martes, junio 04, 2013

Un pequeño juego de ingeniería social en BlackHat 2010

Esta semana pasada me preguntaban por alguna anécdota que tuviera yo respecto a técnicas de ingeniería social. En este tema mi referente personal es mi amigo Claudio Caracciolo (@holesec) que además de gran experto y amante de este area, lo cuenta de maravilla en historias como la de la Ingeniería social en un banco parte 1 y parte 2, Ingeniería social en los hoteles parte 1 y parte 2, o en esta pequeña charla de TEDxUTN titulada "De las emociones a las experiencias" que debéis aprovechar para veros.

Figura 1: Claudio Caracciolo con "De las emociones a las experiencias"

Hecha la introducción, pasaré a contaros una de estas anécdotas, que tuvo lugar en la ya lejana BlackHat Europe 2010, en Barcelona, donde bajo el lema "This is my country, I am the law" monté una noche de lo más típico que suelo hacer yo en Barcelona con speakers y asistentes al evento. En aquella ocasión yo fui como Speaker Sustituto. Básicamente es que vas como reserva por si falta alguien, y no tienes que preocuparte de mucho más que de disfrutar el ambiente y ver charlas.

Allí en aquellas conferencias se dieron cita mucha gente del sector nacional, como José Selvi, Lorenzo Martínez, Ero Carrera, Ramón Pinuaga, Anelkaos, Nico Castellanos o el gran Fermín J. Serna. Junto a ellos, pues el panorama internacional con nombres como Roelof Temmingh (Maltego), Moxie Marlinspike, Enno Rey, Dani Mende o Mariano Nuñez di Croce. Y a todos los que quisieron los invité a venir al Bar Paco a tomar una cena compuesta por tapas, vino de la tierra y luego Licor de Hierbas.

La cena estuvo graciosa, pero he de decir que a Moxie no le convenció demasiado el Licor de Hierbas que catalogó como "La peor cosa que había tomado en mi vida", lo que nos llevó a tener una larga discusión sobre vinos que hemos continuado teniendo en otras conferencias sobre si en San Francisco se hace mejor o peor vino que en Europa... (¡y que haya que discutir esto!). El caso es que después de las tapas y los vinos, los llevé a tomar algo a "ya sabéis dónde vamos siempre" en Barcelona, para ver tocar alguna canción de Joaquín Sabina, comer kikos y echarnos unas risas con alguna bebida espiritual.

Allí estabamos, cuando a Moxie se le ocurrió hacer un juego de Ingeniería social. La cosa es que se apostó con nosotros a que siempre era capaz de ganarnos a Piedra, Papel o Tijera en una competición al mejor de 3. Al principio pensé que nos estaba proponiendo jugar la mutación de Piedra, Papel, Tijera, Lagarto o Spock, pero no, era el clásico juego.

Figura 2: Sheldon explicando Piedra, Papel, Tijera, Largato, Spock

Tenía que haber truco. Las reglas eran fáciles. Jugaríamos a Piedra, Papel o Tijera, y el que ganara mandaría al que perdiera a hacer una de las cosas más difíciles para un hacker: Hablar con una chica desconocida durante al menos dos minutos utilizando todos los trucos de ingeniería social. Nivel extremo, como podéis ver.

Como todos habíamos tomado algo de vino, licor de hierbas o alguna copa de esas espirituosas , ya no había Rajesh Koothrappali que se ocultase bajo una rara afección. Así que comenzamos a jugar. Yo seguía escamado por la afirmación a de Moxie, así que dejé a otros más valientes que comenzaran a sacar piedras, perder los papeles y ser cortados con las tijeras de las chicas que Moxie iba eligiendo antes de que pasaran los dos minutos estabelecidos como Check Point. Esto era así, porque Moxie siempre ganaba al juego... y parecía todo muy normal.

Cayó nuestro amigo Claudio de Guatemala - hacker de ingeniería social que se hizo periodista para ir invitado a todas las BlackHat -, nuestro amigo alemán Dani Mende también cayó, y llegó el momento en que me liaron para que luchara contra Moxie al fatídico juego de Piedra, Papel o Tijera. La culpa creo que la tuvieron Fermín y Anelkaos que decidieron comenzar una campaña de "Chema es un gallina", para que al final me animara "voluntariamente" a jugar en el juego.

En la primera ronda de Piedra, Papel o Tijera, Moxie me dijo: "I told you. I always win." Le miré y le contesté "Let´s see this time". Y sacamos. Y me ganó. "Me ca&%$ en to!", pensé. Sacamos otra vez. Y gané. Sonreí. Moxie sonrió también. Sacamos. Y perdí. "Jooooder!".

Todos se empezaron a descojonar reir, esperando a ver cuál era la chica que Moxie me elegía. Y seleccionó un par de chicas en una mesa separada. Hasta el momento todos habían fallado en el intento de superar los dos minutos hablando con las chicas elegidas, pero yo no estaba dispuesto a que esto me pasara.

Nunca se me había dado mal eso de hablar con las chicas, he de decir, pero siempre fue más por intuición que por otra cosa. Me acerqué a ellas, e intenté recordar algunos trucos de ingeniería social ya que el juego iba de eso. Empecé a recordar algunos trucos de una charla que había visto hace muchos años en el cuartel general de Microsoft en Redmond sobre ingeniería social, titulada "Hacking People" que había impartido Steve Riley en un MVP Security Summit. De ella no recordaba muchas cosas, pero había una que nunca se me olvidó: "La gente quiere ayudar". Solo había un problema, saber en qué me podrían querer ayudar esas chicas a mí.

