Respuesta corta:
Nada, aparte del miedo a perderlo todo o ir a la cárcel por mucho, mucho tiempo.
Respuesta larga:
- ¿Qué métodos pueden fortalecer la seguridad de EC2 más allá de los grupos de seguridad y las cadenas de IP?
- ¿Qué tipo de cifrado fue utilizado en Enigma por los alemanes? Simétrica o asimétrica?
- ¿Qué piensan los funcionarios del gobierno indio del discurso de la Cumbre de Seguridad Cibernética de Obama en Stanford recientemente?
- Cómo abrir un archivo PDF que está protegido con contraseña y he olvidado la contraseña
- Quiero convertirme en un experto en seguridad de la información. Empecé aprendiendo Linux. ¿Estoy en el buen camino?
La estafa de compra falsa en Avon es un caso distintivo de manipulación del mercado utilizando los sistemas de archivo de la SEC
Primero, ¿por qué robar información cuando puede manipular los mercados creando datos de BS usted mismo?
El año pasado, un atacante explotó una vulnerabilidad dentro de la herramienta de informes EDGAR para presentar una divulgación falsa con respecto a la compra del gigante de maquillaje Avon por parte de “PTG Capital” (una firma financiera falsa probablemente interpretada como una verdadera compra / tienda de PE “TPG Capital”) .
EDGAR es el mecanismo de informes de la SEC. Es una plataforma de software utilizada por los directores financieros de empresas que cotizan en bolsa, los principales inversores en fondos de cobertura del mercado público y los gerentes de los pisos de negociación para presentar / revisar documentos regulatorios financieros.
La ley de los EE. UU. Exige que se divulgue información como las finanzas de una empresa que cotiza en bolsa, avisos de intención de adquirir empresas públicas y otras acciones o métricas importantes relacionadas con la salud de las empresas públicas para minimizar la cantidad de información asimétrica que pueden tener los comerciantes individuales. – así como garantizar que todos los accionistas conozcan la información relevante para sus inversiones. EDGAR es una herramienta que maneja la recopilación de dicha información y su máxima difusión.
Después de que el atacante pudo comprometer a EDGAR y presentar un informe falso, las acciones de Avon aumentaron un 20% y movieron cientos de millones de dólares de valor en información falsa (ver: Una línea de tiempo de la oferta de compra falsa de acciones de Avon (AVP)). Si ese atacante hubiera colocado opciones de compra significativas en las acciones de Avon antes de hacer la presentación falsa, podrían haber hecho el rescate de un rey.
Y esto es exactamente lo que hizo el atacante. Más tarde ese año, los funcionarios de la SEC acusaron a un hombre búlgaro llamado Nedko Nedev (ver: SEC carga al hombre en Bulgaria en la oferta de adquisición falsa de Avon) por participar en la manipulación del mercado para aumentar artificialmente el valor de sus opciones en Avon. Terriblemente, Avon fue solo uno de los muchos ataques que Nedko y sus contrapartes realizaron en la SEC para manipular el mercado de valores utilizando datos falsos.
Vale la pena señalar también que hay protecciones mínimas dentro de EDGAR para certificar a sus usuarios o sus presentaciones como legítimas. El exitoso “pirateo” de Nedko no implicó la explotación de vulnerabilidades, la escalada de privilegios o cualquier otra cosa que pueda ver en un episodio de Mr. Robot. Simplemente explotó la creencia ciega de los inversores del mercado público en la información que sale de EDGAR.
Un retroceso a mi propia experiencia “pirateando” la SEC. Los equipos de Infosec en la SEC y otras instituciones reguladoras críticas son héroes anónimos que están cada vez más en la mira de los hackers maliciosos.
El robo de datos confidenciales que podrían permitir el uso de información privilegiada o manipular los mercados es real. Las empresas en espacios como productos farmacéuticos, defensa y otros campos con grandes empresas reguladas mantienen estos datos bajo un bloqueo extremo para evitar que los piratas informáticos se centren en cometer delitos financieros o manipular el mercado.
Pero no es necesario emplear un criptoanálisis avanzado o piratear los servidores de correo electrónico de Boeing para cometer cibercrimen para obtener grandes ganancias financieras. Muchos de los sistemas económicos en los que confiamos son vulnerables, y es dentro de las fallas no técnicas de esos sistemas donde se comete la mayoría de los delitos financieros.
Y como lo demuestra Avon, puedes ganar tanto (o incluso más) dinero de una mentira como puedas usando la verdad.
