本文想澄清,並更好地解釋這一發現在infosecurityguard.com regaring語音加密產品的評價。
本文要告訴你一個不同的角度來看以外infosecurityguard.com,並解釋這是從安全的角度來看,理性與廣泛的交代。
今天,我看新聞說:的“有PhoneCrypt:基本漏洞中,有12個15個語音加密產品,又去看了網站infosecurityguard 。
最初,它似乎像一個偉大的研究活動,但我的話,我開始發現,這是不正確的安全研究,但有混凝土構件,以吸引公眾的媒體和宣傳,這是一個營銷活動做得好深入的閱讀讀了才對一種產品。
恕我直言,他們能夠欺騙記者和用戶的營銷活動,因為絕對沒被發現在第一讀取嘗試。 我個人認為它像一個有效的第一次準備(最初他們騙了我!)。
但是,如果你去深入...你就會明白:
-這是一個偽裝Securstar公司聯繫安排營銷活動,而不是一個獨立的安全研究
-他們認為一個只有本地設備的安全上下文的安全受到威脅(沒有軟件可以固定在這種情況下,好像是說,SSL可以受到損害,如果你有一個木馬!)
-他們不考慮任何基本的安全和加密安全標準
然而,很多重要網站報導:
這篇文章是相當長的,如果你讀它,你會更好地理解周圍發生了什麼事情的infosecurityguard.com研究和研究結果。
我要告訴你為什麼和如何(恕我直言)他們是錯誤的。
研究錯過考慮安全性,加密和透明度!
那麼,這一切聲音很像說,其有PhoneCrypt產品是所有其他的“超級”的產品最好的營銷目標專注於研究。
任何有責任的安全專家“軟件評測”,以保護保密電話將評估等不同特點的產品和技術。
是的,這是真的,大部分由Securstar公司在匿名的營銷網站中描述的產品稱為http://infosecurityguard.com的有一些弱點。
但相關的弱點是他人和有PhoneCrypt的不幸的是,大部分所描述的產品一樣患上這種。
讓我們回顧一下哪些特點是需要基本的加密技術和安全要求(最佳實踐的基礎和基本!)
- 安全海槽朦朧不起作用
加密卡梅斯從1883年由奧古斯特Kerckhoffs的一個基本原則:
- (這不只是說:“我們使用AES “加密算法)的詳細規範
- 加密協議(這不只是說:“我們使用的Diffie Hellman的 “)的詳細規範
- 測量加密實力(這不只是說:“我們有10000000位密鑰大小 “)的詳細規範
提供精確的細節,意味著有大量的文檔記錄的算法是如何工作的,任何單一的方式協議如何工作的精確規格複製它的互操作性測試的理論和實際意義。
這意味著,科學界應該能夠玩的是技術,審計它,砍它。
如果我們不知道任何關於密碼系統的詳細信息,我們怎麼能知道哪些是弱點和力量點?
邁克·弗拉托,網站編輯,網絡計算,做出了很大的文章“說不專有加密系統” 。
CERIAS普渡大學講這個 。
B - 非同行評議的和非科學的批准加密不起作用
在任何情況下,在任何情況下,你做你需要的加密技術,以確保別人會檢查,審查,分析,distruct和reconstract從頭您的技術,並免費向公眾提供這些信息進行公開討論。
這究竟是如何AES出生,像美國國家標準學會做加密 (公共同行評審,只有最好的評估雙贏公益大賽)。
公共討論與公共的比賽,其中有很多在世界上最有名的密碼學家和專家審查,黑客(他們的名字,姓氏和臉,不喜歡Notrax)提供他們的貢獻,告訴他們認為。
這就是所謂的“同行評審”。
如果加密技術的擴展和重要的同行評審,分佈在世界上來自大學,私營保安公司,軍事機構,黑客和所有來自不同世界的一部分(從美國到歐洲的俄羅斯,南美,中東中國)和所有的人都同意,這是一種具體的技術安全...
那麼,在這種情況下,我們可以考慮技術的安全性,因為有很多的實體,以良好的信譽和權威來自不同的地方在世界上很多公開評論,分析和證實它的安全技術。
一家私營公司甚至可以考慮發明在它自己的安全通信協議時,它的科學說明,它不是在一個“專有和封閉的方式可能做到這一點?
