quan đến vai trò của tầm nhìn chiến lược sản phẩm vào công ty. 
  Nó giới thiệu các giám đốc điều hành các điều khoản của sản phẩm trong ý nghĩa rằng các sản phẩm nhiệm vụ quản lý nhảy xung quanh vào các chức năng tổ chức khác nhau bằng cách cung cấp tập trung và nỗ lực mà nó là cần thiết, độc lập từ việc có các chức năng nội bộ đòi hỏi phải nỗ lực nhiều hơn là phát triển, tiếp thị, bán hàng hoặc Thông tin.  Điều đó có nghĩa là thiết thực nâng cao tầm nhìn sản phẩm vì nó cần thiết trên tất cả các sản phẩm liên quan đến chức năng chính làm cho tầm nhìn của công ty rộng mạch lạc. 
  Một đại diện quản lý sản phẩm và các hoạt động tiếp thị sản phẩm được mô tả với sự khác biệt giữa hàng chiến lược, kỹ thuật và tiếp thị khu vực và không rõ ràng tách biệt giữa quản lý, Marketing (bán hàng) và R & D: 
Triad.jpg
  Tôi đọc mà nền và kiến thức quản lý sản phẩm là khác nhau tùy thuộc vào trọng tâm của công ty ( nơi quản lý sản phẩm thuộc trong tổ chức? ): 
  •   B2C -> kinh nghiệm tiếp thị 
  •   B2B -> kinh nghiệm kỹ thuật 
  Một sáng tỏ sự khác biệt (cho tôi) và rất quan trọng liên quan đến nhiệm vụ quản lý sản phẩm là sự khác biệt giữa: 
  •   Quản lý sản phẩm 
  •   Tiếp thị sản phẩm 
  Nhiệm vụ cụ thể thuộc về quản lý sản phẩm tiếp thị vs được rất nhiều giải thích định nghĩa vai trò quản lý sản phẩm và tiếp thị sản phẩm mà tôi đề nghị để đọc, cho phép bạn xác định tốt hơn các nhiệm vụ và trách nhiệm trong tổ chức của bạn.  Nó cũng cung cấp một định nghĩa tốt yêu cầu công việc nếu bạn cần phải tìm cho con số đó! 
  Đồng thời điều quan trọng để hiểu những gì không quản lý sản phẩm, hiệu quả quản lý sản phẩm không chỉ là tính năng ưu tiên . 
  Đồng thời, điều quan trọng để hiểu con số chuyên nghiệp là không chính nó là một quản lý sản phẩm: 
  •   Quản lý sản phẩm không phải là một người quản lý tiếp thị - trong khi quản lý sản phẩm thường được xem như là một kỷ luật tiếp thị, tiếp thị được tập trung vào các kế hoạch tiếp thị và thường không được lái xe theo hướng sản phẩm tổng thể.  Trong bối cảnh đó tuy nhiên có thể được tìm thấy quản lý tiếp thị sản phẩm đó là cánh tay của tiếp thị của sản phẩm, đặc biệt là trong tổ chức nhỏ. 
  •   Quản lý sản phẩm không phải là một quản lý bán hàng - quản lý bán hàng về việc tìm kiếm làm thế nào để bán một sản phẩm, sau bán hàng kỹ thuật, phương pháp và các kênh và họ có thể lái công ty từ một công ty định hướng thị trường (sản phẩm) cho một công ty định hướng khách hàng (giải pháp và tư vấn) 
  •   Quản lý sản phẩm không phải là một nhà phát triển - Các nhà phát triển đang tập trung vào công nghệ và không phải là sản phẩm tổng thể.  Một số nhà quản lý sản phẩm tuyệt vời là các nhà phát triển trước đây, nhưng nó là khó khăn để làm cả hai cùng một lúc.  Có một sự căng thẳng tự nhiên giữa các nhà phát triển và quản lý sản phẩm nên được duy trì để tạo ra một sản phẩm cân bằng. 
  •   Quản lý sản phẩm không phải là một người quản lý phần mềm quản lý phần mềm là một người quản lý chức năng và thường không tập trung vào sản phẩm hoặc khách hàng. 
  •   Quản lý sản phẩm không phải là một người quản lý dự án - quản lý dự án là như thế nào và khi nào, trong khi người quản lý sản phẩm là về những gì.  Quản lý dự án làm việc chặt chẽ với các nhà quản lý sản phẩm để đảm bảo hoàn thành công của giai đoạn khác nhau trong chu kỳ sống của sản phẩm. 
  Các hoạt động quản lý sản phẩm điển hình có thể là cực kỳ trong tổng hợp tóm tắt như sau: 
  •   Chiến lược: Lập kế hoạch một chiến lược sản phẩm 
  •   Phát triển sản phẩm hàng đầu kỹ thuật: 
  •   Marketing: cung cấp sản phẩm và nội dung kỹ thuật 
  •   Doanh số bán hàng: cung cấp tiền hỗ trợ bán hàng và làm việc hiệu quả với doanh số bán hàng 
  Quản lý sản phẩm, do đó nó không chính xác phát triển, không phải là chính xác tiếp thị, đó là không chính xác doanh số bán hàng, do đó, thường rất khó để xác định "nơi mà nó nên ở" bên trong cấu trúc tổ chức (nó thậm chí còn khó khăn để hiểu những gì cần thiết)? 
  Silicon Valley Nhóm sản phẩm cung cấp một cái nhìn tốt đẹp về cơ cấu tổ chức Sản phẩm bằng cách chỉ ra là những lợi thế và rủi ro của một số lựa chọn.  Tuy nhiên, Giám đốc sản phẩm cáu kỉnh nói rằng không quan trọng mà người quản lý sản phẩm sống trong tổ chức . 
  Nó có liên quan phải cẩn thận không có người có quá nhiều kỹ thuật hoặc bán hàng theo định hướng quá nhiều để lấp đầy khoảng cách giữa các tổ chức khác nhau.  Phân mảnh quá nhiều nhiệm vụ được giao toàn bộ tổ chức có thể dẫn đến quan liêu, nhiệm vụ quá nhiều vào một người có thể dẫn đến thực hiện không hiệu quả các nhiệm vụ cần thiết trong một số khu vực và một sự tôn trọng nhận thức cạnh tranh nội bộ để vai trò truyền thống. 
  Kiểm tra xem có một Resume rất tốt đẹp của một chuyên nghiệp với kinh nghiệm thực tế trong quản lý sản phẩm (đó là một nửa iPod / nửa kẻ tiếp thị). 
  Ah!  Một sự hiểu lầm rất phổ biến là để gây nhầm lẫn tiếp thị với các thông tin liên lạc mà ai tìm thấy một định nghĩa tốt đẹp của tiếp thị mà tôi thực sự thích và hiểu cho mối quan hệ chặt chẽ với quản lý sản phẩm: 
  Tiếp thị là biết thị trường sản phẩm bán mình 
  Nhưng những gì xảy ra khi bạn không xử lý một quá trình quản lý sản phẩm và quản lý tiếp thị sản phẩm một cách xác định? 
  Một câu chuyện tốt đẹp được thể hiện như ví dụ trong vai trò chiến lược của quản lý sản phẩm : 
  Người sáng lập của bạn, một kỹ thuật tuyệt vời, bắt đầu năm của công ty trước khi ông từ bỏ công việc của mình đến thị trường thời gian ý tưởng đầy đủ của mình.  Ông đã tạo ra một sản phẩm mà anh chỉ biết những người khác cần thiết.  Và ông đã đúng.  Không lâu sau đó, ông đã đưa ra đủ của sản phẩm và đã thuê người bạn tốt nhất của mình từ đại học như phó chủ tịch bán hàng.  Và công ty lớn.  Nhưng trước khi dài, phó chủ tịch bán hàng phàn nàn: "Chúng tôi là một công ty kỹ thuật lãnh đạo.  Chúng tôi cần phải trở thành khách hàng theo định hướng "nghe có vẻ tốt.  Ngoại trừ ... tất cả các hợp đồng mới dường như yêu cầu công việc tùy chỉnh.  Bạn đã ký một chục khách hàng trong một chục phân đoạn thị trường và khách hàng mới nhất của giọng nói luôn luôn thống trị các kế hoạch sản phẩm.  Bạn kết luận rằng "khách hàng định hướng" có nghĩa là "thúc đẩy bởi khách hàng mới nhất" và không thể là đúng. 
  Nếu bạn muốn có một công ty sản phẩm có liên quan chính xác theo một chiến lược thúc đẩy bởi quản lý và tiếp thị sản phẩm và không phải bằng cách bán hàng. 
  Lẫn lộn giữa nhiệm vụ quản lý sản phẩm / tiếp thị và bán hàng có thể dẫn đến công ty sản phẩm không thành công mà không phải là có thể tiến hành trong chiến lược của họ, đơn giản chỉ vì họ nhận được cơ hội lái xe kinh doanh out-of-phạm vi. 
  Một công ty sản phẩm phải đầu tư vào phát triển sản phẩm riêng của nó và tiếp thị để cho hoạt động bán hàng tập trung và đảm bảo rằng tổ chức hàng ngày hiệu quả hơn trên thị trường. 
  Sau khi đọc này, sự hiểu biết của tôi là nó có liên quan để xác định làm thế nào để tạo ra một tập hợp các quá trình kinh doanh linh hoạt về cách xử lý quản lý sản phẩm khác nhau và nhiệm vụ tiếp thị sản phẩm tách từ doanh số bán hàng. 
 Chia 
  Comment (0) Download  ,  ,  | Bình luận (0) 

			 đánh chặn bảo mật an ninh 
  Điều khiển từ xa chặn snom điện thoại VoIP 
  10 September 2010 - 11:08 am 
  Tôi đề nghị đọc từ xa khai thác VoIP điện thoại "trên VoIP an Alliance Blog theo Shawn Merdinger . 
  Một ví dụ cụ thể về làm thế nào điện thoại cơ sở hạ tầng hiện tại đang nhận được nhiều hơn dễ bị tổn thương đến các cuộc tấn công không gian mạng. 
 Chia 
  Comment (0) Download  ,  ,  | Bình luận (0) 
  công nghệ an ninh bảo mật đánh chặn 
  Giọng nói thông tin liên lạc an ninh hội thảo 
  26 Tháng Tám, 2010 - 12:04 
  Hi, 
 tôi đã thực hiện một cuộc nói chuyện về giọng nói thông tin liên lạc an ninh công nghệ tại Đại học Trento, sau một cuộc trao đổi thông tin thú vị với Crypto Lab quản lý Giáo sư Massimiliano Sala . 
  Tôi đề nghị mọi người quan tâm để đọc nó, đặc biệt là phần thứ hai, là có một phân loại sáng tạo của công nghệ mã hóa giọng nói khác nhau mà có được sử dụng ở một số ngành. 
  Tôi đã cố gắng để giải thích và nhận được từ lĩnh vực công nghệ rộng rãi phân mảnh bằng cách cung cấp một cái nhìn tổng quan rộng về công nghệ thường là hoàn toàn không liên quan mỗi khác nhưng thực tế tất cả đều áp dụng cho tiếng nói mã hóa theo phân loại rằng: 
  •   Điện thoại di động TLC Công nghiệp tiêu chuẩn mã hóa giọng nói 
  •   Chính phủ quân sự và tiêu chuẩn mã hóa giọng nói 
  •   An toàn công cộng tiêu chuẩn mã hóa giọng nói 
  •   IETF tiêu chuẩn mã hóa giọng nói 
  •   Misc độc quyền công nghệ mã hóa giọng nói 
  Nó là một slideware rất lớn, 122 trang trình bày, tôi đề nghị để đọc phần 2 bỏ qua tổng quan về công nghệ đánh chặn đã được trình bày năm 2009. 
  An ninh bằng giọng nói thông tin liên lạc 

