viernes, septiembre 23, 2011

Identity Spoofing para ligar con one-single-night girls

La historia no es mía, pero la he contado muchas veces al calor de los Tochuelo's moments porque es de las más ingeniosas y divertidas que he oído, y creo que es digna de los mejores ingenieros sociales en el arte del “exploiting girls” mediante una suplantación de identidad que permita obtener una elevación de privilegios.

Todos sabemos lo difícil que es ligar en esta nuestra profesión de informático, pero si encima aún no has empezado la dura escalada en la carrera laboral de tragar, lo tienes aún mucho peor. Para solucionar este problema siempre puedes ir al gimnasio y cultivarte unos bonitos cuadraditos en el abdomen, poner superbuenorro .... o intentar ser ingenioso.

La historia que ocupa hoy aquí es la de dos jóvenes universitarios, a los que dejaré en el anonimato de momento, que se dedicaban a la divertida tarea de recolectar las tarjetas de presentación, es decir, las business cards de amigos/conocidos/personas que, por suerte del azar del destino o más tragaderas completadas, se encuentraban en una posición laboral más vistosa a los ojos de las chicas de one-single night

Conviértete en el CEO de Google
Así, en su cartera llevaban las tarjetas de presentación de amigos trabajando en Microsoft y Yahoo!. En un viaje por el norte de Europa decidieron que para ligarse a dos mujeronas de mal vivir y bien vestir en un sitio VIP mega cool, decirles que eran estudiantes no iba a quedar muy apañado, así que optaron por sacar las tarjetas de presentación de amigos, hacer un Spoofing de identidad, y presentarse como ingenieros de Microsoft y Yahoo!.

La cosa no fue nada mal y el exploit salto el DEP, el ASLR y si nos ponemos hasta EMET, que la historia que vino después solo podría narrarse en un blog con control parental activado, por lo que podríamos resumir con que todo fue un éxito total. El único problema que tuvieron es de encontrarse en la triste situación de avisar a sus amigos, especialmente a uno de ellos que, con una vida más asentada, podría sufrir algún tipo de percance si a una  las “víctimas del engaño” se le ocurría llamar por teléfono o enviar un mensaje SMS que fuera interceptado por el (la) IPS del dueño de la business card usurpada.

La llamada fue algo como: “Si te llama una Noruega tú ni caso”.

Desde entonces tengo especial cuidado de a quién le doy mi tarjeta de presentación, ya que si bien un ingeniero social bueno no dudaría en hacérsela él mismo, darle las tarjetas a alguien es ponérselo demasiado sencillo. Al final, las tarjetas de información no van “firmadas digitalmente” y la gente tiende a creer que los datos allí reflejados son verdad. Si tu vida es un truño… colecciona tarjetas de presentación, y si tu vida no va mal… no se la des a nadie que pueda querer usurparte.

Por otro lado, me gustaría recordar que este método está pensado para relaciones one-single-night. Es harto peligroso hacer uso de este sistema para ligar con chicas de one-life. Así ten cuidado y saca los exploits solo cuando no puedas conseguir una elevación de privilegios mediante la inclusión voluntaria y por méritos dentro del grupo de "Administrators"

Saludos Malignos!

8 comentarios:

Rfog dijo...

Yosss, Malo Maloso... Qué bueno.

Además, el truco sólo es inteligible para Geeks de alto nivel tirando para Hacker/Gurú, je je.

Anónimo dijo...

Menuda idea, montemos entre todos una página web donde recopilemos tarjetas de presentación, así facilitamos lo que es el ligoteo xD

Anónimo dijo...

Genial la entrada. Lo que me he reído con la mezcla de conceptos ligoteo-hacking.

Me recuerda a un episodio de "Cómo conocí a vuestra madre" en el que Barney con un nombre falso se montaba hasta una web (que existe) para que la chica le buscara en Google.

jcanto dijo...

spoofing?

Chema Alonso dijo...

@jcanto, fixed. tX!

jcanto dijo...

np, la culpa es de Apple :P

Anónimo dijo...

Jajajaja.

Muy bueno!

Elfogris dijo...

Hay gente muy hábil por el mundo, yo creo que tuvo que ser un gallego no crees ¿?

Nos vemos en SF! ;)

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares