Monday, November 21, 2011

Ingeniería Social usando las redes sociales y la Geo Localización


Tabla de Contenidos
Ingeniería Social usando las redes sociales y la Geo Localización 1
Abstract 1
Estadísticas de Twitter 2
Descripción del problema 3
Prueba del concepto 4
¿Por qué, debería preocuparme? 8
¿Cómo puedo protegerme? 8

Abstract


Twitter es una de las redes sociales más usadas y la #1 en micro blogging.

Fue lanzada el 16 de Julio de 2006 con sólo unos pocos usuarios y ahora tiene más de doscientos millones. Su principal función es proveer al usuario la capacidad de compatir texto con otros usuarios con un máximo de 140 caracteres y también tiene servicios asociados como twitpic que le permite subir imágenes asociadas al contenido publicado, a su vez Twitter permite agregar información sobre la ubicación geográfica donde se genera el contenido, latitud y longitud, esta información queda almacenada como metadata del Tweet. Este tipo de metadata no sólo puede ser agregado en fotos sino también en múltiples formatos de archivo s multimedia como videos, SMS, entre otros.

Además de la Geo Localización también existe el Geo Coding donde este proceso convierte a coordenada no geográfica como el nombre de una calle en datos de Geo Localización o vice versa.

Estas características son fantásticas y se han convertido en herramientas muy importantes para todo usuario de smartphone debido a la capacidad y servicios asociados con la Geo Localización y la telefonía móvil. Sin embargo, así como esta información es muy útil en una gran variedad de aspectos de la vida cotidiana, también posibilita el mal uso de esta información por cualquier persona que sea capaz de navegar el sitio de Twitter o alguna de sus aplicaciones, para revisar la línea de tiempo del usuario, analizarla y crear información de inteligencia, que podría ser usada para generar patrones de comportamiento, lugares que frecuenta y actividades que realiza, con el alto riesgo que esta información implica. Es por eso, que así como una funcionalidad tan fantástica se puede convertir en un arma de doble filo que puede atentar contra, incluso la integridad y seguridad de la persona.

Estadísticas de Twitter

  • Twitter actualmente tiene 100 millones de usuarios activos
  • 50 Millones de usuarios conectados diariamente
  • 200 millones de usuarios registrados
  • El número de usuarios que se conectan a Twitter de forma mensual ha ido en aumento desde principios de año
  • 55 millones de usuarios se conectan a Twitter desde su teléfono o tablet, cada mes.
  • Twitter.com recibe 400 millones de visitantes al mes
  • Las visitas a Twitter.com aumentó en un 60% este año
  • El 40% de los usuarios de Twitter, no “Twitea” de forma mensual pero revisa los Tweets de los otros usuarios
  • El crecimiento proyectado para fin de año son 26 Millones de usuarios adicionales.
  • Twitter almacena aproximadamente un billón de tweets cada cinco días.
  • Twitter tiene un nuevo récord de cantidad de Tweets por segundo de 8.900 (TPS)


Figure 1: Distribución de usuarios y utilización de Twitter

Descripción del problema


El explosivo aumento de los dispositivos móviles y la gran democratización del acceso a Internet desde cualquier parte del mundo, ha permitido que gran parte de los usuarios que poseen un dispositivo móvil tenga conexión a Internet.


La Geo localización en los dispositivos móviles es uno de los servicios más usado por los usuarios de smartphones, esto debido a provee una gran gama de servicios asociados, donde permiten a los usuarios encontrar desde el restaurant más cercano y su calificación por usuarios de su mismo grupo etáreo, hasta usarlo como asistente para llegar a una determinada dirección en la ciudad usando la ruta más corta, todo esto al alcance de unos taps.

Es así como los usuarios pueden aprovechar los servicios de geo localización para encontrar servicios disponibles, también pueden, a través de las redes sociales, como Twitter, generar contenido y además agregar la Geo Localización asociada al momento de publicar el contenido.


La metadata de Geo Localización no sólo es posible encontrarla en redes sociales si no también en distintos tipos de archivos multimedia como por ejemplo, videos e imagenes, en este último lo podemos encontrar en su formato EXIFF, donde si el dispositivo donde se tomó la foto tenía Geo Tagging a través de GPS o triangulación de localización a través de A-GPS con las redes celulares o WIFI, esta información quedará almacenada como metadata en la imagen y estará disponible para cualquier persona que tenga acceso a la imagen.


En esta oportunidad nos enfocaremos particularmente en Twitter, por su rápido crecimiento y los innumerables enfoques en que este servicio puede ser usado, sin embargo es necesario señalar que hoy en día la mayoría de las redes sociales como por ejemplo, facebook, linkedin, myspace, orkut, foursquare, entre otras, permiten asociar o sincronizar su contenido a través de Twitter.


El problema de publicar contenido Geo Etiquetado (Fotos, Tweets, Etc) es que en un 99% de las ocasiones esa información estará disponible a todo el mundo. Es así como cualquier persona puede acceder, procesar, analizar esta información y posteriormente usarla con múltiples fines, tales como: Comercial, Marketing focalizado, SPAM o fines reñidos con la moral.