Como me había llevado mi gorro a rayas, confié todo a su fuerza. Cuando llegué a su mesa y me miraron, me di cuenta de que yo estaba de pié y ellas sentadas, lo que me daba a mí una posición más alta y me distanciaba de ellas, así que me puse de cuclillas en el suelo apoyado con los brazos en la mesa mirándolas yo de abajo arriba. No quería parecer amenazante.
- "Hola, perdonad que os moleste chicas, pero es que necesito algo de ayuda, ¿sois de aquí?", pregunté.
- "No, no somos de aquí, somos de Bilbao", contestó una de ellas.
Arrea. En este punto, si eres de España y conoces las leyendas que se cuentan de lo difícil que es ligar en el País Vasco, ya podrás imaginarte que esto se acaba de complicar varios enteros de repente. He aquí un ejemplo del tiempo necesario para ligar con una chica vasca según Vaya Semanita.

Figura 3: Ligar en el País Vasco según Vaya Semanita. Una relación de pareja.

Miré de reojo entre un mechón de mi pelo a ver a la panda de hackers que se descojonaba en la otra mesa mientras yo ponía cara de circunstancias. Pero decidí pasar al ataque.
- "Vaya, ¿las dos? ¿Y cómo habéis llegado aquí?", las inquirí de nuevo intentando que el reloj corriera lo suficientemente rápido como para superar la prueba.
- "Pues hemos venido a un congreso", respondió una de ellas.
Ahá, aquí había tema de conversación. Yo estaba en pleno doctorado, así que algo sabía de estos asuntos. 
- "¿Estás haciendo el doctorado?", pregunté. El tiempo corría a mi favor.
Se miraron extrañadas y me contestó una:
- "Sí, ¿por?".
- "Yo también estoy con ello, pero me tiene loco. ¿En qué area lo estáis haciendo?"
Y ahí llegó el milagro:
- "Antenas de comunicaciones móviles y seguridad. Somos ingenieras de Telecomunicaciones de la Universidad del País Vasco", me dijo una.
Gracias dios del bit por esta casualidad histórica. En ese punto me giré, miré a mis compañeros, y supe que los dos minutos iban a pasar con toda tranquilidad hablando de temas técnicos. Dentro de mí ya estaba celebrando la victoria.

Figura 4: La celebración interna de la victoria que estaba por llegar. No es inusual.

Por supuesto gané la apuesta. Después les conté la historia del concurso de ingeniería social, las llevé a la mesa con todos los demás, y ... seguimos hablando de frikadas durante un buen rato hasta que sufrí otro ataque de otro maestro de ingeniería social, llegada la hora de la irnos.  Fermín J. Serna nos convencía de que era hora de irnos al hotel, nos empaquetaba en el taxi, y cuando ya estábamos todos dentro decía: "Creo que me voy a quedar a acompañar a *Whoever*", mientras cerraba la puerta del taxi y nos mandaba para el hotel.

Al final, Moxie no me dijo el truco, pero yo sabía que tenía que haber un truco con el puñetero juego de Piedra, Papel o Tijera... y lo cierto es que hay un algoritmo que enseña como ganar siempre, así que cuando nos volvimos a ver en Noruega al tiempo, volvimos a jugar...

Figura 5: El algoritmo que permite ganar siempre. Lo del Spock & Roll es ilegal.

No es como el Truco de robar las passwords de Hotmail con Siri y el iPhone, pero hay que reconocer que nos echamos unas buenas risas esa noche en el bar porque un hacker que se sabía este algoritmo nos retó con un tajante "I always win".

Saludos Malignos!

8 comentarios:

Unknown dijo...

muy bueno jajaja a ver si lo puedo aplicar en argentina

ShyMun™ dijo...

Toma un bonus del bailecito, mas.. actual!

http://youtu.be/ZwS14TiO7Pk?t=3m57s

Unknown dijo...

En uno de los libros de John Allen Paulos (no recuerdo si "el nombre anumérico" o "un matemático lee el periódico") habla de lo útil que puede ser en muchos casos introducir azar en nuestras decisiones. También habla de lo difícil que resulta para una persona decidir algo realmente al azar, y el algoritmo que has colgado es clara prueba de ello.

Estaría bien pensar algún método mnemotécnico para generar secuencias pseudoaelatorias que sea fácil de aplicar "de cabeza", precisamente para estas situaciones en las que quieres introducir azar "de verdad".

Anónimo dijo...

Se puede ser más Geek ??
XD XD XD

F4l53-19 dijo...

Tod@s somos manipulad@s de una forma de otra, al final.. siempre picamos y también manipulamos constantemente a l@s demás, el 99% de esas veces, lo hacemos de un modo semiconsciente.

Perdona Miguel, pero ¿por qué pones esa cara en la foto? parece que te llegó en ese instante la carta de la agencia tributaria macho... pon una más alegre hombre, de verdad que das algo de yuyu ;)



Unknown dijo...

Es que no me sale sonreír en las fotos sin que quede forzado.

Unknown dijo...

quien es ese Claudio de Guatemala? me gustaria saber que ha publicado como periodista

JuAnKLiMoN dijo...

Genial! @holesec siguiendo... q bueno el primer libro q nombro lo tengo :) http://k42.kn3.net/8/D/8/6/E/E/D7A.jpg no se como sera en los demas paises pero la chispa Argentina para la Ingenieria Social es SORPRENDENTE! Saludos!

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares