Christopher Soghoian

informático estadounidense

Christopher Soghoian (nacido en 1981) es un investigador y activista de la privacidad. Actualmente trabaja para el senador Ron Wyden como asesor principal de privacidad y ciberseguridad del senador. De 2012 a 2016 fue el tecnólogo principal de la Unión Estadounidense por las Libertades Civiles .

Vida personal

Soghoian es sobrino de Sal Soghoian , ex director de productos de automatización de Apple Inc. , responsable de AppleScript y Apple Automator .

Educación

Soghoian, que tiene nacionalidad británica y estadounidense, ^[1] obtuvo una licenciatura de la Universidad James Madison (Ciencias de la Computación; 2002), una maestría de la Universidad Johns Hopkins (Informática de Seguridad; 2005) y un doctorado de la Universidad de Indiana (Informática; 2012) . . Su disertación se centró en el papel que desempeñan los proveedores externos de servicios de telecomunicaciones e Internet a la hora de facilitar la vigilancia policial de sus clientes. ^[2]

Soghoian es miembro visitante del Proyecto de Sociedad de la Información de la Facultad de Derecho de Yale y miembro senior de TED . Anteriormente fue miembro de Open Society Foundations y estudiante miembro del Centro Berkman para Internet y Sociedad de la Universidad de Harvard .

Investigación y activismo sobre vigilancia gubernamental.

La investigación y la promoción de Soghoian se centran en gran medida en la vigilancia gubernamental. Su investigación ha arrojado mucha luz sobre el uso de sofisticadas tecnologías de vigilancia por parte de las agencias policiales estadounidenses, exponiendo dichas técnicas al debate público y a la crítica.

En diciembre de 2009, mientras era empleado de la Comisión Federal de Comercio , Soghoian grabó en secreto una conferencia de la industria de vigilancia a puertas cerradas. El inspector general de la agencia abrió una investigación sobre la conducta de Soghoian y posteriormente fue despedido de la FTC. ^[3] En la grabación, un ejecutivo de Sprint Nextel reveló que la compañía había creado un sitio web especial a través del cual los agentes encargados de hacer cumplir la ley pueden obtener información GPS sobre los suscriptores y que el sitio web se había utilizado para procesar 8 millones de solicitudes durante el año anterior. ^[4] Esa grabación fue citada posteriormente por Alex Kozinski , juez principal del Tribunal de Apelaciones del Noveno Circuito en Estados Unidos contra Pineda-Moreno , en apoyo de su opinión de que "1984 puede haber llegado un poco más tarde de lo previsto, pero está aquí en último". ^[5]

En un discurso público de febrero de 2012, Soghoian criticó el mercado comercial por las llamadas vulnerabilidades de seguridad de día cero , un tema que, hasta entonces, aún no había recibido atención significativa por parte de la prensa convencional. ^[6] Un mes después, Forbes citó a Soghoian, en un extenso artículo sobre el mercado de día cero, describiendo a las empresas e individuos que venden exploits de software como "los modernos mercaderes de la muerte" que venden "las balas de la ciberguerra". ^[7] Durante los siguientes años, varios medios de comunicación importantes publicaron sus propias historias de primera plana sobre la industria, a menudo con citas de Soghoian criticando a quienes proporcionaban dicho software de piratería a los gobiernos. ^{[8] [9]}

En una presentación de agosto de 2013 en la conferencia de hackers DEF CON , Soghoian destacó la existencia de un equipo dedicado del FBI que entrega malware a las computadoras y dispositivos móviles de los objetivos de vigilancia. En su presentación, Soghoian afirmó que descubrió al equipo leyendo documentos gubernamentales muy redactados y mirando los perfiles de ex contratistas del FBI en el sitio web de la red social LinkedIn . ^[10] En octubre de 2014, Soghoian llamó la atención sobre el hecho de que el FBI, en 2007, se había hecho pasar por Associated Press en un esfuerzo por entregar malware a un adolescente en el estado de Washington que había amenazado con bombardear su escuela secundaria. ^[11] Este acto de engaño fue condenado enérgicamente por las principales organizaciones de noticias, incluido el Asesor General de Associated Press. ^[12]

