Christopher Soghoian (nacido en 1981) es un investigador y activista de la privacidad. Actualmente trabaja para el senador Ron Wyden como asesor principal de privacidad y ciberseguridad del senador. De 2012 a 2016, fue el tecnólogo principal de la Unión Estadounidense de Libertades Civiles .
Christopher Soghoian | |
---|---|
Nació | 1981 (39 a 40 años) San Francisco , California , EE. UU. |
alma mater | Universidad James Madison ('02) Universidad Johns Hopkins ('05) Universidad de Indiana ('12) |
Ocupación | Investigadora y activista |
Conocido por | Activismo de seguridad y privacidad |
Sitio web | Dubfire.net |
Vida personal
Soghoian es el sobrino de Sal Soghoian , el ex gerente de productos de automatización de Apple Inc. , responsable de AppleScript y Automator .
Educación
Soghoian, que tiene la nacionalidad británica y estadounidense, [1] recibió una licenciatura de la Universidad James Madison (Ciencias de la Computación; 2002), una Maestría de la Universidad Johns Hopkins (Informática de Seguridad; 2005) y un Doctorado de la Universidad de Indiana (Informática; 2012) . Su disertación se centró en el papel que desempeñan los proveedores de servicios de telecomunicaciones e Internet para facilitar la vigilancia policial de sus clientes. [2]
Soghoian es miembro visitante en el Proyecto de Sociedad de la Información de la Facultad de Derecho de Yale y miembro principal de TED . Anteriormente fue miembro de Open Society Foundations y estudiante en el Berkman Center for Internet & Society de la Universidad de Harvard .
Investigación y activismo sobre vigilancia gubernamental
La investigación y la promoción de Soghoian se centran principalmente en la vigilancia del gobierno. Su investigación ha arrojado mucha luz sobre el uso de tecnologías de vigilancia sofisticadas por parte de las fuerzas del orden de Estados Unidos, exponiendo tales técnicas al debate público y la crítica.
En una presentación de agosto de 2013 en la conferencia de hackers DEF CON , Soghoian destacó la existencia de un equipo del FBI dedicado que distribuye malware a las computadoras y dispositivos móviles de los objetivos de vigilancia. En su presentación, Soghoian declaró que descubrió al equipo leyendo documentos gubernamentales muy redactados y mirando los perfiles de ex contratistas del FBI en el sitio web de la red social LinkedIn . [3] En octubre de 2014, Soghoian llamó la atención sobre el hecho de que el FBI, en 2007, se hizo pasar por Associated Press en un esfuerzo por entregar malware a un adolescente en el estado de Washington que había amenazado con bombardear su escuela secundaria. [4] Este acto de engaño fue condenado enérgicamente por las principales organizaciones de noticias, incluido el Asesor Jurídico de Associated Press. [5]
Video externo | |
---|---|
Vigilancia gubernamental: esto es solo el comienzo en YouTube , Christopher Soghoian, TED chat,5 de marzo de 2014 |
En un discurso público de febrero de 2012, Soghoian criticó al mercado comercial por las llamadas vulnerabilidades de seguridad de día cero , un tema que, hasta entonces, aún no había recibido una atención significativa por parte de la prensa convencional. [6] Un mes después, Forbes citó a Soghoian, en un extenso artículo sobre el mercado de día cero, que describe a las empresas y las personas que venden exploits de software como "los comerciantes de la muerte de hoy en día" que venden "las balas de la guerra cibernética". [7] Durante los siguientes años, varios medios de comunicación importantes publicaron sus propias historias de primera plana sobre la industria, a menudo con citas de Soghoian que criticaban a quienes proporcionaban este tipo de software de piratería a los gobiernos. [8] [9]
En diciembre de 2009, mientras era empleado de la Comisión Federal de Comercio , Soghoian grabó en secreto una conferencia de la industria de vigilancia a puerta cerrada. El inspector general de la agencia abrió una investigación sobre la conducta de Soghoian y posteriormente fue despedido de la FTC. [10] En la grabación, un ejecutivo de Sprint Nextel reveló que la compañía había creado un sitio web especial a través del cual los agentes del orden pueden obtener información GPS sobre suscriptores y que el sitio web se había utilizado para procesar 8 millones de solicitudes durante el año anterior. [11] Esa grabación fue citada posteriormente por Alex Kozinski , Juez Jefe de la Corte de Apelaciones del Noveno Circuito en Estados Unidos v. Pineda-Moreno , en apoyo de su opinión de que "1984 puede haber llegado un poco más tarde de lo previsto, pero está aquí en último." [12]
Activismo de cifrado
En junio de 2009, Soghoian fue coautor de una carta abierta a Google con [13] 37 destacados expertos en seguridad y privacidad, instando a la empresa a proteger la privacidad de sus clientes habilitando el cifrado HTTPS de forma predeterminada para Gmail y sus otros servicios basados en la nube. [14] En enero de 2010, Google habilitó HTTPS de forma predeterminada para los usuarios de Gmail, [15] y posteriormente para otros productos, incluida la búsqueda. Según Google, ya estaba considerando HTTPS por defecto. [16] Soghoian ha continuado en los últimos años su defensa de HTTPS, pidiendo a los medios de comunicación, bufetes de abogados, agencias gubernamentales y otras organizaciones que cifren sus propios sitios web. [17]
Investigación y activismo sobre la privacidad del consumidor
En mayo de 2011, la firma de relaciones públicas Burson-Marsteller se acercó a Soghoian y le pidió que escribiera un artículo de opinión en contra de Google, criticando a la compañía por problemas de privacidad asociados con su producto de búsqueda social. Soghoian se negó y, en cambio, publicó la conversación por correo electrónico. Una investigación posterior realizada por periodistas reveló que la empresa de relaciones públicas, que se había negado a identificar a su cliente ante Soghoian, había sido contratada por Facebook. [18]
En mayo de 2011, Soghoian presentó una queja ante la FTC, en la que afirmó que el servicio de respaldo en línea Dropbox estaba engañando a sus clientes sobre la seguridad de sus servicios. [19] Poco después de que Soghoian expresara públicamente sus preocupaciones por primera vez, Dropbox actualizó sus términos de servicio y política de privacidad para dejar en claro que la empresa no cifra los datos del usuario con una clave que solo el usuario conoce y que la empresa puede revelar. los datos privados de los usuarios si los organismos encargados de hacer cumplir la ley lo obligan a hacerlo.
En octubre de 2010, Soghoian presentó una queja ante la FTC, en la que afirmó que Google estaba filtrando intencionalmente consultas de búsqueda a los sitios que los usuarios visitaban después de hacer clic en un enlace de la página de resultados de búsqueda. [20] Dos semanas después, un bufete de abogados presentó una demanda colectiva contra Google por esta práctica. La demanda citó ampliamente la denuncia de la FTC de Soghoian. [21] En octubre de 2011, Google dejó de filtrar consultas de búsqueda a los sitios que visitaban los usuarios, [22] y luego, en 2015, la empresa resolvió la demanda colectiva por filtración de consultas de búsqueda por 8,5 millones de dólares. [23]
Entre 2009 y 2010, trabajó para la Comisión Federal de Comercio de EE. UU. Como el primer asesor técnico interno de la División de Protección de la Privacidad y la Identidad. [24] Mientras estuvo en la FTC, ayudó con las investigaciones de Facebook, Twitter, MySpace y Netflix.
Seguridad de la tarjeta de embarque
Soghoian ganó la atención pública por primera vez en 2006 como creador de un sitio web que generaba tarjetas de embarque de aerolíneas falsas. El 26 de octubre de 2006, Soghoian creó un sitio web que permitía a los visitantes generar tarjetas de embarque falsas para Northwest Airlines . Si bien los usuarios podían cambiar el documento de embarque para que tuviera cualquier nombre, número de vuelo o ciudad que quisieran, el generador decidió crear un documento para Osama Bin Laden de forma predeterminada .
