HARD CORE SECURITY LAB

Surfując po czeluściach Internetu natrafiłem na niezwykle intrygujące narzędzie, którego autorem jest szesnastoletni programista o pseudonimie GreyZer0 (Hesham Ali). Social-Engineering Ninja to aplikacja webowa stworzona jako phishingowy framework i pozwala w praktyce na wykonywanie dalece zautomatyzowanych ataków phishingowych. Możliwiści SEN robią duże wrażenie, pytanie tylko, dla kogo właściwie przeznaczone jest to oprogramowanie?

Social-Engineering Ninja pozwala na wykonanie ataków phishingowych z wykorzystaniem fałszywych stron internetowych, imitujących takie witryny jak:

• Amazon.com
• Bank Of America
• Digg.com
• Facebook.com
• Gmail.com
• Hotmail.com
• Mastercard.com
• Myspace.com
• Paypal.com
• Twitter.com
• Visa.com
• Youtube.com

Powyższy przykład przedstawia testowy atak phishingowy pozwalający na przejęcie danych logowania do serwisu Twitter. Widzimy, jak intruz przesyła (za pomocą wiadomości imitującej komunikat pochodzący z działu wsparcia technicznego Twittera) odnośnik do fałszywej witryny utworzonej za pomocą pakietu SEN. Odnośnik w e-mailu prowadzi rzekomo do domeny twitter.com, podczas gdy w rzeczywistości nawiązuje połączenie z komputerem intruza. Potencjalna ofiara, sprawdzając własną pocztę elektroniczną, natrafia na wiadomość pochodzącą rzekomo z serwisu Twitter. Widząc prośbę o zalogowanie się do serwisu, użytkownik otwiera odnośnik prowadzący w rzeczywistości do fałszywej strony phishingowej. Ponieważ wygląd witryny nie różni się od oryginalnego serwisu Twitter, użytkownik wykonuje logowanie. W konsekwencji, jego poświadczenia trafiają do intruza oraz następuje przekierowanie do prawdziwej witryny Twittera.

Według zapewnień twórcy pakietu, Social-Engineering Ninja pozwala również na wysyłanie anonimowych wiadomości e-mail oraz wstrzykiwanie ramek iframe do kodu dowolnej strony internetowej. Oto kilka zrzutów prezentujących interfejs administracyjny pakietu:
Warto podkreślić, że Social-Engineering Ninja nie jest narzędziem darmowym, pojedyncza licencja kosztuje bowiem 160 USD.

Należy przypomnieć, że na przeprowadzanie podobnych ataków socjotechnicznych pozwala również pakiet Social-Engineer Toolkit. Oprócz ataków phishingowych, SET pozwala również na wykonywanie testowych ataków pozwalających na przejęcie całkowitej kontroli nad docelowym systemem operacyjnym potencjalnej ofiary. W dodatku twórca pakietu, David Kennedy — ReL1K, nie pobiera za swe oprogramowanie jakichkolwiek opłat.

Przyglądając się więc obu narzędziom, powstaje ciekawe pytanie, a mianowicie dla kogo przeznaczone są pakiety takie jak SEN oraz SET? Zarówno SEN, jak i SET mogą się przydać specjalistom ds. bezpieczeństwa sprawdzającym podatność użytkowników systemów informatycznych na ataki phishingowe. Oba narzędzie mogą jednak również zostać wykorzystane przez komputerowych przestępców w celu nielegalnego przejmowania poświadczeń użytkowników popularnych serwisów internetowych.

Wydaje się więc, że tym co odróżnia narzędzia służące przede wszystkim do przeprowadzania testów penetracyjnych od narzędzi stricte crackerskich jest przede wszystkim... zamysł ich twórców. David Kennedy wyraźnie kieruje rozwijany przez siebie pakiet SET do specjalistów ds. bezpieczeństwa, zachęca do propagowania wiedzy na temat bezpieczeństwa IT oraz samych ataków socjotechnicznych. Tymczasem sloganem towarzyszącym pakietowi SEN jest wymowne...

SLAY YOUR ENEMIES

Poza tym, pakiet SET jest o wiele bardziej rozbudowany i wyposażony w wiele rozmaitych opcji konfiguracyjnych, co zdaje się zachęcać użytkowników do zdobywania wiedzy w zakresie ataków socjotechnicznych i studiowania wielu różnych aspektów inżynierii społecznej. SEN jest natomiast wyraźnie stworzony z myślą o dostarczeniu jak najprostszych w konfiguracji, gotowych scenariuszy ataków. Jest to więc narzędzie idealne dla przysłowiowych script kiddies...

Mimo więc, że granica pomiędzy narzędziami stworzonymi z myślą o komputerowych przestępstwach, a programami dedykowanymi do testów penetracyjnych jest czasem bardzo płynna, to jednak na ogół można zauważyć wiele znaczących różnic, ponieważ sam zamysł autora determinuj zazwyczaj w znacznym stopniu ostateczny kształt programu. Biorąc więc udział w dyskusji na temat sensu oraz zasadności rozwijania gotowych narzędzi pozwalających na wykonywania testów penetracyjnych (ataków testowych), warto więc wiedzieć, czym różnią się pakiety takie jak SEN i SET oraz czym różni się Metasploit Framework od programu typu exploit pack.