Activismo cifrado

En junio de 2009, Soghoian fue coautor de una carta abierta a Google con ^[13] 37 destacados expertos en seguridad y privacidad, instando a la empresa a proteger la privacidad de sus clientes habilitando el cifrado HTTPS de forma predeterminada para Gmail y sus otros servicios basados ​​en la nube. ^[14] En enero de 2010, Google habilitó HTTPS de forma predeterminada para los usuarios de Gmail, ^[15] y posteriormente para otros productos, incluida la búsqueda. Según Google, ya estaba considerando HTTPS por defecto. ^[16] En los últimos años, Soghoian ha continuado su defensa de HTTPS, pidiendo a los medios de comunicación, bufetes de abogados, agencias gubernamentales y otras organizaciones que cifren sus propios sitios web. ^[17]

Investigación y activismo sobre la privacidad del consumidor.

Entre 2009 y 2010, trabajó para la Comisión Federal de Comercio de EE. UU . como el primer asesor técnico interno de la División de Privacidad y Protección de Identidad. ^[18] Mientras estuvo en la FTC, ayudó con las investigaciones de Facebook, Twitter, MySpace y Netflix.

En octubre de 2010, Soghoian presentó una queja ante la FTC, en la que afirmaba que Google estaba filtrando intencionalmente consultas de búsqueda a los sitios que los usuarios visitaban después de hacer clic en un enlace de la página de resultados de búsqueda. ^[19] Dos semanas después, un bufete de abogados presentó una demanda colectiva contra Google por esta práctica. La demanda cita ampliamente la denuncia de la FTC de Soghoian. ^[20] En octubre de 2011, Google dejó de filtrar consultas de búsqueda a los sitios que visitaban los usuarios, ^[21] y luego, en 2015, la compañía resolvió la demanda colectiva por filtración de consultas de búsqueda por 8,5 millones de dólares. ^[22]

En mayo de 2011, la firma de relaciones públicas Burson-Marsteller se acercó a Soghoian y le pidió que escribiera un artículo de opinión anti-Google, criticando a la compañía por problemas de privacidad asociados con su producto de búsqueda social. Soghoian se negó y, en cambio, publicó la conversación por correo electrónico. Una investigación posterior realizada por periodistas reveló que Facebook había contratado a la empresa de relaciones públicas, que se había negado a identificar a su cliente ante Soghoian. ^[23]

En mayo de 2011, Soghoian presentó una denuncia ante la FTC, en la que afirmaba que el servicio de copia de seguridad en línea Dropbox estaba engañando a sus clientes sobre la seguridad de sus servicios. ^[24] Poco después de que Soghoian expresara públicamente por primera vez sus preocupaciones, Dropbox actualizó sus términos de servicio y política de privacidad para dejar en claro que la compañía, de hecho, no cifra los datos del usuario con una clave que solo el usuario conoce, y que la compañía puede revelarla. los datos privados de los usuarios si los organismos encargados de hacer cumplir la ley lo obligan a hacerlo.

Seguridad de la tarjeta de embarque

Soghoian llamó la atención del público por primera vez en 2006 como creador de un sitio web que generaba tarjetas de embarque de aerolíneas falsas. El 26 de octubre de 2006, Soghoian creó un sitio web que permitía a los visitantes generar tarjetas de embarque falsas para Northwest Airlines . Si bien los usuarios podían cambiar el documento de embarque para que tuviera cualquier nombre, número de vuelo o ciudad que desearan, el generador prefirió crear un documento para Osama bin Laden .

Soghoian afirmó que su motivación para crear el sitio web era centrar la atención nacional en la facilidad con la que un pasajero podía evadir la lista de exclusión aérea . ^[25] La información que describe las vulnerabilidades de seguridad asociadas con la modificación de la tarjeta de embarque había sido ampliamente publicitada por otros anteriormente, incluido el senador Charles Schumer (demócrata por Nueva York) ^{[26] [27]} y el experto en seguridad Bruce Schneier . ^[28]

