Archivos por categoría: inteligencia

RFC 6189: ZRTP finalmente es un estándar!

11 de abril 2011 - 22:54

Finalmente ZRTP se le ha asignado un oficial de asignación de RFC, RFC6189 ZRTP: Ruta de los medios de comunicación clave para el Acuerdo de Unicast RTP seguro.

Había como una dependencia de la SRTP con un tamaño de 256 bits AES clave de la que ahora se ha definido como RFC6188 .

Es emocionante ver el RFC finalmente puesto en libertad, ya que es un hito importante para establecer ZRTP como la norma oficial para el cifrado de extremo a extremo, al igual que PGP ha sido para los correos electrónicos.

Ahora, cualquier organización en el mundo será capaz de poner en práctica oficialmente ZRTP la encriptación de extremo a extremo de protocolo de voz

En la actualidad tres diferentes implementaciones públicas de ZRTP existe un protocolo:

Philip Zimmermann LibZRTP (código C)
PrivateWave de Zorg (código C + + / Java de código)
GNU telefonía ZRTP (c + + de código / código de Java)

Cada uno de ellos ofrecen diferentes características del protocolo, pero lo más importante son conocidos por ser interoperable.

Una nueva ola está llegando a todo el mundo cifrado de voz, irrumpiendo en una zona gris donde la mayoría de las compañías que hacen los sistemas de cifrado de teléfono ha sido la aplicación de cifrado personalizado.

Ahora es un estándar ha sido configurado y hay pocas razones para implementar la izquierda algo diferente.

Hurra Sr. Zimmermann y toda la comunidad de las empresas (como PrivateWave ) y particulares (como Werner Dittmann ) que trabajó en ella!

Hoy en día es un gran día, este tipo de tecnología ya es oficial y también con la aplicación existente múltiples!

Felipe, que lo hizo de nuevo, mis felicitaciones a su espíritu puro y la determinación :-)

Comment (1) Tags encriptación , privacidad , voicesecurity , ZRTP | Comentarios (1)

la inteligencia de intercepción de seguridad

Hacking TETRA está por venir: OsmocomTETRA

23 de enero 2011 - 10:27 am

Es muy emocionante ver la liberación de OsmocomTETRA , el DEG primero de código abierto ( Software Defined Radio ) la implementación de TETRA demodulador, PHY y MAC de las capas inferiores.

Es la versión TETRA de airprobe GSM que desbloquear el acceso a los datos y el marco de protocolo de comunicaciones TETRA, dando así oportunidad de hacking genial!

Ahora que también la tecnología TETRA ha sido abierto era de esperar, durante este 2011, para ver opensource sniffers TETRA y muy probablemente también encriptación TEA (el algoritmo de cifrado Tetra) agrietados!

TETRA es utilizado por la Policía, los Servicios de Emergencia y los militares como una red de comunicación móvil que puede, incluso sin la disponibilidad de cobertura de la red (sólo de móvil a móvil sin una estación base) y proporciona algunos servicios especiales de alta disponibilidad.

Escribí acerca de TETRA en mis diapositivas revisión mayor del protocolo de voz de seguridad .

En las listas de correo OsmocomBB ya había discusión acerca de algunos estado de la red TETRA:

Bélgica Policía TETRA ASTRID red: sin encriptar
Policía alemana prueba de la red TETRA de Aachen: sin encriptar
Algunos ex-jugoslawia red TETRA: sin encriptar
Holanda C200 red TETRA: TEA2 cifrado con claves estáticas
Reino Unido Airwave red TETRA: TEA2 cifrado con TEA2

Será muy divertido ver que la piratería nueva Policía y del servicio de rescate de regresar de edad años de edad analógica a la radio digital nueva :-)

Comment (1) Tags cifrado , hacking , móviles , voicesecurity | Comentarios (1)

la inteligencia de intercepción de Privacidad de seguridad de tecnología

GSM grietas en las metodologías de pruebas de intrusión (OSSTMM)?

23 de julio 2010 - 8:16 am

Como la mayor parte de este lector de blog ya saben, en los últimos años hubo una gran cantidad de actividades relacionadas con la investigación pública de la auditoría de GSM y el agrietamiento.

Sin embargo, cuando se produjo la cobertura de los medios de comunicación enorme con los resultados de investigación GSM grietas, las herramientas para hacer el chasquido fue muy temprana y todavía es muy ineficiente.

Ahora Frank Stevenson , criptoanalista noruego que ya rompió el sistema de codificación de contenido de los discos de video DVD, que participan en el proyecto de formación de grietas A51 iniciadas por Karsten Nohl , publicado el Kraken , una nueva versión mejorada del sistema A51 grietas.

Es interesante notar que la fisuración WiFi tuvo una historia similar, como el primer descubrimiento de grietas WiFi WEP fue muy lento en las técnicas anteriores, pero más tarde Korek, un hacker de trabajo en el código de grietas, mejorar el sistema de ataque drammatically.

Esa es la historia de la cooperación en investigación de seguridad, se inicia una investigación, que alguien lo siga y mejorarlo, algunos otros lo siguen y lo hemos mejorado y al final se obtiene el resultado.

Lea más sobre el comunicado de Kraken GSM software Cracking .

Y estad atentos la próxima semana en Blackhat Conferencia Karsten Nohl le explicará los detalles de la necesaria configuración del hardware y las instrucciones detalladas sobre cómo hacerlo :-)

Realmente me gustaría ver esas herramientas incorporadas en la penetración de distribución de Linux BackTrack pruebas con OSSTMM metodología de aplicación de la prueba de la interceptación de GSM y el hombre en el medio :-)

Si las cosas proceden de esa manera y de Investigación Ettus (El productor de radio de software USRP2 utilizados por el bajo costo de recibir la señal GSM) no se tomará hacia abajo, todavía podemos ver esto.