Soghoian afirmó que su motivación para el sitio web era centrar la atención nacional en la facilidad con la que un pasajero podía evadir las listas de exclusión aérea . [25] La información que describe las vulnerabilidades de seguridad asociadas con la modificación de la tarjeta de embarque había sido ampliamente publicitada antes por otros, incluido el senador Charles Schumer (D-NY) [26] [27] y el experto en seguridad Bruce Schneier . [28]
El 27 de octubre de 2006, el entonces congresista Edward Markey pidió el arresto de Soghoian. [29] A las 2 am del 28 de octubre de 2006, agentes del FBI allanaron su casa para incautar computadoras y otros materiales. [30] El proveedor de servicios de Internet de Soghoian cerró voluntariamente el sitio web, después de recibir una carta del FBI que afirmaba que el sitio representaba una amenaza para la seguridad nacional. [31] El 29 de octubre de 2006, el congresista Markey emitió una declaración revisada declarando que Soghoian no debería ir a la cárcel y que, en cambio, el Departamento de Seguridad Nacional debería "ponerlo a trabajar" para arreglar las fallas de seguridad de la tarjeta de embarque. [32] El FBI cerró su investigación criminal en noviembre de 2006 sin presentar cargos, [33] al igual que la TSA en junio de 2007. [34] [35]
Referencias
- ^ Brown, David. El FBI frustra el sitio de estafa aérea de estudiantes The Times 3 de noviembre de 2006
- ^ Soghoian, Christopher (1 de agosto de 2012). "Los espías en los que confiamos: proveedores de servicios de terceros y vigilancia policial" (PDF) . Consultado el 23 de diciembre de 2012 .
- ^ Valentino-DeVries, Jennifer (3 de agosto de 2013). "El FBI recurre a tácticas de piratas informáticos para espiar a los sospechosos" . Wall Street Journal . Consultado el 9 de noviembre de 2014 .
- ^ Nakashima, Ellen (28 de octubre de 2014). "El FBI atrajo al sospechoso con una página web falsa, pero puede haber aprovechado la credibilidad de los medios" . Washington Post . Consultado el 9 de noviembre de 2014 .
- ^ Grygiel, Chris (7 de noviembre de 2014). "El FBI dice que se hizo pasar por reportero de AP en el caso de 2007" . Prensa asociada . Consultado el 9 de noviembre de 2014 .
- ^ Naraine, Ryan (16 de febrero de 2012). " ' Los intermediarios exploit de 0 días son vaqueros, bomba de relojería ' " . ZDNet . Consultado el 9 de noviembre de 2014 .
- ^ Greenberg, Andy (23 de marzo de 2012). "Compras para días cero: una lista de precios para las vulnerabilidades de software secreto de los piratas informáticos" . Forbes . Consultado el 9 de noviembre de 2014 .
- ^ Nakashima, Ellen (7 de octubre de 2014). "La ética de Hacking 101" . Washington Post . Consultado el 9 de noviembre de 2014 .
- ^ Perlroth, Nicole (13 de julio de 2013). "Las naciones que compran como los piratas informáticos venden defectos en el código de computadora" . New York Times . Consultado el 9 de noviembre de 2014 .
- ^ Hill, Cachemira (6 de diciembre de 2010). "FTC contrata hacker para ayudar con problemas de privacidad. No duró" . Forbes .
- ^ Zetter, Kim (1 de diciembre de 2009). "Datos de GPS Sprint 'pinchados' de los federales 8 millones de veces durante un año" . Noticias por cable . Consultado el 15 de mayo de 2010 .
- ^ Estados Unidos contra Pineda-Moreno , 617 F.3d 1120 (noveno Cir. 2010).
- ^ Soghoian, Christopher (16 de junio de 2009). "Una carta abierta al CEO de Google, Eric Schmidt" . Archivado desde el original el 20 de junio de 2009 . Consultado el 20 de junio de 2009 .
- ^ Helft, Miguel (16 de junio de 2009). "Gmail para obtener más protección contra fisgones" . The New York Times - Blog de bits . Consultado el 20 de junio de 2009 .
- ^ Schillace, Sam (12 de enero de 2010). "Acceso HTTPS predeterminado para Gmail" . El blog oficial de Gmail . Consultado el 15 de mayo de 2010 .
- ^ https://static.googleusercontent.com/media/www.google.com/en/us/googleblogs/pdfs/google_httpsresponse.pdf
- ^ Braga, Matthew (1 de octubre de 2014). "La lucha por HTTPS" . Empresa rápida . Consultado el 9 de noviembre de 2014 .
