12 kwietnia 2010
Nowe, ekscytujące możliwości: Social-Engineer Toolkit
poniedziałek, kwietnia 12, 2010 | Autor:
\m/ojtek
The Social-Engineer Toolkit (SET) to zbiór gotowych narzędzi do przeprowadzania socjotechnicznych testów penetracyjnych. W odróżnieniu więc od narzędzi stworzonych z myślą o klasycznych testach penetracyjnych (takich jak Metasploit Framework) mających na celu wykrycie luk obecnych w samym systemie informatycznym, SET pozwala nam na przetestowanie podatności użytkowników systemu informatycznego na coraz popularniejsze ataki socjotechniczne. Projekt ten rozwija się niezwykle dynamicznie, a zapowiedź nowych funkcji mających się już niedługo pojawić wraz z nadejściem wersji 0.5 robi niesamowite wrażenie.
Już obecna wersja środowiska SET (v0.4) pozwala na zasymulowanie całej gamy interesujących ataków (takich jak atak poprzez zwabienie ofiary na fałszywą stronę internetową), jednak to, co twórca środowiska SET (David Kennedy — ReL1K) zamierza wprowadzić do wersji 0.5 stanowi kolejny przełom. Spójrzmy na opublikowany niedawno zwiastun nowych funkcji:
Wygląda więc na to, że SET v0.5 zostanie wyposażony w funkcję Credential Harvester Method, która będzie pozwalać na automatyczne sklonowanie witryny zawierającej formularz logowania (poprzez HTTP lub HTTPS), dzięki czemu możliwe będzie wykonywanie testowych ataków typu man in the middle. Na powyższym zwiastunie widzimy przykładowo, jak potencjalna ofiara testowego ataku zostaje zwabiona na fałszywą stronę serwisu Gmail.com. Wykonanie logowania skutkuje przechwyceniem przez osobę wykonującą test penetracyjny poświadczeń do konta Gmail, a sam użytkownik zostaje zalogowany do właściwej usługi...
Widać więc wyraźnie, że mający się ukazać już pod koniec kwietnia br. SET v0.5 będzie umożliwiał wszystkim osobom zajmującym się testami penetracyjnymi przeprowadzanie jeszcze bardziej realistycznych, zautomatyzowanych testów socjotechnicznych. Pamiętając jednak, że z tego typu narzędzi mogą korzystać również crackerzy, wszyscy będziemy musieli zwracać jeszcze większą uwagę na wszelkie odnośniki niewiadomego pochodzenia...
Już obecna wersja środowiska SET (v0.4) pozwala na zasymulowanie całej gamy interesujących ataków (takich jak atak poprzez zwabienie ofiary na fałszywą stronę internetową), jednak to, co twórca środowiska SET (David Kennedy — ReL1K) zamierza wprowadzić do wersji 0.5 stanowi kolejny przełom. Spójrzmy na opublikowany niedawno zwiastun nowych funkcji:
Wygląda więc na to, że SET v0.5 zostanie wyposażony w funkcję Credential Harvester Method, która będzie pozwalać na automatyczne sklonowanie witryny zawierającej formularz logowania (poprzez HTTP lub HTTPS), dzięki czemu możliwe będzie wykonywanie testowych ataków typu man in the middle. Na powyższym zwiastunie widzimy przykładowo, jak potencjalna ofiara testowego ataku zostaje zwabiona na fałszywą stronę serwisu Gmail.com. Wykonanie logowania skutkuje przechwyceniem przez osobę wykonującą test penetracyjny poświadczeń do konta Gmail, a sam użytkownik zostaje zalogowany do właściwej usługi...
Widać więc wyraźnie, że mający się ukazać już pod koniec kwietnia br. SET v0.5 będzie umożliwiał wszystkim osobom zajmującym się testami penetracyjnymi przeprowadzanie jeszcze bardziej realistycznych, zautomatyzowanych testów socjotechnicznych. Pamiętając jednak, że z tego typu narzędzi mogą korzystać również crackerzy, wszyscy będziemy musieli zwracać jeszcze większą uwagę na wszelkie odnośniki niewiadomego pochodzenia...
Wyślij nowy komentarz
Comments by IntenseDebate
Odpowiedz jako Gość, lub zaloguj się:
WróćPołączony jako (Wyloguj się)
Nie wyświetla się publicznie.
Publikowanie anonimowe.
Nowe, ekscytujące możliwości: Social-Engineer Toolkit
2010-04-12T11:48:00+02:00
\m/ojtek
Inne|Newsy|Sieci komputerowe|
Subskrybuj:
Komentarze do posta (Atom)
Wyszukaj w HCSL:
Subskrybuj:
Najpopularniejsze artykuły wszech czasów:
- Urządzenia do kopiowania kart płatniczych
- Co tak naprawdę ujawniasz w Internecie?
- Dlaczego należy zasłaniać klawiaturę bankomatu?
- Publiczna wiadomość z ukrytym przekazem
- Przyszłość antywirusów jest jasna
- Sposób na obejście internetowych blokad
- Superbezpieczne hasła na... żółtej karteczce
- Funkcje sprzętowego kasowania danych w HDD!
- 12-latek odkrył krytyczną lukę w Firefoksie
- Przestępstwo nie popłaca
- Czy jesteśmy inwigilowani przez chiński sprzęt?
- Gotowy zestaw do podsłuchiwania GSM
- Jak działa internetowa mafia?
- Uwaga na nowy rodzaj ataków phishingowych!
- Microsoftowy poradnik dla organów ścigania!
- Polski super-bezpieczny system Qubes OS
- Dane wieczyście dostępne
- Pierwszy atak samochodowych crackerów
- Pliki PDF zdolne do wykonania dowolnego kodu
- Polskie służby współpracują z firmą Google?
- Więzienie za odmowę ujawnienia hasła
- Podrzucanie dziecięcej pornografii
- Zapomniany film o hakerach
- Łamanie haseł w Windows Vista i 7