Las 10 mejores técnicas de hacking web en el 2013

Como todos los años, WhiteHat Security (la empresa fundada en 2001 por Jeremiah Grossman) lleva a cabo un concurso con las mejores técnicas de hacking web del año. Las votaciones a los nuevos y creativos métodos suelen ser en dos fases: la primera abierta a la Comunidad y la segunda en la que un (impresionante) jurado elige las mejores en base a los resultados de la primera.  

 
Ahora por fin, tenemos los ganadores de las mejores técnicas del 2013:

El Top 10

1. Mario Heiderich – Mutation XSS
2. Angelo Prado, Neal Harris, Yoel Gluck – BREACH
3. Pixel Perfect Timing Attacks with HTML5
4. Lucky 13 Attack
5. Weaknesses in RC4
6. Timur Yunusov and Alexey Osipov – XML Out of Band Data Retrieval
7. Million Browser Botnet Video Briefing Slideshare
8. Large Scale Detection of DOM based XSS
9. Tor Hidden-Service Passive De-Cloaking
10. HTML5 Hard Disk Filler™ API

Lista completa de 2013 (sin un orden en particular):

1. Tor Hidden-Service Passive De-Cloaking
2. Top 3 Proxy Issues That No One Ever Told You
3. Gravatar Email Enumeration in JavaScript
4. Pixel Perfect Timing Attacks with HTML5
5. Million Browser Botnet Video Briefing Slideshare
6. Auto-Complete Hack by Hiding Filled in Input Fields with CSS
7. Site Plagiarizes Blog Posts, Then Files DMCA Takedown on Originals
8. The Case of the Unconventional CSRF Attack in Firefox
9. Ruby on Rails Session Termination Design Flaw
10. HTML5 Hard Disk Filler™ API
11. Aaron Patterson – Serialized YAML Remote Code Execution
12. Fireeye – Arbitrary reading and writing of the JVM process
13. Timothy Morgan – What You Didn’t Know About XML External Entity Attacks
14. Angelo Prado, Neal Harris, Yoel Gluck – BREACH
15. James Bennett – Django DOS
16. Phil Purviance – Don’t Use Linksys Routers
17. Mario Heiderich – Mutation XSS
18. Timur Yunusov and Alexey Osipov – XML Out of Band Data Retrieval
19. Carlos Munoz – Bypassing Internet Explorer’s Anti-XSS Filter
20. Zach Cutlip – Remote Code Execution in Netgear routers
21. Cody Collier – Exposing Verizon Wireless SMS History
22. Compromising an unreachable Solr Serve
23. Finding Weak Rails Security Tokens
24. Ashar Javad Attack against Facebook’s password reset process.
25. Father/Daughter Team Finds Valuable Facebook Bug
26. Hacker scans the internet
27. Eradicating DNS Rebinding with the Extended Same-Origin Policy
28. Large Scale Detection of DOM based XSS
29. Struts 2 OGNL Double Evaluation RCE
30. Lucky 13 Attack
31. Weaknesses in RC4

Resultados de años anteriores: 2006 (65), 2007 (83), 2008 (70), 2009 (82), 2010 (69), 2011 (51) y 2012 (56).
  
Más información de las votaciones de 2013: http://blog.whitehatsec.com/top-10-web-hacking-techniques-2013/

MsDART Boot CD: LiveCD para recuperar sistemas Windows

Dentro del Microsoft Optimization Pack for Software Assurance (MDOP https://www.microsoft.com/en-us/windows/enterprise/products-and-technologies/mdop/default.aspx) nos encontramos con una gran suite de herramientas para el diagnóstico y recuperación de sistemas Windows. MsDART, como lo han llamado, es una mejora del antiguo ERD Commander de Winternals, empresa que Microsoft compró en 2006.

Este toolkit basado en un liveCD, permite a un administrador de sistemas o técnico, recuperar o trastear con el sistema operativo, ya sea con una de las muchas herramientas que trae incorporadas o bien desde una consola de comandos, con la que podremos modificar, crear o borrar ficheros sin ningún tipo de limitación. Al instalarlo en el equipo, podremos personalizar nuestra ISO seleccionando las herramientas que queremos incluir y añadiendo drivers específicos si fueran necesarios.

Al arrancar el equipo desde MsDART Boot CD nos encontraremos con una pantalla similar a esta. En este primer menú disponemos de varias opciones para diagnosticar y restaurar el sistema así como la consola de comandos. Como es lógico para restaurar el equipo ya sea mediante un punto de restauración o bien un backup completo deberemos tener esa copia en un disco duro, dispositivo extraíble o dispositivo de red accesible desde el ordenador.

Aunque esas primeras opciones sirven para reparar o diagnosticar nuestro ordenador, las opciones realmente interesantes y jugosas se encuentran en la última opción, Microsoft Diagnostic and Recovery Toolset.

Si bien es cierto que existen muchas otras distribuciones LiveCD que nos permiten editar y trastear con un sistema operativo Windows, no está de más conocerla y saber qué podemos hacer con ella por si algún día nos es de utilidad. Por supuesto existen muchas otras soluciones (sobretodo basadas en Unix) y probablemente más productivas para trastear entre los archivos del disco o realizar un escaneo en busca de virus, pero quizás no hay tantas opciones para editar el registro de Windows o restaurar el sistema a un punto anterior creado previamente desde Windows.

Personalmente me gusta por la sencillez que tiene y la posibilidad de tocar el registro. Aunque también tiene algunos contras… el explorador de archivos suele quedarse colgado si tratamos con directorios repletos de ficheros y no siempre reconoce los medios extraíbles. Aún así, creo que es bastante útil y nunca está de más llevarla en nuestro kit de herramientas.

Fuente: Flu Project

Phishing a Mercado Pago, roba datos personales y de crédito

En las últimas horas se ha comenzado a propagar un correo electrónico que dice provenir de Mercado Libre y Mercado Pago pero que en realidad es un engaño para robar información finananciera de Mercado Pago.

El correo es el siguiente (errores incluídos)

Desde: Mercado Pago (vbv@visa.com.ar) Spoofing (falsificación) de origen de correo

Estimado Socio.
Su Cuenta Ha sido inhabilitada para operar Para poder seguir operando debera contestar una serie de preguntas.
las mismas se podran ver haciendo click en el vinculo que figura de abajo

http://elrincon[ELIMINADO].com/img/MercadoPago/ (enlace falsificado)

Como puede verse, en el origen del mensaje aparece un correo electrónico de VISA. Esto simplemente se debe a un error por parte del delincuente, que olvida (o no desea) modificar esta dirección de correo.