El 27 de octubre de 2006, el entonces congresista Edward Markey pidió el arresto de Soghoian. ^[29] A las 2 de la madrugada del 28 de octubre de 2006, su casa fue allanada por agentes del FBI para confiscar computadoras y otros materiales. ^[30] El proveedor de servicios de Internet de Soghoian cerró voluntariamente el sitio web, después de recibir una carta del FBI afirmando que el sitio representaba una amenaza a la seguridad nacional. ^[31] El 29 de octubre de 2006, el congresista Markey emitió una declaración revisada afirmando que Soghoian no debería ir a la cárcel y que, en cambio, el Departamento de Seguridad Nacional debería "ponerlo a trabajar" para arreglar las fallas de seguridad de la tarjeta de embarque. ^[32] El FBI cerró su investigación criminal en noviembre de 2006 sin presentar cargos, ^[33] al igual que la Administración de Seguridad del Transporte en junio de 2007. ^{[34] [35]}

Referencias

1. Marrón, David. El FBI frustra el sitio de estafa aérea de estudiantes The Times 3 de noviembre de 2006
2. Soghoian, Christopher (1 de agosto de 2012). "Los espías en los que confiamos: proveedores de servicios externos y vigilancia policial" (PDF) . Consultado el 23 de diciembre de 2012 .
3. Hill, Cachemira (6 de diciembre de 2010). "La FTC contrata a un hacker para que le ayude con los problemas de privacidad. No duró". Forbes .
4. Zetter, Kim (1 de diciembre de 2009). "Los federales hicieron ping a los datos de Sprint GPS 8 millones de veces durante un año". Noticias por cable . Consultado el 15 de mayo de 2010 .
5. Estados Unidos contra Pineda-Moreno , 617 F.3d 1120 (9th Cir. 2010).
6. Naraine, Ryan (16 de febrero de 2012). "'Los intermediarios de exploits de día 0 son vaqueros, una bomba de tiempo'". ZDNet . Consultado el 9 de noviembre de 2014 .
7. Greenberg, Andy (23 de marzo de 2012). "Compras para días cero: una lista de precios para las hazañas de software secretas de los piratas informáticos". Forbes . Consultado el 9 de noviembre de 2014 .
8. Nakashima, Ellen (7 de octubre de 2014). "La ética del Hacking 101". El Correo de Washington . Consultado el 9 de noviembre de 2014 .
9. Perlroth, Nicole (13 de julio de 2013). "Las naciones compran mientras los piratas informáticos venden fallas en el código informático". New York Times . Consultado el 9 de noviembre de 2014 .
10. Valentino-DeVries, Jennifer (3 de agosto de 2013). "El FBI utiliza tácticas de piratas informáticos para espiar a los sospechosos". Wall Street Journal . Consultado el 9 de noviembre de 2014 .
11. Nakashima, Ellen (28 de octubre de 2014). "El FBI atrajo al sospechoso con una página web falsa, pero puede haber aprovechado la credibilidad de los medios". El Correo de Washington . Consultado el 9 de noviembre de 2014 .
12. Grygiel, Chris (7 de noviembre de 2014). "El FBI dice que se hizo pasar por un periodista de AP en el caso de 2007". Associated Press . Consultado el 9 de noviembre de 2014 .
13. Soghoian, Christopher (16 de junio de 2009). "Una carta abierta al director ejecutivo de Google, Eric Schmidt". Archivado desde el original el 20 de junio de 2009 . Consultado el 20 de junio de 2009 .
14. Helft, Miguel (16 de junio de 2009). "Gmail para obtener más protección contra fisgones". The New York Times - Blog de bits . Consultado el 20 de junio de 2009 .
15. Schillace, Sam (12 de enero de 2010). "Acceso HTTPS predeterminado para Gmail". El blog oficial de Gmail . Consultado el 15 de mayo de 2010 .
16. https://static.googleusercontent.com/media/www.google.com/en/us/googleblogs/pdfs/google_httpsresponse.pdf ^{[ URL básica PDF ]}
17. Braga, Mateo (1 de octubre de 2014). "La lucha por HTTPS". Empresa Rápida . Consultado el 9 de noviembre de 2014 .
