07 listopada 2010

Przełomowe wydanie pakietu narzędzi socjotechnicznych

niedziela, listopada 07, 2010 | Autor: \m/ojtek
O Social-Engineer Toolkit (SET), czyli pakiecie gotowych narzędzi do przeprowadzania socjotechnicznych testów penetracyjnych pisałem już wielokrotnie, chociażby przy okazji prezentowania nowych rodzajów ataków phishingowych lub za sprawą omawiania przykładowego ataku poprzez fałszywą stronę internetową. Projekt SET cały czas rozwija się w zawrotnym tempie, zdobywa pokaźne rzesze użytkowników, a w ostatnim czasie doczekał się przełomowego wydania 1.0 “Devolution”. Przyjrzymy się przy tej okazji jego najnowszym możliwościom, z uwzględnieniem świetnych materiałów edukacyjnych, jakie tworzone są wraz z samym środowiskiem SET.

Wydanie SET 1.0 przynosi kilka zupełnie nowych rodzajów ataków testowych, webowy graficzny interfejs użytkownika, możliwość automatyzowania poszczególnych funkcji, wsparcie dla szablonów oraz oczywiście szereg rozmaitych pomniejszych dodatków i poprawek.
Z nowych ataków warto wymienić DLL Hijacking, nowe exploity dla niedawnych luk w Adobe Shockwave oraz Adobe Flash, ataki z wykorzystaniem spreparowanych wiadomości SMS oraz nowy rodzaj ataku poprzez Javę w przeglądarce. Wszystkich chętnych do praktycznego przetestowania najnowszych możliwości środowiska SET gorąco do tego zachęcam. Najnowszą wersję środowiska możemy przykładowo pobrać z wykorzystaniem SVN za pomocą następującego polecenia:
  • svn co http://svn.secmaniac.com/social_engineering_toolkit set/
Warto również wiedzieć, że wraz z rozwojem samego środowiska SET, tworzone są świetne materiały edukacyjne, pozwalające na samodzielne poznanie praktycznych testowych ataków socjotechnicznych i lepsze zrozumienie wszystkich towarzyszących im zagadnień. Taki na bieżąco aktualizowany kurs online dostępny jest przykładowo pod tym adresem.

Jak więc widzimy, Social-Engineer Toolkit w dziedzinie socjotechnicznych testów penetracyjnych staje się tym, czym w obszarze tradycyjnych pentestów już od dawna jest Metasploit Framework. Z pewnością pakiet ten przyczynia się również do coraz poważniejszego traktowania testów mających na celu badanie podatności użytkowników oraz administratorów systemów informatycznych właśnie na ataki socjotechniczne.

Na koniec zachęcam jeszcze wszystkich zainteresowanych tematyką praktycznego stosowania testów socjotechnicznych do zapoznania się z tym, co na ten temat ma do powiedzenia sam twórca projektu SET, czyli David "ReL1K" Kennedy:


Etykiety: , , , ,

Komentarze (5)

Wczytywanie... Logowanie...
Panel | Edytuj profil | Wyloguj się
  • Zalogowany jako
+1 Głosuj na tak Głosuj na nie
Awatar Damian

Damian · 750 tygodni temu

No SET fajny, ale żeby przetestować swoje komputery które nie są w sieci, aby sprawdzić i załatać dziurę na ten atak się nie da.
Więc tak o do zabawy się nadaje, aby sprawdzić swój własny komputer.
1 odpowiedź · aktywny mniej niż minuta temu
Wczytywanie...
+2 Głosuj na tak Głosuj na nie
\m/ojtek's avatar - Go to profile

\m/ojtek 84p · 750 tygodni temu

Jak to tylko własny komputer? SET służy przede wszystkim do testowania podatności użytkowników komputerów, a nie samych komputerów...
0 Głosuj na tak Głosuj na nie
Awatar Damian

Damian · 749 tygodni temu

Tak tylko, że np mam w domu 2 komputery i inny jest z innej sieci to już nie zadziała
0 Głosuj na tak Głosuj na nie
Awatar zacisk

zacisk · 745 tygodni temu

muhahahhaa. damian sec spec. lol.
+1 Głosuj na tak Głosuj na nie
Awatar Mariusz

Mariusz · 734 tygodni temu

ahahah damian poczytaj co to jest atak socjotechniczny ;P

Wyślij nowy komentarz

Comments by

Subskrybuj: Komentarze do posta (Atom)

Blogger Template created with Artisteer by Wojciech Smol.