Si el usuario hace clic en el enlace falsificado, se ingresa al siguiente sitio falso de Mercado Pago:

Cuando el usuario ingresa su datos de acceso, se lo redirige a la siguiente pantalla, para robarles todos los datos personales y de la tarjeta de crédito:

Finalmente, el delincuente agradece al usuario haber brindado toda la información:

El sitio falso se encuentra alojado en un servidor (XXX.93.73.196) de una empresa española que vende productos hogareños y con la cual ya nos hemos puesto en contacto.

Segu-Info

Robo masivo de Bitcoins y rumores de quiebra en Mt.Gox

La empresa es el mercado más grande de intercambio de Bitcoin del mundo, lo que ha causado una caída en el valor de la criptomoneda.

El mercado más grande de intercambio de Bitcoin del mundo, Mt.Gox, decidió suspender temporalmente el viernes pasado todas las transacciones de la criptomoneda debido a problemas técnicos sin especificar.
Este lunes, la compañía realizó un segundo anuncio luego del fin de semana sin gestionar transacciones, donde aclaró que se mantendrá suspendido el servicio hasta solucionar el fallo, y especificó la naturaleza del problema que les afecta.

La empresa describió su problema como 'maleabilidad de las transacciones', y en un lenguaje no técnico, lo describió como:

Un bug en el software de Bitcoin le permitiría a alguien usar la red Bitcoin para alterar los detalles de una transacción para aparentar NO haber enviado bitcoins a una billetera de bitcoin cuando de hecho sí ocurrió la transacción.

Como la transacción parece haber fallado, las bitcoin podrían reenviarse. MtGox está trabajando con los desarrolladores de Bitcoin para mitigar este problema. El sitio Mt.Gox desapareció y se dice que la compañía habría perdido millones gracias a una vulnerabilidad que permitió un robo. La salida de Mt. Gox del Bitcoin Fundation no presagiaba nada bueno. Hoy martes 25 la web de Mt. Gox está desaparecida y las informaciones que llegan desde otros sitios de intercambio indican que el sitio podría declararse insolvente, con la pérdida de millones de dólares.

Mt. Gox va a dejar de operar durante un mes hasta que vuelvan a crear una nueva marca, llamada "Gox", para volver intentar recuperar la confianza perdida como sitio de intercambio. Aunque lo más preocupante es que el fallo del software de Mt. Gox ha provocado durante años unas pérdidas estimadas en USD$350 millones.

¿Cómo se ha perdido tantos millones? Según un un borrador de estrategia de crisis que correspondería a Mt. Gox, aunque ello no se ha verificado, el error en el software de la compañía habría permitido el robo de unos 744,408 BTC; hurto que pasó desapercibido durante años<. Finalmente, la empresa no ha podido más y ha colapsado, incluso se han iniciado los rumores de una posible bancarrota.

Mientras tanto, los CEOs de los sitios de intercambio Coinbase, Kraken, Bitstamp, BTC China, Blockchain y Circle han lanzado un comunicado conjunto ante el pánico que se podría vivir entre las personas que tienen dinero invertido en esta criptomoneda, que ya está viéndose afectada.

Como en cualquier nueva industria, hay ciertos malos actores que deben ser eliminados, y esto es lo que estamos viendo hoy.

Desde el arresto y salida de Charlie Shrem (fundador de BitInstant) de la Bitcoin Fundation por un supuesto delito de lavado de dinero relacionado con la investigación que el FBI está llevando a cabo sobre Silk Road, Bitcoin está siendo más que nunca puesta en tela de juicio. Aunque el resto de sitios de intercambio claman que la criptomoneda es segura y que no hay que temer el uso del Bitcoin solo por algunos casos, estos son casos demasiado sonados.

Desde hace unos días la cotización del Bitcoin cae, llegando hasta unos USD$100. A la hora de escribir este artículo, el valor de un BTC está bajo los USD$500. Cabe recordar que la bitcoin alcanzó a superar los USD$1.000 hace unos meses.

¿Qué pasa con las monedas virtuales que sus clientes tenían en Mt. Gox?

Gran pregunta, nadie en Mt. Gox está respondiendo los correos electrónicos que se les manda, de la misma forma si finalmente se confirma su insolvencia, se podría perder el dinero guardado con ellos.
Este es el problema de las monedas virtuales y no centralizadas, a falta de un regulador, no existe la seguridad de un respaldo.

Dado que es el mercado más grande del mundo de la criptomoneda, este problema ha afectado bastante el precio del bitcoin, el que en cierto momento de esta mañana se llegó a transar a USD$517, mientras que antes de la aparición de este problema se transaba a unos USD$700.

Fuente: Fayerwayer I, II y III

Google adquiere SlickLogin para crear contraseñas de audio

Tras tan solo cinco meses desde su lanzamiento, Google acaba de adquirir SlickLogin, una startup israelí que se ha especializado en crear contraseñas de audio imperceptibles por nuestros oídos.

Google se acaba de hacer con una empresa que se especializa en seguridad, lo que es una buena noticia tras las adquisiciones para Google X, que se agregue una nueva tecnología de seguridad para una gran corporación con millones de clientes y servicios tan importantes como Gmail o Android.

SlickLogin ha creado una tecnología pendiente de patente que usa tu móvil para crear contraseñas de desbloqueo o de seguridad para aplicaciones o servicios web. No se trata de sistemas conocidos como los que existen, como la mezcla entre localización, Wi-Fi o Bluetooth para comprobar que tu móvil está cerca y sirve como "llave". SlickLogin ha creado un sistema que permite desbloquear usando frecuencias de ultrasonidos, que tus oídos no son capaces de escuchar, pero los micrófonos sí.

De esta forma, con un smartphone Android se podría almacenar una contraseña de audio que se pediría por otra aplicación en, por ejemplo, tu PC con una web de tu banco. Al poner tu teléfono al lado del PC este es capaz de detectar el sonido producido y confirmar que la frecuencia es la exacta que se pide para certificar que eres la persona correcta.

Fuente: FayerWayer

Nuevo ataque 0-day obliga a publicar actualización para Flash

Ha aparecido un nuevo 0-day de Flash Player relacionado con el 0-day en IE 9 y 10 publicado hace unos días. Adobe se ha visto obligado a publicar una actualización para corregir esta vulnerabilidad (junto con otras dos).