18. Zetter, Kim (17 de agosto de 2009). "Un defensor abierto de la privacidad se une a la FTC". Cableado.com . Consultado el 20 de noviembre de 2009 .
19. DeVries, Jenifer Valentino (7 de octubre de 2010). "Un ex empleado de la FTC presenta una queja sobre la privacidad de Google". Wall Street Journal . Consultado el 9 de noviembre de 2014 .
20. Krazit, Tom (26 de octubre de 2010). "La demanda apunta a Google por referencias web". CNET .
21. Sullivan, Danny (6 de septiembre de 2013). "El plan de Google para retener datos de búsqueda y crear nuevos anunciantes". Tierra del motor de búsqueda .
22. Davis, Wendy (3 de abril de 2015). "El acuerdo sobre fuga de datos de Google por valor de 8,5 millones de dólares obtiene la aprobación". Publicación de medios .
23. Helft, Miguel (13 de mayo de 2011). "Facebook, enemigo del anonimato, se ve obligado a explicar un secreto". Los New York Times . Consultado el 17 de julio de 2011 .
24. Singel, Ryan (13 de mayo de 2011). "Dropbox mintió a los usuarios sobre la seguridad de los datos, según alega la denuncia ante la FTC". Noticias por cable . Consultado el 17 de julio de 2011 .
25. Soghoian, Christopher (26 de octubre de 2006). "Generador de tarjetas de embarque NWA de Chris" . Consultado el 5 de marzo de 2007 .
26. Schumer, Charles E. (13 de febrero de 2005). "Schumer revela un nuevo agujero enorme en la seguridad aérea". Archivado desde el original el 21 de noviembre de 2006 . Consultado el 30 de noviembre de 2006 .
27. Schumer, Charles E. (9 de abril de 2006). "Schumer revela: ¡Con pasos simples, los terroristas pueden falsificar tarjetas de embarque y abordar cualquier avión sin infringir la ley!". Archivado desde el original el 28 de junio de 2007 . Consultado el 30 de noviembre de 2006 .
28. Schneier, Bruce (15 de agosto de 2003). "Volar con el billete de avión de otra persona". Criptograma . Consultado el 30 de noviembre de 2006 .
29. Singel, Ryan (27 de octubre de 2006). "El congresista Ed Markey quiere que arresten al investigador de seguridad". Noticias por cable . Consultado el 24 de diciembre de 2012 .
30. Krebs, Brian (1 de noviembre de 2006). "Estudiante desata alboroto con tarjetas de embarque de aerolíneas falsas". El Correo de Washington . Consultado el 30 de noviembre de 2006 .
31. Singel, Ryan (29 de noviembre de 2007). "¿Es ilegal el cierre de un sitio web por parte del gobierno sin una orden judicial? La Corte Suprema sugiere que sí". Noticias por cable . Consultado el 5 de marzo de 2008 .
32. Kantor, Andrew (2 de noviembre de 2006). "Trucos sencillos provocan la histeria del gobierno". EE.UU. Hoy en día . Consultado el 14 de noviembre de 2014 .
33. "Estudiante de UI, foco de la investigación del FBI, habla". TheIndyChannel.com . Archivado desde el original el 27 de septiembre de 2007 . Consultado el 30 de noviembre de 2006 .
34. Kane, David (6 de junio de 2007). "Aviso de advertencia, página 1". Administración de Seguridad del Transporte . Consultado el 23 de julio de 2007 .
35. Kane, David (6 de junio de 2007). "Aviso de advertencia, página 2". Administración de Seguridad del Transporte . Consultado el 23 de julio de 2007 .

Fuentes

• (en francés) Yves Eudes, Hacker vaillant rien d'impossible, Le Monde , 17 de noviembre de 2012, págs. Publicado también en Le Temps , sábado 8 de diciembre de 2012, págs. 26-27
• Glenn Fleishman, Un caballero con armadura digital, The Economist , 1 de septiembre de 2012
• Mike Kessler, La plaga que avergüenza a las empresas para que solucionen fallos de seguridad, Wired , 23 de noviembre de 2011

enlaces externos

• Página de inicio de Soghoian
• El blog de Soghoian
• Gorjeo
• Blog CNET de Soghoian (2007-2009)
• Christopher Soghoian en TED