Month: octubre 2018

Telegram es una de las aplicaciones de mensajería instantánea que más usuarios ha conseguido robar a WhatsApp ofreciéndoles todo lo que estos usuarios esperaban con ganas, como, por ejemplo, un cliente nativo para PC, un sistema de stickers decente y, sobre todo, mayor privacidad y seguridad. Sin embargo, aunque la seguridad es uno de los pilares base de esta aplicación de mensajería, en realidad puede que nuestros chats no hayan estado tan protegidos como deberían.

Un investigador de seguridad llamado Nathaniel Suchy acaba de dar a conocer una grave debilidad en el cliente de escritorio de Telegram (en Windows, macOS y Linux) que ha estado guardando todas las conversaciones, en teoría privadas, de los usuarios en texto plano, sin cifrar, permitiendo a cualquiera verlas con un simple visor de bases de datos SQLite.

Además de las conversaciones, Telegram ha estado guardando en texto plano también otros datos, como los archivos adjuntos intercambiados, los nombres y los números de teléfono de los contactos. Toda esta información no es fácil de leer, pero ahí está, y con un sencillo script se podría conseguir extraerla muy fácilmente.

El problema se debe a que Telegram no está cifrando las bases de datos SQLite en la que guarda toda esta información. Es curioso porque es un fallo muy similar al que se enfrentó Signal la semana pasada, guardando sin cifrar los datos privados de los usuarios que cambiaban de la extensión de Chrome a la versión de PC.

Los chats secretos de Telegram, que en teoría son la forma de comunicación más segura con cifrado de extremo a extremo, tampoco se cifran como es debido, ya que las conversaciones acaban en la misma base de datos, sin ningún tipo de protección adicional y al alcance de cualquiera con acceso al PC.

Cómo proteger nuestras conversaciones privadas de Telegram o Signal

Desde luego esto no es algo que cabría esperar de una aplicación de mensajería segura como alardea ser Telegram, y, por desgracia, no hay nada que podamos hacer nosotros mismos para proteger nuestras conversaciones dentro de este programa.

Si queremos proteger nuestros datos de Telegram, así como cualquier otro dato guardado en el PC, es necesario aplicar nosotros mismos algún tipo de cifrado utilizando herramientas como, por ejemplo, BitLocker (incluida por defecto en las versiones profesionales de Windows) para cifrar todos los datos, o Veracrypt si queremos ejecutar esta app de mensajería desde una unidad totalmente cifrada.

Telegram se basa en la ofuscación (complicación para encontrar y entender) para proteger los datos “privados” en un PC y, aunque nos permite proteger la app con contraseña, esta no aplica ningún tipo de cifrado. El cifrado de las conversaciones y los archivos adjuntos finalmente depende de nosotros, algo que no debería ser así.

Redes Zone (31/10/2018)

 

Telegram es una de las aplicaciones de mensajería instantánea que más usuarios ha conseguido robar a WhatsApp ofreciéndoles todo lo que estos usuarios esperaban con ganas, como, por ejemplo, un cliente nativo para PC, un sistema de stickers decente y, sobre todo, mayor privacidad y seguridad. Sin embargo, aunque la seguridad es uno de los pilares base de esta aplicación de mensajería, en realidad puede que nuestros chats no hayan estado tan protegidos como deberían.

Un investigador de seguridad llamado Nathaniel Suchy acaba de dar a conocer una grave debilidad en el cliente de escritorio de Telegram (en Windows, macOS y Linux) que ha estado guardando todas las conversaciones, en teoría privadas, de los usuarios en texto plano, sin cifrar, permitiendo a cualquiera verlas con un simple visor de bases de datos SQLite.

Además de las conversaciones, Telegram ha estado guardando en texto plano también otros datos, como los archivos adjuntos intercambiados, los nombres y los números de teléfono de los contactos. Toda esta información no es fácil de leer, pero ahí está, y con un sencillo script se podría conseguir extraerla muy fácilmente.