El ataque 0-day ha sido identificado por FireEye (al igual que el que analizamos ayer a través de Internet Explorer). En esta ocasión la vulnerabilidad (identificada con CVE-2014-0502) afecta a la última versión de Flash Player (12.0.0.4 y 11.7.700.261) y se explotaba a través de la página web de tres organizaciones sin ánimo de lucro (www.piie.com, www.arce.org y www.srf.org), desde donde a través de un iframe oculto se redireccionaba al usuario a un servidor que alojaba y lanzaba el exploit propiamente dicho.

El exploit emplea técnicas para evitar la protección ASLR (Address Space Layout Randomization) en sistemas Windows XP, Windows 7 con Java 1.6 y Windows 7 versiones no actualizadas de Microsoft Office 2007 o 2010. La vulnerabilidad podría permitir a un atacante sobrescribir el puntero "vftable" de un objeto Flash para provocar la ejecución de código
arbitrario.

Para corregir esta vulnerabilidad Adobe ha publicado una actualización para Flash Player, que además soluciona otros dos problemas. Las vulnerabilidades afectan a las versiones de Adobe Flash Player 12.0.0.44 (y anteriores) para Windows y Macintosh y Adobe Flash Player 11.2.202.336 (y anteriores) para Linux.

Esta actualización, publicada bajo el boletín APSB14-07, resuelve la vulnerabilidad detectada por FireEye con CVE-2014-0502, un desbordamiento de búfer que podría permitir la ejecución de código arbitrario (CVE-2014-0498) y una fuga de memoria que podría permitir evitar la protección ASLR (CVE-2014-0499).

Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:

• Adobe Flash Player 12.0.0.70 para Windows y Macintosh.
• Adobe Flash Player 11.2.202.337 para Linux.

Igualmente se han publicado actualizaciones de Flash Player para Internet Explorer y Chrome.

Fuente: Hispasec

Merkel propone una red europea contra el espionaje de los EE.UU. y Gran Bretaña

La canciller alemana, Angela Merkel, propone la creación de una red de comunicaciones europea para ayudar a mejorar la protección de datos.
El principal objetivo sería evitar que los correos electrónicos y otros datos atravesaran las redes de comunicaciones de los Estados Unidos.
Varios documentos clasificados de la NSA revelaron que se están recogiendo grandes cantidades de datos de carácter personal a través de Internet en pro de una vigilancia desmedida llevada a cabo por los EE.UU. y Gran Bretaña. Snowden filtró que incluso los teléfonos móviles de los aliados de Estados Unidos, como Merkel, habían sido controlados por la Inteligencia Estadounidense. 
Y todo esto no ha hecho más que acrecentar ha impulsado gran preocupación en Europa.

Merkel dijo que Europa tenía que hacer más en el ámbito de la protección de datos y criticó también el hecho de que Facebook y Google utilizan las leyes de países con bajos niveles de protección de datos mientras que realizan negocios en países que ofrecen garantías más rigurosas.

"Sobre todo, vamos a hablar acerca de proveedores europeos que ofrecen seguridad para nuestros ciudadanos, por lo que uno no debería tener que enviar mensajes de correo electrónico u otra información a través del Atlántico", dijo.

"De hecho, se podría construir una red de comunicación dentro de Europa".

La vigilancia exhaustiva ya se realizó bajo los nazis y en la Alemania Oriental comunista, así que la privacidad personal es un tema muy sensible en  Alemania.

Un portavoz de la política exterior de los demócratas cristianos de Merkel, Philipp Missfelder, dijo recientemente que las revelaciones sobre el espionaje EE.UU. habían empujado a llevar las relaciones con Washington a su peor nivel desde la invasión liderada por Estados Unidos a Irak en 2003.

Un funcionario francés, citado por la agencia de noticias Reuters, ya ha adelantado que el gobierno de París planea tomar la iniciativa alemana.

Fuente: Data protection: Angela Merkel proposes Europe network

Análisis del algoritmo de descifrado del malware #Careto

Careto provendría de una entidad gubernamental porque las técnicas de ofuscación y ocultación empleadas nunca se han encontrado en un malware asociado a grupos de crimeware. Según Kaspersky, el malware estaba dirigido a instituciones del gobierno, embajadas, compañías petrolíferas, organizaciones de investigación, etc.

El objetivo principal de este malware era recoger datos de los ordenadores y móviles con sistemas Symbian. El malware podría interceptar el tráfico de red, registrar las pulsaciones del teclado, conversaciones de Skype, analizar el tráfico WiFi, robar información de móviles Nokia (Symbian), llaves PGP, hacer capturas de pantalla, etc. Es decir, el malware estaba siendo usado para espiar otras entidades. Kaspersky hace una descripción muy detallada en su página.

En este artículo, nos gustaría introducir un algoritmo extraído tras un proceso de ingeniería inversa que sirve para descifrar cadenas y que no se encuentra en la documentación de Kaspersky. Careto usa este algoritmo al principio de su ejecución para recoger el nombre de las funciones a importar, las llaves de registro donde guardar la DLL para tener persistencia al reiniciar, la llave usada por el algoritmo RC4, etc. En primer lugar presentaremos una vista global del algoritmo y luego explicaremos cada una de sus funcionalidades.

El malware usa un algoritmo de descifrado muy elaborado, en nuestro laboratorio no habíamos visto antes nada similar. El algoritmo hace difícil la generación de nuevas cadenas cifradas. Pensamos que el creador o creadores querían evitar que otra gente usase el malware por su cuenta cambiando los parámetros del malware, por ejemplo, las entradas del registro, la llave RC4, etc. Evitar el cambio de los parámetros hace al malware más vulnerable a la detección de los antivirus. Pensamos que el algoritmo fue elaborado por un experto en criptografía reforzando la convicción de Kaskersky sobre el hecho de que una entidad gubernamental estaría detrás de este malware.

Contenido completo en fuente original Hispasec

herramienta para auditorias en WordPress

¡Saludos!

Hoy os quiero presentar una herramienta en la que he estado trabajando las últimas noches. Como bien sabeis aquellos que leeis este blog, estoy un pelín harto de tener que recurrir a las herramientas de otros, y siempre que puedo hacer algo por mí mismo intento que así sea. De esta forma quiero poder evitar usar WPScan, y en vez de eso, usar mi propia herramienta con casinos y furcias. Por este motivo nace Gojira.

