Alpha's Manifesto

A black and white figure's thought-hive

Priming

Alias: el "Inception" de los ingenieros sociales.

InceptionEl mes pasado en la entrega del newsletter de Social-Engineer.org (Volumen 03, Entrega 33) me enteré de un concepto llamado Priming. Este concepto es muy parecido a lo que se hizo popular con la película Inception (El Origen), en donde alguien le siembra una idea a alguien más para dejarla aflorar y entonces hacer uso de las ventajas que esa idea nos da, haciéndole creer a alguien más que es una apreciación puramente propia.

Bueno, no es tan exactamente así. El artículo nos cuenta cómo el priming (primado en español) puede y es usado por vendedores y políticos para generar asociaciones entre elementos que comúnmente no relacionamos, o que simplemente no tienen relación, pero de estarlo afectan la forma en la que los vemos. El mejor ejemplo son el de las encuestas llamadas Push Poll, una encuesta en donde el propósito de la misma no es realmente obtener información de los encuestados sino forjarles una idea internamente.

Por supuesto que esto también puede ser usado a nuestro favor, y el artículo explica algunos puntos a ser tenidos en cuenta. Un estudio psicológico más profundo en el tema nos revelará otros factores que están relacionados para poder utilizarlo más eficientemente.

Soy un zorrinito primado.

Mitigando ataques de ingeniería social

Top 5 de acciones para prevenirse

Desde el mes pasado estoy esperando a que Social-Engineer.org deje salir a la luz el newsletter que enviaron sobre tips de reducción de riesgo ante ataques de ingeniería social. Este newsletter, específicamente el número 29, se titula The Top 5 Social Engineering Mitigation Tips.

El newsletter es un poco más descriptivo que sólo enumerar cinco items, cuenta por qué son importantes y qué cosas podrían ocurrir si es que no se tuvieran en cuenta. Por alguna razón el formato se ve un poco roto y se veía mejor en el email, pero aún así es legible y útil.

Soy un zorrinito protegido.

Link del día: Social Datamining

Este es mi tercer post hablando sobre un artículo publicado sobre la gente de OkCupid. ([1], [2]). Para quien no lo sepa, es un sitio de citas (dicen ellos, el más grande que hay), con un blog realmente fantástico y con un valor científico muy importante (o eso considero yo). Ellos hacen análisis basados en la relaciones que su sitio maneja, y personalmente creo que sus estudios pueden bien ser de ayuda para la sociología u otras ciencias.

En este caso en particular, quiero aproximar este siguiente post desde el punto de vista de la ingeniería social. Ellos analizaban el siguiente problema: en una primera cita hay mucho que uno quiere conocer de la otra persona, pero son cosas que no se pueden preguntar porque son preguntas invasivas, o porque simplemente incomodarían a la otra persona.

El datamining y las probabilidades entran en acción. Analizando el total de la gente, han logrado separa bajo distintos factores aquellas preguntas que sí se pueden analizar, y cuál es el factor de correlación con las que no se pueden contestar. Por ejemplo, que alguien te responda que le gusta el sabor de la cerveza implica un 60% de posibilidades de sexo en una primera cita (a muchos les hubiera gustado saber esto antes, verdad?)

Llevenló al aspecto de la seguridad. ¿Cuántas cosas sore la seguridad interna de un sistema o empresa podríamos saber haciendo otro tipo de preguntas?

Sin más explicación, los dejo con el artículo: The Best Questions for a First Date.

Soy un zorrinito social.

Link del día: Framework de Ingeniería Social

Muchos de nosotros debemos pensar que la ingeniería social tiene mucho de talento innato, mucho de arte y mucho de particular. Por la forma en que muchas cosas se desarrollan en este área de la seguridad, creemos que hay realmente poco de reutilizable, exceptuando ciertos detalles técnicos, ciertas acciones que pueden desarrollarse a través del ámbito virtual.

Estas cosas son, por supuesto, fácilmente reproducibles y reutilizables, y deben de serlo cuando se trata de la utilización de ciertos exploits o de ciertas técnicas que necesitamos utilizar para que el usuario nos brinde información propia (por ejemplo, phishing, tab-nabbing, click-jacking, etc.).

Social-Engineer.org tiene muchísima información sobre este tema, sobre distintas aproximaciones y técnicas, y, lo más curioso, un framework de ingeniería social llamado de forma muy creativa Social Engineering Framework. Pero no sólo eso, sino que para asistir a la sección de computer-based social engineering hay herramientas muy conocidas, las cuales son:

Yo diría que todo esto es un must-read para un aspirante a testeador de seguridad.

Soy un zorrinito social.