  Đặc biệt tôi thích các khái niệm về mã hóa cấp Sôcôla muốn cung cấp một số đổi mới về khái niệm mã hóa dầu rắn. 
  Nhưng tôi cần phải nhận được nhiều hơn trong chiều sâu về bối cảnh Chocolate mã hóa cấp, có thể sẽ làm trước khi kết thúc năm bằng cách cung cấp một khóa học áp dụng trên sự hiểu biết và đánh giá thực tế bối cảnh an ninh thực sự của các công nghệ mã hóa giọng nói khác nhau. 
 Chia 
  Comment (0)  thẻ ,  ,  ,  | Bình luận (0) 
  Kudos an ninh công nghệ 
  27C3 - CCC Quốc hội CFP: Chúng tôi đến trong hòa bình 
  15 August 2010 - 08:39 am 
  Chúng tôi đến trong hòa bình 
189322778_8cb9af1365_m.jpg
  Chúng tôi đến trong hòa bình, đã nói conquerers của thế giới mới. 
  Chúng tôi đến trong hòa bình, nói chính phủ, khi nói đến định cư, điều chỉnh, và militarise thế giới kỹ thuật số mới. 
  Chúng tôi đến trong hòa bình, nói rằng công ty quốc gia-nhà nước có kích thước đã đặt ra để monetise lưới và chuỗi người sử dụng thiết bị mới toanh của họ. 
  Chúng tôi đến trong hòa bình, chúng ta nói như tin tặc, geeks và nerds, khi chúng tôi đặt ra đối với thế giới thực và cố gắng thay đổi nó, bởi vì nó đã xâm nhập vào môi trường sống tự nhiên của chúng tôi, không gian mạng ... 
  Gọi cho giấy để tham gia 27C3 CCC Đại hội là mở, và tôi không bao giờ nhìn thấy một :-) tiền chi trả rất thú vị 
  Hẹn gặp lại vào ngày 30 tháng 12 năm 2010 tại Berlin! 
 Chia 
  Comment (0) Download  | Bình luận (0) 
  thông minh đánh chặn bảo mật an ninh công nghệ 
  GSM nứt trong phương pháp thử nghiệm xâm nhập (OSSTMM)? 
  23 tháng 7, 2010 - 08:16 am 
  Như hầu hết các blog này đọc đã biết, trong năm qua đã có rất nhiều các hoạt động liên quan đến nghiên cứu công cộng cho kiểm toán GSM và nứt. 
  Tuy nhiên khi có phương tiện truyền thông phạm vi bảo hiểm rất lớn GSM kết quả nghiên cứu nứt, các công cụ để làm cho nứt thực sự ở giai đoạn đầu và vẫn còn rất không hiệu quả. 
  Frank Stevenson , norwegian cryptanalyst đã phá vỡ hệ thống nội dung xáo trộn các đĩa phim DVD, tham gia dự án nứt A51 bắt đầu bởi Karsten Nohl , phát hành Kraken , một phiên bản cải tiến mới của hệ thống nứt A51. 
  Đó là thú vị để nhận thấy rằng WiFi nứt có một câu chuyện tương tự, như WiFi WEP nứt đầu tiên phát hiện khá chậm trong các kỹ thuật trước đó nhưng sau đó Korek, một hacker làm việc trên đang nứt, cải thiện hệ thống tấn công drammatically. 
  Đó là câu chuyện về hợp tác nghiên cứu bảo mật, bạn bắt đầu một nghiên cứu, một người nào đó làm theo nó và cải thiện nó, một số khác làm theo nó và cải thiện nó và cuối cùng bạn sẽ có được kết quả. 
  Đọc thêm về phát hành phần mềm Cracking GSM Kraken . 
 Và ở lại điều chỉnh trong tuần tới tại Hội nghị Blackhat Karsten Nohl sẽ giải thích các chi tiết của các yêu cầu thiết lập phần cứng và các hướng dẫn chi tiết về làm thế nào để làm điều đó :-) 
  Tôi thực sự muốn nhìn thấy những công cụ tích hợp vào phân phối thử nghiệm thâm nhập Backtrack Linux với OSSTMM phương pháp thi hành các thử nghiệm đánh chặn GSM và người đàn ông trong các trung :-) 
  Nếu mọi thứ tiến hành theo cách đó và nghiên cứu Ettus (Nhà sản xuất của USRP2 đài phát thanh phần mềm được sử dụng cho tín hiệu GSM thấp chi phí nhận) sẽ không được đưa xuống, chúng tôi vẫn có thể thấy điều này. 
 Chia 
  Comments (2) Tag  ,  ,  ,  | Comments (2) 
  kinh doanh quản lý bảo mật an ninh công nghệ 
  An ninh dầu rắn tuyên bố về sản phẩm bảo mật mật mã 
  19 Tháng 7, 2010 - 21:33 
  An ninh thị trường phát triển, nhiều công ty đi vào thị trường, nhưng nhiều người trong số họ đang nghiêm túc những gì họ làm? 
  Bạn có biết, làm công nghệ bảo mật có nghĩa là bạn là cá nhân chịu trách nhiệm về việc bảo vệ thông tin của người dùng.  Bạn phải làm cho họ nhận thức được những gì họ cần, chính xác những gì bạn đang làm và loại mô hình mối đe dọa sản phẩm của bạn bảo vệ. 
  Một vấn đề điển hình của tính năng bảo mật của sản phẩm được đại diện bởi sự bất lực của người sử dụng để đánh giá những tuyên bố bảo mật của bản thân sản phẩm. 
  Vì vậy, có rất nhiều công ty làm tiếp thị không-để-đạo đức của tính năng bảo mật, dựa trên các sự kiện mà không có người sử dụng sẽ có thể để đánh giá nó. 
  Tình hình trước đây giải thích cư trú trong chủ đề bảo mật của mã hóa dầu Snake, một sự tiến hóa trong môi trường mật mã khoa học cho phép chúng ta ngày nay sử dụng tốt nhất các công nghệ bảo vệ thông tin giống mà không cần phải lo lắng quá nhiều về backdoors hoặc bất an. 
  Hãy nói về mã hóa dầu rắn 
  Con rắn dầu Mật mã : mật mã , dầu rắn là một thuật ngữ được sử dụng để mô tả phương pháp mã hóa thương mại và các sản phẩm được coi là giả mạo hoặc gian lận.  Phân biệt mật mã an toàn mật mã không an toàn có thể là khó khăn từ quan điểm của một người sử dụng.  Mật mã, chẳng hạn như Bruce SchneierPhil Zimmermann , cam kết giáo dục công chúng như thế nào an toàn mật mã được thực hiện, cũng như nhấn mạnh tiếp thị sai lệch của một số sản phẩm mật mã. 
  Tham chiếu hầu hết các mật mã an ninh guru, Philip Zimmermann và Bruce Schneier, ngày 1 để nói về mã hóa dầu rắn: 
  Con rắn dầu Philip Zimmermann 
  Con rắn dầu bởi Bruce Schneier 
 Viễn thông Michigan và đánh giá Luật Công nghệ cũng đã thực hiện một phân tích rất tốt liên quan đến các tính năng bảo mật của sản phẩm bảo mật, SNAKE DẦU AN tuyên bố "THE CHE GIẤU THÔNG TIN HỆ THỐNG AN SẢN PHẨM . Họ giải thích về các thủ đoạn tiếp thị khó chịu được sử dụng để tinh chỉnh người dùng không có khả năng để đánh giá tính năng bảo mật, bao gồm cả ý nghĩa trách nhiệm kinh tế và pháp lý. 
  Very famous is the sentence of Russ Nelson : Một số con rắn dầu sản phẩm bảo mật công ty không giải thích và không rõ ràng về mô hình mối đe dọa mà các sản phẩm áp dụng rất nổi tiếng là câu Russ Nelson : 
  "Hãy nhớ rằng, mật mã mà không có một mô hình mối đe dọa giống như các tập tin cookie không có sữa.  .....  Mật mã mà không có một mô hình mối đe dọa giống như mẹ mà không có chiếc bánh táo.  Không thể nói rằng thời gian đủ.  Nói chung, an ninh mà không có một mô hình mối đe dọa là sẽ định nghĩa thất bại. " 
  Vì vậy, làm thế nào để phát hiện các sản phẩm an ninh dầu rắn? 
  Kiểm tra hướng dẫn để phát hiện mã hóa dầu Sản phẩm rắn: Rắn dầu dấu hiệu cảnh báo, phần mềm mã hóa để tránh Matt Curtin . 
  Bạn có thể thấy điều này rất tốt Ví dụ dầu Cryptographic rắn Emility Ratliff (IBM Kiến trúc sư tại Linux Security), đã cố gắng để làm ví dụ rõ ràng về việc làm thế nào để phát hiện rắn Cryptographic dầu. 
  Ở đây đại diện cho hướng dẫn cơ bản từ Matt Curtin giấy: 
 
  Bằng cách kiểm tra xem điểm đó là có thể đánh giá một công nghệ mã hóa hoặc sản phẩm là nghiêm trọng như thế nào. 
  Nhưng tất cả trong tất cả các cách để sửa chữa mà cách tiếp cận an ninh phi đạo đức? 
 
  Nó rất có ý nghia và nó sẽ thực sự hữu ích cho từng loại loại sản phẩm bảo mật để làm cho một số hướng dẫn đánh giá mạnh mẽ và độc lập (như OSSTMM để thử nghiệm thâm nhập), để làm cho quá trình đánh giá an ninh thực sự nằm trong tay của người sử dụng. 
  Nó cũng sẽ là rất tốt đẹp để có một người nào đó làm cho phân tích và đánh giá của các công ty sản phẩm bảo mật, xuất bản báo cáo về dấu hiệu dầu rắn. 
 Chia 
  Comments (3) Download  ,  ,  ,  ,  ,  ,  | Comments (3) 

			 Bảo mật thông tin tình báo an ninh công nghệ 
  Web2.0 riêng tư bị rò rỉ trong các ứng dụng di động 
  17 tháng 7, 2010 - 09:02 am 
  Bạn biết rằng thế giới web2.0 rất nhiều rò rỉ của bất kỳ loại (hồ sơ, hồ sơ, hồ sơ) liên quan đến bảo mật và người sử dụng bắt đầu được quan tâm về nó. 
  Người sử dụng liên tục tải về các ứng dụng mà không cần biết các chi tiết của những gì họ làm, ví dụ iFart chỉ vì mát mẻ, vui vẻ và đôi khi là hữu ích. 
thumb.php.jpg
  Trên điện thoại di động người sử dụng cài đặt từ 1000% lên 10,000% cho các ứng dụng hơn trên một máy tính, và những ứng dụng có thể chứa phần mềm độc hại hoặc các chức năng bất ngờ. 
  Gần đây infobyte phân tích khách hàng ubertwitter và phát hiện ra rằng khách hàng đã bị rò rỉ và gửi đến máy chủ nhiều dữ liệu cá nhân và nhạy cảm như: 
  - Blackberry PIN 
  - Số điện thoại 
  - Địa chỉ Email 
  - Thông tin vị trí địa lý 
  Tìm hiểu về UbertTwitter khám phá các tính năng phần mềm gián điệp 'ở đây bởi infoByte . 
  Nó rất nhiều các ứng dụng rò rỉ thông tin cá nhân nhạy cảm nhưng chỉ là không ai có một cái nhìn vào nó. 
  Nếu bắt buộc lưu trữ dữ liệu và chính sách bảo mật đã trở thành một phần của phát triển ứng dụng và hướng dẫn trình cho các ứng dụng di động? 
  IMHO một người sử dụng không phải chỉ được cảnh báo về khả năng ứng dụng và cách sử dụng API, nhưng cũng là những gì sẽ làm gì với loại thông tin nó sẽ xử lý bên trong điện thoại di động. 
  Khả năng có nghĩa là cho phép các ứng dụng để sử dụng một chức năng nhất định, ví dụ sử dụng API định vị địa lý, nhưng những gì các ứng dụng sẽ làm và sẽ cung cấp thông tin như vậy một khi người dùng đã cho phép nó? 
  Đó là một hồ sơ bảo mật cấp độ mà nhà sản xuất điện thoại di động không cung cấp và họ cần, bởi vì nó tập trung vào thông tin và không có sự tôn trọng ủy quyền / cho phép ứng dụng để việc sử dụng năng lực thiết bị. 
  ps có!  ok!  Tôi đồng ý! This kind of post would require 3-4 pages long discussion as the topic is hot and quite articulated but it's saturday morning and i gotta go! 
 Chia 
  Comment (0)  thẻ ,   ,  | Comment (0) 
 Privacy security technology 
  Thuật toán AES được chọn để sử dụng trong không gian 
 8 July 2010 – 12:37 pm 
  Tôi gặp phải một bài báo tốt đẹp về phân tích và xem xét vào thuật toán mã hóa tốt nhất phù hợp cho sử dụng trong không gian bằng tàu không gian và thiết bị. 
  Bài viết đã được thực hiện bởi Ủy ban tư vấn các nhà tài trợ cho Hệ thống dữ liệu không gian đó là một tập đoàn của tất cả các cơ quan không gian xung quanh nhiều hơn tích lũy xử lý nhiệm vụ 400 không gian . 
topban.jpg
  Đọc giấy Encryption Khảo sát Thương mại Thuật toán vì nó cho phép xem xét và so sánh thú vị giữa các thuật toán mã hóa khác nhau. 
  Rõ ràng là các thuật toán cuối cùng được chọn là AES , trong khi Kasumi (được sử dụng trong các mạng UMTS) đã được tránh. 
 Chia 
 Tags  ,  | Comment (0) 
 business intelligence interception Privacy security technology 
  Blackberry bảo mật và mã hóa: Devil thiên thần? 
  07 tháng bảy 2010 - 10:39 
  Blackberry có danh tiếng tốt và xấu về khả năng bảo mật của mình, tùy thuộc từ góc độ bạn nhìn vào nó. 
 This post it's a summarized set of information to let the reader the get picture, without taking much a position as RIM and Blackberry can be considered, depending on the point of view, an extremely secure platform or an extremely dangerous one . 
 bblock.jpg 
 Let's goes on. 
  Trên 1 Blackberry bên nó 1 rất nhiều nền tảng của tính năng mã hóa, tính năng an ninh ở khắp mọi nơi, thiết bị mã hóa (với tùy chỉnh mật mã), thông tin liên lạc mã hóa ( giao thức tuỳ chỉnh độc quyền chẳng hạn như IPPP), Cài đặt an ninh rất tốt nâng cao, khuôn khổ mã hóa từ Certicom ( nay thuộc sở hữu RIM ). 
  Ở phía bên kia họ không cung cấp chỉ là một thiết bị mà mạng truy cập một lớp phủ, được gọi là BIS ( Blackberry Internet Service ), đó là toàn cầu trên toàn thế giới mạng diện rộng blackberry của bạn vào trong khi bạn duyệt hoặc Điện thư bằng cách sử dụng blackberry.net AP. 
 When you, or an application, use the blackberry.net APN you are not just connecting to the internet with the carrier internet connection, but you are entering inside the RIM network that will proxy and act as a gateway to reach the internet. 
 The very same happen when you have a corporate use: Both the BB device and the corporate BES connect to the RIM network that act as a sort of vpn concentration network . 
  Vì vậy, về cơ bản tất cả các thông tin liên lạc qua dịch vụ cơ sở hạ tầng đáy RIM trong định dạng mã hóa với một bộ mã hóa độc quyền và các giao thức truyền thông. 
 Cũng như thông báo, suy nghĩ rằng Google cung cấp cho gtalk hơn blackberry.net APN, thực hiện một thỏa thuận để cung cấp dịch vụ bên trong mạng BB để người sử dụng BB.  Khi bạn cài đặt gtalk bạn nhận được thêm 3 cuốn sách dịch vụ điểm đó GTALKNA01 đó là tên của GTalk cổng bên trong mạng RIM cho phép thông tin liên lạc trong nội bộ BIS và hành động như một cửa ngõ GTalk internet. 
  Các nhà khai thác di động thường thậm chí không được phép kiểm tra lưu lượng truy cập giữa các thiết bị Blackberry và Mạng Blackberry. 
  Vì vậy, RIM và Blackberry là bằng cách nào đó duy nhất cho cách tiếp cận của họ là họ cung cấp 1 nền tảng, một mạng lưới và dịch vụ 1 tất cả các gói với nhau và bạn có thể không chỉ "nhận được các thiết bị và phần mềm" nhưng các người dùng và các doanh nghiệp được luôn luôn bị ràng buộc và kết nối với dịch vụ mạng. 
  Đó là tốt và đó là xấu, bởi vì nó có nghĩa là RIM cung cấp tính năng bảo mật rất tốt và khả năng để bảo vệ thông tin, thiết bị và truy cập thông tin ở cấp độ khác nhau đối với bên thứ ba. 
  Nhưng nó luôn luôn khó khăn để ước tính các mối đe dọa và nguy cơ liên quan đến RIM chính nó và những người có thể làm cho áp lực chính trị chống lại RIM. 
  Xin hãy xét rằng tôi đang không nói rằng "RIM đang xem xét dữ liệu của bạn" nhưng thực hiện một phân tích rủi ro khách quan cho nền tảng này được thực hiện RIM có thẩm quyền trên thiết bị, thông tin về thiết bị và các thông tin mà qua mạng.  ( Slides an ninh điện thoại di động ). 
 For example let's consider the very same context for Nokia phones. 
  Một khi các thiết bị Nokia được bán, Nokia không có thẩm quyền trên thiết bị, cũng không phải trên những thông tin trên thiết bị cũng không phải trên những thông tin qua mạng. But it's also true that Nokia just provide the device and does not provide the value added services such as the Enterprise integration (The RIM VPN tunnel), the BIS access network and all the local and remote security provisioned features that Blackberry provide. 
  Vì vậy, nó là một vấn đề xem xét bối cảnh rủi ro trong các cách thích hợp khi lựa chọn nền tảng, với một ví dụ tương tự như lựa chọn Microsoft Exchange Server (về dịch vụ của riêng bạn) hay nhận được một dịch vụ SaaS như Google Apps. 
  Trong trường hợp cả hai, bạn cần phải tin tưởng vào nhà cung cấp, nhưng trong ví dụ đầu tiên, bạn cần phải tin tưởng Microsoft mà không đặt một backdoor trên phần mềm trong khi trong ví dụ thứ 2, bạn cần phải tin tưởng Google, như là một nhà cung cấp nền tảng và dịch vụ, mà không truy cập thông tin của bạn. 
  Vì vậy, đó là một mô hình khác nhau được đánh giá tùy thuộc vào mô hình mối đe dọa của bạn. 
  Nếu mô hình mối đe dọa của bạn cho phép bạn xem xét RIM là một nhà cung cấp dịch vụ bên thứ ba tin cậy (giống như google) hơn là ok.  Nếu bạn có một bối cảnh nguy cơ rất cao, giống như bí mật, sau đó chúng ta hãy xem xét và đánh giá cẩn thận cho dù đó là không tốt hơn để giữ cho các dịch vụ Blackberry bị cô lập hoàn toàn từ thiết bị hoặc sử dụng một hệ thống khác mà không có sự tương tác với máy chủ của nhà sản xuất và dịch vụ. 
  Bây giờ, hãy lấy lại một số nghiên cứu và một số sự kiện về blackberry và blackberry an ninh chính nó. 
 First of all several governments had to deal with RIM in order to force them to provide access to the information that cross their service networks while other decided to directly ban Blackberry usage for high officials because of servers located in UK and USA, while other decided to install their own backdoors. 
 There's a lot of discussion when the topics are RIM Blackberry and Governments for various reasons. 
 Below a set of official Security related information on RIM blackberry platform: 
  Và đây là một tập hợp các an ninh không chính thức và thông tin liên quan Hacking trên nền tảng RIM Blackberry: 
  Bởi vì nó là 23,32 (GMT +1), tôi đã quá mệt mỏi, tôi nghĩ rằng bài này sẽ kết thúc ở đây. 
 I hope to have provided the reader a set of useful information and consideration to go more in depth in analyzing and considering the overall blackberry security (in the good and in the bad, it always depends on your threat model!). 
  Chúc mừng 
 Fabio Pietrosanti (naif) 
  ps i đang quản lý phát triển công nghệ bảo mật (mã hóa giọng nói công nghệ cao) trên nền tảng Blackberry, và tôi có thể cho bạn biết rằng từ quan điểm phát triển của nó là hoàn toàn tốt hơn so với Nokia về tính tương thích và tốc độ phát triển, nhưng chỉ sử dụng RIMOS 5,0 +! 
 Chia 
  Comments (3) Download  ,  ,  ,  ,  | (3) 
 Kudos security 
 Celebrating “Hackers” after 25 years 
 1 July 2010 – 8:25 am 
 A cult book , ever green since 25 years. 
201007010924.jpg
 It's been 25 years since “Hackers” was published. Author Steven Levy reflects on the book and the movement. 
http://radar.oreilly.com/2010/06/hackers-at-25.html Steven Levy wrote a book in the mid-1980s that introduced the term "hacker" -- the positive connotation -- to a wide audience. In the ensuing 25 years, that word and its accompanying community have gone through tremendous change. The book itself became a mainstay in tech libraries.O'Reilly recently released an updated 25th anniversary edition of "Hackers," so I checked in with Levy to discuss the book's development, its influence, and the role hackers continue to play.

 Chia 
 Tags  | Comment (0) 
  Bảo mật an ninh công nghệ 
 Botnet for RSA cracking? 
 30 June 2010 – 2:29 pm 
 I read an interesting article about putting 1.000.000 computers, given the chance for a serious botnet owner to get it, to crack RSA. 
 The result is that in such context attacking an RSA 1024bit key would take only 28 years, compared to theoretical 19 billion of years. 
 Reading of this article , is extremely interesting because it gives our very important consideration on the cryptography strength respect to the computation power required to carry on cracking attempt, along with industry approach to “default security level”. 
 I would say a must read . 
 Chia 
  Comment (0) Thêm  ,  | Comment (0) 
 technology 
 Patent rights and opensource: can they co-exist? 
 27 June 2010 – 12:11 pm 
 How many of you had to deal with patented technologies? 
 How many of the patented technologies you dealed with was also “secrets” in their implementation? 
 Well, there's a set of technologies whose implementation is open source ( copyright) but that are patented ( intellectual property right) . 
 A very nice paper about the topic opensource & patents that i suggest to read is from Fenwick & West and can be downloaded here (pdf) . 
 Chia 
 Comment (0) 
 business cyberwarfare intelligence Privacy security technology 
 China Encryption Regulations 
 16 June 2010 – 1:11 pm 
  Hi all, 
 i found this very interesting paper on China Encryption Import/Export/Domestic Regulations done by Baker&Mckenzie in the US. 
 It's strongly business and regulatory oriented giving a very well done view on how china regulations works and how it may behave in future. 
 Read here Decrypting China Encryption's Regulations (form Bakernet website) . 
 Chia 
 Tags  ,  ,  ,  ,  | Comment (0) 
 security 
 IOScat – a Port of Netcat to Cisco IOS 
 13 June 2010 – 3:25 pm 
 A porting of famous netcat to Cisco IOS router operating system: IOSCat 
 The only main limit is that it does not support UDP, but that's a very cool tool! 
 A very good txt to read is Netcat hacker Manual . 
 Chia 
 Tags  | Comment (0) 
 cyberwarfare intelligence interception security 

				
  (Cũ) Crypto AG trường hợp và một số suy nghĩ về nó 
  Ngày 07 Tháng Sáu 2010 - 18:40 
  Trong '90, nguồn đóng và độc quyền mật mã đã được cai trị thế giới. 
  Đó là trước khi mã nguồn mở và các công nghệ mã hóa khoa học đã được phê duyệt như là một thực hành tốt nhất để làm mật mã thứ. 
  Tôi muốn nhắc nhở đến khi, vào năm 1992, Mỹ cùng với Israel, cùng với switzerland, cung cấp các công nghệ backdoored (độc quyền và bí mật) để chính phủ Iran để khai thác thông tin liên lạc của họ, lừa dối họ nghĩ rằng các giải pháp được sử dụng là an toàn, cũng có một số xem xét vào ngày hôm nay này trong năm 2010. 
caq63crypto.t.jpg
  Điều đó được gọi là Crypto AG trường hợp , một sự kiện lịch sử liên quan đến Hoa Kỳ Cơ quan An ninh Quốc gia cùng với Bộ phận tình báo tín hiệu của Israel Bộ Quốc phòng được mạnh mẽ nghi ngờ đã thực hiện một thỏa thuận với các mật mã nhà sản xuất Thụy Sĩ của công ty Crypto AG . 
  Về cơ bản, những thực thể đặt một backdoor trong các thiết bị mật mã an toàn mà họ cung cấp cho Iran để đánh chặn truyền thông Iran. 
  Mật mã của họ được dựa trên các thuật toán mã hóa bí mật và độc quyền phát triển bởi Crypto AG và cuối cùng tùy chỉnh cho chính phủ Iran. 
  Bạn có thể đọc một số sự kiện khác về Crypto AG backdoor các vấn đề liên quan đến: 
  Sự sụp đổ của an ninh viễn thông toàn cầu 
  NSA-Crypto AG sting 
  Phá vỡ mã số: một nhiệm vụ không thể By BBC 
  Der Spiegel Crypto AG (Đức) bài viết 
  Bây giờ, trong năm 2010, tất cả chúng ta đều biết và hiểu rằng mật mã bí mật và độc quyền không làm việc. 
  Chỉ cần một số tài liệu tham khảo của các chuyên gia mật mã hàng đầu trên toàn thế giới dưới đây: 
  Bí mật, an ninh, tối tăm của Bruce Schneier 
  Chỉ cần nói Không với các thuật toán mật mã độc quyền bởi Network Computing (Mike Fratto) 
  An ninh thông qua tối tăm Ceria Đại học Purdue 
  Mở khóa bí mật của Crypto: Mật mã học, mã hóa và Cryptology giải thích của Symantec 
  Thời gian thay đổi cách mọi thứ đang tiếp cận. 
  Tôi thích rất nhiều nổi tiếng Philip Zimmermann khẳng định: 
 "Mật mã học là một khoa học tối nghĩa, liên quan rất ít đến cuộc sống hàng ngày.  Trong lịch sử, nó luôn luôn có một vai trò đặc biệt trong thông tin liên lạc quân sự và ngoại giao.  Nhưng trong thời đại thông tin, mật mã là về quyền lực chính trị, và đặc biệt, về mối quan hệ quyền lực giữa chính phủ và nhân dân của nó.  Đó là về quyền riêng tư, tự do ngôn luận, tự do lập hội chính trị, tự do báo chí, tự do từ tìm kiếm và thu giữ bất hợp lý, tự do bị bỏ lại một mình. " 
  Bất kỳ nhà khoa học ngày nay chấp nhận và chấp thuận Nguyên tắc "Kerckhoffs rằng vào năm 1883 trong Cryptographie Militaire giấy ghi: 
  Bảo mật của một hệ thống mật mã không nên phụ thuộc vào việc giữ bí mật thuật toán, nhưng chỉ giữ bí mật số quan trọng. 
 
  Nó hoàn toàn rõ ràng rằng các thực hành tốt nhất để làm mật mã ngày nay obbly bất kỳ người nào nghiêm trọng để làm mật mã mở, xem xét của công chúng và thực hiện theo các nguyên tắc Kerckhoff. 
  Vì vậy, những gì chúng ta nên suy nghĩ về mật mã nguồn đóng, độc quyền đó là dựa trên khái niệm bảo mật tối tăm máng? 
  Tôi đã được SIÊU sự ngạc nhiên khi TODAY, trong năm 2010, trong thời đại của xã hội thông tin tôi đọc một số giấy trên Crypto AG trang web. 
  Tôi mời tất cả để đọc Crypto AG an ninh giấy được gọi là Kiến trúc bảo mật tinh vi được thiết kế bởi Crypto AG mà bạn có thể có được một trích đoạn quan trọng dưới đây: 
  Các thiết kế của kiến trúc này cho phép Crypto AG để cung cấp một thuật toán bí mật độc quyền có thể được quy định cho mỗi khách hàng để đảm bảo mức độ hoàn hảo của an ninh mật mã và hỗ trợ tối ưu cho chính sách bảo mật của khách hàng.  Trong đó, kiến ​​trúc an ninh cung cấp cho bạn ảnh hưởng bạn cần phải được hoàn toàn độc lập đối với các giải pháp mã hóa của bạn.  Bạn có thể xác định tất cả các lĩnh vực được bao phủ bởi mật mã và xác minh thuật toán hoạt động như thế nào. Ban đầu thuật toán sở hữu bí mật của Crypto AG là nền tảng của kiến trúc an ninh. 
  Tôi có thể nói rằng kiến ​​trúc của họ là hoàn toàn tốt từ TLC điểm của xem.  Ngoài ra, họ đã thực hiện một công việc rất tốt trong việc đưa ra các thiết kế của kiến trúc tổng thể để chống trộm kháng hệ thống mật mã bằng cách sử dụng chuyên dụng mật mã xử lý . 
  Tuy nhiên vẫn còn có một cái gì đó mất tích: 
  Ại mật mã khái niệm tổng thể là gây hiểu nhầm, dựa trên khái niệm mã hóa sai. 
  Bạn có thể nghĩ rằng tôi là một troll nói ra điều này, nhưng lịch sử của Crypto AG và thực tế là tất cả các cộng đồng khoa học và an ninh không phê duyệt các khái niệm bảo mật tối tăm máng, nó sẽ hợp pháp để yêu cầu ourself: 

  Why they are still doing security trough obscurity cryptography with secret and proprietary algorithms ? 


 Hey, i think that they have very depth knowledge on telecommunication and security, but given that the science tell us not to follow the secrecy of algorithms, i really have serious doubt on why they are still providing proprietary encryption and does not move to standard solutions (eventually with some kind of custom enhancement). 
 
 Chia 
 Tags  ,  ,  ,  | Comment (0) 
 cyberwarfare intelligence security 
 Missiles against cyber attacks? 
 7 June 2010 – 5:40 pm 
 The cyber conflicts are really reaching a point where war and cyberwar merge together. 
 NATO countries have the right to use the force against attacks on computer networks . 
 Chia 
 Tags  ,  | Comment (0) 
 business interception Privacy security technology 
  Mobile Security nói chuyện tại hội nghị WHYMCA 
  2 Tháng Sáu, 2010 - 19:56 
  Tôi muốn chia sẻ một số slide tôi được sử dụng để nói về bảo mật di động tại whymca điện thoại di động hội nghị ở Milan. 
 Read here my slides on mobile security . 
  Các hình cung cấp một cái nhìn tổng quan sâu rộng trong các vấn đề liên quan đến bảo mật di động, tôi nên làm một số slidecast về nó cũng đặt âm thanh. Maybe will do, maybe not, it depends on time that's always a insufficient resource. 
 Chia 
 Tags  ,  ,  ,  ,  ,  ,  | Comment (0) 
 Privacy security technology 
  iPhone PIN: vô dụng mã hóa 
  01 Tháng Sáu 2010 - 02:53 
  Gần đây tôi đã chuyển một trong nhiều điện thoại di động của tôi mà tôi đi xung quanh iPhone. 
 I am particularly concerned about data protection in case of theft and so started having a look around about the iPhone provided protection system. 
  Có một tập hợp thú vị của tính năng bảo mật iPhone kinh doanh mà làm cho tôi nghĩ rằng iPhone đã được di chuyển trong đường dẫn bên phải để bảo vệ an ninh của điện thoại, nhưng vẫn còn rất nhiều thứ phải được thực hiện, đặc biệt là đối với người dùng doanh nghiệp nghiêm trọng và Chính phủ. 
201006011551.jpg
  Ví dụ, nó bật ra rằng bảo vệ PIN iPhone là vô ích và nó có thể bị phá vỡ chỉ cần cắm iPhone vào một máy Linux và truy cập các thiết bị như một thanh USB. 
  Đó là một cái gì đó làm ảnh hưởng suy nghĩ hoang tưởng của tôi mà làm cho tôi nghĩ rằng không sử dụng dữ liệu nhạy cảm trên iPhone của tôi nếu tôi không thể bảo vệ dữ liệu của tôi. 
  Có lẽ một sản phẩm iPhone độc ​​lập mã hóa đĩa sẽ rất hữu ích để cho thị trường tạo ra các lược đồ bảo vệ phù hợp với bối cảnh nguy cơ khác nhau mà người sử dụng khác nhau có thể có. 
  Có lẽ một người tiêu dùng nói chung không phải lo lắng về lỗ hổng này PIN nhưng đối với tôi, làm việc trong envirnonment rất bí mật như tài chính, tình báo và quân sự, đó là một cái gì đó mà tôi không thể chấp nhận. 
  Tôi cần mã hóa ổ đĩa mạnh mẽ trên điện thoại di động của tôi. 
 Tôi làm mã hóa tiếng nói mạnh mẽ cho nó , nhưng nó sẽ được thực sự tốt đẹp để có một cái gì đó để bảo vệ toàn bộ dữ liệu iPhone và không chỉ các cuộc gọi điện thoại. 
 Chia 
  Comment (0) Thêm  ,  , điện  ,  ,  | Bình luận (0) 
  an ninh Uncategorized 
  Ai trích xuất dầu ở Iran?  Xử phạt và Liên Hợp Quốc cùng 
  1 June 2010 - 09:21 am 
  Tôi thích geopolitic và tôi đang theo dõi một cách cẩn thận iran vấn đề. 
  Tôi đã đi đến trang web Công ty dầu khí quốc gia Iran và đã thấy " thăm dò và sản xuất "được liệt kê tất cả các công ty và quốc gia xuất xứ của mình được phép thăm dò dầu ở Iran. 
  Trong danh sách đó chúng ta tìm thấy danh sách các quốc gia cùng với các dữ liệu ký thỏa thuận thăm dò: 
  •   Na Uy / Nga (2000) 
  •   Úc / Tây Ban Nha / Chile (2001) 
  •   Ấn Độ (2002) 
  •   Trung Quốc (2001) 
  •   Brazil (2004) 
  •   Tây Ban Nha (2004) 
  •   Thái Lan (2005) 
  •   Trung Quốc x 2 (2005) 
  •   Na Uy (2006) 
  •   Italy (2008) 
  •   Việt Nam (2008) 
  Những công ty dầu của các nước được phép khai thác dầu ở Iran và tôi muốn chỉ ra rằng Iran là dự trữ dầu thế giới lần thứ 2 chỉ sau Ả-rập Xê-út. 
  Như bạn có thể thấy có NO công ty Mỹ làm khai thác. 
  Của các nước châu Âu chỉ làm kinh doanh với Iran là: 
  Iran Na Uy Mối quan hệ 
  Iran ITALY Mối quan hệ 
  Iran Tây Ban Nha Mối quan hệ 
  Trong khi cũng được biết đến không-US-simpatizing nước, là hoạt động kinh doanh dầu với Iran là: 
  Iran Nga Mối quan hệ 
  Iran BRAZIL Mối quan hệ 
  Iran Trung Quốc mối quan hệ 
  Không thiếu một số sự tham gia của Châu Á. 
  Iran Ấn Độ Mối quan hệ 
  Iran Việt Nam Mối quan hệ 
  Như bạn có thể thấy Iran đang làm kinh doanh dầu với hầu hết lớn Nam Mỹ và các nước Viễn Châu Á, với một số ngoại lệ nhỏ ở châu Âu cho những gì áp dụng cho Na Uy, Ý và Tây Ban Nha. 
  Với tôi, âm thanh mà những nước châu Âu đang phải đối mặt với khó khăn nghiêm trọng cho dù họ sẽ chấp nhận và đăng ký xử phạt của LHQ chống lại Iran. 
  Hoặc một số người trong số họ, như Ý, được bảo vệ bởi sự hợp tác strenghtening họ đang làm với Nga về các vấn đề năng lượng? 
  Vâng, tôi không biết làm thế nào mọi thứ sẽ kết thúc, nhưng nó có thể nước hypocrit nhất giống như những người châu Âu kinh doanh ở Iran trong khi áp dụng Xử phạt sẽ là châu Âu chỉ giành chiến thắng trong cuộc cạnh tranh quốc tế cho Iran dầu (Trừ khi Pháp không thả một quả bom hạt nhân trên theran ;)). 
 Chia 
  Comment (0) Download  ,  | Bình luận (0) 
  Công nghệ an ninh bảo mật danh tiếng 

			
  Mã khai thác chống lại SecurStar DriveCrypt xuất bản 
  25 tháng năm, 2010 - 05:00 
  Có vẻ như cộng đồng hacker bằng cách nào đó để nhắm mục tiêu các sản phẩm securstar, có thể vì cộng đồng hacking không thích cách tiếp cận thường cho thấy phi đạo đức đã được mô tả trước đây trong blog này bằng bài viết và bình luận của người dùng. 
  Trong năm 2004, rất nhiều lời buộc tội chống lại Hafner của SecurStar đi ra ngoài vì bị cáo buộc hành vi trộm cắp tài sản trí tuệ liên quan đến mã số mã nguồn mở, chẳng hạn như mã hóa 4 quần chúng và quảng cáo hợp pháp cũng chống lại các dự án miễn phí và mã nguồn mở TrueCrypt . 
  Trong năm 2008, có một xác thực trước khi khởi động hacking chống lại DriveCrypt Plus được đăng về việc Công bố-Full. 
  Đầu năm 2010 là thời điểm nghiên cứu Infosecurity giả bí mật bởi securstar tài trợ tại http://infosecurityguard.com (mà bây giờ họ đã cố gắng để loại bỏ từ các trang web bởi vì tình trạng lúng túng, nhưng sao lưu của câu chuyện là có sẵn, cộng đồng hacking vẫn chờ đợi cho lời xin lỗi). 
  Bây giờ, giữa năm 2010, theo một nghiên cứu công bố trong tháng 12 năm 2009 về các lỗ hổng đĩa phần mềm mã hóa được thực hiện bởi Neil Ấm (mu-b), nhà nghiên cứu bảo mật tại số phòng thí nghiệm và thử nghiệm Thẩm thấu tại Giải pháp mạng hội tụ , DriveCrypt đã được tìm thấy là phá vỡ dễ bị tổn thương và khai thác -thiết bị an ninh của hệ thống và mã khai thác đã được phát hành. 
  Mã khai thác báo cáo dưới đây (nhờ Neil cho việc phát hành mã): 
  •   Thực thi mã tùy ý hạt nhân an toàn khai thác của DriveCrypt: DriveCrypt-dcr.c 
  •   Tùy tiện tập tin đọc / ghi khai thác an ninh thông qua các thông số định nghĩa người sử dụng không được kiểm soát ZxCreateFile / ReadFile / WriteFile: DriveCrypt-fopen.c 
  Mã khai thác đã được thử nghiệm chống lại DriveCrypt 5.3, hiện đang phát hành DriveCrypt 5,4 được báo cáo là dễ bị tổn thương quá vì nó có thay đổi nhỏ liên quan đến khả năng tương thích win7.  Bất cứ ai có thể kiểm tra chính và báo cáo bình luận ở đây? 
  Rất tốt công việc Neil! 
In the meantime the Free Truecrypt is probably the preferred choice for disk encryption, given the fact that it's difficult to trust DriveCrypt, PGP has been acquired by Symantec and there are very bad rumors about the trust that people have in Symantec and there are not many widely available alternatives. 
 Rumors say that also PhoneCrypt binaries are getting analyzed and the proprietary encryption system could reveal something fun… 
 Chia 
 Tags  ,  ,  ,  | Comment (0) 
  công nghệ an ninh bảo mật đánh chặn 
 Quantum cryptography broken 
 20 May 2010 – 8:15 pm 
 Quantum cryptography it's something very challenging, encryption methods that leverage the law of phisycs to secure communications over fiber lines. 
 To oversimplify the system is based on the fact that if someone cut the fiber, put a tap in the middle, and joint together the other side of the fiber, the amount of “errors” that will be on the communications path will be higher than 20% . 
 So if QBER (Quantum Bit Error Rate) goes above 20% then it's assumed that the system is intercepted. 
 Researcher at university of toronto was able to cheat the system with a staying below the 20%, at 19.7% , thus tweaking the threshold used by the system to consider the communication channel secure vs compromised. 
 The product found vulnerable is called Cerberis Layer2 and produced by the Swiss ID Quantique . 
 Some possibile approach to detect the attack has been provided but probably, imho, such kind of systems does not have to be considered 100% reliable until the technology will be mature enough. 
 Traditional encryption has to be used together till several years, eventually bundled with quantum encryption whether applicable. 
 When we will see a quantum encryption systems on an RFC like we have seen for ZRTP , PGP and SSL ? 
 -naif 
 Chia 
 Tags  ,  ,  | Comment (0) 
 security 
 FUN! Infosecurity consideration on some well known films 
 18 May 2010 – 8:48 pm 
 Please read it carefully Film that needed better infosec . 
 One the the review, imho the most fun one on film Star Wars : 
 The scene 
 Death star getting blown up 
 Infosec Analysis 
 Darth Vader must be heralded as the prime example of a chief executive who really didn't care about information security. The entire board was unapproachable and clearly no system testing was undertaken. The network security was so poor that it was hacked into and the designs for the death star were stolen without anyone knowing. 
 Even worse than that, the death star had a major design flaw where by dropping a bomb thingy into a big hole on the outside, it actually blew up the entire thing! 
 Darth Vader needed to employ a good Security Consultant to sit on the executive board and promise not to force choke him. Should have commissioned a full risk assessment of the death star followed by a full penetration test. Only then should the death star have been released into the production environment. 
 Chia 
 Comment (0) 
  Bảo mật an ninh công nghệ 
 great point of view 
 20 April 2010 – 6:50 pm 
 Because security of a cryptographic system it's not a matter of “how many bits do i use” but using the right approach to do the right thing to mitigate the defined security risk in the most balanced way. 
 security.png 
 Chia 
 Tags  ,  ,  | Comment (0) 
  Bảo mật an ninh công nghệ 
  Mã hóa không xáo trộn: là nhận thức của Scrambler! 
  20 tháng 4 năm 2010 - 17:50 
  Hầu hết chúng ta biết về Scrambler giọng nói có thể được sử dụng trên hầu hết các loại công nghệ thông tin liên lạc dựa trên giọng nói. 
 Extremely flexible approach: works everything 
  Cực kỳ hiệu suất rất thấp độ trễ 
  nhưng tiếc là ... 
  Rất yếu: xáo trộn không thể được coi là an toàn. 
 Only encryption can be considered secure under the Kerckoff's principle . 
  Vì vậy, xin vui lòng thậm chí không xem xét bất kỳ loại của Scrambler analog nếu bạn cần bảo mật thực sự. 
  Đọc sâu sắc giấy thực hiện một hệ thống mã hóa giọng nói thời gian thực "bởi Markus Brandau, đặc biệt là đoạn cryptoanalysis. 
 Chia 
 Tags  ,  ,  ,  ,  | Comment (0) 
 business interception Privacy technology 
  SecurStar GmbH Phonecrypt câu trả lời về trường hợp Infosecurityguard / Notrax: hoàn toàn không hợp lý!  :-) 
 1 February 2010 – 6:04 pm 
 UPDATE 20.04.2010: http://infosecurityguard.com has been disabled. Notrax identity became known to several guys in the voice security environments (cannot tell, but you can imagine, i was right!) and so our friends decided to trow away the website because of legal responsibility under UK and USA laws. 
 UPDATE: Nice tóm tắt của toàn bộ câu chuyện (tôi biết, nó dài và phức tạp để đọc lúc 1 thời gian) trên SIPVicious VoIP an ninh blog Sandro Gauci . 
  Sau khám phá của tôi, ông Hafner, SecurStar trưởng exec, đã cố gắng để cuối cùng bảo vệ hành động của họ, viện dẫn lý do hoàn toàn không hợp lý để Reg thay vì công khai xin lỗi vì những gì họ đã làm: tạo ra một nghiên cứu bảo mật giả mạo độc lập để thúc đẩy của họ PhoneCrypt sản phẩm . 
  Ông đã cố gắng thuyết phục chúng ta rằng người đằng sau IP 217.7.213.59, được sử dụng bởi tác giả infosecurityguard.com và chỉ đến đường dây DSL văn phòng của họ, là này Notrax hacker, sử dụng dịch vụ lướt web ẩn danh của họ và không phải là một nhân viên của họ tại văn phòng của họ: 
  SecurStar trưởng exec Wilfried Hafner từ chối bất kỳ liên hệ nào với Notrax.  Notrax, ông nói, phải được sử dụng dịch vụ duyệt web ẩn danh của công ty của ông, SurfSolo, để sản xuất các kết quả báo cáo của Pietrosanti " 
  Hãy phản ánh 1 thời điểm câu này ... có thực sự 1 của hacker giấu tên cho chi tiêu 64 EUR để mua giấu tên của họ lướt web dịch vụ gọi là surfsolo thay vì sử dụng các an toàn hơn nhiều điều khoản tham chiếu (các bộ định tuyến hành) Sau đó cho? của phản ánh trên này mảnh khác của thông tin: 
  •   IP 217.7.213.59 là dòng SecurStar GmbH của văn phòng DSL 
  •  Trên 217.7.213.59 họ đã cài đặt VoIP / Asterisk PBX của họ và cổng internet 
  •  They promote their anonymous proxy service for “Anonymous p2p use” ( http://www.securstar.com/products_ssolo.php ).  Ai sẽ cho phép người dùng làm p2p từ dòng văn phòng dsl mà họ đã cài đặt VoIP PBX công ty của họ? If you do VoIP you can't let third party flood your line w/ p2p traffic, your phone calls would became obviously unreliable (yes, yes, you can do QoS, but you would not place an anonymous navigation proxy on your company office DSL line…). 
  •  Which company providing an anonymous navigation service would ever use their own office IP address? Just think how many times you would have the police knocking at your door and your employees as the prime suspects. (In past i used to run a TOR node, i know the risks…). Also think how many times you would find yourself blacklisted on google as a spyware bot. 
  •  Mr. Hafner also says “We have two million people using this product.  Hoặc có thể ông đã được một khách hàng cũ của chúng ta ". 2M users on a DSL line, really? 
  •  I don't use Surfsolo service, however their proxies are probably these ones: 
  surfsolo.securstar.net - 67.225.141.74 
 surfsolo.securstar.com – 69.16.211.133 
 Frankly speaking I can easily understand that Mr. Hafner is going do whatever he can to protect his company from the scandal, but the “anonymous proxy” excuse is at the very least suspicious. 
 How does the fact that the “independent research” was semantically a product review of PhoneCrypt, along with the discovery that the author come from the SecurStar GmbH IP address offices, along with the anonymity of this Notrax guy (SecurStar calls him a “well known it security professional” in their press release..) sound to you? 
 It's possible that earth will get an attack from outer space that's going to destroy our life? 
  Theo thống kê cực kỳ khó khăn, nhưng có, có thể. More or less like the “anonymous proxy” story told by Mr. Hafner to cover the fact that they are the ones behind the infosecurityguard.com fake “independent security review”. 
 Hey, I don't need anything else to convince myself or to let the smart person have his own thoughts on this. 
 I just think that the best way for SecurStar to get out of this mess would probably be to provide public excuses to the hacking community for abusing the name and reputation of real independent security researches, for the sake of a marketing stunt. 
  Kính trọng, 
 Fabio Pietrosanti 
  ps Tôi hiện đang chờ đợi đối với một số infos khác chính xác hơn sẽ xác nhận rằng những gì ông Hafner nói là không đúng sự thật.  Điều chỉnh. 
 Chia 
 Tags  ,  ,  ,  ,  ,  | Comment (0) 
 business interception Privacy security 
 Evidence that infosecurityguard.com/notrax is SecurStar GmbH Phonecrypt – A fake independent research on voice crypto 
 1 February 2010 – 12:32 am 
 Below evidence that the security review made by an anonymous hacker on http://infosecurityguard.com is in facts a dishonest marketing plan by the SecurStar GmbH to promote their voice crypto product. 
 I already wrote about that voice crypto analysis that appeared to me very suspicious. 
 Now it's confirmed, it's a fake independent hacker security research by SecurStar GmbH, its just a marketing trick! 
 How do we know that Infosecurityguard.com, the fake independent security research, is a marketing trick from SecurStar GmbH? 
 1) I posted on http://infosecurityguard.com a comments to a post with a link to my blog to that article on israelian ministry of defense certification 
 2) The author of http://infosecurityguard.com went to approve the comment and read the link on my own blog http://infosecurity.ch 
 3) Reaching my blog he leaked the IP address from which he was coming 217.7.213.59 (where i just clicked on from wordpress statistic interface) 
  4) Ngày 217.7.213.59/panel http:// có giao diện tổng đài IP PBX doanh nghiệp GmbH SecurStar (trough công khai thể truy cập internet!) 
 5) The names of the internal PBX confirm 100% that it's the SecurStar GmbH: 
 6) There is 100% evidence that the anonymous hacker of http://infosecurityguard.com is from SecurStar GmbH 
 Below the data and reference that let us discover that it's all but a dishonest marketing tips and not an independent security research. 
 Kudos to Matteo Flora for it's support and for his article in Debunking Infosecurityguard identity ! 
 The http referral tricks 
 When you read a link going from a website to another one there is an HTTP protocol header, the “Referral”, that tell you from which page someone is going to another webpage. 
 The referral demonstrated that the authors of http://infosecurityguard.com read my post, because it was coming from http://infosecurityguard.com/wp-admin/edit-comments.php that's the webpage you use as a wordpress author/editor to approve/refuse comments. And here there was the link. 
 That's the log entry: 
 217.7.213.59 – - [30/Jan/2010:02:56:37 -0700] “GET /20100129/licensed-by-israel-ministry-of-defense-how-things-really-works/ HTTP/1.0″ 200 5795 “ http://infosecurityguard.com/wp-admin/edit-comments.php ” “Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB6.3; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)” 
 The PBX open on the internet tell us that's SecurStar GmbH 
 The SecurStar GmbH PBX is open on the internet, it contains all the names of their employee and confirm us that the author of http:/infosecurityguard.com is that company and is the anonymous hacker called Notrax. 
 Here there is their forum post where the SecurStar GmbH guys are debugging IPCOPfirewall & Asterisk together (so we see also details of what they use) where there is the ip 217.7.213.59 . 
 SecurStarproof.png 
 
 
 That's also really fun! 
 They sell secure telephony but their company telephony system is openly vulnerable on the internet .  :-) 
 I was thinking to call the CEO, Hafner, via SIP on his internal desktop PBX to announce we discovered him tricks..  : -> 
  Họ đã đo hoạt động tiếp thị của họ 
 Looking at the logs of my website i found that they was sensing the google distribution of information for the following keywords, in order to understand how effectively they was able to attack competing products. It's reasonable, if you invest money in a marketing campaign you want to see the results :-) 
 They reached my blog and i logged their search: 
  infosecurityguard + cryptophone 
 infosecurityguard+gold-lock 
 217.7.213.59 – - [30/Jan/2010:02:22:42 -0700] “GET / HTTP/1.0″ 200 31057 “Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB6.3; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)” 
 
 217.7.213.59 – - [30/Jan/2010:04:15:07 -0700] “GET HTTP/1.0″ 200 15774 “Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB6.3; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)” 
 
 The domain registration data 
 The domain have been registered on 1st December 2009, just two months to start preparing the dishonest marketing campaign: 
 Domain Name: INFOSECURITYGUARD.COM 
 Registrar: GODADDY.COM, INC. 
 Updated Date: 01-dec-2009 
 Creation Date: 01-dec-2009 
 The domain is anonymously privacy protected trough a whois privacy service: 
 Administrative Contact: Private, Registration INFOSECURITYGUARD.COM@domainsbyproxy.com , Domains by Proxy, Inc. DomainsByProxy.com 
  Notrax của hacker không tồn tại trên google 
  Như bạn biết bất kỳ hacker có được công chúng thường có sự hiện diện của các hoạt động của nó trên google, tham dự các mailinglists, diễn đàn, trang chủ, nghiên cứu quá khứ, tham gia các hội nghị, vv, vv 
  Các hacker giả mạo mà họ muốn chúng tôi suy nghĩ được viết một blog độc lập không có bất kỳ dấu vết trên google. Only some hit about an anonymous browser called Notrax but nothing about that hacker. 
 Maybe when SecurStar provided the anonymity tool to their marketing agency, to help them protecting anonymity for the fake research, their provided them the anonymous browser notrax.So the marketing guy thinking about the nickname of this fake hackers used what? Notrax!  :-) 
 
 
 The “independent review”completely oriented in publicizing PhoneCrypt 
 Of the various review don the phonecrypt review is only positive and amazing good feedback, while the other are only bad feedback and no single good point. 
 As you can imagine, in any kind of independent product evaluation, for all products there are goods and bad points.  Số này có chỉ sản phẩm tốt và sản phẩm mà là xấu. 
 They missed to consider the security of the technology used by the products 
 They completely avoided to speak about cryptography and security of the products. 
 They do not evaluated basic security features that must be in that kind of products.That's in order not to let anyone see that they did not followed basic security rules in building up their PhoneCrypt. 
 The technology is closed source, no transparency on algorithms and protocols, no peer review.Read my new comparison (from the basic cryptographic requirement point of view) About the voice encryption analysis (criteria, errors and different results) . 
 The results are somehow different than their one . 
 UPDATE: Who's Wilfried Hafner (SecurStar founder) ? 
 I got a notice from a reader regarding Wilfred Hafner, SecurStar founder, CEO and security expert. 
 He was arrested in 1997 for telephony related fraud (check 2nd article on Phrack) earning from telephony fraud 254.000 USD causing damages to local telcos trough blueboxing for 1.15 Million USD. 
 He was not doing “Blueboxing” for the pleasure of phreaking and connecting with other hackers, but to earn money. 
 Hacking for profit (and not for fun) in 1997… brrr…. No hacker's ethic at all! 
 All in all, is that lawful? 
 Badmouthing a competitor amounts to an unfair competition practice in most jurisdictions, so it is arguable (to say the least) that SecurStar is right on a legally sound ground here. 
 Moreover, there are some specific statutes in certain jurisdictions which provide for a straightforward ban on the practice we are talking about. For example in the UK the British Institute of Practitioners in Advertising - in compliance with the Consumer protection from Unfair Trading regulation – ruled that: 
 ”falsely claiming or creating the impression that the trader is not acting for the purposes relating to his trade, business, craft or profession, or falsely representing oneself as a consumer” is a criminal offense . 
 We have no doubt that PRPR (which is the UK-based *PR company for SecurStar GmbH, led by Peter Rennison and Allie Andrews as stated in SecurStar Press Release ) did provide their client with this information. Heck, they *are* in the UK, they simply cannot ignore that! 
 
 IANAL, but I would not be surpised if someone filed a criminal complaint or start civil litigation for unfair competition against SecurStar GmbH. 
 Whether this is going to be a matter for criminal and/or civil Courts or not is not that important. However, it is clear enough that SecurStar GmbH appears to be at least ethically questionable and not really worth of trust. 
 Nice try, gentlemen… however, next time just do it right (whether “right” for them means “in a honest manner” or “in a fashion not to be caught” I will let them choose)” 
 
  Fabio Pietrosanti (naif) 
 Chia 
 Tags  ,  ,  ,  ,  ,  | Comments (7) 
 business interception Privacy security 
 Dishonest security: The SecurStart GmbH Phonecrypt case 
 1 February 2010 – 12:30 am 
 I would like to provide considerations on the concept of ethics that a security company should have respect to the users, the media and the security environment. 
 SecurStar GmbH made very bad things making that infosecuriguard.com fake independent research. 
 It's unfair approach respect to hacking community. 
 It's unfair marketing to end user. They should not be tricking by creating fake independent review. 
 It's unfair competition in the security market. 
 Let's make some more important consideration on this. 
 Must be serious on cryptographic products. They are not toys 
 When you do cryptographic tools you should be really aware of what you are doing, you must be really serious. 
 If you do bad crypto people could die. 
 If you don't follow basic security rules for transparency and security for cryptography you are putting people life at risk. 
 You are taking the responsibility of this. (I want to sleep at night, don't think SecurStar CEO/CTO care about this…) 
 Security research need reference and transparency 
 Security research have to be public, well done, always subject to public discussion and cooperation. 
 Security research should not be instrumentally used for marketing purpose.Security research should be done for awareness and grow of the knowledge of the worldwide security environment. 
 Hacking environment is neutral, should not be used instrumentally 
 Hackers are considered neutral, nerds, doing what they do for their pleasure and passion. 
 If you work in the security market you work with hackers. 
 If you use hackers and hacking environment for your own marketing purposes you are making something very nasty. 
 Hackers give you the technology and knowledge and you use them for your own commercial purpose. 
 Consideration on the authority of the information online 
 That's something that pose serious consideration on the authority of information online.An anonymous hacker, with no reference online, made a product security review that appear like an independent one. I have to say that the fake review was very well prepared, it always posed good/bad things in an indirect way. It did not appeared to me at 1st time like a fake. But going deeply i found what's going on. 
 However Journalists, news media and blogger went to the TRAP and reviewed their fake research. TheRegister, NetworkWorld and a lot of blogs reported it. Even if the author was completely anonymous. 
 What they have done is already illegal in UK 
 SecurStar GmbH is lucky that they are not in the UK, where doing this kind of things is illegal . 
  Fabio Pietrosanti (naif) 
 Chia 
 Tags  ,  ,  ,  ,  | Comment (0) 
 business interception Privacy security technology 
  Giới thiệu về Phonecrypt GmbH SecurStar tiếng nói mã hóa phân tích (tiêu chuẩn, các lỗi và các kết quả khác nhau) 
  30 January 2010 - 2:02 am 
 This article want to clarify and better explain the finding at infosecurityguard.com regaring voice encryption product evaluation. 
  Bài viết này muốn nói với bạn một điểm nhìn khác hơn infosecurityguard.com khác nhau và giải thích là hợp lý với Giải thích rộng rãi từ quan điểm bảo mật. 
  Hôm nay tôi đọc tin tức nói rằng: "PhoneCrypt: dễ bị tổn thương cơ bản tìm thấy ở 12 trong số 15 sản phẩm mã hóa giọng nói và đã đi để đọc các trang web infosecurityguard . 
  Ban đầu nó xuất hiện của tôi giống như một hoạt động nghiên cứu tuyệt vời, nhưng sau đó tôi bắt đầu đọc sâu sắc đọc về it.I thấy rằng nó không đúng cách một nghiên cứu bảo mật, nhưng có được là những yếu tố cụ thể đó là một chiến dịch tiếp thị cũng được thực hiện để thu hút các phương tiện truyền thông công cộng và công bố công khai một sản phẩm. 
  IMHO họ có thể để lừa các nhà báo và người sử dụng bởi vì các chiến dịch tiếp thị được thực hiện hoàn toàn cũng không được phát hiện vào ngày 1 đọc nỗ lực.  Cá nhân tôi coi nó như một hợp lệ vào ngày 1 đã sẵn sàng (họ lừa dối tôi ban đầu). 
 But if you go deeply… you will understand that: 
  - Đó là một sáng kiến tiếp thị ngụy trang được sắp xếp bởi SecurStar GmbH và không một nghiên cứu bảo mật độc lập 
 - they consider a only security context where local device has been compromised (no software can be secured in that case, like saying SSL can be compromised if you have a trojan!) 
 - they do not consider any basic security and cryptographic security criteria 
 
 However a lot of important website reported it: 
 This article is quite long, if you read it you will understand better what's going on around infosecurityguard.com research and research result. 
  Tôi muốn để cho bạn biết tại sao và làm thế nào (IMHO) là sai. 
  Các nghiên cứu đã bỏ lỡ để xem xét an ninh, mật mã và minh bạch! 
  Vâng, tất cả các âm thanh này, nhiều nghiên cứu được tập trung vào mục tiêu tiếp thị để nói rằng sản phẩm PhoneCrypt của họ là "siêu" sản phẩm tốt nhất của tất cả những người khác. 
  Bất kỳ chuyên gia bảo mật mà có thể có như là nhiệm vụ "đánh giá phần mềm" để bảo vệ bí mật các cuộc gọi điện thoại sẽ đánh giá các đặc điểm khác của sản phẩm và công nghệ khác nhau. 
 Yes, it's true that most of the product described by SecurStar in their anonymous marketing website called http://infosecurityguard.com have some weakness. 
  Nhưng điểm yếu liên quan những người khác và PhoneCrypt không may, giống như hầu hết các sản phẩm mô tả bị này. 
  Hãy xem lại những đặc điểm cần mật mã cơ bản và yêu cầu bảo mật (thực hành tốt nhất, nền tảng và những điều cơ bản!) 
  - tối tăm an Trough không làm việc 
  Một nguyên tắc cơ bản trong mật mã học cames từ năm 1883 bởi Auguste Kerckhoffs: 
 In a well-designed cryptographic system, only the key needs to be secret; there should be no secrecy in the algorithm. 
  Mật mã hiện đại đã chấp nhận nguyên tắc này, gọi bất cứ điều gì khác "bảo mật bằng cách tối tăm." 
  Đọc những gì Bruce Schneir, công nhận chuyên gia và mật mã trên thế giới nói về điều này 
  Bất kỳ chuyên gia bảo mật sẽ cho bạn biết đó là sự thật. Even a novice university student will tell you that's true.  Đơn giản vì đó là cách duy nhất để làm mật mã. 

   Hầu như tất cả các sản phẩm được mô tả trong luận SecurStar GmbH, bao gồm PhoneCrypt, không cung cấp chi tiết chính xác về các công nghệ mật mã của họ. 
  Các chi tiết chính xác là: 
  •   Chi tiết đặc điểm kỹ thuật của thuật toán mật mã (đó không phải chỉ nói "chúng tôi sử dụng AES ") 
  •   Chi tiết đặc điểm kỹ thuật của giao thức mã hóa (đó không phải chỉ nói "chúng tôi sử dụng Diffie Hellman ) 
  •  Detailed specification of measuring the cryptographic strenght (that's not just saying “we have 10000000 bit key size “) 
 Providing precise details means having extensive documentation with theoretical and practical implications documenting ANY single way of how the algorithm works, how the protocol works with precise specification to replicate it for interoperability testing. 
 It means that scientific community should be able to play with the technology, audit it, hack it. 
  Nếu chúng ta không biết bất cứ điều gì về hệ thống mật mã chi tiết, làm thế nào chúng ta có thể biết đó là những điểm yếu và điểm mạnh? 
  Mike Fratto, biên tập viên trang web của Network Computing, đã thực hiện một bài viết tuyệt vời về "Nói KHÔNG với các hệ thống mật mã độc quyền" . 
  Đại học Cerias Purdue cho biết điều này . 
  b - KHÔNG ngang hàng xem xét và KHÔNG khoa học đã được phê duyệt Mật mã học không làm việc 
 In any case and in any condition you do cryptography you need to be sure that someone else will check, review, analyze, distruct and reconstract from scratch your technology and provide those information free to the public for open discussion. 
  Đó là chính xác làm thế nào AES được sinh ra và như Viện Tiêu chuẩn Quốc gia Hoa Kỳ làm cho mật mã không (với cuộc thi công cộng với đánh giá ngang hàng công cộng, nơi chỉ có chiến thắng đánh giá tốt nhất). 
  Một cuộc thảo luận công khai với một cuộc thi nào mà rất nhiều xem xét lại mật mã và chuyên gia nổi tiếng nhất trên thế giới, tin tặc (với họ, tên và khuôn mặt, không giống như Notrax) cung cấp đóng góp của họ, cho biết những gì họ nghĩ. 
 That's called “peer review”. 
  Nếu một công nghệ mã hóa có một đánh giá ngang hàng mở rộng và quan trọng, phân phối trên thế giới đến từ các trường đại học, các công ty an ninh tư nhân, các tổ chức quân sự, tin tặc và tất cả đến từ một phần khác nhau của thế giới (từ Mỹ sang châu Âu, Nga đến Nam Mỹ đến Trung Đông Trung Quốc) và tất cả trong số họ đồng ý rằng một công nghệ cụ thể là an toàn ... 
  Vâng, trong trường hợp đó chúng ta có thể xem xét các công nghệ an toàn bởi vì rất nhiều của các thực thể với danh tiếng và quyền lực đến từ rất nhiều vị trí khác nhau trên thế giới đã công khai xem xét, phân tích và xác nhận rằng công nghệ đó là an toàn. 
 How a private company can even think to invent on it's own a secure communication protocol when it's scientifically stated that it's not possible to do it in a “proprietary and closed way” ? 
  IBM cho bạn biết rằng bạn bè xem xét nó yêu cầu cho mật mã . 
  Bruce Schneier nói với bạn rằng "mật mã tốt biết rằng không có gì thay thế cho bạn bè xem xét mở rộng và nhiều năm phân tích." 
 Philip Zimmermann will tell you to beware of Snake Oil where the story is: “Every software engineer fancies himself a cryptographer, which has led to the proliferation of really bad crypto software.” 
 c – Closed source cryptography does not work 
  Như bạn đã biết bất kỳ loại "nghiêm trọng" và "danh tiếng tốt" công nghệ mã hóa được thực hiện trong mã nguồn mở. 
  Thường có nhiều thực hiện cùng một thuật toán mật mã và giao thức mã hóa để có thể xem xét tất cả các cách thức mà nó hoạt động và xác nhận khả năng tương tác. 
  Giả sử để sử dụng một tiêu chuẩn với các chi tiết chính xác và mở rộng "nó hoạt động như thế nào", đã được "ngang hàng xem xét" bởi cộng đồng khoa học NHƯNG đã được tái-triển khai thực hiện từ đầu 1 lập trình viên không nên thông minh và thực hiện nó rất nhiều lỗi . 
 Well, if the implementation is “opensource” this means that it can be reviewed, improved, tested, audited and the end user will certaintly have in it's own had a piece of technology “that works safely” . 
  Google phát hành mã nguồn mở mật mã bộ công cụ 
  Mozilla phát hành bộ công cụ mã nguồn mở mật mã 
  Bruce Schneier nói với bạn rằng Cryptography phải là mã nguồn mở . 
  Một điểm mật mã của 
  Tôi không muốn thuyết phục bất kỳ ai, nhưng chỉ cung cấp sự thật liên quan đến khoa học, liên quan đến mật mã và an ninh để giảm bớt ảnh hưởng của thông tin sai lệch được thực hiện bởi các công ty an ninh mà chỉ đi là để bán cho bạn một cái gì đó và không làm điều gì đó làm cho thế giới một tốt hơn 
  Khi bạn làm sản phẩm an toàn, nếu họ không được thực hiện theo những người cách tiếp cận thích hợp có thể chết. 
 It's absolutely something irresponsible not to use best practice to do crypto stuff. 
 To summarize let's review the infosecurityguard.com review from a security best pratice point of view. 
 Product name  Security Trough Obscurity   Công phản biện chuyên gia   Mã nguồn mở   Thỏa hiệp tại địa phương? 
 Caspertec   Tối tăm   Không có đánh giá nào   Đóng cửa   Vâng 
  CellCrypt   Tối tăm 
 		  Không có đánh giá nào 
 		  Đóng cửa 
 		  Vâng 
  Cryptophone   Minh bạch  Limited public review   Công khai   Vâng 
  -Lock vàng   Tối tăm 
 		  Không có đánh giá nào 
 		  Đóng cửa 
 		  Vâng 
  Illix   Tối tăm 
 		  Không có đánh giá nào 
 		  Đóng cửa 
 		  Vâng 
  No1.BC   Tối tăm   Không có đánh giá nào 
 		  Đóng cửa 
 		  Vâng 
  PhoneCrypt   Tối tăm 
 		  Không có đánh giá nào 
 		  Đóng cửa 
 		  Vâng 
 Rode&Swarz   Tối tăm 
 		  Không có đánh giá nào 
 		  Đóng cửa 
 		  Vâng 
  An toàn-Voice   Tối tăm 
 		  Không có đánh giá nào 
 		  Đóng cửa 
 		  Vâng 
  SecuSmart   Tối tăm 
 		  Không có đánh giá nào 
 		  Đóng cửa 
 		  Vâng 
 SecVoice   Tối tăm 
 		  Không có đánh giá nào 
 		  Đóng cửa 
 		  Vâng 
 SegureGSM   Tối tăm 
 		  Không có đánh giá nào 
 		  Đóng cửa 
 		  Vâng 
  SnapCell   Tối tăm 
 		  Không có đánh giá nào 
 		  Đóng cửa 
 		  Vâng 
 Tripleton   Tối tăm 
 		  Không có đánh giá nào 
 		  Đóng cửa 
 		  Vâng 
  Zfone   Minh bạch   Công chúng đánh giá 
 		  Mở   Vâng 
 ZRTP   Minh bạch   Công chúng đánh giá 
 		  Mở   Vâng 
  * Màu xanh lá cây có nghĩa là nó phù hợp với yêu cầu cơ bản cho một hệ thống an toàn mật mã 
  * Red / phương tiện bị hỏng rằng nó không phù hợp với yêu cầu cơ bản cho một hệ thống an toàn mật mã 
  Đó là phân tích của tôi bằng cách sử dụng một phương pháp đánh giá dựa trên mật mã và các thông số bảo mật không bao gồm các bối cảnh thỏa hiệp địa phương mà tôi cho là vô dụng. 
  Tuy nhiên, để được rõ ràng, những thông số cơ bản được sử dụng khi xem xét một sản phẩm mã hóa giọng nói (chỉ để tránh bị trong một tình huống xuất hiện như tôi đang quảng bá các sản phẩm khác). So it may absolutely possible that a product with good crypto ( transparency, peer reviewed and opensource) is absolutely a not secure product because of whatever reason (badly written, not usable causing user not to use it and use cleartext calls, politically compromised, etc, etc). 
 I think i will prepare a broader criteria for voice crypto technologies and voice crypto products, so it would be much easier and much practical to have a full transparent set of criterias to evaluate it. 
 But those are really the basis of security to be matched for a good voice encryption system! 
 Read some useful past slides on security protocols used in voice encryption systems (2nd part). 
  Bây giờ đọc dưới đây một số nghi ngờ thực tế hơn về nghiên cứu của họ. 
 The security concept of the review is misleading: any hacked device can be always intercepted! 
  Tôi nghĩ rằng những kẻ hoàn toàn bị mất điểm: BẤT KỲ HÌNH THỨC NÀO CỦA PHẦN MỀM CHẠY TRÊN HỆ THỐNG HOẠT ĐỘNG bị tổn hại có thể bị chặn 
 Now they are pointing out that also Zfone from Philip Zimmermann is broken (a pc software), just because they install a trojan on a PC like in a mobile phone? 
  Bất kỳ phần mềm bảo mật dựa trên thực tế là hệ thống điều hành cơ bản là bằng cách nào đó đáng tin cậy và bảo tồn tính toàn vẹn của môi trường nơi mà các phần mềm chạy. 
  •  If you have a disk encryption system but your PC if infected by a trojan, the computer is already compromised. 
  •  If you have a voice encryption system but your PC is infected by a trojan, the computer is already compromised. 
  •   Nếu bạn có một hệ thống mã hóa giọng nói, nhưng điện thoại di động của bạn bị nhiễm bởi một Trojan, điện thoại di động đã được thỏa hiệp. 
 No matter which software you are running, in such case the security of your operating environment is compromised and in one way or another way all the information integrity and confidentiality is compromised. 
  Giống như tôi đã giải thích ở trên làm thế nào để đánh chặn PhoneCrypt. 
 The only things that can protect you from this threat is running in a closed operating system with Trust Computing capability, implementing it properly. 
  Để chắc chắn trên bất kỳ hệ thống "Open" điều hành như chúng tôi của Windows, Windows Mobile, Linux, iPhone hay Android không có cơ hội để thực sự bảo vệ một phần mềm. 
 On difficult operating system such as Symbian OS or RimOS maybe the running software can be protected (at least partially) 
 That's the reason for which the security concept that guys are leveraging to carry on their marketing campaign has no clue. 
 It's just because they control the environment, they know Flexispy software and so they adjusted their software not to be interceptable when Flexispy is installed. 
  Nếu bạn phát triển một trojan với các kỹ thuật khác, tôi mô tả ở trên, bạn sẽ 100% đánh chặn PhoneCrypt. 
  Về chủ đề đó cũng Theo Dustin Tamme l, nhà nghiên cứu bảo mật của hệ thống điểm dừng , chỉ trên danh sách gửi thư của Liên minh an ninh trên VoIP rằng phân tích an ninh được dựa trên khái niệm sai lầm . 
 The PhoneCrypt can be intercepted: it's just that they don't wanted to tell you! 
 PhoneCrypt can be intercepted with “on device spyware”. 
  Tại sao? 
 Because Windows Mobile is an unsecure operating environment and PhoneCrypt runs on Windows Mobile. 
 Windows Mobile does not use Trusted Computing and so any software can do anything. 
 The platform choice for a secure telephony system is important. 
  Làm thế nào? 
 I quickly discussed with some knowledgeable windows mobile hackers about 2 different way to intercept PhoneCrypt with an on-device spyware (given the unsecure Windows Mobile Platform). 
  a) Tiêm một DLL độc hại vào phần mềm và đánh chặn từ trong Phonecrypt chính nó. 
  Trong Windows Điện thoại di động bất kỳ phần mềm có thể bị tiêm mã DLL. 
  Những gì một kẻ tấn công có thể làm là tiêm vào phần mềm PhoneCrypt (hoặc bất kỳ phần mềm chạy trên điện thoại), móc nối các chức năng liên quan đến âm thanh hành động như là một "proxy chức năng" giữa PhoneCrypt và các API thực sự để ghi / phát âm thanh. 
  Đó là một vấn đề "móc nối" chỉ có 2 chức năng, một trong những kỷ lục và một trong những mà chơi âm thanh. 
 Read the official Microsoft documentation on how to do DLL injection on Windows Mobile processes. or forum discussing the technique of injecting DLL on windows mobile processes. 
  Đó là đơn giản, bất kỳ lập trình sẽ cho bạn biết để làm như vậy. 
 They simply decided that's better not to make any notice about this. 
 b) Create a new audio driver that simply act as a proxy to the real one and intercept PhoneCrypt 
 In Windows Mobile you can create new Audio Drivers and new Audio Filters. 
  Những gì một kẻ tấn công có thể làm là để tải một trình điều khiển âm thanh mà không làm bất cứ điều gì khác hơn là đi qua các chức năng điều khiển âm thanh thực sự TO / TỪ RealOne. In the meantime intercept everything recorded and everything played :-) 
  Dưới đây là một ví dụ về việc làm thế nào để làm trình điều khiển âm thanh cho Windows Mobile . 
 Here a software that implement what i explain here for Windows “Virtual Audio Cable” . 
 The very same concept apply to Windows Mobile. Check the book “Mobile Malware Attack and Defense” at that link explaining techniques to play with those techniques. 
 They simply decided that's better not to make any notice to that way of intercepting phone call on PhoneCrypt . 
  Đó là chỉ có 2 ý tưởng nhanh chóng, có thể được có thể thực hiện. 
 Sounds much like a marketing activity – Not a security research. 
 I have to tell you.  Tôi phân tích vấn đề rất cẩn thận và trên hầu hết các khía cạnh. All this things about the voice encryption analisys sounds to me like a marketing campaign of SecurStar GmbH to sell PhoneCrypt and gain reputation. A well articulated and well prepared campaign to attract the media saying, in an indirect way cheating the media, that PhoneCrypt is the only one secure.  Bạn nhìn thấy các thông cáo báo chí của SecurStar và "Notrax nhà nghiên cứu an ninh nói rằng PhoneCrypt là chỉ an toàn sản phẩm" . SecurStar PhoneCrypt is the only product the anonymous hacker “Notrax” consider secure of the “software solutions”. 
 The only “software version” in competition with: 
SnapCell – No one can buy it. A security company that does not even had anymore a webpage. The company does not almost exist anymore. 
rohde-schawarz – A company that have in his list price and old outdated hardware secure phone . No one would buy it, it's not good for genera use. 
 Does it sounds strange that only those other products are considered secure along with PhoneCrypt . 
 Also… let's check the kind of multimedia content in the different reviews available of Gold-Lock, Cellcrypt and Phonecrypt in order to understand how much the marketing guys pressed to make the PhoneCrypt review the most attractive: 
 Application  Screenshots of application  Video with demonstration of interception   Mạng biểu diễn 
 PhoneCrypt   5   0   1 
 CellCrypt   0   2   0 
 GoldLock   1   2   0 
 It's clear that PhoneCrypt is reviewed showing more features explicitly shown and major security features product description than the other. 
 Too much difference between them, should we suspect it's a marketing tips? 
  Nhưng một lần nữa những điều kỳ lạ khác phân tích cách thức mà nó đã được thực hiện ... 
  Nếu nó là "một đánh giá khách quan và trung lập", chúng ta sẽ thấy những điều tốt và xấu trên tất cả các sản phẩm phù hợp? 
  Ok, xem bảng dưới đây về ý kiến cho thấy trong mỗi đoạn văn của các ý kiến khác nhau có sẵn của Gold-Lock, CellCrypt và Phonecrypt (chỉ có sẵn) để xem nếu là tích cực hay tiêu cực. 
 Application   Số của các khoản   Tích cực đoạn   Tiêu cực đoạn  Neutral paragraphs 
 PhoneCrypt   9   9   0   0 
 CellCrypt   12   0   10   2 
 GoldLock   9   0   8   1 
 
 
  Chi tiết đoạn văn ý kiến phân tích của Phonecrypt 
 Paragraph of review   Ý kiến bày tỏ 
 From their website   Tích cực tiếp thị thông tin phản hồi 
  Apple iPhone   Tích cực tiếp thị thông tin phản hồi 
  Đĩa mã hóa hoặc mã hóa giọng nói   Tích cực tiếp thị thông tin phản hồi 
  PBX tương thích? Really   Tích cực tiếp thị thông tin phản hồi 
  Cracking <10.  Không.   Tích cực tiếp thị thông tin phản hồi 
  Suy nghĩ!   Tích cực tiếp thị thông tin phản hồi 
  Một chút hành động mạng   Tích cực tiếp thị thông tin phản hồi 
  Giao diện người dùng   Tích cực tiếp thị thông tin phản hồi 
  Đồ ăn ngon   Tích cực tiếp thị thông tin phản hồi 
  Chi tiết đoạn văn ý kiến phân tích vàng-Lock 3G 
 Paragraph of review   Ý kiến bày tỏ 
 From their website  Negative Marketing feedback 
  Cấp phép bởi Bộ Israel Denfese  Negative Marketing feedback 
 Real Company or Part Time hobby  Negative Marketing feedback 
  16,000 bit xác thực  Negative Marketing feedback 
 DH 256  Negative Marketing feedback 
 Downad & Installation!   (Bình thường) Tiếp thị thông tin phản hồi 
  Cracking nó <10  Negative Marketing feedback 
  Tiếp thị BS101  Negative Marketing feedback 
  Cool phim thứ  Negative Marketing feedback 
 Detailed paragraphs opinion analysis of CellCrypt 
 Paragraph of review   Ý kiến bày tỏ 
 From their website   (Bình thường) Tiếp thị thông tin phản hồi 
  Một nền chút về cellcrypt  Negative Marketing feedback 
  Thạc sĩ Marketing  Negative Marketing feedback 
  Secure Cuộc gọi thoại  Negative Marketing feedback 
  Ai mua hàng hóa của họ  Negative Marketing feedback 
 Downad & Installation!  Neutral Marketing feedback 
  Môi trường của tôi Demo  Negative Marketing feedback 
  Họ quên một số mã  Negative Marketing feedback 
  Cracking nó <5  Negative Marketing feedback 
  Giám sát phòng w / Flexispy  Negative Marketing feedback 
 Cellcrypt unique features..  Negative Marketing feedback 
  Plain cũ đánh chặn  Negative Marketing feedback 
 The Haters out there  Negative Marketing feedback 
 Now it's clear that from their point of view on PhoneCrypt there is no single bad point while the other are always described in a negative way. 
 No single good point.  Lạ? 
 All those considerations along with the next ones really let me think that's very probably a marketing review and not an independent review. 
 Other similar marketing attempt from SecurStar 
 SecurStar GmbH is known to have used in past marketing activity leveraging this kind of “technical speculations”, abusing of partial information and fake unconfirmed hacking stuff to make marketing/media coverage. 
 Imho a rare mix of unfairness in leveraging the difficult for people to really understand the complexity of security and cryptography. 
 They already used in past Marketing activities like the one about creating a trojan for Windows Mobile and saying that their software is secure from the trojan that they wrote. 
 Read about their marketing tricks of 2007 
 They developed a Trojan (RexSpy) for Windows Mobile, made a demonstration capability of the trojan and later on told that they included “Anti-Trojan” capability to their PhoneCrypt software.They never released informations on that trojan, not even proved that it exists. 
 The researcher Collin Mulliner told at that time that it sounds like a marketing tips (also because he was not able to get from SecurStar CEO Hafner any information about that trojan): 
 “This makes you wonder if this is just a marketing thing.” 
 Now, let's try to make some logical reassignment. 
 It's part of the way they do marketing, an very unfriendly and unpolite approach with customers, journalist and users trying to provide wrong security concepts for a market advantage. Being sure that who read don't have all the skills to do in depth security evaluation and find the truth behind their marketing trips. 
 Who is the hacker notrax? 
 It sounds like a camouflage of a fake identity required to have an “independent hacker” that make an “independent review” that is more strong on reputation building. 
 Read about his bio: 
 ¾ Human, ¼ Android (Well that would be cool at least.) I am just an enthusiast of pretty much anything that talks binary and if it has a RS232 port even better. During the day I masquerade as an engineer working on some pretty cool projects at times, but mostly I do the fun stuff at night. I have been thinking of starting an official blog for about 4.5 years to share some of the things I come across, can't figure out, or just cross my mind. Due to my day job and my nighttime meddling, I will update this when I can. I hope some find it useful, if you don't, well you don't. 
 There are no information about this guy on google. 
 Almost any hacker that get public have articles online, post in mailing archive and/or forum or some result of their activity. 
 For notrax, nothing is available. 
 Additionally let's look at the domain… 
 The domain infosecurityguard.com is privacy protected by domainsbyproxy to prevent understanding who is the owner. 
 The domain has been created 2 months ago on 01-Dec-09 on godaddy.com registrar. 
 What's also very interesting to notice that this “unknown hacker with no trace on google about him that appeared on December 2009 on the net” is referred on SecurStar GmbH Press Release as a “An IT security expert”. 
 Maybe they “know personally” who's this anonymous notrax?  :) 
 Am i following my own conspiracy thinking or maybe there's some reasonable doubt that everything was arrange in that funny way just for a marketing activity? 
  Xã hội xem xét 
 If you are a security company you job have also a social aspects, you should also work to make the world a better place (sure to make business but “not being evil”).  Bạn không có thể ăn gian các kỹ năng của người sử dụng trong việc đánh giá an ninh thông tin sai lệch làm giả. 
  Bạn nên làm cao nhận thức về người sử dụng cuối cùng, để làm cho họ tỉnh táo hơn về vấn đề an ninh, tạo cho họ những công cụ để hiểu và tự quyết định. 
  Hy vọng bạn đã có niềm vui đọc bài viết này và bạn đã thực hiện xem xét riêng của bạn về điều này. 
  Fabio Pietrosanti (naif) 
  ps Đó là ý kiến ​​cá nhân chuyên nghiệp của tôi, chúng ta hãy nói về công nghệ và bảo mật, không tiếp thị. 
 pps i am not that smart in web writing, so sorry for how the text is formatted and how the flow of the article is unstructured! 
 Chia 
  Comments (4) Download  ,  ,  ,  ,  ,  ,  | Comments (4) 
  Trang sau » 
  Trang sau »