Es así como el acto tan simple e inocente de publicar:

“Esta increible el concierto, La FOX en el movistar arena y quedan dos horas”


Puede utilizarse de varias formas, como lo veremos a continuación en el Proof of Concept.


Prueba del concepto


Con el fin de demostrar la teoría se ha desarrollado un pequeño script en Python, donde se implementan dos librerías, Twytton, HTML y se usa el servicio de libre disponibilidad de Google Maps.

El script, el cual busca a través del Timeline de un usuario X de Twitter si posee contenido con Geo Localización, lo almacena y genera una página HTML con el mapa donde se generó el contenido , sus coordenadas geográficas, latitud y longitud, y finalmente genera una traza de los lugares donde el usuario generó contenido GeoLocalizado.



Ejecución del script via línea de comandos en OS X con los parámetros: Nombre del usuario y cantidad de Tweets que se desea investigar (máximo 200 por el API de Twitter)



Completado el proceso se genera una página HTML con contenido estático y las imágenes son generadas automáticamente usando las coordenadas y el servicio de Google Maps




En este ejemplo el usuario tiene más de cuarenta Tweets con Geo Localización, así es que por fines demostrativos sólo se mostraron algunos resultados tomados de forma aleatoria.


Podemos verificar la teórica que los usuarios tienden a generar el contenido Geo Localizado en los mismos lugares/ocasiones.


Si hacemos click en el link de coordenadas automáticamente creado por la aplicación, podemos revisar la ubicación con el mapa dinámico de Google que nos provee de información adicional y herramientas de zoom in/out. En este caso en particular podemos apreciar que hemos podido obtener la imagen de la residencia del usuario.





Finalmente se genera el trazado de los lugares Geo Localizados por el usuario al momento de generar contenido social:




Así vemos que el simple hecho de generar contenido Geo Localizado puede convertirse de algo “cool” en información crítica, como lo expondremos a continuación.











¿Por qué, debería preocuparme?


En el estudio se comprobó que con una muestra de diez usuarios que publican contenido Geo Localizado, en al menos cinco existe una relación entre la frecuencia y los lugares en que se genera contenido Geo Localizado, es decir, “Twitean” por lo general en los mismos lugares, momentos o situaciones.


Con muy poco análisis se puede utilizar esta información, públicamente disponible, para hacer un perfil de comportamiento de la persona, lugares que frecuenta, duración y permancia en X o Y lugar.


Al publicar este tipo de información usted está generando y ampliando su superficie de ataque, desde el punto de vista de la seguridad, donde esta información puede ser usada que atenten con su seguridad.


No es raro leer de vez en cuando que en EEUU han robado y desvalijado casas completas, usando camiones de mudanza, robando hasta la pecera de la casa, debido a que uno de los dueños, había publicado un Twitter que decía que se había ido de vacaciones por el fin de semana a la playa.


Es así como también no sólo puede poner en peligro bienes materiales sino que también su integridad como persona, donde esta información puede ser usada para generar un perfil y posteriormente ser usada para perpretar hechos tan despreciables como el secuestro o el acoso sexual.

¿Cómo puedo protegerme?


La respuesta es fácil, no publique información sensible o personal, si bien es cierto que existe una tendencia a nivel mundial de publicar a todo el mundo que se está haciendo a todo momento, esto no necesariamente es una práctica segura, como lo hemos visto esta información puede ser usada con fines delictuales y poner en riesgo no sólo a quién publica el contenido, si no que a todo su grupo familiar.


A continuación se describirán como deshabilitar las configuraciones que permiten a las aplicaciones móviles, obtener la Geo Localización del usuario de forma predeterminada.





Dispositivos con Android
Debes inhabilitar completamente Mi ubicación de tu dispositivo para dejar de utilizar Google Maps. En la pantalla principal, accede a "Menú" > "Ajustes" > "Ubicación y seguridad" y desactiva la opción "Usar redes inalámbricas".

Dispositivos BlackBerry
Selecciona "Menú" > "Ayuda" y desactiva la opción "Habilitar Mi ubicación".

Dispositivos iPhone o iPod Touch
Puedes optar por no "Permitir" el acceso a la ubicación la primera vez que utilices una aplicación o puedes inhabilitar por completo los servicios de ubicación del teléfono. Para desactivar los servicios de ubicación, accede a la pantalla principal, selecciona "Ajustes" > "General" y desactiva la opción "Servicios de ubicación".

Dispositivos con Palm webOS
En el menú de aplicaciones, accede a "Servicios de ubicación" y desactiva "Localización automática".

Dispositivos con Symbian S60 y Windows Mobile
Selecciona "Menú" > "Opciones" y, a continuación, selecciona la opción "Desactivar Mi ubicación".

Sony Ericsson y otros dispositivos
Selecciona "Menú" > "Ayuda" > "Mi ubicación (beta)" y, a continuación, selecciona la opción "Desactivar Mi ubicación".