Claramente es inferior a WPScan y hay que mejorarla mucho, pero como solía decir un compañero de piso mío "para un pueblo sin alcalde sirve".

  Las funciones que tiene por ahora implementadas:

-Creación de un diccionario con plugins (3.000 por defecto) para realizar la enumeración a través del parámetro "--dic". Para generar el diccionario utilizo el método que publiqué el otro día. Actualmente estoy creando un diccionaro de aproximadamente 15.000 plugins ordenados por popularidad que colgaré en el Github para que os lo descargueis y no tengais que esperar mientras se genera uno nuevo en un par de horas estará  disponible.


-Detección de la versión del WordPress (parámetro "--version"). Gojira realiza utiliza tres métodos para realizar el fingerprint de la versión: buscar en el meta generator, comprobar si hay un readme.html y analizar las URLs que contiene el HTML del index.

-Extrae los usuarios registrados haciendo un bruteforce (/?author=ID), usando el mismo método que utiliza la herramienta que programé el otro día,  Dumb0. 

-También permite analizar el archivo robots.txt, de forma similar como lo hace Parsero .

-Enumera los plugins instalados utilizando un diccionario.

   A la herramienta le quedan muchas horas de llave inglesa puesto que el código hay que limpiarlo y simplificarlo (para muchas tareas repetitivas debo de crear subrutinas), hacer que funcione con hilos para acortar tiempo, y quisiera integrarlo con la API de Shodan para que automáticamente la búsqueda en Exploit-DB de los plugins encontrados, por si alguno es vulnerable. Partiendo de estas premisas de cosas que tengo que modificar, ¿Qué le añadiríais? ¿Qué echais en falta cuando haceis una auditoria a un WordPress y podría implementar?  Cualquier feedback es bien recibido.


El código de Gojira lo podeis encontrar aqui => https://github.com/0verl0ad/gojira . El diccionario se está creando y cuando lo termine lo subiré también.

Fuente

El Efecto 2038 (migra a 64bits)

Dudo mucho que en el año 2038 nos enfrentemos a un apocalipsis como el que algunos anunciaban con la llegada del año 2000 aunque, en cierta medida, estamos hablando de un problema parecido.

En la norma IEEE 1003, también conocido como POSIX, se definen una serie de estándares que normalizan una serie de interfaces para sistemas operativos y, de esta forma, poder crear aplicaciones multiplataforma. Entre los estándares que define POSIX encontramos la medida de tiempos de los sistemas de 32 bits; es decir, el reloj que usan estos sistemas.

El reloj que tienen muchos computadores no es más que un contador de segundos que se va incrementando con cada segundo que pasa. La gracia de este sistema es que se toma una fecha como referencia y, cuando se quiere saber la hora, se mira el contador de segundos y se hace la traslación a formato de fecha tradicional (día, mes, año, hora, minutos y segundos). Concretemente, la fecha de referencia es el 1 de enero de 1970 y, por tanto, el tiempo se mide como el número de segundos que han pasado desde dicha referencia.

En un sistema de 32 bits, la variable del tiempo se codifica como un entero con signo y, por tanto, se deja un bit para almacenar el signo y los 31 bits restantes para codificar los segundos. Si hacemos el cálculo de 2 elevado a 31 obtenemos como resultado 2.147.483.648 segundos que es un equivalente a unos 68 años.

Dicho de otra forma, cuando lleguen las 03:14:07 UTC del 19 de enero de 2038, el contador de segundos llegará al máximo número que puede almacenar en positivo y, si se sigue incrementando, se saldrá del rango de los números positivos y, por desbordamiento, entrará en el intervalo de los números negativos. Tras llegar al número 2.147.483.647, el contador se trasladará, en el intervalo de un segundo, al -2.147.483.648 y la fecha del sistema pasará al 13 de diciembre de 1901.

Este gran salto al pasado, evidentemente, no es algo simple y es un bug que se mira con cierta atención porque, al igual que ocurría en 1999, nadie sabe a ciencia cierta los efectos que podría tener en los sistemas desplegados.

¿Son los 64 bits una solución al problema? Obviamente, migrar hacia sistemas de 64 bits elimina el problema pero existen muchos sistemas antiguos (por ejemplo basados en COBOL) que sí requerirán soluciones (o migraciones).

Si alguien tiene curiosidad con este tema, quizás le interese probar la herramienta de conversión que ofrecen en Epoch Converter.

Fuente: Alt1040

Robo de credenciales de Snapchat por Brute-Force

Snapchat viene de una seguidilla de vulnerabilidades y parece no poder recuperarse. Primero fue la publicación de sus 46 millones de usuarios, luego tuvo una ataque de denegación de servicio y sufrió diversas vulnerabilidades en su CAPTCHA.

Ahora, Mohamed Ramadan, un investigador de seguridad de Egipto, ha descubierto una nueva vulnerabilidad que permite realizar fuerza bruta a las credenciales de inicio de sesión de los usuarios. Además ha publicado un video, en el cual con el uso de Burp Proxy fácilmente obtiene la contraseña de un usuario.

Si bien Snapchat no tiene ningún programa de recompensa, muchos investigadores están trabajando para hacer más segura la aplicación.


Fuente: The Hacker News

Ransomware bloquea conexión DNS a Internet y fuerza al PC a producir bitcoins

El malware Linkup intertercepta la conexión entre el PC y los servidores de Internet, usando luego la capacidad de cálculo del sistema para producir bitcoins.

La información ha sido revelada por la empresa de seguridad informática Emsisoft, que habría detectado las primeras incidencias del malware.

Básicamente, Linkup bloquea la conexión a Internet, presentando al usuario una advertencia falsa del Consejo de Europa, sobre la supuesta detección de pornografía infantil en el PC intervenido. Para desbloquear la conexión a Internet, Linkup pide el pago de 0.01 euros con tarjeta de crédito. Emsisoft escribe con cierto candor que esto último "probablemente sea una mentira flagrante". Efectivamente, lo más probable es que al comprobar la validez de la tarjeta de crédito, los ciberdelincuentes la utilicen para otros fines.

Después de instalarse en el sistema, Linkup redirecciona todo el tráfico de Internet e instala el programa botnet “pst2.exe” o jhProtominer, que contierte al PC en un zombi para minería de bitcoins, independientemente del ransomware que cobra por desbloquear la conexión a Internet.

Emsisoft recalca que es la primera vez que ciberdelincuentes combinan ransomware con producción de bitcoins.

