, 18 tweets, 4 min read Read on Twitter
Gece gece size bir olay, @robinsage 'den bahsedelim. Kendisi olmayan biri. Kurgusal karakter yani. Siber güvenlik tarihinde yapılmış testlerin en iyilerinden biri. Olay 2009 yılında geçiyor. #iyibilgi
2009 yılında, Facebook, Twitter, Linkedin ve daha bir çok platformda Robin Sage adına hesaplar açıldı. Sosyal medya profillerine göre 25 yaşında MIT mezunu Amerikan Donanmasında çalışan bir siber güvenlik analistiydi. ve 25 yaşında olmasına rağmen 10 yıllık iş tecrübesi vardı.
Sosyal medya hesaplarından eklediği bazı insanlar tarafından kabul edilmese de 300'e yakın askeri personel, istihbarat çalışanı, güvenlik uzmanı ve orduya çalışan firmaların çalışanı ile arkadaş oldu. Kullandığı fotoğraf da bir porno siteden alınmıştı.
Hiç gerçek hayat referansı olmamasına rağmen, bir çok erkekten yemek davetleri aldı, hediyeler önerildi, devlet ve özel sektörde (Google gibi önemli firmalarda) çalışma teklifleri aldı.
Thomas Ryan tarafından yaratılan bu karakter daha 2.gününde bazı kişilerce mail adresi ve MIT bağlantılarını araştırılarak ifşa edilmişti. Buna rağmen ilk elde ettiği bağlantılar sayesinde Sage 1 ayda her yaştan güvenlik sektörü çalışanı kadın ve erkekle arkadaş olabilmişti.
Sage'le flörtleşenler arasında NSA, Savunma Bakanlığı, askeri istihbarat ve büyük şirketlerin çalışanları vardı. Bağlantıları sayesinde çok veri elde etti. Gizli askeri üsler, email adresleri, banka hesapları, organizasyonlar ve kişiler arasında gizli kalması gereken ilişkiler...
Hatta gizli belgeleri gözden geçirmesi istenmiş, askeri konferanslarda konuşma davetleri almıştı. 25 yaşında 10 yıllık tecrübesi gözüken Sage'e bir NASA çalışanı paperlarını gözden geçirmesi için göndermişti. Ryan NASA çalışanının çalışmalarını çalıp kendi adına yayınlayabilirdi.
Verilen bilgiler OPSEC(Operasyonel Güvenlik) ve PERSEC (Kişisel Güvenliği) ihlal ediyordu. Cinsiyet ve görüntünün insanların ilişki kurma konusunda nasıl bir teşvik ve güven sağladığını açığa çıkarıyordu. Ayrıca sadece profil bilgilerinin etkisi de ortaya çıkmış oldu.
Profilindeki işi de güven sağlıyordu. ABD Donanmasında Siber Tehdit Analisti olarak çalışıyor gözükmesi "devlet tarafından güvenilir bulunmuş" kişi görünümü sağlıyordu. MIT'den mezun olması nedeniyle üst düzey iş teklifleri alabiliyordu.
Yeterli ortak bağlantı elde edince, devlet organlarındaki istihbarat görevlerindeki insanları bile ikna etmenin mümkün olduğu ortaya çıkmıştı. Örneğin Sage bir mesaj almıştı:"Sizi şahsen tanımıyorum ama Marty ile arkadaş olduğunuzu gördüm bu benim için yeterli".
Kendim de örnek vermek isterim. Bir çok bilişim, siyasi ve sivil toplum faaliyetim olmasına rağmen bu yollarla beni tanımayan bir çok sosyal medya bağlantım, beni bu yollarla tanımış kişilerle ortak arkadaşlıklar nedeniyle muhtemelen beni bağlantı olarak ekledi.
Bu sosyal medyanın en tehlikeli yönlerinden biri olan kendi araştırmanı yapmak yerine başkasının muhakemelerine güvenmenin zararlarını da ortaya çıkarıyordu. Bugün sahte haberler de bu şekilde yayılıyor.
2009 yılında ters resim eşleştirme mümkündü. Sadece Sage'in resmini bu şekilde arasalardı, pornografik bir siteden alındığını anlayabilirlerdi. Hatta diğer bir dikkat çekecek konu da şuydu: Çok sosyal gözüken bir kişinin neden sadece 2-3 tane fotoğrafı olurdu?
Cinsiyet seçimi de çok önemliydi. Erkek dominant sektörlere sızmak için seçilen kadın profili başarılı olmuştu. Erkek bir profil ne kadar etkili olurdu bilinmez ama Sage'e yüzlerce fırsat önerilmişti.
Yine kendimden bir örnek vermek isterim. Upload/Download oranı mecburiyeti olan bir torrent forumundan oranlara dikkat etmeme rağmen ufacık hatalarla defalarca banlanmıştım. Bunun üzerine bir kadın profili açmıştım.
Daha önce bu orana dikkat etmeme rağmen defalarca banlanmış olmama rağmen, kadın profili ile bu işlemi yaptığım zaman 2 yıl boyunca bu orana dikkat etmeden torrent indirebilmiştim. Torrent forumu yöneticisinin mesajına 6 ay cevap vermedikten sonra trip yiyerek banlanmıştım.
Thomas Ryan bu çalışmasını "Robin Sage'le yatağa girmek" adı altında Black Hat konferansında sundu. Kısa süren bu deneyinde sosyal medyada paylaşılan bilgilerin nasıl zarar verebileceği ve saklanması için verilen bilgilerin kolayca başkalarıyla paylaşılabileceğini açıkladı.
Teröristlerin de aynı şekilde bilgi alabileceğini açıkladı. Fakat işin en komik yanı da şuydu: "Robin Sage" ABD ordusunda gerçekleştirilen konvansiyonel olmayan savaş ortamı taktik testlerinden birinin adı. Yani aslında ortalama bir ABD ordusu personeli doğrudan şüphelenmeliydi.
Missing some Tweet in this thread?
You can try to force a refresh.

Like this thread? Get email updates or save it to PDF!

Subscribe to Tarık Beyhan
Profile picture

Get real-time email alerts when new unrolls are available from this author!

This content may be removed anytime!

Twitter may remove this content at anytime, convert it as a PDF, save and print for later use!

Try unrolling a thread yourself!

how to unroll video

1) Follow Thread Reader App on Twitter so you can easily mention us!

2) Go to a Twitter thread (series of Tweets by the same owner) and mention us with a keyword "unroll" @threadreaderapp unroll

You can practice here first or read more on our help page!

Follow Us on Twitter!

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just three indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3.00/month or $30.00/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!