Comments (2) Tags cifrado , hacking , privacidad , voicesecurity | Comentarios (2)

inteligencia de privacidad de seguridad de tecnología

Web2.0 privacidad de fugas en aplicaciones móviles

17 Julio 2010 - 9:02 am

Usted sabe que el mundo web 2.0 es un montón de fugas de cualquier tipo (perfiles, perfiles, perfiles) relacionados con la privacidad de los usuarios y comienza a preocuparse al respecto.

Los usuarios descargar aplicaciones de forma continua sin conocer los detalles de lo que hacen, por ejemplo iFart sólo porque son frescos, son muy divertidos y en ocasiones son útiles.

En los teléfonos móviles los usuarios a instalar a partir de 1000% hasta 10.000 aplicaciones% más que en un PC, y las aplicaciones pueden contener malware funcionalidades inesperadas o de otro tipo.

Recientemente analizados infobyte cliente UberTwitter y descubrió que el cliente tenía una fuga y enviar a su servidor de muchos de los datos personales y sensibles, tales como:

- Blackberry PIN

- Número de teléfono

- Dirección de correo electrónico

- Información sobre la posición geográfica

Lea acerca de UbertTwitter descubrimiento 'spyware' características aquí por infoByte .

Es un montón de aplicaciones de filtración de información privada y sensible, pero apenas nadie tenga una mirada en ella.

En caso de obligatoria retención de datos y políticas de privacidad se convirtió en parte del desarrollo de aplicaciones y guía de presentación de las aplicaciones móviles?

En mi humilde opinión uno de los usuarios no sólo deben ser advertidos acerca de las capacidades de aplicación y uso de la API, sino también lo va a hacer con qué tipo de información que va a manejar dentro del teléfono móvil.

Capacidades de los medios que autoriza la aplicación para utilizar un ciertas funcionalidades, por ejemplo, para usar la API de geolocalización, pero lo que hará la aplicación y que proporcionará dicha información una vez que el usuario lo ha autorizado?

Ese es un nivel de perfiles de seguridad que el fabricante del teléfono móvil no proporciona, y en caso de que, debido a que se centran en la información y no en la solicitud de autorización / permiso respecto a la utilización de las capacidades del dispositivo.

ps sí! ok! Estoy de acuerdo! Este tipo de mensaje se requieren las páginas 3-4 de discusión siempre y cuando el tema es caliente y muy articulado, pero es sábado por la mañana y me tengo que ir!

Comment (0) Tags hacking , móviles , política , privacidad | comentarios (0)

empresa de inteligencia de intercepción de Privacidad de seguridad de tecnología

Seguridad y cifrado de Blackberry: diablo o ángel?

07 de julio 2010 - 22:39

Blackberry tiene la reputación de buenos y malos con respecto a su capacidad de seguridad, dependiendo de qué ángulo se mire.

Este post es un resumen conjunto de la información para que el lector la imagen recibe, sin tomar tanto una posición como RIM Blackberry y se puede considerar, en función del punto de vista, una plataforma de alta seguridad o extremadamente peligroso.

Vamos continúa.

El Blackberry por un lado se trata de un montón de plataforma de funciones de cifrado, las funciones de seguridad en todas partes, el dispositivo de cifrado (con la costumbre de cifrado), la comunicación encriptada (con costumbre protocolos propietarios como PCPI), Configuración avanzada de muy buena seguridad, el marco de cifrado de Certicom ( ahora propiedad de RIM ).

En el otro lado que no sólo proporcionan un dispositivo, sino una red superpuesta de acceso, llamado BIS ( Blackberry Internet Service ), que es una red global de todo el mundo de área amplia en su blackberry entrar mientras navegas o CheckMail con blackberry.net AP.

Cuando usted, o una aplicación, el uso de la APN blackberry.net no son sólo para conectarse a internet con la conexión a Internet portador, pero usted está entrando en el interior de la red de RIM, que proxy y actuar como puerta de entrada para acceder a Internet.

Lo mismo ocurrirá cuando mucho tiene un uso corporativo: Tanto el dispositivo BB y el BES corporativo conectarse a la red de RIM, que actúan como una especie de red de la concentración VPN .

Así que, básicamente, todas las comunicaciones cruzadas RIM a través de servicios de infraestructura en formato encriptado con un cifrado de su propio grupo y protocolos de comunicación.

Así como un aviso, creo que google gtalk para proporcionar más blackberry.net APN, llegó a un acuerdo para ofrecer servicios dentro de la red de BB a BB a los usuarios. Al instalar gtalk que se añaden tres libros de servicios que apuntan a GTALKNA01 ese es el nombre de puerta de entrada GTALK dentro de la red de RIM para permitir la comunicación intra-BIS y actuar como puerta de entrada GTALK a Internet.

Los operadores de telefonía móvil por lo general no se les permite inspeccionar el tráfico entre el dispositivo BlackBerry y la red Blackberry.

Así que RIM y BlackBerry son de alguna manera única por su enfoque, ya que proporcionan una plataforma, una red y un servicio de todos los paquetes juntos y uno no puede "conseguir el dispositivo y el software", pero el usuario y las empresas están siempre atados y conectado al servicio de de la red.

Eso es bueno y eso es malo, porque significa que RIM proporciona características de seguridad muy buena y la capacidad para proteger la información, dispositivos y el acceso a la información en varios niveles contra terceros.

Pero siempre es difícil de estimar la amenaza y de riesgo relacionados con RIM en sí y que podrían hacer que la presión política en contra de RIM.

Por favor, considere que no estoy diciendo que "RIM está buscando a sus datos", pero haciendo un análisis de riesgo objetivo: de cómo la plataforma de RIM se hace tiene autoridad sobre el dispositivo, en la información en el dispositivo y en la información que cruzan el de la red. (Lee mis diapositivas Mobile Security ).

Por ejemplo, consideremos el mismo contexto para los teléfonos Nokia.