- ^ Helft, Miguel (13 de mayo de 2011). "Facebook, enemigo del anonimato, se ve obligado a explicar un secreto" . The New York Times . Consultado el 17 de julio de 2011 .
- ^ Singel, Ryan (13 de mayo de 2011). "Dropbox mintió a los usuarios sobre la seguridad de los datos, denuncia ante alegaciones de la FTC" . Noticias por cable . Consultado el 17 de julio de 2011 .
- ^ DeVries, Jenifer Valentino (7 de octubre de 2010). "Ex empleado de la FTC presenta una queja sobre la privacidad de Google" . Wall Street Journal . Consultado el 9 de noviembre de 2014 .
- ^ Krazit, Tom (26 de octubre de 2010). "La demanda se dirige a Google por referencias a la Web" . CNET .
- ^ Sullivan, Danny (6 de septiembre de 2013). "Plan de Google para retener datos de búsqueda y crear nuevos anunciantes" . Search Engine Land .
- ^ Davis, Wendy (3 de abril de 2015). "Acuerdo de filtración de datos de $ 8,5 millones de Google gana la aprobación" . MediaPost .
- ^ Zetter, Kim (17 de agosto de 2009). "Defensor de la privacidad franco se une a la FTC" . Wired.com . Consultado el 20 de noviembre de 2009 .
- ^ Soghoian, Christopher (26 de octubre de 2006). "Generador de tarjetas de embarque NWA de Chris" . Consultado el 5 de marzo de 2007 .
- ^ Schumer, Charles E. (13 de febrero de 2005). "Schumer revela un nuevo agujero enorme en la seguridad aérea" . Archivado desde el original el 21 de noviembre de 2006 . Consultado el 30 de noviembre de 2006 .
- ^ Schumer, Charles E. (9 de abril de 2006). "Schumer revela: ¡En simples pasos, los terroristas pueden falsificar una tarjeta de embarque y abordar cualquier avión sin infringir la ley!" . Archivado desde el original el 28 de junio de 2007 . Consultado el 30 de noviembre de 2006 .
- ^ Schneier, Bruce (15 de agosto de 2003). "Volar en el billete de avión de otra persona" . Crypto-Gram . Consultado el 30 de noviembre de 2006 .
- ^ Singel, Ryan (27 de octubre de 2006). "El congresista Ed Markey quiere que arresten al investigador de seguridad" . Noticias por cable . Consultado el 24 de diciembre de 2012 .
- ^ Krebs, Brian (1 de noviembre de 2006). "Estudiante desata el alboroto con pases de embarque de aerolíneas falsos" . Washington Post . Consultado el 30 de noviembre de 2006 .
- ^ Singel, Ryan (29 de noviembre de 2007). "¿Es ilegal el cierre de un sitio web por parte del gobierno sin una orden judicial? La Corte Suprema sugiere que sí" . Noticias por cable . Consultado el 5 de marzo de 2008 .
- ^ Kantor, Andrew (2 de noviembre de 2006). "Trucos simples agitan la histeria del gobierno" . USA Today . Consultado el 14 de noviembre de 2014 .
- ^ "Estudiante de IU, foco de la sonda del FBI, habla" . TheIndyChannel.com . Archivado desde el original el 27 de septiembre de 2007 . Consultado el 30 de noviembre de 2006 .
- ^ Kane, David (6 de junio de 2007). "Aviso de advertencia, página 1" . Administración de Seguridad en el Transporte . Consultado el 23 de julio de 2007 .
- ^ Kane, David (6 de junio de 2007). "Aviso de advertencia, página 2" . Administración de Seguridad en el Transporte . Consultado el 23 de julio de 2007 .
Fuentes
- (en francés) Yves Eudes, Hacker vaillant rien d'impossible , Le Monde , 17 de noviembre de 2012, págs. 36–37. También publicado en Le Temps , sábado 8 de diciembre de 2012, págs. 26–27
- Glenn Fleishman, Un caballero con armadura digital , The Economist , 1 de septiembre de 2012
- Mike Kessler, The Pest Who Shames Companies Into Fixing Security Flawings , Wired , 23 de noviembre de 2011
enlaces externos
- Página de inicio de Soghoian
- El blog de Soghoian
- Gorjeo
- Blog de CNET de Soghoian (2007-2009)
- Christopher Soghoian en TED