“Sou hacker há mais de dez anos” diz o perfil de Robin Sage; uma menina bonita, criada apenas para mostrar que redes sociais podem ser um perigo.
Centenas de profissionais dos segmentos de segurança de TI, militares e pessoas ligadas à inteligência digital foram recentemente envergonhados por repartir informações privadas a uma personagem fictícia de nome “Robin Sage”. Ela mantinha perfis em redes sociais relevantes, se apresentava como expert em segurança digital do corpo de fuzileiros norte-americanos e foi criada com o único objetivo de expor os riscos do envolvimento com as redes sociais digitais.
Em uma conversa com a Computerworld, o “pai” de Robin, co-fundador da empresa Provide Security, Thomas Ryan, disse ter usado algumas fotos para dar um rosto e a aparência de uma pessoa normal no Facebook, no LikedIn e no Twitter. Dessa maneira, Robin, aficionada por informática e com formação no MIT (Massachusetts Institute of Technology), virou um personagem quase real. Em seguida, ela criou conexões com mais de 300 contatos, entre homens e mulheres, todos oriundos do exército, de agências de inteligência, além de empresas de segurança da informação e companhias com contratos estabelecidos com o governo dos EUA.
De acordo com Ryan, o objetivo dessa ação era determinar a eficiência de redes sociais na execução de ações que visavam capturar dados confidenciais.
As pessoas acreditam no que querem acreditar
Mesmo com vários sinais alarmantes – como a ausência de um currículo profissional nos últimos dez anos na vida da jovem de 25 anos – o esquema deu certo. Os contatos de Robin, representada graficamente com a imagem de Abby Scuito (personagem da série NCIS), começaram a surgir em menos de um mês. Vários amigos repartiram fotos e informações pessoais, alguns chegaram a convidá-la para conferências e até pediram que revisasse alguns documentos. Outros “amigos”, empregados em grandes empresas como a Lockheed Martin e na Google, chegaram a aventar possíveis contratações.
Se fosse sério
Se Robin fosse um espião, um agente externo, ela teria acesso a um volume grande de informações bastante úteis, diz Ryan. Na próxima semana, Ryan deverá apresentar os resultados do experimento durante a BlackHat Security Conference, em Las Vegas. Seguem trechos da entrevista concedida à Computerworld:
Computerworld: O que o motivou a fazer essa experiência?
Thomas Ryan: O motivo mais forte foi toda essa conversa sobre a guerra e espionagem digital, as coerências e as incoerências sobre esses assuntos. Eu estava interessado em ver quanta informação é possível extrair das pessoas via redes sociais. Também queria saber quem são as pessoas mais suscetíveis a clicar em algo que não conhecem direito. Me interessava saber com que velocidade um fenômeno desses se alastra. Pude descobrir que usar os nomes do MIT e das escolas preparatórias que freqüentei era uma boa maneira. Se as pessoas não lembrarem de você, não clicam. Então, é mais difícil entrar nesses círculos do que nos grupos de informação e segurança.
CW: E quantas conexões Robin conseguiu fazer?
T.R.: No Facebook, 226; no LInkedIn, 206; seguidores do Twitter, Robin conseguiu 204. As conexões do Facebook eram predominantemente militares e agentes de segurança; no LinkedIn, os contatos eram agentes de segurança e de inteligência. Os seguidores de Robin no Twitter eram, na maioria, hackers.
CW: E de onde surgiu a aproximação? Robin foi atrás de contatos ou deixou que estes viessem até ela?
T.R.: Foi um pouco dos dois. No começo, eu me aproximei de algumas pessoas. na maioria agentes de segurança. São eles que têm a maioria dos contatos. Essas pessoas costumam ser bastante abertas e muito sociáveis.
CW: Que tipo de informação foi possível obter via essas conexões?
T.R.: De todo tipo. Desde endereços de email até dados bancários. Eu vi os padrões de amizades que existiam. Os perfis do LinkedIn, por exemplo, apresentam mais contatos de negócios recentes.
CW: Por que você acredita que Robin fez tanto sucesso?
T.R.: Por ser bonita. Isso ajuda muito.
CW: E a maioria dos contatos era de homens?
T.R.: Sim. A relação era 82% de homens e 18% mulheres. Entre as mulheres, a maioria vinha do segmento de segurança, fazia promoções dos eventos e das conferências.
CW: Você acredita que uma figura masculina pudesse fazer tanto sucesso na rede?
T.R.: Depende de como é apresentado.
CW: Qual foi a providência tomada pelo Facebook ao ver que seu personagem não era real?
T.R.: Eles deletaram minha página pessoal e a da Robin. Disseram que devido “a questões de segurança”, eu não seria mais autorizado a usar o Facebook. O LinkedIn deletou minha pagina, mas, uma cópia em cachê ainda existe no Google.
CW: E qual é a grande descoberta do projeto?
T.R.: É que não se deve adicionar quem não se conhece. A mesma tática foi usada para se infiltrar em uma base secreta israelense. As pessoas da base eram as únicas em uma página particular do Facebook. Houve quem tivesse conseguido entrar para o grupo e receber informações sigilosas.
CW: Mais algum comentário?
T.R.: Jamais consegui estabelecer qualquer relação com pessoas da CIA ou do FBI. Eu bem que tentei. Quando o experimento estava chegando ao fim, percebi um aumento incrível de pessoas do Oriente Médio acessando a página de Robin, na busca por informações do governo e dos sistemas. Não que eu tenha ficado assustado, mas é difícil ignorar uma coisa dessas.