IBM告訴你,同行評審所需的加密 。
布魯斯告訴你說:“好密碼學家廣泛的同行評審和多年的分析知道,沒有什麼替代品。”
菲利普·齊 默爾曼將告訴你, 提防蛇油的故事是:“每一個軟件工程師幻想自己是一個密碼,從而導致非常糟糕的加密軟件的擴散。”
C - 閉源加密不起作用
正如你所知道的任何一種“嚴重”和“良好的信譽”的加密技術來實現開源。
通常有多個相同的加密算法和加密協議,能夠審查它的工作方式和認證的互操作性的實施。
假如使用“它是如何工作的”細節精確和擴展的標準,被“同行審查”由科學界但已重新實現從無到有由一個沒有那麼聰明的程序員和執行它的大量的bug 。
嗯,如果實現是“開源”,這意味著它可以檢討,改進,測試,審核和最終用戶將certaintly有它自己的一項技術,“安全工作”。
谷歌發布的開源加密工具包
Mozilla發行的開源加密工具包
布魯斯告訴你,必須開源加密 。
另一種加密的角度來看
我不想說服任何人,但只是提供有關科學的事實,為了減少誤傳的影響,通過保安公司,其唯一走的是向你推銷東西,而不是做一些事情,讓未來世界相關的加密和安全一個更好的。
當你這樣做安全的產品,如果他們不這樣做正確的做法,人們可能會死。
這絕對是不負責任的東西,不要用最好的做法是做加密的東西。
要總結,讓我們回顧一下從安全性的最佳PRATICE的角度來看infosecurityguard.com審查。
| 產品名稱 | 安全海槽朦朧 | 公共同行評審 | 開源 | 本地妥協? |
| Caspertec | 朦朧 | 沒有公開檢討 | 關閉 | 是 |
| CellCrypt | 朦朧 | 沒有公開檢討 | 關閉 | 是 |
| Cryptophone | 透明度 | 有限的公共審查 | 公眾 | 是 |
| 黃金鎖 | 朦朧 | 沒有公開檢討 | 關閉 | 是 |
| Illix | 朦朧 | 沒有公開檢討 | 關閉 | 是 |
| No1.BC | 朦朧 | 沒有公開檢討 | 關閉 | 是 |
| 有PhoneCrypt | 朦朧 | 沒有公開檢討 | 關閉 | 是 |
| 騎著Swarz的 | 朦朧 | 沒有公開檢討 | 關閉 | 是 |
| 安全語音 | 朦朧 | 沒有公開檢討 | 關閉 | 是 |
| SecuSmart | 朦朧 | 沒有公開檢討 | 關閉 | 是 |
| SecVoice | 朦朧 | 沒有公開檢討 | 關閉 | 是 |
| SegureGSM | 朦朧 | 沒有公開檢討 | 關閉 | 是 |
| SnapCell | 朦朧 | 沒有公開檢討 | 關閉 | 是 |
| Tripleton | 朦朧 | 沒有公開檢討 | 關閉 | 是 |
| Zfone軟件 | 透明度 | 公開評審 | 打開 | 是 |
| ZRTP | 透明度 | 公開評審 | 打開 | 是 |
*綠色意味著它匹配的加密安全系統的基本要求
然而,要清楚,那些只是考慮語音加密產品(只是為了避免在出現像我帶動其他產品的情況)時所使用的基本參數。 因此,它可能完全有可能的產品具有良好的加密( 透明度,同行評審和開源的)絕對是一個安全的產品,因為無論出於何種原因(寫的不好,無法使用,造成用戶不使用它,並使用明文通話,政治妥協等等)。
我想我會準備一個更廣泛的標準語音加密技術和語音加密產品,所以這將是更容易和更實用的有一個全透明的評估組條件。
但這些都是真的要匹配一個良好的語音加密系統安全的基礎!
過去幻燈片閱讀一些有益的語音加密系統 (第二部分)的安全協議 。
現在,閱讀下面的一些疑問,他們的研究更實用。
審查的安全觀是一種誤導:總是能夠截獲任何黑客攻擊的設備!
我認為這傢伙完全忽略了一點: 任何類型的軟件運行在被攻破的操作系統可以截獲
現在他們指出,從菲利普·齊默爾曼也Zfone軟件(PC軟件)被打破,僅僅是因為他們像一部手機,在PC機上安裝一個木馬?
任何安全軟件依賴於底層操作系統的事實,是某種信任和維護的環境下運行的軟件的完整性。
- 如果你有一個磁盤加密系統,但如果你的電腦感染了木馬,電腦已經受到損害。
- 如果你有一個語音加密系統,但你的電腦感染了木馬,電腦已經受到損害。
- 如果你有一個語音加密系統,但您的手機感染了木馬,手機已經大打折扣。
不管你正在運行的軟件,在這種情況下,您的操作環境的安全性被破壞,並以某種方式或其他方式的所有信息完整性和機密被洩露。
像我上面解釋如何截取有PhoneCrypt。
唯一的東西,可以保護你免受這種威脅是運行在一個封閉的操作系統,可信計算能力,正確實施。
為確保對任何“開放”的操作系統如我們的Windows的Windows Mobile,Linux,iPhone或Android的,有沒有機會真正保護軟件。
在困難的經營系統,如Symbian操作系統或RIMOS的可能正在運行的軟件可以保護(至少部分地)
這傢伙正在利用他們的營銷活動進行安全概念的理由,沒有任何線索。
這只是因為他們控制的環境下,他們知道Flexispy軟件,所以他們調整他們的軟件不被Flexispy安裝時可截取。
如果你開發了木馬與其他技術上面我描述你將100%攔截有PhoneCrypt。
在這個問題上也達斯汀潭美卡升, 斷點系統的安全研究人員指出,VoIP安全聯盟的郵件列表上的安全分析是基於錯誤的概念 。
,有PhoneCrypt可以截獲:這只是他們並不想告訴你!