Fuente: DiarioTI

Exploits de elevación de privilegios en el kernel Linux (CVE-2014-0038)

e han publicado dos exploits y una prueba de concepto para explotar una vulnerabilidad en el kernel Linux que podría permitir a un atacante local elevar privilegios a root (CVE-2014-0038).

La vulnerabilidad afecta a los kernel Linux posteriores a la versión 3.4. El error fue introducido en la función 'compat_sys_recvmmsg' en el archivo '/net/compat.c' al agregar código para manejar estructuras de tiempo de 64 bits.

Básicamente, el fallo consiste en una ausencia de verificación en cierta estructura pasada desde el área de usuario como argumento a la función '__sys_recvmmsg'. Esta función terminará por usar la estructura pasada a espacio del kernel sin ningún tipo de comprobación. Si observamos el código del commit:

http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/tree/net/compat.c?id=ee4fa23c4bfcc635d077a9633d405610de45bc70

En primer lugar vemos como la función 'compat_sys_recvmmsg' recibe en uno de sus parámetros (el último) un puntero a una estructura 'timespec'. Dicho parámetro está marcado por la macro '__user' que indica que dicho parámetro procede del área de usuario.

Posteriormente vemos como si está definido 'COMPAT_USE_64BIT_TIME' dicho parámetro es usado en la llamada a la función '__sys_recvmmsg'. Ahí está el problema, y es grave. Jamás se debería acceder a la memoria del kernel desde el espacio de usuario y no filtrar previamente dicha estructura es lo que hace precisamente la función vulnerable.

Tal y como señalan en la listaoss-security (de lectura altamente recomendable) uno de los parches propuestos filtra dicho parámetro a través de la llamada a la función 'copy_from_user' para comprobar si las referencias a memoria se están haciendo al espacio de usuario en vez de a la memoria del núcleo o si tiene capacidad para lectura/escritura. En dicho caso se provocaría un fallo y se devolvería el error -EFAULT.

Vemos parcialmente el parche aquí y observamos las llamadas a la función comentada y a su homónima 'copy_to_user' cuando la operación es a la inversa.
En principio la vulnerabilidad afecta a los kernel Linux desde la versión 3.4, aunque ha de estar definida la opción 'CONFIG_X86_X32'. Esto podemos comprobarlo en el archivo de configuración de arranque (en algunas distribuciones):

/boot/config-* (donde * es la versión del kernel que podemos ver también haciendo uname -r)

Como curiosidad lo que esta opción permite es tener la capacidad de ejecutar binarios que usen punteros de 32 bits ejecutándose en arquitecturas de 64bits. (http://en.wikipedia.org/wiki/X32_ABI)

Exploit 1: http://www.exploit-db.com/exploits/31346/

Exploit 2: http://www.exploit-db.com/exploits/31347/

PoC: http://www.exploit-db.com/exploits/31305/

Fuente: Hispasec

Condiciones de Facebook en lenguaje común

Esta semana Facebook ha cumplido 10 años, vamos a poner el foco en la red social de Mark Zuckerberg para analizar qué condiciones hemos aceptado en Facebook, seguramente, sin haberlas leído.

Las clausulas que definen las condiciones de Facebook, afortunadamente, están en castellano y, por tanto, se rompe un poco la barrera del idioma. Sin embargo, a pesar de la traducción, Facebook deja claro que lo que estamos leyendo es una traducción de un texto escrito en inglés de Estados Unidos y que, por tanto, el que prevalece como vinculante (el que aceptamos como contrato) es la versión en inglés así que si hay errores en la traducción no se tienen en cuenta desde el punto de vista de Facebook.

Partiendo de esta base, el texto que encontramos en las condiciones de Facebook, y que nadie suele leer, está estructurado en 19 bloques que, a su vez, se expanden por un buen número de páginas "aclaratorias" con más ramificaciones y que intentan explicar (aunque es fácil perderse entre tanta página) qué es lo que hace Facebook con nuestros datos y con la información que generamos en su plataforma.

Si tras leer todo esto te queda alguna duda con respecto a tus derechos en Facebook, la red social lo resumen muy bien al final de su contrato: "Nos reservamos todos los derechos que no te hayamos concedido de forma expresa".

Contenido completo en fuente original Alt1040

Desarrollan malware capaz de capturar gestos ¡bienvenidos a la era de los touchloggers!

Neal Hindocha y Nathan McCauley han desarrollado junto con sus colegas de Trustwave y Square respectivamente una prueba de concepto de malware capaz de capturar las acciones de los usuarios en los dispositivos de pantalla táctil, dijese sobretodo smartphones y tablets. 

El código malicioso es funcional para dispositivos Android 4.1 y 4.3 rooteados, dispositivos Android sin rootear conectados al PC, e incluso dispositos iOS 7.0 con jailbreak.
Los prototipos de los llamados "touchloggers" son capaces de capturar todo lo que un usuario hace en un dispositivo con pantalla táctil y no sólo cuando un usuario toca la pantalla, también pueden tomar capturas de pantalla que pueden superponerse con la información de las coordenadas para averiguar exactamente lo que alguien está haciendo, al menos en teoría.

Aunque todavía esta vía de ataque está "en pañales" y parece inviable, sin duda se trata de un aviso para navegantes, una llamada de atención para empezar a desarrollar las defensas oportunas antes de que los desarrolladores de malware se adhieran a esta idea. Ni que decir tiene lo "jugosos" que son los terminales punto de venta en los entornos comerciales y que cada vez más y más se apuesta por la tecnología de pantalla táctil, vease Windows 8 por ejemplo.

A finales de este mes en la conferencia RSA en EE.UU., Neal y Nathan presentarán esta nueva amenaza y esbozarán algunas medidas para protegerse contra posibles ataques.

Fuente: Put down that iPad! Snoopware RECORDS your EVERY gesture, TAP on iOS, Android

Así arrestaron al mayor hacker de tarjetas de crédito en el mundo

En el 2007, el ucraniano Maksym Yastremsky era el hacker de tarjetas de crédito más prolífico del mundo. Había robado más de 40 millones de tarjetas principalmente de minoristas ubicados en Estados Unidos. Y le había costado a las compañías de tarjetas de crédito más de 11 millones de dólares.

En el 2008 fue arrestado en Turquía después que el Servicio Secreto de EE.UU. se infiltrara en su red. Así es como lo hicieron:

En retrospectiva hacia el 2004, cuando el Servicio Secreto, que se encarga de los crímenes monetarios, escuchó sobre una red criminal que usaba tarjetas de crédito robadas para comprar electrónicos de alta calidad en el área de Los Ángeles.

