lunes, 26 de julio de 2010

Como se engañó a expertos en seguridad

Un día apareció Robin Sage, experta analista de seguridad, CTA (Cyber Threat Analyst), graduada en el Instituto de Tecnología de Massachusetts (MIT) y una escuela preparatoria en New Hampshire. En un par de días tenía páginas en las principales redes sociales y de microblogging.

A través de sus páginas de Twitter, Facebook y Linkedin, Robin Sage desarrolló una importante lista de contactos y amigos que conversaron con ella temas teóricamente confidenciales, la invitaron a cenar, le ofrecieron trabajo y la invitaron a dar charlas en algunos eventos. Todos impresionados por los antecedentes de esta experta que trabaja para el Gobierno de USA.

Se informa que en la lista de contactos que mantenía esta bonita cybergeek, Robin Sage, había importantes militares de EE.UU., agentes de las agencias de inteligencia, las compañías de seguridad informática y contratistas del gobierno. Vía esos contactos, Robin Sage fue invitada a hablar en conferencias de seguridad, y se le ofrecieron puestos de trabajo en empresas como Google y Lockheed Martin.

El gran tema, un importante punto a tener en cuenta en toda esta historia real de Robin Sage, es que en realidad nunca existió. Fue simplemente un avatar creado por un investigador de seguridad para averiguar cómo las redes sociales podrían ser utilizadas para recolectar información de inteligencia. Robin Sage es un nombre inventado, su foto la tomaron de un sitio de citas. La persona que manejaba los perfiles fue Thomas Ryan, cofundador de Provide Security.

Ryan realizó durante 28 días un experimento con el objeto de evaluar qué información podía recolectar haciéndose pasar por "una chica sociable" en una industria de puros hombres, entre los que se cuenta un alto funcionario de inteligencia en los EE.UU., el jefe de personal de un congresista y varios altos ejecutivos de los contratistas de defensa, así como un funcionario de la Oficina Nacional de Reconocimiento. Que papelón!!!.

Según se informa en The Guardian, Ryan presentará su estudio en la conferencia de seguridad BlackHat, en Las Vegas la próxima semana.

En el mismo diario comentan que Ryan dijo a Computerworld: "He tenido acceso a correo electrónico y cuentas bancarias. Vi patrones en la clase de amigos que tenían. Los perfiles de LinkedIn que muestran patrones de nuevos relaciones comerciales."

Fuentes:

No hay comentarios.:

Publicar un comentario

Bienvenido al blog y muchas gracias por su visita. Espero que el contenido sea de utilidad, interés y agrado.
Los comentarios están moderados. Antes de colocar un comentario lea bien las condiciones, tenga en cuenta que no se permitirán comentarios que:
- sean anónimos y/o posean sólo un nickname.
- no estén vinculados a una cuenta.
- posean links promocionando páginas y/o sitios.
- no se admite propaganda de ningún tipo
- puedan resultar ofensivos o injuriosos
- incluyan insultos, alusiones sexuales innecesarias y
palabras soeces o vulgares
- apoyen la pedofilia, el terrorismo o la xenofobia.

Este Blog ni su autor tiene responsabilidad alguna sobre comentarios de terceros, los mismos son de exclusiva responsabilidad del que los emite. De todas maneras, por responsabilidad editorial me reservo el derecho de eliminar aquellos comentarios que considere inadecuados, abusivos, injuriantes, discriminadores y/o contrarios a las leyes de la República Argentina.