El problema se debe a que Telegram no está cifrando las bases de datos SQLite en la que guarda toda esta información. Es curioso porque es un fallo muy similar al que se enfrentó Signal la semana pasada, guardando sin cifrar los datos privados de los usuarios que cambiaban de la extensión de Chrome a la versión de PC.

Los chats secretos de Telegram, que en teoría son la forma de comunicación más segura con cifrado de extremo a extremo, tampoco se cifran como es debido, ya que las conversaciones acaban en la misma base de datos, sin ningún tipo de protección adicional y al alcance de cualquiera con acceso al PC.

Cómo proteger nuestras conversaciones privadas de Telegram o Signal

Desde luego esto no es algo que cabría esperar de una aplicación de mensajería segura como alardea ser Telegram, y, por desgracia, no hay nada que podamos hacer nosotros mismos para proteger nuestras conversaciones dentro de este programa.

Si queremos proteger nuestros datos de Telegram, así como cualquier otro dato guardado en el PC, es necesario aplicar nosotros mismos algún tipo de cifrado utilizando herramientas como, por ejemplo, BitLocker (incluida por defecto en las versiones profesionales de Windows) para cifrar todos los datos, o Veracrypt si queremos ejecutar esta app de mensajería desde una unidad totalmente cifrada.

Telegram se basa en la ofuscación (complicación para encontrar y entender) para proteger los datos “privados” en un PC y, aunque nos permite proteger la app con contraseña, esta no aplica ningún tipo de cifrado. El cifrado de las conversaciones y los archivos adjuntos finalmente depende de nosotros, algo que no debería ser así.

Redes Zone (31/10/2018)

 

It was discovered that incorrect connection setup in the server forTeeworlds, an online multi-player platform 2D shooter, could result indenial of service via forged connection packets (rendering all gameserver slots occupied). More info: https://www.debian.org/security/2018/dsa-4329

It was discovered that incorrect connection setup in the server forTeeworlds, an online multi-player platform 2D shooter, could result indenial of service via forged connection packets (rendering all gameserver slots occupied). More info: https://www.debian.org/security/2018/dsa-4329

Narendra Shinde discovered that incorrect command-line parametervalidation in the Xorg X server may result in arbitary file overwrite,which can result in privilege escalation. More info: https://www.debian.org/security/2018/dsa-4328

More info: http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10679&actp=RSS

Several vulnerabilities have been discovered in OpenJDK, animplementation of the Oracle Java platform, resulting in denial ofservice, sandbox bypass, incomplete TLS identity verification,information disclosure or the execution of arbitrary code. More info: https://www.debian.org/security/2018/dsa-4326

http://feedproxy.google.com/~r/sucuri/blog/~3/palCxETx31c/saskmade-net-redirects.html Earlier this week, we published a blog post about an ongoing massive malware campaign describing multiple infection vectors that it uses. This same week, we started detecting new modifications of the scripts injected by this attack. The general idea of the malware is the same, but the domain name and obfuscation has changed slightly. […] More info: http://feedproxy.google.com/~r/sucuri/blog/~3/palCxETx31c/saskmade-net-redirects.html

Slowloris denial-of-service attack vulnerability CVE-2007-6750. Security Advisory. Security Advisory Description. The Apache ... More info: https://support.f5.com/csp/article/K12636

http://feedproxy.google.com/~r/sucuri/blog/~3/CijdZ9TSBIM/owasp-top-10-security-risks-part-ii.html It is National Cyber Security Awareness Month and in order to bring awareness to what threatens the integrity of websites, we have started a series of posts on the OWASP top 10 security risks. The OWASP Top 10 list consists of the 10 most seen application vulnerabilities: Injection Broken Authentication Sensitive data exposure XML […] More info: http://feedproxy.google.com/~r/sucuri/blog/~3/CijdZ9TSBIM/owasp-top-10-security-risks-part-ii.html