El problema de seguridad de Twitter de James Comey también es su problema

Hasta hace poco, muchas de las grandes filtraciones de datos llamativos, como la Objetivo y Sony hackeos: sucedieron porque los datos no estaban protegidos. El cifrado adecuado probablemente habría evitado esas infracciones.





Ahora las cosas son diferentes. Vemos que surgen cada vez más problemas, no porque los datos no estén protegidos, sino porque no están protegidos adecuadamente.

Hasta hace poco, pocas personas fuera de la academia prestaban mucha atención a un concepto llamado seguridad del flujo de información, que implica verificar los datos a medida que interactúan con el software. Luego vino Esta es casi con certeza la cuenta de Twitter de James Comey , un artículo de Gizmodo que captura todo lo que significa ser una fuga de información moderna.

La historia detrás del artículo: una periodista llamada Ashley Feinberg quería encontrar la cuenta secreta de Twitter del director del FBI, James Comey. Comenzó a investigar en Internet y pudo descubrir la cuenta en solo cuatro horas, en gran parte al explotar un error de flujo de información clave en Instagram.



Feinberg describe cómo usó datos sobre Comey y su familia para encontrar un tuit público que la llevó a un comentario público de Instagram que la llevó a la página protegida de Instagram del hijo de 22 años de Comey, Brien.

Jean Yang Leonard Greco

Después de que Feinberg envió solicitudes para seguir a Brien, Instagram le recomendó que también siguiera reinholdniebuhr , otra cuenta de Instagram protegida que coincidía con lo que Feinberg ya sabía sobre la cuenta de Instagram de James Comey. Aún mejor, el identificador de Twitter con el mismo nombre coincidía con lo que Feinberg sabía sobre la cuenta de Twitter de Comey.



Están sucediendo muchas cosas aquí, muchas de las cuales están fuera del control de un desarrollador de software en Instagram, pero el núcleo de esta filtración es un error de flujo de información. Feinberg se basó en varios hechos públicos clave sobre Comey, pero no habría podido encontrar su cuenta de Twitter si Instagram, sin darse cuenta, no hubiera proporcionado las pistas vitales. E Instagram no habría revelado esta información si el código hubiera aplicado correctamente la seguridad del flujo de información.

Existe una inconsistencia entre cómo Instagram protege la información en los perfiles de cuenta cuando los usuarios intentan acceder a ella y cómo protege esta información cuando se usa en varios algoritmos. Cuando intenta ver la página de Instagram de un usuario protegido, no puede acceder a las fotos de esa persona ni ver a quién sigue ese usuario. Sin embargo, resulta que la información de la cuenta protegida es visible para los algoritmos que sugieren otro usuarios a seguir, una característica que se vuelve, incorrectamente, visible para todo espectadores una vez que se solicita un seguimiento.

En este caso, la violación de la política es particularmente insidiosa porque lo que realmente se filtró, la foto de perfil y el nombre de Reinholdneibuhr, son públicos en Instagram. Lo que debe ser privado es el relación entre Brien Comey y este relato reinholdneibuhr. Si bien es posible que Instagram mostrara al azar a reinholdneibuhr como una cuenta recomendada para seguir fuera de su 600 millones de usuarios activos mensuales , lo que es más probable, especialmente dado que los otros usuarios recomendados tenían el apellido Comey, es que el algoritmo de recomendación de Instagram usó información de seguimiento secreta para calcular qué cuentas recomendar. En la nomenclatura de flujo de información, la fuga de información secreta a través de la visualización de información pública se denomina flujo implícito.



Así como el cifrado adecuado habría evitado los ataques de Target y Sony, existen soluciones para evitar fugas de información como esta. Hay décadas de investigación sobre técnicas de seguridad del flujo de información: algunas que verifican el software antes de que se ejecute, otras que monitorean el software mientras se ejecuta. Este trabajo es mucho más que teórico: la gente ha construido sistemas operativos y frameworks web basados ​​en estas ideas. Dichos sistemas habrían detectado si un algoritmo de recomendación estaba filtrando información de seguimiento secreta y evitado la fuga. Pero incluso con estos enfoques, el programador todavía necesita razonar sobre la compleja y sutil interacción de las políticas entre sí y con el código para producir software que no filtre información.

En mi laboratorio, intentamos facilitar a los desarrolladores la implementación de políticas de flujo de información. Ayudamos a la máquina a asumir la responsabilidad de gestionar la interacción entre políticas y con el programa para asegurarnos de que los algoritmos de recomendación no filtren información. Las políticas también especifican qué valores puede usar la máquina cuando los valores reales deben mantenerse en secreto. Por ejemplo, si un algoritmo de búsqueda no puede usar la ubicación exacta de alguien, tal vez pueda usar la ciudad correspondiente.

Historia relacionada Los teléfonos que guardan bajo llave todo lo que tienen podría inhibir la aplicación de la ley más de lo que realmente queremos.

Aunque la seguridad digital debería ser una de las principales preocupaciones del FBI, Comey no pudo evitar los problemas que surgen del lío de políticas espaguetis que es el código moderno. Aunque esta filtración afectó a muchas menos personas que las grandes filtraciones de datos, marca un cambio importante en la seguridad de la información.



Hasta ahora, la mayoría de la gente ha pensado en la seguridad en términos de protección de elementos de datos individuales, en lugar de interacciones complejas y sutiles con los programas que los utilizan. Pero ahora vivimos en un mundo en el que el director del FBI confía en nuestra infraestructura de Internet e Instagram lo suficiente como para poner en línea 3227 fotografías privadas. Por un lado, esto significa que hemos alcanzado un cierto nivel de seguridad. Por otro, significa que ahora podemos centrarnos en problemas de seguridad más avanzados. Y cuando cualquier persona con buena deducción y acceso a Internet puede encontrar todo tipo de información, nuestro trabajo en seguridad de la información está lejos de terminar.

Juan Yang | es profesor asistente en el departamento de informática de la Universidad Carnegie Mellon y fue nombrada uno de Revisión de tecnología del MIT 's Innovadores menores de 35 años en 2016.

esconder