HARD CORE SECURITY LAB

The Social-Engineer Toolkit (SET) to zbiór gotowych narzędzi do przeprowadzania socjotechnicznych testów penetracyjnych. W odróżnieniu więc od narzędzi stworzonych z myślą o klasycznych testach penetracyjnych (takich jak Metasploit Framework) mających na celu wykrycie luk obecnych w samym systemie informatycznym, SET pozwala nam na przetestowanie podatności użytkowników systemu informatycznego na coraz popularniejsze ataki socjotechniczne. Projekt ten rozwija się niezwykle dynamicznie, a zapowiedź nowych funkcji mających się już niedługo pojawić wraz z nadejściem wersji 0.5 robi niesamowite wrażenie.

Już obecna wersja środowiska SET (v0.4) pozwala na zasymulowanie całej gamy interesujących ataków (takich jak atak poprzez zwabienie ofiary na fałszywą stronę internetową), jednak to, co twórca środowiska SET (David Kennedy — ReL1K) zamierza wprowadzić do wersji 0.5 stanowi kolejny przełom. Spójrzmy na opublikowany niedawno zwiastun nowych funkcji:



Wygląda więc na to, że SET v0.5 zostanie wyposażony w funkcję Credential Harvester Method, która będzie pozwalać na automatyczne sklonowanie witryny zawierającej formularz logowania (poprzez HTTP lub HTTPS), dzięki czemu możliwe będzie wykonywanie testowych ataków typu man in the middle. Na powyższym zwiastunie widzimy przykładowo, jak potencjalna ofiara testowego ataku zostaje zwabiona na fałszywą stronę serwisu Gmail.com. Wykonanie logowania skutkuje przechwyceniem przez osobę wykonującą test penetracyjny poświadczeń do konta Gmail, a sam użytkownik zostaje zalogowany do właściwej usługi...

Widać więc wyraźnie, że mający się ukazać już pod koniec kwietnia br. SET v0.5 będzie umożliwiał wszystkim osobom zajmującym się testami penetracyjnymi przeprowadzanie jeszcze bardziej realistycznych, zautomatyzowanych testów socjotechnicznych. Pamiętając jednak, że z tego typu narzędzi mogą korzystać również crackerzy, wszyscy będziemy musieli zwracać jeszcze większą uwagę na wszelkie odnośniki niewiadomego pochodzenia...