Una vez que el dispositivo de Nokia se vende, Nokia no tiene autoridad en el dispositivo, ni sobre la información en el dispositivo, ni en la información que atraviesan la red. Pero también es cierto que Nokia acaba de proporcionar el dispositivo y no proporciona servicios de valor añadido tales como la integración de la empresa (El túnel VPN RIM), la red de acceso BIS y todas las características de seguridad locales y remotos provistos que ofrecen Blackberry.

Así que es cuestión de considerar el riesgo mismo de la manera correcta al elegir la plataforma, con un ejemplo muy similar a la elección de Microsoft Exchange Server (en el propio servicio) o si conseguir un servicio SaaS como Google Apps.

En ambos casos es necesario confiar en el proveedor, pero en el ejemplo primero que hay que confiar en Microsoft que no ponga una puerta trasera en el software, mientras que en el segundo ejemplo tiene que confiar en Google, como una plataforma y un proveedor de servicios, que no tiene acceso a su información.

Por lo que es un paradigma diferente para ser evaluados en función de su modelo de amenazas.

Si su modelo de amenaza que se tiene en cuenta RIM como de confianza proveedor de servicios de terceros (como Google) que está bien. Si usted tiene un contexto de muy alto riesgo, como alto secreto, entonces vamos a considerar y evaluar cuidadosamente si no es mejor mantener los servicios de Blackberry totalmente aisladas de la electrónica o utilizar otro sistema sin interacción con los servidores de fabricantes y servicios.

Ahora, vamos a volver a una cierta investigación y algunos hechos sobre BlackBerry y BlackBerry en sí la seguridad.

En primer lugar varios gobiernos tuvieron que hacer frente a RIM con el fin de obligarlos a facilitar el acceso a la información que cruzan sus redes de servicios, mientras que otros decidieron prohibir directamente el uso de Blackberry para altos funcionarios, porque de servidores localizados en Reino Unido y EE.UU., mientras que otros decidieron instalar sus propias puertas traseras.

Los servicios secretos rusos (FSB) de llegar a un acuerdo con RIM y ahora FSB puede espiar correo de Blackberry y el tráfico de Internet en Rusia
Gobierno francés prohibió Blackberry para el uso por parte de funcionarios del Gobierno y también reemplazado el dispositivo para el uso de la voz de encriptación
Gobierno de la India hizo presión sobre RIM para reducir las capacidades de cifrado y más tarde anunció que se han agrietado cifrado BlackBerry . Un resumen de la India y RIM historia de Bruce Schneier .
Emiratos Árabes Unidos (EAU), el operador Etisalat de intentar instalar un programa espía en silencio del gobierno en todos los países blackberry pero agarraron
EE.UU. Agencia de Seguridad Nacional inicialmente prohibido Obama de utilizar Blackberry por sus obras presidencial dándole un teléfono EDGE Sectera seguro , después de 2 años se las arreglaron para conseguir una capa de encriptación a medida hecho en concreto por la NSA y permite a Obama a utilizar un blackberry asegurado personalizado

Hay mucha discusión cuando los temas son RIM Blackberry y los gobiernos, por diversas razones.

A continuación un conjunto de información de seguridad relacionada con el oficial de RIM plataforma BlackBerry:

Oficial de Seguridad de Base de Conocimientos en el sitio web de RIM
Blackberry Internet Service características de seguridad
Inalámbrica de datos de seguridad

Y aquí un conjunto de seguridad oficiales y las informaciones relacionadas con el hacking RIM Blackberry plataforma:

Hacker blackbox de análisis de seguridad de FX de Phenoelit : Análisis de Sistemas Complejos - El caso de Blackberry
Acceso a través de las intranets corporativas Blackberry BBProxy Hack
Blackberry Master Control Program poco poco de hacking
Cómo evitar Blackberry política de TI
BlackBerry, Research marcha atrás (en su mayoría por el Dr. Bolsen, sin embargo nadie haya descompilado y publicó el RIMOS todo)
- Blackberry sin pasar por la firma COD

Debido a que es 23.32 (GMT +1), estoy cansado, creo que este post va a terminar aquí.

Espero haber proporcionado al lector una serie de información útil y consideración a ir más a fondo en el análisis y teniendo en cuenta la seguridad global de mora (en las buenas y en las malas, siempre depende del modelo de amenaza!).

Aplausos

Fabio Pietrosanti (naif)

ps yo soy la gestión del desarrollo de tecnología de seguridad (encriptación de voz de alta tecnología) en la plataforma Blackberry, y te puedo decir que desde el punto de vista del desarrollo es absolutamente mejor que Nokia en términos de compatibilidad y velocidad del desarrollo, pero su uso sólo RIMOS 5.0 +!

Comments (3) Tags negocio , cifrado , hacking , móviles , Privacidad | Comentarios (3)

negocios de guerra cibernética de inteligencia privacidad de seguridad de tecnología

China Reglamento de cifrado

16 de junio 2010 - 13:11

Hola a todos,

He encontrado este artículo muy interesante sobre la importación de cifrado China / Exportación / Reglamento Interno realizado por Baker & Mckenzie en los EE.UU..

Es muy comerciales y regulatorios orientados a dar una visión muy bien hecho sobre cómo las regulaciones de China y cómo se puede comportar en el futuro.

Lea aquí descifrar Reglamento de cifrado de China (forma Bakernet sitio web).

Comment (0) Etiquetas de negocios , la guerra cibernética , encriptación , privacidad , voicesecurity | comentarios (0)

ciberguerra inteligencia de intercepción de seguridad

El (viejo) Crypto AG caso y algunas reflexiones al respecto

07 de junio 2010 - 18:40

En los años 90, de código cerrado y la criptografía de propiedad se gobierna el mundo.

Eso es antes de código abierto y científicamente aprobados tecnologías cifrada salió como una buena práctica para hacer cosas de cifrado.

Me gustaría recordar cuando, en 1992, EE.UU., junto con Israel, junto con Suiza, proporcionando tecnologías de puerta trasera (propietario y secreto) al gobierno iraní para aprovechar sus comunicaciones, el engaño a pensar que la solución utilizada era seguro, por lo que también algunos el estudio de este hoy en el 2010.

caq63crypto.t.jpg

Eso se llama El caso de Crypto AG , un hecho histórico que participan Estados Unidos Agencia de Seguridad Nacional , junto con la División de Inteligencia de Señal de Israel Ministerio de Defensa que se sospecha fuertemente que había llegado a un acuerdo con el suizo criptografía empresa productora Crypto AG .

Básicamente, las entidades colocan una puerta trasera en el equipo de seguridad de cifrado que proporcionan a Irán para interceptar las comunicaciones de Irán.

Su cifrado se basa en algoritmos de cifrado secreto y propietario desarrollado por Crypto AG y, finalmente, a medida que el gobierno iraní.

Usted puede leer algunos otros hechos sobre los problemas relacionados con Crypto AG puerta trasera:

La desaparición de la seguridad de las telecomunicaciones mundiales

La NSA-Crypto AG picadura

Rompiendo códigos: una tarea imposible por la BBC

Der Spiegel Crypto AG (en alemán) del artículo

Ahora, en 2010, todos sabemos y entendemos que en secreto y cifrado de propiedad no funciona.

Sólo un poco de referencia por los principales expertos a nivel mundial de cifrado a continuación:

El secreto, la seguridad, la oscuridad por Bruce Schneier

Di no a las de propiedad algoritmos criptográficos por Network Computing (Mike Fratto)

La seguridad por oscuridad por ceria la Universidad de Purdue

Abriendo los Secretos de Crypto: criptografía, el cifrado y criptografía explica por Symantec

Tiempo de cambio de las cosas se acercan.

Me gusta mucho el famoso Philip Zimmermann afirmación:

"La criptografía que solía ser una ciencia oscura, de poca relevancia para la vida cotidiana. Históricamente, siempre ha tenido un papel especial en las comunicaciones militares y diplomáticas. Pero en la era de la información, la criptografía es sobre el poder político, y en particular, acerca de la relación de poder entre un gobierno y su gente. Se trata del derecho a la privacidad, la libertad de expresión, libertad de asociación política, la libertad de prensa, la libertad de búsqueda e incautación irrazonable, la libertad de estar solo. "

Cualquier científico de hoy aceptar y aprobar el principio de Kerckhoffs que en el año 1883 en el Cryptographie Militaire artículo decía:

La seguridad de un sistema de cifrado no debe depender de mantener el secreto algoritmo, pero sólo en mantener en secreto la clave numérica.

Es absolutamente claro que la mejor práctica para hacer criptografía hoy obbly cualquier persona seria para hacer criptografía abierto, sujeto a revisión y que siguen el principio Kerckhoff.

Entonces, ¿qué debemos pensar de código cerrado, la criptografía de propiedad que se basa en los conceptos de seguridad a través oscuridad?

Me sorprendió mucho cuando HOY, en 2010, en la era de la sociedad de la información que he leído un poco de papel de Crypto AG sitio web.

Invito a todos a leer el papel de seguridad Crypto AG llamada arquitectura de seguridad sofisticado diseñado por Crypto AG de las cuales se puede obtener un extracto significativo a continuación:

El diseño de esta arquitectura permite a Crypto AG para proporcionar un algoritmo secreto de propiedad que se puede especificar para cada cliente para asegurar el perfecto grado de seguridad criptográfica y un soporte óptimo para la política de seguridad del cliente. A su vez, la arquitectura de seguridad que da la influencia que necesita para ser totalmente independiente con respecto a su solución de cifrado. Usted puede determinar todas las áreas que están cubiertas por la criptografía y comprobar cómo funciona el algoritmo. El algoritmo original de secreto de propiedad de Crypto AG es el fundamento de la arquitectura de seguridad.

Tengo que decir que su arquitectura es absolutamente bueno desde el punto de vista TLC. También han hecho un muy buen trabajo en hacer el diseño de la arquitectura global con el fin de hacer una prueba de falsificaciones resistente sistema de cifrado mediante el uso dedicado de cifrado procesador .
Sin embargo todavía hay algo que falta:

E l concepto general de cifrado es engañoso, basado en los conceptos de encriptación mal.

Usted puede pensar que soy un troll diciendo esto, pero dada la historia de Crypto AG y dado el hecho de que toda la comunidad científica y la seguridad no está de acuerdo de seguridad a través conceptos oscuridad, sería legítimo que nos preguntamos:

¿Por qué siguen haciendo a través de seguridad con algoritmos de criptografía de la oscuridad y el secreto de propiedad?

Hey, yo creo que tienen un conocimiento muy profundo sobre las telecomunicaciones y la seguridad, pero dado que la ciencia nos dicen que no siga el secreto de los algoritmos, realmente tengo serias dudas sobre por qué están todavía proporciona encriptación propietario y no se mueve a las soluciones estándar (eventualmente con algún tipo de mejora a medida).

Comment (0) Tags guerra cibernética , el cifrado , la política , voicesecurity | comentarios (0)

ciberguerra de inteligencia de seguridad

Misiles contra los ataques cibernéticos?

07 de junio 2010 - 17:40

Los conflictos cibernéticos son realmente llegar a un punto donde la guerra y la guerra cibernética se fusionan.

Países de la OTAN tienen el derecho de usar la fuerza contra los ataques a redes informáticas .

Comment (0) Tags guerra cibernética , política | Comentarios (0)

ciberguerra inteligencia intercepción privacidad de seguridad

Licencia por parte de Israel Ministerio de Defensa? Cómo las cosas realmente funciona!

29 de enero 2010 - 10:12 am

Usted debe saber que Israel es un país donde si una empresa necesita para desarrollar productos de cifrado que debe ser autorizado por el gobierno.