有PhoneCrypt可以截獲“間諜設備”。
為什麼呢?
因為Windows Mobile的是一個不安全的工作環境和有PhoneCrypt運行在Windows Mobile。
不使用Windows Mobile的可信計算的,所以任何軟件可以做任何事情。
一個安全的電話系統平台的選擇是很重要的。
怎麼樣?
我趕緊討論windows mobile的一些知識淵博的黑客約2個不同的方式攔截有PhoneCrypt的不安全的Windows Mobile平台的設備上的間諜軟件()。
聽起來很像一個營銷活動 - 不是一個安全的研究。
我要告訴你。 我非常仔細地分析問題,在大多數方面。 這一切的東西話音加密analisys的聲音對我來說像一個營銷競選的Securstar公司聯繫到出售有PhoneCrypt的贏得口碑。 來吸引媒體說,以間接的方式,欺騙媒體,有PhoneCrypt是唯一一個安全良好的闡述和充分的準備運動。 看到新聞稿Securstar公司的“安全研究員告訴,有PhoneCrypt是唯一的安全產品”的Notrax 。 Securstar公司有PhoneCrypt的匿名黑客的“Notrax”認為是安全的“軟件解決方案”是唯一的產品。
在同行業競爭的唯一的“軟件版本”:
這聽起來很奇怪,只有那些其他的產品被認為是安全的以及有PhoneCrypt。
...讓我們看看什麼樣的多媒體內容在黃金鎖 Cellcrypt和有PhoneCrypt的的不同的評論,以了解多少按下有PhoneCrypt審查最有吸引力的營銷人員:
| 應用 | 應用截圖 | 與示範截取視頻 | 網絡演示 | |
| 有PhoneCrypt | 5 | 0 | 1 | |
| CellCrypt | 0 | 2 | 0 | |
| GoldLock | 1 | 2 | 0 |
很明顯,有PhoneCrypt明確顯示更多的功能和主要的安全功能比其他產品說明審查。
它們之間的差別太大,我們應該懷疑它是一種營銷技巧?
但其他奇怪的事情再次有人做過分析的方式...
如果這是“公正和中立的評論”我們應該看到所有產品的好和壞的東西?
好吧,請參閱下面的表格在每個段落黃金鎖,CellCrypt和有PhoneCrypt的的不同的評論表示認為(是唯一可用的),看是否是正面或負面的。
| 應用 | 段數 | 正段落 | 負段落 | 中性段落 |
| 有PhoneCrypt | 9 | 9 | 0 | 0 |
| CellCrypt | 12 | 0 | 10 | 2 |
| GoldLock | 9 | 0 | 8 | 1 |
| 段審查 | 意見 |
| 從他們的網站 | 積極的市場反饋 |
| 蘋果iPhone | 積極的市場反饋 |
| 磁盤加密或語音加密 | 積極的市場反饋 |
| PBX的兼容性? 真 | 積極的市場反饋 |
| 裂解<10。 不是的。 | 積極的市場反饋 |
| 良好的思維! | 積極的市場反饋 |
| 一個小的網絡行動 | 積極的市場反饋 |
| UI | 積極的市場反饋 |
| 好味道 | 積極的市場反饋 |
| 段審查 | 意見 |
| 從他們的網站 | 負市場反饋 |
| 由以色列外交部Denfese許可 | 負市場反饋 |
| 房地產公司或兼職愛好 | 負市場反饋 |
| 16.000位認證 | 負市場反饋 |
| DH 256 | 負市場反饋 |
| DOWNAD與安裝! | 中性市場反饋 |
| <10開裂 | 負市場反饋 |
| 營銷BS101 | 負市場反饋 |
| 酷視頻的東西 | 負市場反饋 |
| 段審查 | 意見 |
| 從他們的網站 | 中性市場反饋 |
| 一點背景有關cellcrypt | 負市場反饋 |
| 市場營銷碩士 | 負市場反饋 |
| 安全的語音通話 | 負市場反饋 |
| 誰買他們的商品 | 負市場反饋 |
| DOWNAD與安裝! | 中性市場反饋 |
| 我的演示環境 | 負市場反饋 |
| 難道他們忘記了一些代碼 | 負市場反饋 |
| 開裂<5 | 負市場反饋 |
| 機房監控/ FlexiSpy為 | 負市場反饋 |
| Cellcrypt獨特的功能.. | 負市場反饋 |
| 平原老攔截 | 負市場反饋 |
| 那裡的仇敵 | 負市場反饋 |
現在很明顯,從他們的角度來看上有PhoneCrypt的沒有一個單一的點不好而其他總是以消極的方式描述。
沒有一個單一的好點。 奇怪嗎?
