Прадстаўлены выпуск інструментара Nzyme 1.2.0, прызначанага для маніторынгу эфіру бесправадных сетак з мэтай выяўлення шкоднаснай актыўнасці, разгортвання падстаўных кропак доступу, неаўтарызаваных падлучэнняў і здзяйсненні тыпавых нападаў. Код праекта напісаны на мове Java і распаўсюджваецца пад ліцэнзіяй SSPL (Server Side Public License), якая заснавана AGPLv3, але не з'яўляецца адчыненай з-за наяўнасці дыскрымінуючых патрабаванняў у стаўленні выкарыстання прадукта ў хмарных сэрвісах.
Захоп трафіку ажыццяўляецца праз перавод бесправаднога адаптара ў рэжым маніторынгу за транзітнымі сеткавымі кадрамі. Магчымая перадача перахопленых сеткавых кадраў у сістэму Graylog для працяглага захоўвання на выпадак, калі дадзеныя запатрабуюцца для разбору інцыдэнтаў і шкоднасных дзеянняў. Напрыклад, праграма дазваляе выявіць з'яўленне несанкцыянаваных кропак доступу, а ў выпадку выяўлення спробы кампраметацыі бесправадной сеткі пакажа, хто стаў мэтай нападу і якія карыстачы былі скампраметаваныя.
Сістэма можа генераваць некалькі тыпаў папярэджанняў, а таксама падтрымлівае розныя спосабы вызначэння анамальнай актыўнасці, у тым ліку праверку кампанентаў сеткі па fingerprint-ідэнтыфікатарам і стварэнне пастак. Падтрымліваецца генерацыя папярэджанняў пры парушэнні структуры сеткі (напрыклад, з'яўленні раней не вядомага BSSID), змене злучаных з бяспекай параметраў сеткі (напрыклад, змена рэжымаў шыфравання), выяўленні прысутнасці тыпавых прылад для правядзення нападаў (напрыклад, WiFi Pineapple), фіксацыі звароту да пасткі або вызначэння анамальнага змены паводзін (напрыклад, пры з'яўленні асобных кадраў з нетыповым слабым узроўнем сігналу або парушэннем парогавых значэнняў інтэнсіўнасці паступлення пакетаў).
Апроч аналізу шкоднаснай актыўнасці сістэма можа ўжывацца для агульнага маніторынгу за бесправаднымі сеткамі, а таксама для фізічнага выяўлення крыніцы выяўленых анамалій праз выкарыстанне трэкераў, якія дазваляюць паступальна вызначыць шкоднасную бесправадную прыладу на падставе спецыфічных для яго атрыбутаў і змены ўзроўня сігналу. Упраўленне вырабляецца праз web-інтэрфейс.
У новай версіі:
- Дададзена падтрымка генерацыі і адпраўкі на email справаздач аб выяўленых анамаліях, зафіксаваных сетках і агульным стане.
- Дададзена падтрымка папярэджанняў аб выяўленні спроб здзяйснення нападаў для блакавання працы камер назірання, заснаваных на масавай адпраўцы пакетаў дэаўтэнтыфікацыі.
- Дададзена падтрымка папярэджанняў аб выяўленні SSID-ідэнтыфікатараў, якія раней не сустракаліся.
- Дададзена падтрымка папярэджанняў аб збоях у працы сістэмы маніторынгу, напрыклад, пры адключэнні бесправаднога адаптара ад кампутара, на якім выконваецца Nzyme.
- Палепшана сумяшчальнасць з сеткамі на базе WPA3.
- Дададзена магчымасць задання callback-апрацоўшчыкаў для рэагавання на папярэджанне (напрыклад, можна выкарыстоўваць для запісу інфармацыі аб анамаліях у лог-файл).
- Дададзены спіс інвентарызацыі рэсурсаў, у якім адлюстраваны параметры разгорнутых сетак, за якімі ажыццяўляецца маніторынг.
- Дададзена старонка з профілем атакавалага, якая прадстаўляе інфармацыю аб сістэмах і кропках доступу з якімі ўзаемадзейнічаў атакавалы, а таксама статыстыку аб узроўні сігналу і адпраўленых кадрах.
Крыніца: opennet.ru