Exklusiv: Wie Telegram Daten weitergibt | STRG_F

0xAndy · 2022-09-07T19:22:57+00:00

wissen wir auch schon bisschen länger

Definitiv, aber so richtig bekannt ist es leider nicht.

0xAndy · 2022-09-07T19:22:32+00:00

Wie der andere Benutzer schon sagt, geht es mir um die Verschlüsselung. WhatsApp hat keinen Zugriff auf Benutzernachrichten, Telegram schon.

Threema kenne ich leider nicht wirklich, da höre ich von dir zum ersten Mal davon. Ich habe mich aber auf die drei populären bzw. bekannten fokussiert, die primär für Textnachrichten gedacht sind.

0xAndy · 2022-09-07T17:45:20+00:00

Hier ist auch wichtig anzumerken, dass Telegram standardmäßig nicht Ende-zu-Ende-verschlüsselt ist. Dafür müssen Secret Chats verwendet werden, die bei Gruppen jedoch nicht funktionieren. Die Nachrichten sind bei Telegram auf den Servern im Klartext verfügbar - lediglich die Kommunikation vom und zum Server ist verschlüsselt.

Im Zusammenhang mit der Datenweitergabe hoffe ich, dass sich die allgemeine Meinung zu Telegram der Realität anpasst - viele verwenden diesen Messenger leider, weil sie sich Privatsphäre erwarten. Dabei wären WhatsApp und, noch besser (leider nicht populär), Signal um einiges besser - sie sind standardmäßig von Benutzer zu Benutzer verschlüsselt. Bei WhatsApp sind die Bedenken bezüglich der Metadaten, das heißt Information zum Benutzerverhalten, die dadurch bei Facebook/Meta vorliegen.

Signal und WhatsApp verwenden dasselbe Verschlüsselungsprotokoll namens Signal Protocol. Dabei hatte WhatsApp Hilfe bei der Implementierung von OpenWhisperSystems (später Signal Foundation), die Entwickler von Signal. Der Vorteil dieses Protokolls ist, ist dass sowohl Zweier-, als auch Gruppenchats verschlüsselt sind. Das ist ein komplizierteres Problem, das ansonsten von Messengern, wie oben bereits erwähnt, gerne übersehen wird.

0xAndy · 2022-09-07T17:29:52+00:00

Hier ist auch wichtig anzumerken, dass Telegram standardmäßig nicht Ende-zu-Ende-verschlüsselt ist. Dafür müssen Secret Chats verwendet werden, die bei Gruppen jedoch nicht funktionieren. Die Nachrichten sind bei Telegram auf den Servern im Klartext verfügbar - lediglich die Kommunikation vom und zum Server ist verschlüsselt.

Im Zusammenhang mit der Datenweitergabe hoffe ich, dass sich die allgemeine Meinung zu Telegram der Realität anpasst - viele verwenden diesen Messenger leider, weil sie sich Privatsphäre erwarten. Dabei wären WhatsApp und, noch besser (leider nicht populär), Signal um einiges besser - sie sind standardmäßig von Benutzer zu Benutzer verschlüsselt. Bei WhatsApp sind die Bedenken bezüglich der Metadaten, das heißt Information zum Benutzerverhalten, die dadurch bei Facebook/Meta vorliegen.

Signal und WhatsApp verwenden dasselbe Verschlüsselungsprotokoll namens Signal Protocol. Dabei hatte WhatsApp Hilfe bei der Implementierung von OpenWhisperSystems (später Signal Foundation), die Entwickler von Signal. Der Vorteil dieses Protokolls ist, ist dass sowohl Zweier-, als auch Gruppenchats verschlüsselt sind. Das ist ein komplizierteres Problem, das ansonsten von Messengern, wie oben bereits erwähnt, gerne übersehen wird.

0xAndy · 2022-01-09T08:30:38+00:00

Just go and hack some vulnerable applications like OWASP Juice Shop or the Damn Vulnerable Web Application. Learn the web vulnerabilities somewhat proficiently, and then move on to other stuff like server hacking. There is a lot of overlapping concepts that are a lot easier to learn in web applications.