En lugar de atrapar a la red en el acto, ellos llegaron a un acuerdo. El líder de la red presentó a un agente encubierto del Servicio Secreto a la fuente de sus tarjetas de crédito robadas bajo el supuesto que el agente era un nuevo compañero de la red criminal. Naturalmente, la idea era subir en la cadena alimenticia y finalmente atrapar a los criminales cibernéticos en el fondo del inframundo de la piratería informática.

"Así que lo que terminé haciendo fue comunicarme a través de mensajes instantáneos y empecé a hablar con la gente en el sudeste de Asia", dijo el agente encubierto, en una entrevista exclusiva con CNN.

Como parte de la estratagema, el agente explicó que necesitaba todas las herramientas para comenzar una nueva red que usaba tarjetas falsas para hacer compras, las máquinas para hacer las tarjetas, el plástico especial para crearlas y, sobre todo, los números de las tarjetas robadas. Para estos, él estaba conectado con Yastremsky.

"Él tenía la información de tarjetas de crédito más amplia y reciente", dijo el agente. "Con frecuencia supe de las infracciones antes que fueran reportadas. Estas personas eran mis amigos en línea y me estaban vendiendo sus nuevas bases de datos conforme las recibían directo de la violación".

Yastremsky trabajaba con una variedad de piratas para robar la información, a veces colocando programas maliciosos directo en las redes de los mayoristas. Apenas pasabas tu tarjeta, los criminales tendrían tu información.

Para solidificar la relación floreciente, y para ayudar a construir el proceso penal, se decidió que el agente se reuniría en persona con Yastremsky. Hasta entonces sus reuniones solo habían sido en línea, y a Yastremsky solo lo conocía su administrador de Internet, Maksic.

"Nos reunimos varias veces en el sudeste asiático y varias veces en el Medio Oriente", dijo el agente, quien todavía trabaja para el servicio secreto. "Era por negocios y una mezcla de simplemente ser amigo". Usábamos toallas, ropa de playa, pasábamos el rato en la playa, montábamos motos acuáticas, hacíamos paravelismo".

Cuando el Servicio Secreto decidió que tenía suficiente información, se tramó un plan para hacer el arresto. Se llevaría a cabo en Turquía, con la ayuda de la policía turca. El agente del Servicio Secreto y Yastremsky estaban allí juntos en un centro turístico, y el plan era ir a discotecas esa noche.

"Simplemente regresamos a casa y cuando volvimos al hotel, la policía estaba en el lugar y nos arrestaron mientras caminábamos de regreso hacia el centro turístico", dijo el agente, quien también fue detenido para mantenerse encubierto. "Yo hice lo primero que se me ocurrió, simplemente le empecé a mentir a la policía".

El agente dijo que durante el tiempo que se mantuvo encubierto, nunca se sintió realmente amenazado.

"Ellos simplemente parecían personas normales, personas que vería en la calle, la gente que vería en el metro", dijo. "Ninguno de ellos se veía como una figura de la mafia o el próximo gran criminal".

Yastremsky ahora cumple una condena de 30 años en una prisión en Turquía, bajo cargos relacionados con los robos de tarjetas de crédito.

Desde 2008 ha habido muchos casos nuevos de robo de tarjeta de crédito, más recientemente los 40 millones de tarjetas de crédito que se comprometieron a través de una violación en Target.

Si bien parece que estos casos van en aumento, el Servicio Secreto dice que no es necesariamente el caso.

"Es probablemente un sesgo decir que están llegando rápidos y furiosos", dijo Ed Lowery, jefe de la división de investigación criminal en el Servicio Secreto. "Resulta que tenemos tres que recientemente han cobrado relevancia en la historia actual".

Fuente: CNN

DDoS o prueba de estrés: ¡Llámalo como te guste!

Cuando en un proceso de Ethical Hacking se acuerda llevar a cabo este tipo de pruebas es algo realmente interesante, y un reto para el equipo. Pensar en como llevar a cabo este proceso es algo que puede ser más costoso de lo normal, y para lo que necesitaremos preparación y conocimiento del entorno empresarial al que nos enfrentamos.

 

Es importante entender bien el entorno que rodea a la organización para poder llevar a cabo la prueba con la máxima eficiencia. El paradigma cloud computing y las botnets aparecen en muchas ocasiones como vías hacia la denegación de servicio. Las pruebas que se realicen sobre una organización deben estar siempre bajo el control del equipo de auditoría y sin llegar a realizar alguna acción no legal. Por esta razón, las botnets deben ser descartadas.

A continuación se enumeran las pruebas que pueden realizarse, de manera general, en un proceso de estrés contra una organización:

• UDP flood. Se realiza la técnica DNS Amplification y otros basados en inundación de datagramas UDP. 
• TCP flood. Inundación y sobrecarga de sistemas mediante conexiones TCP. Se utilizan herramientas que automatizan el proceso, por ejemplo LOIC, Low Orbin Ion Cannon. 
• HTTP flood. Inundación de peticiones HTTP. El objetivo es realizar una gran cantidad de peticiones a ciertos recursos web con el objetivo de alcanzar la saturación del recurso o servidor web. Si se tiene éxito se reportará mediante una imagen de una petición al recurso y el servidor no pudiendo ofrecerlo. 

Aunque esto es una generalización, se pueden desglosar un poco más los ataques, como podemos ver en el siguiente cuadro. Es un mundo realmente interesante.

Pronto más artículos sobre la denegación de servicio.

ThingBot: un refrigerador para controlarlos a todos

Se denomina “Internet de las cosas” (IoT por sus siglas en inglés Internet of Things) a la posibilidad de conectar cualquier tipo de aparato electrónico a una red y por lo tanto también a Internet.

Aunque en principio parece ficción, el concepto es del siglo pasado (1999), y nació con diferentes experimentos desarrollados por un grupo de investigación del MIT (cuando no) que buscaban interconectar dispositivos a través de RFID. Pasados 15 años, recién hoy la madurez del mercado y de la tecnología han permitido la maximización y aprovechamiento de sus posibilidades.

Conocida como la Cuarta Revolución (agricultura, industrial, información) IDC predice que para 2020, habrá más de 200 mil millones de “cosas autónomas” conectadas a Internet. En la misma línea, un reporte de Carbon War Room señala que en 2022 habrá 12,5 mil millones de conexiones “Machine to Machine” M2M a una tasa de crecimiento del 23% anual.

Las comunicaciones (M2M) avanzan a buen paso aunque el destino quizás parezca poco claro y una turbulenta “SkyNet” se perfile en él.

Sin llegar a exagerar y caer en un FUD, como es natural, la adopción de cualquier tecnología trae consigo nuevos riesgos; sucedió con las computadoras, el Wi-Fi, los móviles, BYOD y ahora está pasado con tarjetas de crédito, ascensores, televisores, consolas de juego, anteojos, automóviles, refrigeradores, cámaras de CCTV... El próximo paso natural serán las casas, edificios y ciudades inteligentes.

Contenido completo en fuente original ISSA Argentina

Microsoft anuncia oficialmente su nuevo CEO

Sin sorpresas, tal y como comentamos la semana pasada, el nuevo CEO de Microsoft es Satya Nadella.

El anuncio oficial lo podemos ver en www.microsoft.com/en-us/news/ceo/index.html:

Satya Nadella se convierte en el tercer CEO de Microsoft, que aporta mucha experiencia en innovación y con un gran espíritu de colaboración para su nuevo papel. Se unió a Microsoft hace 22 años, porque vio la claridad con la que Microsoft permite a la gente hacer cosas mágicas y finalmente hacer del mundo un lugar mejor. En sus propias palabras: “Muchas empresas aspiran a cambiar el mundo. Pero muy pocas tienen todos los elementos necesarios: talento, recursos y perseverancia. Microsoft ha demostrado que tiene las tres cosas en abundancia.

En la web de presentación incluyen vídeos y algunas frases del nuevo protagonista de la industria tecnológica:

Nuestra industria no respeta la tradición – que sólo respeta la innovación. La oportunidad por delante de Microsoft es enorme, pero para aprovecharla, hay que moverse más rápido, enfocarse y continuar la transformación. Veo una gran parte de mi trabajo como acelerar nuestra capacidad para introducir productos innovadores a nuestros clientes con mayor rapidez.

Bill Gates, por otro lado, será consejero del nuevo CEO, aumentando considerablemente su tiempo en la empresa. Trabajará en el desarrollo de nuevos productos, por lo que el talento de este hombre podrá empezar a sentirse de nuevo en la compañía.

Reflejos y olfato, eso es lo que necesita Microsoft en su nueva fase, esperemos que su nuevo CEO consiga recuperar la confianza de sus usuarios.
Imagen: microsoft.com

Fuente

Malware que modifica ejecutables sin alterar su firma

Microsoft acaba de arreglar (a medias) un método que permitía alterar un fichero firmado con Authenticode. Aunque el método fue descubierto en 2009, no ha sido  hasta ahora, cuando se ha observado que ciertos programas han comenzado a usar la fórmula, que ha introducido una corrección (que todavía no se activa por defecto). Se trataba de aprovechar un fallo de diseño de Authenticode. Veamos cómo funcionaba.

Varios métodos para cambiar la integridad sin alterar la firma

Existían varios métodos para alterar una imagen de un binario firmado sin que el sistema se quejase de que la firma era incorrecta (de que se había alterado su integridad). El parche MS12-024, de abril de 2012, corrige algunos. Tiene el CVE-2012-015 y lo descubrieron Robert Zacek e Igor Glucksmann, de Avast. No se había observado en malware aún.  Pero sí que existía un problema pendiente de arreglar. El truco era muy sencillo.

Ya hemos hablado en varias ocasiones de Authenticode en este blog. Fundamentalmente, cuando se firma un binario, se calcula el hash de todo el flujo de datos del menos algunos pequeños huecos que "se salta": La cabecera del fichero llamada "Security directory RVA" (también llamada Certificate Table RVA) y el checksum del fichero completo.

En 2009 se comprobó que era posible además añadir código al final de un ejecutable, sin alterar la firma. Aunque publicaron herramientas para conseguirlo, se demuestra manualmente de manera muy sencilla, con cualquier editor hexadecimal. El truco consiste en que se puede añadir código más allá del final del fichero y modificar las cabeceras correspondientes de tamaño. La última parte del fichero (entre 1 y 4 kbs), cuando se firma, corresponde a la estructura PKCS que contiene la firma en sí. En esta estructura se encuentra el certificado y toda la información criptográfica de la firma. Para engañar a Authenticode, se le puede simplemente indicar al fichero en su cabecera que la estructura PKCS es un poco más larga (cambiar el valor del tamaño) y que abarque la parte añadida. Así de simple.

Contenido completo en fuente original ElevenPath

Angry Birds, un ejemplo de cibervigilancia de la NSA a través de apps

La semana pasada salía a la luz la noticia que afirmaba que la Agencia de Seguridad Nacional de Estados Unidos (NSA) tenía acceso a muchísimos datos personales a través de aplicaciones para móviles, como Angry Birds o Google Maps, aunque en realidad esto es sólo un ejemplo de muchos. La cibervigilancia pasa de la PC al smartphone, que dispone de mucha información personal de los usuarios y en muchos casos, está totalmente desprotegida.

La afirmación se dio luego de que medios internacionales dieran a conocer que la Agencia de Seguridad Nacional de Estados Unidos (NSA) y el Cuartel General de Comunicaciones del Reino Unido (GCHQ) utilizan aplicaciones como Angry Birds para obtener información personal de los usuarios.

Según Vicente Díaz, analista senior de Malware de Kaspersky Lab, "la información proporcionada por estas aplicaciones ha demostrado ser muy valiosa para anunciantes y para desarrolladores, por lo que también es fundamental para las agencias de inteligencia. Muchos de estos juegos permiten jugar con los contactos y amigos, lo que favorece la creación de redes de personas, más o menos como las redes sociales y todos estos datos son de gran relevancia".

La compañía con sede en Finlandia señaló que la confianza de sus fans es lo más importante para la empresa y toman la privacidad como algo "extremadamente serio y damos acceso a ningún tercero para que use o manipule datos personales de los usuarios".

La última versión de Angry Birds pedía al usuario permiso para acceder a la ubicación, el estado del teléfono y los SMS entre otros – todo esto aparentemente para fines publicitarios, ya que la aplicación muestra anuncios mientras se juega. Asimismo, los mensajes del juego y de los amigos pueden ser una fuente de información similar a las redes sociales.

