Παρασκευή, 23 Ιουλίου 2010

"Φανταστική" γυναίκα απέσπασε απόρρητες πληροφορίες από "φίλους" σε ιστοσελίδες κοινωνικής δικτύωσης.


Σε ένα πείραμα που πραγματοποίησς ο Thomas Ryan, συνιδρυτής της Provide Security, κατάφερε σε λιγότερο από έναν μήνα να αποκτήσει "φίλους" σε διάφορες ιστοσελίδες κοινωνικής δικτύωσης οι οποίοι μάλιστα ήταν διατεθημένοι να μοιραστούν μαζί του απόρρητες πληροφορίες, ακόμα και να του προτείνουν συνεργασία.

Ο Thomas Ryan δημιούργησε μια "φανταστική" γυναίκα, την Robin Sage, την οποια δικτύωσε στα Facebook, Twitter και LinkedIn. Χρησιμοποιώντας κάποιες φωτογραφίες όπου την παρουσίαζε ως μια όμορφη γυναίκα, δηλώνοντας ψευδώς πως είναι απόφοιτη του MIT και φτιάχνοντάς της έναν χαρακτήρα αρκετά ανοικτό και με κάποια διάθεση flirt, κατάφερε να κερδίσει την εμπιστοσύνη ανθρώπων που είχαν στην κατοχή τους σημαντικές απόρρητες πληροφορίες. Η Robin Sage "εργαζόταν" στις υπηρεσίες διάρθρωσης εγκλημάτων του ναυτικού και συγκεκριμένα ήταν ειδικός στους υπολογιστές και τα πληροφορικά συστήματα. Κάτι σαν την Abby Scuito στο γνωστό σήριαλ NCIS.

Ο στόχος του Thomas Ryan ήταν να ερευνήσει το κατά πόσο είναι δυνατόν μέσα από τις ιστοσελίδες κοινωνικής δικτύωσης να παραπλανήσει ανθρώπους και να τους αποσπάσει πληροφορίες. Επίσης τον ενδιέφερε, σε περίπτωση που είναι δυνατόν, να καταλάβει το πόσο γρήγορα μπορεί να γίνει αυτό. Τα αποτερλέσματα σκοπεύει να τα παρουσιάσει στο συνέδριο BlackHat στο Las Vegas την επόμενη εβδομάδα.

Παρά το ότι στο προφίλ της Robin Sage υπήρχαν εσκεμμένα λάθη όπως π.χ. πως είναι 25 χρονών και έχει επαγγελματική καριέρα 10 ετών, μπόρεσε και έκανε σχεδ'ομ 300 "φίλους" που ήταν διατεθημένοι να μοιραστούν μαζί της διάφορες πληροφορίες. Υπήρξαν περιπτώσεις που "φίλοι" της σε εταιρείες όπως την Google και την Lockheed Martin της πρότειναν συνεργασίες.

Ο Thomas Ryan εστίασε σε τρεις ιστοσελίδες κοινωνικής δικτύωσης, συγκεκριμένα στο Facebook, Twitter και LinkedIn, και επεδίωξε να κάνει επαφές κυρίως με υπαλλήλους των κρατικών μυστικών υπηρεσιών, των εταιρειών που ασχολούνται με την ασφάλεια των δεδομέων και με συνεργάτες/συμβούλους της κυβέρνησης.

Κατάφερε τελικά σε λιγότερο από έναν μήνα να συνδεθεί με 226 στο Facebook, με 206 στο LinkedIn και με 204 στο Twitter. Οι επαφές στο Facebook ήταν κυρίως άνθρωποι του στρατού και της ασφάλειας, στο LinkedIn από τις μυστικές υπηρεσίες ενώ από το Twitter ¨ηταν κυρίως hackers.

Κατά τον Thomas Ryan έπιξε πολύ μεγάλο ρόλο η εμφάνιση της Robin Sage που ήταν εντυπωσιακή. Άλλωστε η αναλογία "φίλων" ήταν 82% προς 18%, υπέρ των ανδρών φυσικά. Οι περισσότερες γυναίκες ήταν από τις μυστικές υπηρεσίες.

Όταν ανακάλυψε το Facebook τι συμβαίνει διέγραψε κατευθείαν τα πάντα που αφορούσαν την Robin Sage με την αιτιολογία πως αποτελούσε κίνδυνο ασφαλείας. Το LinkedIn διέγραψε το προφιλ αλλά στο Google υπάρχει ακόμα αποθηκευμένη η σελίδα του προφίλ.

Ο Ryan δήλωσε πως δεν μπόρεσε να κάνει, όσο και αν προσπάθησε, επαφές με ανθρώπους της CIA και του FBI. Επίσης, κάτι που τον τρόμαξε, προς το τέλος του πειράματος είχαν αρχίσει να επικοινωνούν μαζί του πολλοί Άραβες οι οποίοι προφανώς είχαν δει την δικτύωση της 25χρονης Robin με τις μυστικές υπηρεσίες και τον στρατό.