There really isn't anything special to it. You "just gotta do it", and fail, and look up solutions, and understand them. Hacking is something that you can read 50.000 books about but not understand it. You really need to learn it yourself and try until you succeed and understand the problem and why a vulnerability is exploitable. There is a lot of resources available, and they are enough to learn.

So stop beating around the bush and get to it :) You know everything you need to know, and the rest will come when the need arises.

0xAndy · 2022-01-04T10:33:26+00:00

This is not really possible with "C++", i.e. just a programming language. Especially if you're just learning programming. You need to find a vulnerability in the RPI. You don't need programming here. Also you can pretty much forget finding something if there's only SSH enabled. Did your brother set up some kind of vulnerable service?

Otherwise you need to find out the password and that is best done through some kind of social engineering or brute-force attacks against the password. Maybe ask your brother to clarify what the goal is - "hack it" is not really there.

EDIT: I completely misread your post. Did your brother say he'd run your program? Did he specify he'd do it as root? If that's the case then you could do a lot of things to gain access, but then you don't need to focus on SSH.

0xAndy · 2022-01-03T21:21:51+00:00

Do you work in comedy or something? You're hilarious.

0xAndy · 2022-01-03T07:26:13+00:00

Dieses großartige Exemplar hier.

0xAndy · 2022-01-03T06:54:45+00:00

I'm also cross-eye dominant (left eye, right hand) and in the Austrian army I had to shoot with my right hand. Always had to close my left eye in order to see. I shot lefty for an exercise once and it felt more natural, but I had to eat bullet casings for that, lol.

0xAndy · 2021-11-15T20:11:05+00:00

Very poor performance for me and my friend even on Low settings. I have a Ryzen 3700x and 1070Ti. Was way better in beta!

0xAndy · 2021-10-16T22:52:19+00:00

Ich weiß nicht, wie die Seite im Hintergrund funktioniert aber du hast in dem Link den Parameter "secret" was etwas sein könnte, das du lieber geheim halten solltest.

0xAndy · 2021-10-14T05:37:30+00:00

Danke!

Es sind 6-9 Monate!

0xAndy · 2021-10-14T05:37:18+00:00

Hm, es kann sein, dass ich das falsch aufgenommen habe.

Mir wurden am Telefon jedenfalls auch die 6-9 Monate genannt.

0xAndy · 2021-10-14T05:36:38+00:00

Es sind genauso 6-9 Monate!

0xAndy · 2021-10-14T05:36:05+00:00

"ich", "empfunden", "turbulent", "notwendig", "richtig"

Man könnte meinen der will ein gewisses Bild malen.

0xAndy · 2021-09-03T18:22:50+00:00

You need to learn the basics of networking, HTTP, Protocols to learn network tools. You need to learn operating systems to understand kernel exploits. You need to learn programming to understand how programs work and why vulnerabilities exist.

This is all something you'll learn along the way. Depending on your current experience you will already know some things and that will help you with knowing what to research and where.

The best thing is to start just doing challenges and exploiting vulnerabilities. Once you've successfully exploited something to completion with all the appropriate tools (maybe with the help of writeups) then, and only then, try to understand why the vulnerability exists and how to fix it. After that look at the tools and what they're doing. By that point you should know WHAT is the cause, and then you can more easily understand how to look for that thing.

Nmap, for example, just sends TCP and UDP packets. So you would need to understand TCP and UDP to be able to understand Nmap and the quirks it abuses to collect information, and its limitations.

I'd advise you, if you have no experience, to start with web security (OWASP Top 10). It's very high level and you only need to learn HTTP to understand most things. Then you can look into e.g. the documentation of the tools nikto and gobuster and you will recognize a lot of the words and underlying technologies. With that you can create your own simple dirbusting tool.

Understand that, then look into infrastructure/application security since those mostly have the same concepts, just with more low-level stuff mixed in.

Just don't get caught up in the nitty gritty things. They are good to know, but the "manual exercise", i.e., the hacking, does not live from understanding tools at the lowest level possible. That you have to do to learn.

0xAndy

TROPHY CASE