El gobierno no quiere que las empresas que hacen la criptografía puede hacer nada malo a ellos y lo que pueden hacer de bueno para el gobierno, por lo que tiene que primero ser autorizado.

Las empresas proveedoras de la interceptación y la UST encryptio nm se aplican a una licencia porque la ley de Israel sobre este tema es tan restrictivo que es similar a la ley china .

Eso es porque ese tipo de tecnologías se consideran fundamentales para la capacidad de inteligencia y espionaje del país, Israel.

Para dar algún ejemplo de "licencia por parte de Israel Ministerio de Defensa" las empresas:

Productos de cifrado GSM "Autorizado por el Ministerio de Defensa de Israel" - Oro-lock

La interceptación de productos de comunicación "Autorizado por el Ministerio de Defensa de Israel" - Verint

HF cifrados de radio "Autorizado por el Ministerio de Defensa de Israel" - Kavit

Los servicios de vigilancia y equipos "Autorizado por el Ministerio de Defensa de Israel" - soluciones Multi Nivel

Por ejemplo, cómo solicitar una "licencia por parte de Israel Ministerio de Defensa" si hace las tecnologías de encriptación en Israel?

Asegúrese de ser una empresa israelí, haga clic aquí y rellenar los formularios.

Alguien le responderá a partir de encryption-control@mod.gov.il y discutirá con usted si le concede o no la licencia para vender.

¿Qué hace el Departamento de Defensa requerirá de una compañía israelí con el fin de proporcionar la autorización para fabricar y vender productos de la interceptación y la encriptación?

Bueno, lo que quieren y lo que en realidad nadie lo sabe hacer.

Es un secreto que tratan de Israel Ministerio de Defensa con cada "licencia" de la compañía.

Lo que sabemos con certeza es que Verint, una "licencia por parte de Israel Ministerio de Defensa", colocaron una puerta trasera para interceptar las empresas y los gobiernos en los EE.UU. y Holanda en los sistemas de interceptación que se estaba vendiendo.

Verint, una licencia por parte de Israel del Ministerio de Defensa de la empresa, siempre a Israel, el gobierno espiaba las comunicaciones de los usuarios privados y el gobierno de los Estados Unidos y en los Países Bajos .

Officier CIA informó de que Israel Ministerio de Defensa era conocido por Verint pagar un reembolso del 50% de sus costos a fin de que los servicios de espionaje Verint través de su actividad comercial en la venta de "puerta trasera" equipos de intercepción para espiar a los usuarios extranjeros.

Puede ser una duda legítima de que la cooperación en el Ministerio de Defensa de Israel puede ser problemático para una compañía israelí que quieren vender la interceptación y el producto de cifrado en el extranjero.

Las empresas pueden verse obligadas a realizar los intereses de Israel Ministerio de Defensa y no a los intereses de los clientes (como el escándalo de Verint es un ejemplo del mundo real).

Así que, ¿cómo una "licencia por parte de Israel Ministerio de Defensa" una las cosas buenas que promover?

Que representan el riesgo de que el "Ministerio de Defensa de Israel", como es de conocimiento público que ya ha hecho con Verint, va a interferir con lo que la empresa lo hacen.

Que representan el riesgo de que el "Ministerio de Defensa de Israel" razonablemente puede ofrecer "reembolso" de los costos de pagar la empresa y obtener lo que probablemente le gustaría obtener.

Por lo tanto, lo que verdaderamente "Israel Ministerio de Defensa" quiere hacer de las compañías de Israel tecnologías de cifrado y una intercepción?

Si nos preguntáramos a nosotros mismos si las empresas israelíes que hacen negocios cifrado y una intercepción están más interesados en hacer negocios o para hacer "subcontratado los servicios de espionaje" para su cliente siempre paga, el "Ministerio de Defensa de Israel".

Por supuesto, en la época de crisis financiera, el Ministerio de Defensa de Israel es un cliente que paga que no tiene problema de presupuesto ...

Un estricto control, normas estrictas, la cooperación gubernamental fuerte estratégica y militar.

Tenga cuidado.

Si desea leer más sobre esta materia, sobre cómo las tecnologías de algunos países suele ser contaminado con sus gobiernos las estrategias de los servicios secretos militares y estad atentos que estoy preparando un post sobre esto.

Que mucho se acerca a comprender mejor que los sujetos de la "licencia por parte de Israel Ministerio de Defensa".

Comment (0) Tags guerra cibernética , la piratería , móviles , privacidad , voicesecurity | comentarios (0)

la inteligencia de intercepción Privacidad tecnología

Servicios Basados en Localización: el hermano mayor le da las gracias ;-)

1 Diciembre 2009 - 19:13

¿Usted utiliza su iPhone, Google teléfono, BlackBerry o smartphone de Nokia con frío incorporado en el GPS?

Aplicación de la ley, así ahora se puede saber mejor dónde se encuentra, en cualquier momento, incluso con datos históricos y mucho mejor que los sistemas basados en la ubicación de BTS.

Sprint ha dado 8 millones de veces la información del cliente de GPS para hacer cumplir la ley (algo que suena como una solicitud de semi-automática).

Lea aquí .

Extracto de Niza es la siguiente:

Sprint Nextel siempre las fuerzas del orden con la información de sus clientes ubicación (GPS) de más de 8 millones de veces entre septiembre de 2008 y octubre de 2009. Esta divulgación masiva de información confidencial de clientes ha sido posible gracias a la puesta en marcha por parte de Sprint de un nuevo portal web especial para los agentes del orden.

La información fue proporcionada en la industria de las escuchas telefónicas e interceptación de conferencias LAVADO ISS en Washingtown.

Si quieres ver directamente el vídeo:

Sprint: 50 million customers, 8 million law enforcement GPS requests in 1 year from Christopher Soghoian on Vimeo .

Then you know that “big brother” is watching you only because you let him to watch you.

