標記檔案: 營銷

業務 管理

產品管理和組織

2010年9月12日- 8:52 PM

我有更好的理解軟件公司產品管理和產品營銷管理,為什麼是必要的,這是差異,以及它們如何適應組織內部結構的概念,角色和職責。

我知道大多數人從來沒有興趣到這個特定區域的工作,但你想成為一家產品公司(而不是諮詢或解決方案公司)時,你就開始在不同的平台上有不同的產品針對不同的目標客戶銷售低谷不同渠道,不同定價與安裝/不同的分娩過程和複雜性,必須以適當的方式進行管理。

你會意識到,為了讓正確的方向,你需要正式組織產品管理活動,不收你的頭腦僵化的組織角色,如市場營銷,銷售,研發的產品公司的成長

當我們談論產品管理,我建議閱讀的照明的產品管理 (如何以市場為導向的重點,導致公司構建人們想要購買的產品) 的戰略作用 ,澄清了很多事情,即使前景網分離在產品管理中的角色,噸帽子的東西太沉重了,這樣的小公司啟動

它仍然提供了一個差異化的產品管理產品營銷之間的職責。

一個很好的了解產品管理有關啟動íš在文章中創建產品管理在啟動時進入公司的產品有遠見的角色出現不同的情況。

它推出的產品條款CEO在這個意義上產品的管理職責跳周圍成各種組織功能提供重點和努力,需要它的地方,獨立,內部功能需要更多的努力開發,市場營銷,銷售,或通信。 這實際上意味著提高了產品的眼光,因為它需要在所有主要產品相關的功能,使視力公司全相干。

很好地體現了產品管理和產品營銷活動的戰略,技術營銷部門管理,市場營銷(銷售)和研發之間並沒有明確的分離之間的分化是很好的描述:

Triad.jpg

我讀了產品經理的背景和知識是不同的,取決於公司注重產品管理屬於組織中的? ):

  • B2C - >市場營銷經驗
  • B2B - >技術經驗

一種照明(對我來說),很重要的分化有關產品的管理職責之間的區別:

  • 產品管理
  • 產品營銷

屬於產品營銷與管理的具體職責,極大地解釋產品管理和產品營銷角色定義 ,我建議你去看看,讓你更好地明確任務和責任,在您的組織。 它還提供一個良好的工作要求的定義,如果你需要尋找這個數字!

重要的是要明白什麼是不是產品管理的同時,有效的產品管理不只是功能優先

與此同時,重要的是要了解哪些專業數字本身並不是一個產品經理:

  • 產品經理是不是一個營銷經理 -通常被看作是一個營銷學科,而產品管理,市場營銷集中營銷計劃通常不會帶動整體產品發展方向。 然而在這種情況下可以找到產品營銷經理 ,銷售該產品的懷抱,尤其是在小型組織。
  • 產品經理是不是一位銷售經理 -銷售經理找出如何賣一個產品,銷售方法,技術和渠道後,他們可以推動公司從以客戶為導向的公司(解決方案和市場為導向的公司( 產品)諮詢)
  • 產品經理是不是開發商 -專注於技術和產品的整體開發。 一些偉大的產品經理是前開發的,但它是很難做到一次在。 有一種天然的開發人員和產品經理之間建立一個平衡的產品,應保持緊張。
  • 產品經理是不是一個軟件管理器 -軟件管理器是一個職能經理通常不注重對產品或客戶。
  • 產品經理是不是一個項目經理 -項目經理是如何以及何時,而產品經理是關於什麼的。 項目經理緊密合作,產品經理在產品生命週期的不同階段,以確保圓滿完成。

典型的產品管理活動可以在極端合成總結如下:

  • 策略:產品策略規劃
  • 技術:領先的產品發展
  • 營銷:提供產品和技術含量
  • 銷售:提供售前,售中支持,並有效地與銷售

產品管理,所以這不是精確的發展,是不是精確營銷,這不是精確的銷售,所以通常很難識別“,它應該保持”內部的組織結構(它甚至很難理解的需要)?

矽谷產品集團產品組織結構上提供了一個很好的洞察力,指出其中的優點和風險的多種選擇。 仍然的胡思亂想的產品經理說, 不要緊,產品經理在組織生活

這是有關要注意不要有太多技術或太多的銷售為主,為了在不同的組織填補了國內空白。 整個組織分配的職責碎片太多,可能會導致官僚主義,對一個人的職責太多,可能會導致在一些領域所需的任務執行不力的內部競爭感知方面的傳統角色。

檢查與實際生產管理經驗,(它是一個半技術人員/半營銷人員)的專業有一個非常漂亮的簡歷

啊! 另一種非常常見的誤解是, 混淆營銷與溝通,其中ai發現這麼好,我真的很喜歡和理解為嚴格的產品管理與關係營銷的定義:

營銷是知道市場這麼好,產品銷售本身

但發生什麼事時,你不處理的產品管理和產品營銷管理過程中定義的方式嗎?

例如,在產品管理中的戰略作用表現為一個不錯的故事:

輝煌的技術員,你的創辦人,該公司幾年前開始,他每天的工作時,他退出來推銷他的想法全職。 他創造了一個產品,他只是需要知道其他人。 他是正確的。 很快他提供足夠的產品和銷售副總裁,從大學聘請了他最好的朋友。 公司的成長。 但沒過多久,銷售副總裁抱怨說,“我們是一個工程為主導的公司。 我們需要成為以客戶為導向。“響起罰款。 除......似乎每一個新的合同需要定制工作。 你簽署了十幾個客戶在十幾個細分市場和最新的客戶的聲音總是為主的產品計劃。 你的結論是“客戶驅動”的意思是“通過最新的客戶驅動”,而不可能是正確。

如果你想成為一家產品公司,它精確地遵循一個戰略帶動產品營銷和管理,而不是由銷售相關

產品管理/市場營銷和銷售之間職責的混亂可能導致不成功的產品的公司,是不能夠繼續在他們的戰略,只是因為他們獲得的機會,推動業務範圍。

為了讓銷售活動保持專注,並保證該組織每天都在市場上更有效的產品的公司必須投資於它自己的產品開發和營銷。

這種閱讀後,我的理解是,它是確定如何創建一套靈活的業務流程如何處理各種不同的產品管理和產品營銷的職責,把它們分開銷售有關。

共享
Comment (0) 標籤 | 評論(0)
業務 管理 隱私 安全 技術

蛇油安全要求加密安全產品

7月19日- 9:33 PM

安防市場的增長,越來越多的企業進入市場,但有多少人認真考慮他們做了什麼?