所有這些考慮,隨著未來的,真的讓我覺得這是非常可能的營銷檢討,而不是一個獨立的審查。
其他類似的營銷嘗試從Securstar公司
Securstar公司公司被稱為在過去的營銷活動,利用這種“技術炒買炒賣”的部分信息和未經證實的假的東西,使黑客營銷/媒體報導,濫用。
恕我直言,一個罕見的混合利用人們很難真正理解的複雜性,安全性和加密中的不公平。
他們已經在過去的營銷活動像一個有關創建Windows Mobile和說,他們的軟件是安全的,他們寫的木馬木馬。
了解他們的營銷技巧2007
他們開發了一個針對Windows Mobile的的木馬(RexSpy),作出了示範能力的木馬,後來就包括“反木馬”能力他們有PhoneCrypt software.They的告訴記者,他們從來沒有公佈的信息,木馬,甚至沒有證明它的存在。
Mulliner的研究員科林告訴在這個時候, 它聽起來像一個營銷技巧 (也因為他無法從Securstar公司CEO哈夫納,木馬的任何信息):
現在,讓我們試著做一些邏輯的重新分配。
這是他們做營銷,一個非常不友好unpolite的方式與客戶,記者試圖提供錯誤的安全概念,為市場優勢和用戶的方式的一部分。 確定誰看了沒有能力做深入的安全評估,並找到自己的營銷之旅背後的真相。
誰是黑客notrax?
這聽起來像一個偽裝的假身份,需要有一個“獨立的黑客”,使“獨立評論”上建立聲譽越強。
讀他的生物:
有沒有關於這傢伙在谷歌。
幾乎得到公眾的任何黑客文章在線,後在郵件歸檔和/或論壇或一些他們的活動的結果。
對於notrax,沒有什麼用。
此外,讓我們來看看在域...
域infosecurityguard.com隱私保護domainsbyproxy的防止理解的所有者是誰。
域已創建2個月前的12月01日09 godaddy.com過戶登記。
什麼也很有趣的發現,這個“未知的黑客沒有一絲他對谷歌於2009年12月出現淨Securstar公司聯繫新聞稿 “被稱為“IT安全專家”。
我按照我自己的陰謀思維或者有一些合理的懷疑,一切都只是一個營銷活動,有趣的方式安排?
社會代價
如果你是一個安全公司,你工作也有社會方面的,你也應該努力使世界變得更美好的地方(務必使業務,但“不被邪惡”)。 你不能欺騙最終用戶的技能,在評估安全制假誤導性的信息。
你應該這樣做對最終用戶的意識,使他們更加意識到安全問題,給他們的工具來了解,並自行決定。
希望你有樂趣,看完這篇文章,你做你自己的思考。
:法比奧Pietrosanti(納伊夫)
PS這些都是我個人的專業意見,讓我們來談談技術和安全性,而不是營銷。
PPS我不是智能網絡寫作,太對不起如何格式化文本以及如何流動的文章是非結構化的!
4評論
絕對正確的,我知道,黑客只不過是一種營銷假人,好像我是正確的
其次從El註冊,我也很感興趣在兩個相同的的美稱評論(14&15 #http://infosecurityguard.com/?p=26評論 )最近註冊的域名12月1日及09年12月28日),也利於其他職位。
快速谷歌為“卡羅爾乙梅里曼”是指導性的 - 完全免費上下文的commentor他職位有關Zune播放器嗎?),蘭開夏郡的電腦維修和網頁設計(以及一切從加州去,去壽司酒吧(怪異的插言道布萊克浦是不太遠),最引人關注的是,關於互聯網聯盟營銷。 黑澤PC網站傷害卡瑪(可憐的金魚,廢話網站),有趣的是,似乎是奇怪註冊 - 非英國居民個人(而不是一家英國公司)。 “大衛·彭寧頓”很可能被連接到'史蒂夫·彭寧頓“誰擁有,誰是aaafleetwoodpcrepair.co.uk連接到的”tickets4u有限公司“ - 一個在英國註冊的公司。
V狡猾的,在我的專業意見 - 這種草顯然是塑料的。
不錯的工作,相當徹底。 如果你打算胸圍的人,這是很好的徹底。
尼斯閱讀這篇文章,這將是巨大的,如果你能包含更多的手機間諜軟件像Mobistealth和其他手機和手機短信間諜軟件