Tags civilrights , mobile , policy , Privacy | Comment (0)

cyberwarfare intelligence interception Privacy

Gold-Lock Security Encryption Contest: be careful!

25 November 2009 – 2:56 pm

This post is to talk about the “unfair” marketing approach of Gold-Lock, an israeli company doing mobile voice encryption authorized by Israeli Ministry of Defence .

Following an announcement seen on Linkedin “Information Security Community” group:

GoldLock is offering US$ 100.000 and a job for an unencryption
GoldLock, an israeli encryption and security company is offering US$ 100.000 and a job to anyone capable to decrypt a cellular conversation contained in a file provided in their site ( https://www.gold-lock.com/app/en/?wicket:interface=:8 ::::).
The transcription must be sent back to GoldLock until February 1st, 2010.
The contest is open to all and any tools or technology may be used.
Good luck to all!!!

I commented:

Not having a public protocol specification is not even scientifically serious to make a marketing tricks like this.
I would say to gold-lock, let's release the source code and let anyone compile the cryptographic engine if you trust not to to have something nasty inside… ;)

Toni Koivunen from F-secure said:

So… They will pay $100k if you get through the AES and the hassle with keys.
If someone would pull it off they would certainly make a truckload more money elsewhere. Plus they would retain the rights to the code/technology that they created, which isn't the case if they go for the $100k since the License pretty clearly says that:
# An assignment letter to Gold Line, in a form satisfactory to Gold Line of your technology and the Work Plan (the “Technology”). Such assignment form shall enable Gold Line to transfer the rights on the Technology to Gold Line, including the right to register patents and all other rights.
# A release and waiver form, in a form satisfactory to Gold Line, duly executed by you and any other participant of any rights to the Technology.
Plus of course Gold Line retains the right to change the rules of the game with prior notice. Or needing to notify afterwards either.
Sounds fair :)

Michel Scovetta from Computer Associates said:

It sounds like the purpose of this is to get some cheap testing out of it, and to be able to say something like, “The best crypto experts in the world tried to break it, and were unable to.”
According to some of the docs on Gold Lock's website, they use ECC-256 and a “modified DH key exchange” (which tingles my spidey senses), SHA-256, and then XOR for the actual data encryption. They use practically blasphemous language like, “Each component of the Gold Lock Enterprise solution is tested and proven secure against any conceivable attack.”
*Proven* secure? *Any conceivable* attack? ¡Caramba!
In another doc on their site, they talk about their first layer relying on 1024-bit RSA. GoDaddy doesn't even allow 1024-bit keys to be used anymore when generating $20 SSL certificates. They quote 300 billion MIPS-years to break, but if my math is correct, that comes down to about 52 days on the top supercomputer right now. Not trivial, but this is an offline attack, so time is on the side of the attacker.
The description then talks about the device generating 16k keys when you register the device. If the protocol is “secure”, then it should be “secure” with only a single key. If it's not secure with a single key, then generating 16k keys could only make it 16k times more secure, which is far off from a proof of security.
I agree with Fabio – a fair contest would be to include source code and the cryptographic specification. Also, as other contests have proven (eg SecureWebMail), the weakest point isn't usually the cryptography. It's all of the other stuff, and it doesn't look like any of it is being disclosed for the contest.
http://xkcd.com/538/
Micro

I would say that all those considerations from security experts from well known and established security companies bring us to consider that:

Gold-lock is not transparent on their encryption at all and they work trough bad practice of Security Trough Obscurity (no one know what's inside the product)
Gold-lock is not playing a fair game by proposing this 'security contest'
Gold-lock being certified by Israeli ministry of defence may raise doubt related to possible relationship with the intelligence… Read by post Certified by Israeli MInistry of Defense .

Voice security is a sensible matters and lacks of transparency and governmental relationship for cryptographic choices usually does not provide anything good…

Think about it…

Tags cyberwarfare , mobile , Privacy , voicesecurity | Comment (0)

cybercrime Privacy

Disk encryption sometimes 'works'

9 November 2009 – 2:53 pm

I am one of the person convinced that a computer disk encryption system will not protect you from public authorities if they are convinced enough and the case is very important.

There are a lot of way to convince a person to release a password.

However there's a case in Australia where not revealing the disk password resulted in a successful way to avoid going in jail:

Secret code saves man who spied on flatmates

My opinion is just that spying flatmates is not a so relevant and particular crime and that law enforcement did not used 'convincing systems' to get the password of encrypted disk.

UPDATE 29.06.2010: It also worked for Daniel Dantas against FBI .

Tags cybercrime , encryption , Privacy | Comment (0)

cyberwarfare intelligence security

Brazilian Electrical Blackout: preview of cyberwar

7 November 2009 – 3:44 pm

In 2005 and 2007 in Brazil million of people was targetted by a blackout.

Initially it appeared like an accident.

Now it's known that was caused by a cyber attack against electricity control systems.

That was just a preview of what a cyber attack in a cyberwar means.

In near future we'll probably see something like 'virtual custom offices' at internet borders, defining what get in and what get out like several “not so democratic” countries are doing.

Does the cyberwar will affect digital rights? Probably yes, even i hope not.

Tags cyberwarfare | Comment (0)

intelligence interception Privacy

Political conflict in Turkey between Prosecutors and Wiretappers

7 November 2009 – 3:38 pm

It seems that in Turkey the Telecommunication Directorate (TIB), in charge of managing the wiretapping, intercepted the president of the Judge and Prosecutors Associations.

Prosecutors and Judge usually does not like being tapped, and so the 1st High Criminal Court ordered an audit of all the recording done by the TIB since 2006.

Leer más aquí .

Tags civilrights , policy , Privacy , voicesecurity | Comment (0)

business cybercrime security

Convencional no es la moral.

6 August 2009 – 8:43 pm

During my daily RSS OCD reading I had to deal with this article : it has been written by a “senior anti-virus researcher at Kaspersky Lab's “. Talk about personal interest.

I wont comment on the practical implications of useless signature based AV's and how cyber criminals will never need amateur-ish projects to carry on their malicious tactics.

But what is always interesting is watching the very same people who use billion dollar scare tactics to sell you a perfectly useless piece of software (which will give you a false sense of security, hence will make you more insecure), talking about ethics.

Comentarios (0)

cybercrime security technology

This is big business, this is the American way

31 July 2009 – 3:26 pm

43 years old “UFO eccentric” hacker Gary McKinnon just loses appeal against his extradition to the States for computer crimes he committed 7 years ago.

If you've lived under a rock during the last few years what this dude did was basically break into .gov computers looking for UFO related material.

Probably the last case of recreational hacking I've heard about.

So his case is obviously going to be a classical “Strike one to educate one hundred” kind of message to every hacker attacking american computer systems: we can reach you everywhere you live and have you extradited to our country where we will sentence you to life in prison.

Unless you are a multi millionaire cyber criminal living in Russia or a chinese spy, of course.

Comentarios (0)

cybercrime cyberwarfare intelligence

Russia: the best worldwide place for cybercrime business

30 July 2009 – 11:44 am

Russia is a very beautiful place for any committed cybercrime business owner.

FBI and Mcafee are trying to do something , do they will ever succeed?

I don't think so, it's a political issue as russia is not going to extradite any cybercriminal and is not going to provide strong international cooperations.

Always remember that in Russia Business Network has been strongly suspected to had done cooperations with Russian government that leveraged in different occasion their power and skills.

Are russian politicians more interested to protect their cyber-warriors skills and activities or to provide international cooperation?

Quite easy to answer…

Tags cybercrime , cyberwarfare | Comment (0)

business cybercrime cyberwarfare management

chinese espionage: the worst and more silent threat for western countries

27 July 2009 – 10:03 pm

Hi all,

in the past few years i saw an incredible increase in the amount of “public” news about espionage against different western countries and usually coming from far-east, typically china.

China want to be the largest economic power within 2020 and it's following a grow rate of 8% per year. Their “controlled” capitalism without the inefficiency of the democracy it's something that's beating the western countries, less efficient because democratic.

China, in order to quickly grow it's R&D capacity make an extensive use of espionage, it's estimated that Chinese government have more than 1.000.000 intelligence agents worldwide.

And they know how to do espionage, their “spy” does not cost that much like western countries' spy, less guarantee, less payments.

Also they are using cyber espionage as an important source of information and competitiveness against western countries companies and government R&D results. China is so un-cooperative that now also western countries spying each other, or even Russian, use chinese internet space as the “start base” for their internet based espionage activities.

I knew of a USA phisher that used to build it's own trojan with a chinese version of Windows Xp with a chinese version of the Microsoft Visual Studio development suite. ¿Por qué? For information deception, in order to tweak the forensics effort of the FBI analyst and have them think that it's own attacks was coming from China!

Any investigators that see an attack coming from china typically think “oh shit, it comes from china, we're lost”, and now even cybercrime use China like a far-west, untouchable base for cyber attacks.

Back tracing attacks coming from china it's like trying to find out what's inside a black hole , it's a one-way trip and no information comes back.

To give better an idea of what i am speaking about just get the following list of reference:

Alemania acusa a China de espionaje industrial

China estudiante va a juicio, como la industria francesa de espionaje temores

Vulnerables a la china de espionaje cibernético EE.UU.

Massive Network espionaje chino

Red cibernética espía también apunta a Finlandia

¿Cómo los países occidentales sí mismos defienden?

Ese es un punto bueno para hablar de porque no hay forma sencilla de defensa contra el espionaje que no sea considerándolo como una amenaza seria y concreta.

Los gobiernos deben ser capaces de obtener una mayor comprensión de que su enfoque a los sistemas de información y la política de seguridad de la información que no sólo existe en papel, pero también se aplica en todas partes con el fin de ser eficaces. Los gobiernos son organizaciones complejas y sólo unos pocos son lo suficientemente inteligente para ser capaz de hacer con rapidez y eficacia las políticas de seguridad realmente aplicarse en toda la organización. Pero ellos están tratando, sobre todo los más competitivos, como EE.UU., Reino Unido y Alemania.

Las empresas en lugar deben adquirir conciencia del problema que está presente, disponible y concretos como el concreto es la posibilidad de que alguien entre en las oficinas para robar bien (no para el espionaje). Por esa razón, las empresas los sistemas de alarma de lugar, de control de acceso con el escudo, los sistemas de cámaras de vigilancia.

Pero el espionaje no significa luchar contra los ladrones y proteger a los pobres, sino contra los más sofisticados, ya sea técnica y socialmente, el atacante que puede utilizar las viejas técnicas de inteligencia de la escuela siempre es eficaz. Conseguir empleo y el robo de información mientras se trabaja. Simulan ser clientes para establecer un fideicomiso vínculo con un vendedor y luego encontrar una razón para dejar que ejecutar algún tipo de software malicioso "hey, pero mi demostrate software modelización que el modelo utilizado para medir el rendimiento de su producto no es el que anuncia. Compruébelo usted mismo, consulte a su auto con el software que usamos ". ¿Qué crees que el vendedor va a hacer con el fin de atrapar al cliente potencial?

Sólo la conciencia, el conocimiento acerca de los problemas puede hacer que ese riesgo de ser considerada seriamente.

Los gobiernos deberían proporcionar financiación a las asociaciones industriales, cámaras de comercios y organismos similares con el fin de hacer esa conciencia nacional amplia y dejar que los empresarios tomaron conciencia y se convirtió preparado para reconocer, identificar y detener las actividades de espionaje.

La perspectiva del derecho

Los gobiernos deberían reforzar sus leyes con el fin de poder tener las herramientas necesarias para hacer cumplir los derechos de la protección del espionaje.

Mira el análisis hecho por mi inteligente primo Angelo Pietrosanti en el espionaje "es la I + D europeo la misma protección de espionaje en la I + D EE.UU.?"

País	Sanción civil en contra de la amenaza de secreto comercial	Sanciones penales contra la amenaza de secreto comercial	Año de última modificationg
EE.UU.	5 millones de $	hasta 10 (de domenistic) o 15 (para extranjeros) años de cárcel	1996 ( Ley de Espionaje Económico )
Alemania	SI	hasta 3 años de cárcel	1986
Francia	0,03 millones de $	hasta 2 años de cárcel	1992
Reino Unido	SI	NO	1984
Italia	SI	hasta 2 años de cárcel	1942
Suiza	SI	hasta 3 años de cárcel	1986
Finlandia	SI	hasta 3 años de cárcel	1990
Suecia	SI	hasta 6 años de cárcel	1990
Los Países Bajos	SI	de hasta 4 años de cárcel	1992

Lo que este cuadro muestran?

La ley que ha sido superado (excepto EE.UU.)
No es tan grave sanciones contra las actividades de espionaje. (Excepto en EE.UU.)

Tal vez algunos la política europea sobre este punto podría ayudar.

En conclusión

Estamos en una guerra económica, donde el ganador no es el que tiene más fuerzas, pero el que está más avanzado tecnológicamente y económicamente inteligente.

China está demostrando ser bastante agresivos e inteligentes, que los países occidentales sea capaz de reaccionar tanto en la defensa y el ataque en esta guerra?

Comment (0) Etiquetas de negocios , la ciberdelincuencia , la ciberguerra , la gestión , la política | comentarios (0)

negocio cibercrimen

Modelo de negocio criminal: estudio de caso de Somalia los piratas

27 de julio 2009 - 10:00 pm

Hola a todos,

this blog post is to have a nice economical point of view on somali pirates business model, something nice as also crime is a business and need it's business evaluation:

An economic Analysis of Somali Pirates Business Model

It sounds much like a great deal, check it out the details:

The attack model and costs

The negotiation phase (Offer and Counter offer)

The resolution

And for the pleasure of home gamer, Cuttrhouat Capitalism: the game

Tags business , cybercrime | Comment (0)

cyberwarfare intelligence interception security

1st august 2009: Switzerland start realtime internet interception

21 July 2009 – 2:27 pm

The intelligence strength is increasing everywhere… also in Switzerland that had a well known privacy protection approach!

Read the WikiLeaks Article

Tags civilrights , cyberwarfare , policy | Comment (0)

cyberwarfare intelligence interception Privacy security

UAE government placing backdoors into Blackberry devices

21 July 2009 – 2:25 pm

Nice attempt to place backdoors inside Blackberry devices.

It seems that UAE government wanted to do something nasty placing backdoors trough software upgrades in Etilsat (local mobile operator) blackberry devices, obviously with the cooperation of the mobile operator itself.

Fortunately, the power of the security community discovered and unveiled the facts. Compruébelo usted mismo.

Etisat patch designed for surveillance

Wired magazine: Blackberry spies

Security exists only with transparency.

Tags civilrights , cyberwarfare , hacking , Privacy | Comment (0)

cyberwarfare intelligence

Chinese Spying NSA/USA buying Cryptographic Equipment on Ebay

12 July 2009 – 9:14 pm

Es increíble.

A chinese guy has been engaged within an espionage activity for the People's Republic of China buying and exporting cryptographic equipments, radio and other secure hardware on eBay.

It's unbelivable, read there , Chi Tong Kuok found on eBay:

1 software for a VDC-300 airborne data controller, used for secure satellite communications from the American military aircraft
1 GPS receiver with anti-spoofing defence (maybe there's interested in understanding how this know that a packet is spoofed or not? Me too!)
1 NSA developed AN/CYZ-10 crypto key management device
2 PRC-148 handheld digital military radios
1 KG-175 TACLAN, an NSA designed encryption device used to communicate with classified military computer networks, such as Defense Department's SIPRNet (Secret Internet Protocol Router Network) .

It's important to underline that good crypto should not require “secret methods” as the security methods should be secure even if revealed, like any cryptographic technology.

But chinese probably understood that this is not the approach of NSA that prefer using custom, self-made, self-analyzed cryptographic technologies that are probably a lot weaker than nowadays cryptographic standards.

So, why not buy some export restricted military secure technology on ebay?

Tags cyberwarfare , encryption | Comment (1)

business cyberwarfare intelligence interception Privacy security

Voice encryption in government sectors

6 July 2009 – 11:02 pm

I will make some in depth articles about how voice encryption really works in government environments.

The open standards and open source still have to reach the military and government environments for what's related to secure speech.

To give you an idea of the complexity and kind of particular issues that exists, look at the USA 3G Wireless Security: A Government Perspective and the A Waveform Architecture to Support Security and Interoperability in Multi-National Wireless Networks for Tactical Communication .

They are using so-custom protocols like Secure Communications Interoperability Protocol that require the use of patented MELPe ultra-narrowband codec that there's not a real market of application and equipment using this. Only a small elite of government controlled companies from few countries manage this de-facto lobby.

Should we change this bringing open standards also to government sectors?

Tags business , cyberwarfare , Privacy , voicesecurity | Comment (0)

intelligence

Women as agents of future geopolitical changes

6 July 2009 – 10:39 pm

Nice to read about Global Trends 2025 from United States National Intelligence Council.

Tags civilrights , policy | Comment (0)

cybercrime cyberwarfare intelligence

Hackers hired from UK Office of Cyber Security

6 July 2009 – 10:25 pm

It seems that in UK the management became illuminated, they discovered that the most efficient way to fight a cyber war is to hire soldier that play in the battlefield everyday, only for passion.

UK Employs 'Naughty Boys' to Battle Other Hackers UK Employs 'Naughty Boys' to Battle Other Hackers

Tags cybercrime , cyberwarfare , hacking , Untitled | Comment (0)

intelligence Privacy technology