你知道嗎,這樣做安全技術是什麼意思, 你是親自負責保護用戶的信息。 你必須讓他們知道他們需要什麼,你究竟在做什麼,哪種威脅模型產品保護。

用戶無法評估安全要求產品本身所代表的產品的安全功能的一個典型的問題。

所以有很多公司做一個不那麼道德營銷的安全功能,基於的事實,任何用戶都將能夠評估它。

先前解釋的情況下駐留在安全的的蛇油加密 ,在科學的加密環境的演變,今天就讓我們用最好的品種信息保護技術,無需過分擔心後門或不安全感的話題。

讓講蛇油加密

蛇油加密加密蛇油是一個術語,用來形容這被認為是假的或有欺詐成分的商用密碼的方法和產品。 辨不安全的加密技術的安全加密從用戶的觀點出發,可以是困難的。 ,如布魯斯菲爾齊默爾曼的 ,許多密碼學家,承擔教育公眾如何做安全加密,以及突出的誤導銷售的一些加密產品。

最有參考價值的加密安全大師,菲利普·齊 ​​默爾曼和布魯斯,是第一次談論蛇油加密:

由菲利普·齊 ​​默爾曼 蛇油

蛇油由Bruce Schneier

密歇根電信和科技法律評論“也取得了很好的分析有關安全產品的安全特性, 蛇油安全聲稱“產品安全系統的誤傳他們解釋討厭的營銷技巧用來調整用戶無法評估安全功能,包括經濟和法律責任的含義。

Very famous is the sentence of Russ Nelson : 幾種蛇油的安全產品公司不解釋,不清除的威脅模型產品適用。非常有名的是一句拉斯尼爾森

“請記住,密碼沒有威脅模型是不加奶像餅乾。 ..... 加密沒有威脅模型就像是母親沒有蘋果派。 不能說足夠的時間。 更一般地,安全無威脅模型是通過定義要失敗的。“

那麼,如何發現蛇油的安全產品呢?

檢查發現蛇油加密產品: 蛇油警告標誌,加密軟件,以避免馬特·柯廷的指導方針。

由Emility拉特利夫(IBM Linux安全架構師),試圖使如何識別加密蛇油明顯的例子,你可以看到這個非常好的加密蛇油範例

在這裡代表馬特·柯廷紙的基本方針:


通過檢查點,它可能以評估加密技術或產品是多麼嚴重。

但所有的一切,不道德的安全方法如何解決?

這是非常有意義的,這將是非常有益的各種安全產品類別做出一些強烈的獨立評估指引(如滲透測試OSSTMM ),使這個安全評價過程中,真正的用戶手中。

這將是也很不錯,已經有人作出分析和評估安全產品的公司,發布報告蛇油的跡象。

共享
Comments (3) 標籤 | 評論(3)
業務 攔截 隱私權 技術

Securstar公司的聯繫有PhoneCrypt答案:絕對不合理上Infosecurityguard / Notrax的情況下! :-)

2010年2月1日- 6:04 PM

更新20.04.2010:已被禁用http://infosecurityguard.com。 的身份出名Notrax語音安全環境(不能告訴幾個小伙子,但你能想像,我是正確的!),所以我們的朋友決定特羅的網站,因為英國和美國法律下的法律責任。

更新尼斯總結整個故事(我知道,這是漫長而複雜的,在第一時間閱讀)在VoIP安全SIPVicious博客桑德羅慈

Hafner先生,我發現,Securstar公司首席執行,試圖最終捍衛自己的行動, 理由是絕對不合理的藉口,而不是公開道歉為他們做了什麼的REG:創建一個假的獨立安全研究,以促進他們有PhoneCrypt產品

他試圖說服我們,IP 217.7.213.59,後面的人所使用的作者infosecurityguard.com和指著其辦公室DSL線路,這個的黑客Notrax,使用匿名衝浪服務,而不是他們的員工在他們的辦公室之一:

“首席執行維爾弗雷德·哈夫納Securstar公司否認任何接觸Notrax。” 他說,必須Notrax已經用他堅定的匿名瀏覽的服務,SurfSolo,到產生結果由Pietrosanti報告“

讓我們反映了這句話的時刻...請問真的找一位不願透露姓名的黑客花64歐元購買,而不是使用的自由和更安全的TOR(洋蔥路由器) ?然後讓另一塊的反映他們不願透露姓名的衝浪服務稱為surfsolo的信息:

  • IP 217.7.213.59是GmbH公司Securstar公司的辦公室DSL線路
  • 217.7.213.59,他們已經安裝的VoIP /的Asterisk PBX,互聯網網關
  • 他們推銷自己的“匿名使用P2P”( http://www.securstar.com/products_ssolo.php )的匿名代理服務。 誰會讓用戶從辦公室的DSL線路,他們已經安裝了他們的企業VoIP的PBX做P2P? 如果你的VoIP,你不能讓第三方洪水線/ P2P流量,你的電話會變得明顯不可靠的(是的,是的,你可以做的QoS,但你不會把一個匿名導航 ​​代理貴公司的辦公用的DSL行了......)。
  • 哪家公司提供的是匿名的導航服務將永遠使用自己的辦公室的IP地址? 試想有多少次,你會警察敲你的門,你的員工的首要犯罪嫌疑人。 (在過去,我曾經運行TOR節點,我知道的風險)。 另外,想多少次,你會發現自己在谷歌列入黑名單作為間諜機器人。
  • Hafner先生也說:“我們有兩百萬人使用本產品。 或者他可能是我們的一個老客戶的“。 2M用戶DSL線路上,真的嗎?
  • 我不使用服務Surfsolo,然而他們的代理是可能的:

surfsolo.securstar.net - 67.225.141.74

surfsolo.securstar.com - 69.16.211.133

老實說,我可以很容易地理解,哈夫納先生正在做什麼,他可以保護他的公司醜聞,但至少是可疑的“匿名代理”的藉口。

如何“自主研發”的事實,是語義上一個的產品審查的有PhoneCrypt,沿發現,作者的Securstar公司聯繫的IP地址的辦事處,以及來自這Notrax傢伙(Securstar公司稱他是“眾所周知的匿名IT安全專家“在其新聞發布)的聲音給你?

這有可能是地球將得到來自外太空的攻擊,那將摧毀我們的生活嗎?

統計學上極為困難,而且是可能的。 或多或少像“匿名代理”的故事告訴Hafner先生支付的事實,他們是那些背後的infosecurityguard.com假冒“獨立安全評論”。

嘿,我並不需要別的說服自己或讓聰明的人有自己的想法。

我只是覺得,Securstar公司擺脫這個爛攤子的最佳方式很可能是黑客社區提供公共藉口濫用名稱真正的獨立安全研究和聲譽,為了一個營銷噱頭。

的問候,

法比奧Pietrosanti的

PS我目前正在等待一些其他資訊,將更加精確地確認Hafner先生說的是不正確的。 敬請關注。

共享
Comment (0) 標籤 | 評論(0)
業務 攔截 隱私權 安全

有證據表明infosecurityguard.com,/ notrax是聯繫Securstar公司有PhoneCrypt -假冒獨立的語音加密的研究

2010年2月1日-上午12:32

下面製成由匿名黑客http://infosecurityguard.com的是安全審查的證據表明,在事實一個不誠實的營銷策劃由Securstar公司聯繫 ,以促進他們的語音加密產品。

我已經寫了有關該語音加密分析 ,似乎我非常可疑。

現在,它的確認,這是一個假獨立黑客安全研究由Securstar公司GmbH,它只是一種營銷把戲!

我們怎麼知道,Infosecurityguard.com,假獨立的安全研究從Securstar公司聯繫,是一種營銷技巧?

1),我貼http://infosecurityguard.com一個意見後,鏈接到我的博客, 國防認證的israelian部上的文章

2)作者http://infosecurityguard.com去批准意見及閱讀自己的博客http://infosecurity.ch的上的鏈接

3)達到我的博客,他洩露了他未來217.7.213.59(我剛剛在點擊從WordPress的統計數字接口的IP地址)

4) http:// 217.7.213.59/panel的是IP PBX接口的的企業PBX Securstar公司聯繫(通過互聯網公開可達!)

5)內部PBX的名稱確認,它是100%Securstar公司聯繫:

6) 有100%的證據表明,匿名黑客http://infosecurityguard.com是從Securstar公司聯繫

下面,讓我們發現,它的所有,但一個不誠實的營銷技巧,而不是一個獨立的安全研究數據和參考。

榮譽,以利瑪竇花都它的支持,他的文章中揭穿Infosecurityguard身份

HTTP轉診技巧

當你閱讀的鏈接,從一個網站到另一個有一個HTTP協議頭,“推薦”,告訴您從哪個頁面有人去到另一個網頁。

轉診證明,作者http://infosecurityguard.com的看了我的帖子,因為它是來自的http://infosecurityguard.com/wp-admin/edit-comments.php,您使用的網頁作為一個WordPress撰文/編輯批准/拒絕評論。 這裡是鏈接。

這是日誌條目:

217.7.213.59 - [30/Jan/2010:2時56分37秒-0700]“GET / 20100129/licensed-by-israel-ministry-of-defense-how-things-really-works / HTTP/1.0”200 5795“http://infosecurityguard.com/wp-admin/edit-comments.php”“Mozilla/4.0(兼容; MSIE 8.0;的Windows NT 5.1; Trident/4.0; GTB6.3;。NET CLR 1.1.4322。 NET CLR 2.0.50727; NET CLR 3.0.4506.2152。NET CLR 3.5.30729; InfoPath.2)“

,PBX開放在互聯網上告訴我們,Securstar公司聯繫

聯繫PBX Securstar公司是開在互聯網上,它包含了所有的名字,他們的僱員,確認我們作者http:/infosecurityguard.com的是,公司是匿名黑客稱為Notrax的。

這裡是他們的論壇上發帖聯繫傢伙Securstar公司, 調試IPCOPfirewall與Asterisk的 (所以我們也看到他們所使用的細節)那裡是IP 217.7.213.59。

SecurStarproof.png

這也是真的很好玩!

他們賣安全的電話,但他們公司的電話系統是在互聯網上公開的脆弱 :-)

我想打電話給CEO,哈夫納在其內部桌面PBX地宣布,我們發現了他的把戲,通過SIP .. : - >

他們測量他們的營銷活動

我的網站的日誌看,我發現他們以下關鍵字傳感谷歌的分銷信息,為了知道如何有效,他們能夠攻擊競爭產品。 這是合理的,如果你投資的錢在你想要的營銷活動,看到的結果:-)

他們達到了我的博客,我記錄他們的搜索:

infosecurityguard + cryptophone

infosecurityguard +黃金鎖

217.7.213.59 - [30/Jan/2010:2點22分42秒-0700]“GET / HTTP/1.0”200 31057 “Mozilla/4.0(兼容; MSIE 8.0;的Windows NT 5.1; Trident/4.0; GTB6.3;。NET CLR 1.1.4322。NET CLR 2.0.50727;。NET CLR 3.0.4506.2152。NET CLR 3.5.30729; InfoPath.2)“

217.7.213.59 - [30/Jan/2010:4時15分07秒-0700]“GET HTTP/1.0“200 15774 “Mozilla/4.0(兼容; MSIE 8.0;的Windows NT 5.1; Trident/4.0; GTB6.3;。NET CLR 1.1.4322。NET CLR 2.0.50727;。NET CLR 3.0.4506.2152。NET CLR 3.5.30729; InfoPath.2)“


網站域名註冊數據
該域名已註冊2009年12月1日,短短兩個月就開始準備不誠實的營銷活動:

域名:INFOSECURITYGUARD.COM

註冊商:GODADDY.COM,INC。

更新日期:2009年12月01日

創建日期:01-DEC-2009

域是匿名隱私保護槽WHOIS隱私服務:

行政聯繫人:Private,註冊INFOSECURITYGUARD.COM @ domainsbyproxy.com,域名代理公司DomainsByProxy.com

Notrax黑客對谷歌不存在
正如你所知道的任何黑客得到公眾的通常有它的活動對谷歌的存在,出席郵件​​列表,論壇,網頁,過去的研究中,參與會議,等等,等等。
他們希望我們認為是假的黑客編寫一個獨立的博客對谷歌不會有任何痕跡。 只有一些命中大約一個匿名的瀏覽器名為Notrax的 ,但沒有有關該黑客。
也許當Securstar公司提供了自己的營銷機構,不願透露姓名的工具,以幫助他們保護不願透露姓名的假的研究,為他們提供市場營銷的傢伙想用這個假黑客的綽號是什麼?Notrax匿名瀏覽器notrax.So的 :-)

“獨立評論”面向完全宣傳有PhoneCrypt的

各種評論不的有PhoneCrypt的評論是積極的和驚人的良好的反饋,而其他都是唯一不好的反饋,並沒有單一的好點。

正如你可以想像,在任何一種獨立的產品評價,對所有產品有貨差了點。 在這其中,有唯一的產品,是好,是壞的產品號。

他們錯過了考慮產品所使用的技術的安全性

他們完全避免談論的加密和安全的產品。

他們不評估,基本的安全功能,必須是為了不讓人看,他們並沒有遵守基本的安全規則建立PhoneCrypt的products.That的那種。
該技術是閉源的,沒有透明度的算法和協議,沒有同行review.Read我的新的比較(從基本的加密需求的角度來看) 關於語音的加密分析(標準,錯誤和不同的結果)
比他們的一個結果有些不同。

更新:維爾弗雷德·哈夫納(Securstar公司創辦人)是誰?

我得到了一個通知,從一個讀者關於威爾弗雷德·哈夫納,Securstar公司的創始人,CEO和安全專家。

於1997年被捕,電話相關的詐騙 (檢查第二Phrack的文章) 254.000美元造成損害當地的電信運營商槽為1.15億美元的“藍盒子”收入從電話詐騙。

他沒有做“藍盒子”,與其他黑客盜用電話線路和連接的樂趣,但掙錢。

黑客在1997年的利潤(而不是為了好玩)... BRRR .... 沒有黑客的道德可言!

所有的一切,是合法的嗎?

唱衰的競爭對手不正當競爭的做法在大多數地區,因此它是值得商榷的(至少可以這樣說),Securstar公司是一個法律健全的地面上。
此外,也有一些具體的法規在某些司法管轄區提供了一個簡單的禁令在實踐中,我們都在談論。 例如,在英國,英國廣告從業人員研究所 -在遵守保護消費者免受不公平貿易法規 -裁定:

“冒領或創造交易者的印象是,不採取行動,他的貿易,商業,工藝或行業,或虛假地表示自己作為一個消費者” 是刑事罪行有關的用途。

我們有PRPR (這是英國的公關公司GmbH公司Securstar公司,由彼得·雷尼森艾莉安德魯斯誠如Securstar公司新聞稿 )也毫無疑問,他們的客戶提供此信息, 哎呀,他們是*英國,他們根本不能忽視!

IANAL,但我不會被surpised如果有人提起刑事指控,或啟動民間向Securstar公司GmbH的不正當競爭訴訟。
這是否將是刑事和/或民事法庭或沒有的事並不重要。 然而,這是很清楚的,聯繫Securstar公司出現至少是道德問題,不值得信任。

不錯的嘗試,先生們......但是,下一次只是做它的權利(不論是否為他們的“權利”的意思是“一個誠實的方式”或“在時裝不被抓住”我將讓他們選擇“)

:法比奧Pietrosanti(納伊夫)

共享
Comments (7) 標籤 | 評論(7)
業務 攔截 隱私權 安全

不誠實的安全:SecurStart的聯繫有PhoneCrypt案

2010年2月1日-上午12:30

我想提供道德的概念,證券公司應當尊重用戶,媒體和安全環境的考慮。

聯繫Securstar公司做了非常糟糕的事情,infosecuriguard.com假的自主研發。

It's unfair approach respect to hacking community.

It's unfair marketing to end user. They should not be tricking by creating fake independent review.

It's unfair competition in the security market.

Let's make some more important consideration on this.

Must be serious on cryptographic products. They are not toys

When you do cryptographic tools you should be really aware of what you are doing, you must be really serious.

If you do bad crypto people could die.

If you don't follow basic security rules for transparency and security for cryptography you are putting people life at risk.

You are taking the responsibility of this. (I want to sleep at night, don't think SecurStar CEO/CTO care about this…)

Security research need reference and transparency

Security research have to be public, well done, always subject to public discussion and cooperation.
Security research should not be instrumentally used for marketing purpose.Security research should be done for awareness and grow of the knowledge of the worldwide security environment.

Hacking environment is neutral, should not be used instrumentally

Hackers are considered neutral, nerds, doing what they do for their pleasure and passion.

If you work in the security market you work with hackers.

If you use hackers and hacking environment for your own marketing purposes you are making something very nasty.

Hackers give you the technology and knowledge and you use them for your own commercial purpose.

Consideration on the authority of the information online

That's something that pose serious consideration on the authority of information online.An anonymous hacker, with no reference online, made a product security review that appear like an independent one. I have to say that the fake review was very well prepared, it always posed good/bad things in an indirect way. It did not appeared to me at 1st time like a fake. But going deeply i found what's going on.

However Journalists, news media and blogger went to the TRAP and reviewed their fake research. TheRegister, NetworkWorld and a lot of blogs reported it. Even if the author was completely anonymous.

What they have done is already illegal in UK

SecurStar GmbH is lucky that they are not in the UK, where doing this kind of things is illegal .

:法比奧Pietrosanti(納伊夫)

共享
Tags , , , , | Comment (0)
business interception Privacy security technology

About the SecurStar GmbH Phonecrypt voice encryption analysis (criteria, errors and different results)

30 January 2010 – 2:02 am

This article want to clarify and better explain the finding at infosecurityguard.com regaring voice encryption product evaluation.
本文要告訴你一個不同的角度來看以外infosecurityguard.com,並解釋這是從安全的角度來看,理性與廣泛的交代。
Today i read news saying: “PhoneCrypt: Basic Vulnerability Found in 12 out of 15 Voice Encryption Products and went to read the website infosecurityguard .

Initially it appeared to my like a great research activity but then i started reading deeply the read about it.I found that it's not properly a security research but there is are concrete elements that's a marketing campaign well done in order to attract public media and publicize a product.
Imho they was able to cheat journalists and users because the marketing campaign was absolutely well done not to be discovered on 1st read attempt. I personally considered it like a valid one on 1st ready (they cheated me initially!).

但是,如果你去深入...你就會明白:
-這是一個偽裝Securstar公司聯繫安排營銷活動,而不是一個獨立的安全研究
- they consider a only security context where local device has been compromised (no software can be secured in that case, like saying SSL can be compromised if you have a trojan!)
- they do not consider any basic security and cryptographic security criteria

然而,很多重要網站報導:

這篇文章是相當長的,如果你讀它,你會更好地理解周圍發生了什麼事情的infosecurityguard.com研究和研究結果。

I want to to tell you why and how (imho) they are wrong.

研究錯過考慮安全性,加密和透明度!

那麼,這一切聲音很像說,其有PhoneCrypt產品是所有其他的“超級”的產品最好的營銷目標專注於研究。
Any security expert that would have as duty the “software evaluation” in order to protect the confidentiality of phone calls will evaluate other different characteristics of the product and the technology.

Yes, it's true that most of the product described by SecurStar in their anonymous marketing website called http://infosecurityguard.com have some weakness.
但相關的弱點是他人和有PhoneCrypt的不幸的是,大部分所描述的產品一樣患上這種。
讓我們回顧一下哪些特點是需要基本的加密技術和安全要求(最佳實踐的基礎和基本!)

- 安全海槽朦朧不起作用

加密卡梅斯從1883年由奧古斯特Kerckhoffs的一個基本原則:

In a well-designed cryptographic system, only the key needs to be secret; there should be no secrecy in the algorithm.
現代密碼學家已經接受了這一原則,要求任何東西“含糊的安全性。”
Read what Bruce Schneir, recognized expert and cryptographer in the world say about this
Any security expert will tell you that's true. 即使是新手的大學生會告訴你,這是事實。 很簡單,因為這是唯一的方式做加密。
幾乎所有的產品描述在審查Securstar公司聯繫,包括有PhoneCrypt,不提供準確詳細了解他們的加密技術。
Precise details are:
  • (這不只是說:“我們使用AES “加密算法)的詳細規範
  • Detailed specification of cryptographic protocol (that's not just saying “we use Diffie Hellman ” )
  • 測量加密實力(這不只是說:“我們有10000000位密鑰大小 “)的詳細規範

提供精確的細節,意味著有大量的文檔記錄的算法是如何工作的,任何單一的方式協議如何工作的精確規格複製它的互操作性測試的理論和實際意義。
It means that scientific community should be able to play with the technology, audit it, hack it.
If we don't know anything about the cryptographic system in details, how can we know which are the weakness and strength points?

邁克·弗拉托,網站編輯,網絡計算,做出了很大的文章“說不專有加密系統”
CERIAS普渡大學講這個

b – NON peer reviewed and NON scientifically approved Cryptography does not work

In any case and in any condition you do cryptography you need to be sure that someone else will check, review, analyze, distruct and reconstract from scratch your technology and provide those information free to the public for open discussion.
這究竟是如何AES出生,像美國國家標準學會做加密 (公共同行評審,只有最好的評估雙贏公益大賽)。
公共討論與公共的比賽,其中有很多在世界上最有名的密碼學家和專家審查,黑客(他們的名字,姓氏和臉,不喜歡Notrax)提供他們的貢獻,告訴他們認為。
這就是所謂的“同行評審”。

如果加密技術的擴展和重要的同行評審,分佈在世界上來自大學,私營保安公司,軍事機構,黑客和所有來自不同世界的一部分(從美國到歐洲的俄羅斯,南美,中東中國)和所有的人都同意,這是一種具體的技術安全...
Well, in that case we can consider the technology secure because a lot of entities with good reputation and authority coming from a lot of different place in the world have publicly reviewed, analyzed and confirmed that a technology it's secure.

How a private company can even think to invent on it's own a secure communication protocol when it's scientifically stated that it's not possible to do it in a “proprietary and closed way” ?
IBM tell you that peer review it's required for cryptography .
布魯斯告訴你說:“好密碼學家廣泛的同行評審和多年的分析知道,沒有什麼替代品。”
Philip Zimmermann will tell you to beware of Snake Oil where the story is: “Every software engineer fancies himself a cryptographer, which has led to the proliferation of really bad crypto software.”

C - 閉源加密不起作用

正如你所知道的任何一種“嚴重”和“良好的信譽”的加密技術來實現開源。
There are usually multiple implementation of the same cryptographic algorithm and cryptographic protocol to be able to review all the way it works and certify the interoperability.
Supposing to use a standard with precise and extended details on “how it works”, that has been “peer reviewed” by the scientific community BUT that has been re-implemented from scratch by a not so smart programmer and the implementation it's plenty of bugs.

嗯,如果實現是“開源”,這意味著它可以檢討,改進,測試,審核和最終用戶將certaintly有它自己的一項技術,“安全工作”。

谷歌發布的開源加密工具包
Mozilla發行的開源加密工具包
Bruce Schneier tell you that Cryptography must be opensource .

另一種加密的角度來看

我不想說服任何人,但只是提供有關科學的事實,為了減少誤傳的影響,通過保安公司,其唯一走的是向你推銷東西,而不是做一些事情,讓未來世界相關的加密和安全一個更好的。

當你這樣做安全的產品,如果他們不這樣做正確的做法,人們可能會死。
這絕對是不負責任的東西,不要用最好的做法是做加密的東西。

To summarize let's review the infosecurityguard.com review from a security best pratice point of view.

產品名稱 Security Trough Obscurity 公共同行評審 開源 Compromise locally?
Caspertec Obscurity No public review Closed
CellCrypt Obscurity
No public review
Closed
Cryptophone 透明度 Limited public review 公眾
Gold-Lock Obscurity
No public review
Closed
Illix Obscurity
No public review
Closed
No1.BC Obscurity No public review
Closed
PhoneCrypt Obscurity
No public review
Closed
騎著Swarz的 Obscurity
No public review
Closed
安全語音 Obscurity
No public review
Closed
SecuSmart Obscurity
No public review
Closed
SecVoice Obscurity
No public review
Closed
SegureGSM Obscurity
No public review
Closed
SnapCell Obscurity
No public review
Closed
Tripleton Obscurity
No public review
Closed
Zfone軟件 透明度 公開評審
Open
ZRTP 透明度 公開評審
Open

*綠色意味著它匹配的加密安全系統的基本要求

* Red / Broken means that it does not match basic requirement for a cryptographic secure system
這是我的分析評價方法的基礎上加密和安全參數不包括本地妥協的情況下,我認為沒用使用。

However, to be clear, those are only basic parameters to be used when considering a voice encryption product (just to avoid being in a situation that appears like i am promoting other products). 因此,它可能完全有可能的產品具有良好的加密( 透明度,同行評審和開源的)絕對是一個安全的產品,因為無論出於何種原因(寫的不好,無法使用,造成用戶不使用它,並使用明文通話,政治妥協等等)。
I think i will prepare a broader criteria for voice crypto technologies and voice crypto products, so it would be much easier and much practical to have a full transparent set of criterias to evaluate it.

但這些都是真的要匹配一個良好的語音加密系統安全的基礎!
Read some useful past slides on security protocols used in voice encryption systems (2nd part).

現在,閱讀下面的一些疑問,他們的研究更實用。

The security concept of the review is misleading: any hacked device can be always intercepted!

I think that the guys completely missed the point: ANY KIND OF SOFTWARE RUNNING ON A COMPROMISED OPERATING SYSTEM CAN BE INTERCEPTED

Now they are pointing out that also Zfone from Philip Zimmermann is broken (a pc software), just because they install a trojan on a PC like in a mobile phone?
Any security software rely on the fact that the underlying operating system is somehow trusted and preserve the integrity of the environment where the software run.

  • 如果你有一個磁盤加密系統,但如果你的電腦感染了木馬,電腦已經受到損害。
  • 如果你有一個語音加密系統,但你的電腦感染了木馬,電腦已經受到損害。
  • 如果你有一個語音加密系統,但您的手機感染了木馬,手機已經大打折扣。

不管你正在運行的軟件,在這種情況下,您的操作環境的安全性被破壞,並以某種方式或其他方式的所有信息完整性和機密被洩露。

像我上面解釋如何截取有PhoneCrypt。

The only things that can protect you from this threat is running in a closed operating system with Trust Computing capability, implementing it properly.
為確保對任何“開放”的操作系統如我們的Windows的Windows Mobile,Linux,iPhone或Android的,有沒有機會真正保護軟件。
在困難的經營系統,如Symbian操作系統或RIMOS的可能正在運行的軟件可以保護(至少部分地)

這傢伙正在利用他們的營銷活動進行安全概念的理由,沒有任何線索。
It's just because they control the environment, they know Flexispy software and so they adjusted their software not to be interceptable when Flexispy is installed.
如果你開發了木馬與其他技術上面我描述你將100%攔截有PhoneCrypt。

在這個問題上也達斯汀潭美卡升, 斷點系統的安全研究人員指出,VoIP安全聯盟的郵件列表上的安全分析是基於錯誤的概念

The PhoneCrypt can be intercepted: it's just that they don't wanted to tell you!

有PhoneCrypt可以截獲“間諜設備”。
為什麼呢?
因為Windows Mobile的是一個不安全的工作環境和有PhoneCrypt運行在Windows Mobile。
不使用Windows Mobile的可信計算的,所以任何軟件可以做任何事情。
一個安全的電話系統平台的選擇是很重要的。
How?
我趕緊討論windows mobile的一些知識淵博的黑客約2個不同的方式攔截有PhoneCrypt的不安全的Windows Mobile平台的設備上的間諜軟件()。

一)惡意DLL注入到軟件,攔截從內有PhoneCrypt本身。
In Windows Mobile any software can be subject to DLL code injection.
攻擊者可以做的是,注入的的有PhoneCrypt軟件(或在手機上運行的任何軟件),音頻相關功能有PhoneCrypt和真正的API錄製/播放音頻“功能之間的代理”作為掛鉤。
It's a matter of “hooking” only 2 functions, the one that record and the one that play audio.
Read the official Microsoft documentation on how to do DLL injection on Windows Mobile processes. or forum discussing the technique of injecting DLL on windows mobile processes.
這很簡單,任何程序員會告訴你這樣做。
他們只是決定,最好不要做任何關於這個通知。
b)建立一個新的音頻驅動程序,簡單地充當代理的真實和攔截有PhoneCrypt
在Windows Mobile中,您可以創建新的音頻驅動程序和新的音頻過濾器。
What an attacker can do is to load a new audio driver that does not do anything else than passing the real audio driver function TO/FROM the realone. In the meantime intercept everything recorded and everything played :-)
這裡有一個例子就怎麼做音頻驅動程序適用於Windows Mobile
這裡的軟件,實現了什麼,我在這裡說明一下Windows的“虛擬音頻電纜”
The very same concept apply to Windows Mobile. 檢查書“移動惡意軟件攻擊和防禦”鏈接解釋技術發揮這些技術。
他們乾脆決定,最好不要作出任何通知,有PhoneCrypt電話攔截方式。
Those are just 2 quick ideas, more can be probably done.

聽起來很像一個營銷活動 - 不是一個安全的研究。

我要告訴你。 我非常仔細地分析問題,在大多數方面。 這一切的東西話音加密analisys的聲音對我來說像一個營銷競選的Securstar公司聯繫到出售有PhoneCrypt的贏得口碑。 來吸引媒體說,以間接的方式,欺騙媒體,有PhoneCrypt是唯一一個安全良好的闡述和充分的準備運動。 看到新聞稿Securstar公司的“安全研究員告訴,有PhoneCrypt是唯一的安全產品”的Notrax SecurStar PhoneCrypt is the only product the anonymous hacker “Notrax” consider secure of the “software solutions”.
The only “software version” in competition with:

- SnapCell -沒有人可以買它。 保安公司甚至沒有過了一個網頁。 該公司幾乎不存在了。
- 羅德schawarz的 -一個公司有他的列表價格和過時的硬件安全手機 沒有人會買它,它不屬使用好。

這聽起來很奇怪,只有那些其他的產品被認為是安全的以及有PhoneCrypt。

Also… let's check the kind of multimedia content in the different reviews available of Gold-Lock, Cellcrypt and Phonecrypt in order to understand how much the marketing guys pressed to make the PhoneCrypt review the most attractive:

應用 應用截圖 與示範截取視頻 網絡演示
PhoneCrypt 5 0 1
CellCrypt 0 2 0
GoldLock 1 2 0

It's clear that PhoneCrypt is reviewed showing more features explicitly shown and major security features product description than the other.

Too much difference between them, should we suspect it's a marketing tips?

但其他奇怪的事情再次有人做過分析的方式...
If it was “an impartial and neutral review” we should see good and bad things on all the products right?

好吧,請參閱下面的表格在每個段落黃金鎖,CellCrypt和有PhoneCrypt的的不同的評論表示認為(是唯一可用的),看是否是正面或負面的。

應用 段數 正段落 負段落 中性段落
PhoneCrypt 9 9 0 0
CellCrypt 12 0 10 2
GoldLock 9 0 8 1

詳細的段落 有PhoneCrypt 意見分析
段審查 Opinion expressed
From their website 積極的市場反饋
蘋果iPhone 積極的市場反饋
磁盤加密或語音加密 積極的市場反饋
PBX的兼容性? 積極的市場反饋
裂解<10。 Not. 積極的市場反饋
良好的思維! 積極的市場反饋
一個小的網絡行動 積極的市場反饋
UI 積極的市場反饋
好味道 積極的市場反饋
黃金鎖3G 詳細段落的意見分析
段審查 Opinion expressed
From their website Negative Marketing feedback
由以色列外交部Denfese許可 Negative Marketing feedback
Real Company or Part Time hobby Negative Marketing feedback
16.000位認證 Negative Marketing feedback
DH 256 Negative Marketing feedback
DOWNAD與安裝! Neutral Marketing feedback
Cracking it <10 Negative Marketing feedback
營銷BS101 Negative Marketing feedback
Cool video stuff Negative Marketing feedback
Detailed paragraphs opinion analysis of CellCrypt
段審查 Opinion expressed
From their website Neutral Marketing feedback
一點背景有關cellcrypt Negative Marketing feedback
市場營銷碩士 Negative Marketing feedback
安全的語音通話 Negative Marketing feedback
誰買他們的商品 Negative Marketing feedback
DOWNAD與安裝! Neutral Marketing feedback
My Demo environment Negative Marketing feedback
難道他們忘記了一些代碼 Negative Marketing feedback
開裂<5 Negative Marketing feedback
機房監控/ FlexiSpy為 Negative Marketing feedback
Cellcrypt unique features.. Negative Marketing feedback
平原老攔截 Negative Marketing feedback
The Haters out there Negative Marketing feedback