"En realidad, este hecho no sería tan temible si habláramos de una sola aplicación, pero esto es sólo un ejemplo. Pensemos en todos los permisos de los que disponen todas las aplicaciones que descargamos en nuestro móvil y lo mucho que el móvil sabe de nosotros: ubicación, las personas con las que hablamos... Esto es solo un ejemplo de cómo algo aparentemente inocente se puede utilizar con fines muy distintos", afirma el analista de Kaspersky Lab.

"Hasta ahora se desconocen los detalles técnicos, pero entiendo que Angry Birds no dispone de la opción de que Rovio no acceda a esos datos que posteriormente monetiza de forma legítima a través de publicidad". Para el usuario es imposible jugar a Angry Birds sin que el programa envíe estos datos, a menos que estén desconectados de Internet. Pero dejar de jugar a Angry Birds tampoco va a evitar que se monitorice a los usuarios. "En realidad no sabemos la cantidad de datos y el número de aplicaciones que pueden estar siendo supervisadas por los servicios de inteligencia, pero probablemente existan muchas, por lo que el problema de la cibervigilancia es mayor de lo que pensamos", concluye Díaz.

Los usuarios no quieren que los servicios secretos de diferentes países del mundo accedan a información sobre su vida privada, pero es imposible garantizar la protección de los datos de los usuarios si los servicios de Internet que estos usan (redes sociales, servicios de correo electrónico, almacenes “en la nube”) no toman las medidas correspondientes.

Fuente: DiarioTI

Espiando a Julia a través de su webcam

En Holanda el gobierno ha aconsejado poner una pegatina en las webcams cuando no se estén utilizando. No es que ayude mucho, pero al menos es algo y pone de manifiesto el riesgo al que está expuesta la privacidad de miles de usuarios, quizás millones.

Por ello hemos rescatado un cortometraje que seguro te hará pensar dos veces (o tres) y te animará a tapar la webcam e incluso hasta no usarla. Creado por Production ZBros, Webcam es una escalofriante historia de sólo siete minutos sobre Julia, una chica joven que es observada de manera obsesiva por alguien que ha hackeado su webcam, un aparentemente discreto y práctico dispositivo de conexión que todo lo ve.

En el vídeo inicialmente no está claro que estamos siguiendo Julia a través de los ojos del hacker, hasta que un pequeño icono de su rostro momentáneamente destella mientras se está arreglando en el baño. Lo que comienza como el seguimiento de la rutina diaria de Julia y sus comportamientos - rituales parlantes en Skype, estudiando, viendo la televisión, navegando por las redes sociales - poco a poco se convierte en transgresiones voyeuristas más siniestras con su baile en ropa interior, durmiendo e incluso metiéndose en la cama con su novio.

La tensión crece a medida que el hacker se involucra cada vez más en la vida de Julia, enviándola un regalo anónimo y comunicándose con ella a través de los sonidos y luces del ordenador, hasta que la perturbadora escena final...
Lo más curioso es que está basada en hechos reales, cuando en 2010 un hombre de California fue arrestado por espiar a una mujer a través de su webcam, junto con otros miles de casos reportados. Es un toque de atención, un mensaje oportuno que destaca los peligros del hacking de cámaras web y la tecnología que impregna nuestras vidas...

Fuentes:
- Who’s On Your Webcam?
- This is how it looks like when somebody hacks your webcam
- Justitie: plak webcam af met sticker

- Hackplayers 

Demuestran malware capaz de registrar golpes de pantalla táctil en móviles

Neal Hindocha, investigador senior de seguridad de Trustwave, ha construido un malware como prueba de concepto (PoC) que monitorea los golpes dedo en dispositivos móviles y toma capturas de pantalla.

El malware registra las coordenadas X e Y de cualquier golpe o toque de pantalla. Hablando con Forbes, Hincocha dijo que no representa mucho trabajo hacer funcionar el código en iOS con Jailbreaking o dispositivos Android rooteados, y que es posible conseguir que funcione en los Android regulares, siempre que sean enchufadas a una PC, mientras se carga por USB.

"Si se está monitoreando todos los eventos de toque y el teléfono no fue tocado durante al menos una hora, entonces puedes asumir que un mínimo de cuatro eventos de toque corresponden a un PIN que el usuario acaba de ingresar. Lo más interesante es, si se consigue una captura de pantalla y luego lograr superponerla con los eventos de tacto. El resultado final es que no importa cómo un usuario ingrese la información: todo va a ser capturado".

Hindocha demostrará su concepto en la próxima Conferencia de RSA Security, y ayudará a que los desarrolladores de aplicaciones a comprender la importancia de estas cuestiones.

Segu-Info

Telegram, la alternativa segura a WhatsApp

Mucho estamos oyendo hablar en los últimos días de Telegram, la aplicación de mensajería instantánea creada por los hermanos Pavel y Nikolai Durov, fundadores también de VKontakte, la red social más grande de Europa. Multiplataforma y con una "seguridad inquebrantable" según sus desarrolladores, que incluso ofrecen una recompensa de 200.000 dólares para quien logre acceder a una conversación privada, lo cierto es que parece tener todas las armas para luchar cara a cara con WhatsApp. Pero, ¿es esto cierto?

En la práctica, puede parecer que no es más que una aplicación más de mensajería instantánea nacida como alternativa a WhatsApp , sin embargo, sus bondades empiezan a asomar desde su primer uso al descubrir que es un sistema basado en la nube (permitiendo el acceso a la aplicación desde diferentes dispositivos con un sólo número de teléfono registrado y guardar todo el contenido multimedia enviado sin límites) y de código abierto, donde los mensajes enviados a través de la aplicación están cifrados con AES 256 y RSA 2048 y el intercambio de claves se realiza a través de Diffie-Hellman.

Los mensajes enviados a través del sistema son cifrados y pueden destruirse automáticamente según desee el usuario. Telegram es gratuito, y además cuenta con la ventaja de no ofrecer publicidad.

Nikolai Durov, uno de los creadores de la aplicación, desarrolló un protocolo único para el tratamiento de datos, abierto y seguro, preparado para funcionar con múltiples centros de datos. Su código es abierto, por lo que aquel que lo desee puede acceder a él.

Lanzado a mediados del pasado año, es compatible con dispositivos con iOS 5 o superiores y Android 2.2 o superiores. Se espera que pronto lleguen las versiones oficiales de escritorio para Mac, Windows y Linux, ya que por el momento sólo existe un cliente no oficial de Telegram gracias a desarrolladores ajenos a la marca.

Fuentes: 
Telegram
Computer Hoy
El Economista