現在很明顯,從他們的角度來看上有PhoneCrypt的沒有一個單一的點不好而其他總是以消極的方式描述。
沒有一個單一的好點。 奇怪嗎?
所有這些考慮,隨著未來的,真的讓我覺得這是非常可能的營銷檢討,而不是一個獨立的審查。

其他類似的營銷嘗試從Securstar公司

Securstar公司公司被稱為在過去的營銷活動,利用這種“技術炒買炒賣”的部分信息和未經證實的假的東西,使黑客營銷/媒體報導,濫用。
恕我直言,一個罕見的混合利用人們很難真正理解的複雜性,安全性和加密中的不公平。

他們已經在過去的營銷活動像一個有關創建Windows Mobile和說,他們的軟件是安全的,他們寫的木馬木馬。
了解他們的營銷技巧2007

他們開發了一個針對Windows Mobile的的木馬(RexSpy),作出了示範能力的木馬,後來就包括“反木馬”能力他們有PhoneCrypt software.They的告訴記者,他們從來沒有公佈的信息,木馬,甚至沒有證明它的存在。

Mulliner的研究員科林告訴在這個時候, 它聽起來像一個營銷技巧 (也因為他無法從Securstar公司CEO哈夫納,木馬的任何信息):

“這使得你不知道,如果這僅僅是一個營銷的事情。”

現在,讓我們試著做一些邏輯的重新分配。
這是他們做營銷,一個非常不友好unpolite的方式與客戶,記者試圖提供錯誤的安全概念,為市場優勢和用戶的方式的一部分。 Being sure that who read don't have all the skills to do in depth security evaluation and find the truth behind their marketing trips.

Who is the hacker notrax?

這聽起來像一個偽裝的假身份,需要有一個“獨立的黑客”,使“獨立評論”上建立聲譽越強。
讀他的生物:

¾人力,¼的Andr​​oid(當然,這將是至少涼爽。)我只是一個愛好者會談二進制相當多的東西,如果它有一個RS232端口,甚至更好。 白天我偽裝成一名工程師的工作,有時一些很酷的項目,但主要是我做的有趣的東西,晚上。 I have been thinking of starting an official blog for about 4.5 years to share some of the things I come across, can't figure out, or just cross my mind. Due to my day job and my nighttime meddling, I will update this when I can. I hope some find it useful, if you don't, well you don't.

有沒有關於這傢伙在谷歌。
幾乎得到公眾的任何黑客文章在線,後在郵件歸檔和/或論壇或一些他們的活動的結果。
For notrax, nothing is available.

Additionally let's look at the domain…
域infosecurityguard.com隱私保護domainsbypr​​oxy的防止理解的所有者是誰。
域已創建2個月前的12月01日09 godaddy.com過戶登記。

What's also very interesting to notice that this “unknown hacker with no trace on google about him that appeared on December 2009 on the net” is referred on SecurStar GmbH Press Release as a “An IT security expert”.

也許他們“認識的人”誰是這個匿名notrax的嗎? :)

我按照我自己的陰謀思維或者有一些合理的懷疑,一切都只是一個營銷活動,有趣的方式安排?

Social consideration

如果你是一個安全公司,你工作也有社會方面的,你也應該努力使世界變得更美好的地方(務必使業務,但“不被邪惡”)。 你不能欺騙最終用戶的技能,在評估安全制假誤導性的信息。

你應該這樣做對最終用戶的意識,使他們更加意識到安全問題,給他們的工具來了解,並自行決定。

希望你有樂趣,看完這篇文章,你做你自己的思考。

:法比奧Pietrosanti(納伊夫)

ps Those are my personal professional opinion, let's speak about technology and security, not marketing.
PPS我不是智能網絡寫作,太對不起如何格式化文本以及如何流動的文章是非結構化的!

共享
Tags , , , , , , | Comments (4)
business technology

Saas: is the end of the myth?

10 July 2009 – 7:00 am

Saas business models growth a lot during the past few years and i personally appreciate it.

無需軟件安裝,配置,維護,服務,當你需要一個早期的採用時間,最重要的降低所有權總成本(或明顯減少)。

我有一些經驗與SaaS業務(作為客戶),我不得不說的SaaS業務恕我直言,以下Gartner集團的分析告訴你真相只有一半的報表:

  • 總是有一個部分的整合問題(不是所有的系統非常靈活,真正融入您的業務,如您想)
  • 往往有缺乏的技術要求所需要的具體業務情況
  • 我不同意,有一個屏障的成本,作為SaaS通常讓你只花幾個。 但是它是真實的,而這樣做你應該更保守的使用功能和項目(ES:我使用我公司託管的VoIP PBX系統的部署,為我們付出我們添加每個分機。我們沒有測試擴展或擴展,不是嚴格必需的,因為它的成本。當我們有一個內部的VoIP PBX系統,我們大量的測試擴展。這稍微增加一些維護和部署的複雜性,即使總維護成本低是很多比內部系統進行管理。

因此,我們可以假設薩斯對於大多數但不是所有的,特別是如果需要自定義的非常具體的業務需求有關。

一個進行深入的分析和測試,以便及時發現解決方案的所有限制,功能和價格上,要真正發現如果具體的解決方案滿足業務需要。

共享
Comment (0) 標籤 | 評論(0)
企業 管理 技術

網絡營銷的真正目標:領先一代

7月7日-上午7時57分

我經常討論網絡營銷,但它包括神秘的“市場營銷”神奇的字tipically受到的誤解和錯誤。

網絡營銷的最終目標是產生合格的線索來自國際市場。

關於它的一些有趣的環節,事情應該如何正確做如下:

我真的想看到一個有效的利用網絡技術和工具主界面和供應商的信息,前期主要代理銷售公司解釋幾乎一切都需要得到一個合格的鉛。

共享
Comment (0) 標籤 | 評論(0)