Predstavljeno je izdanje kompleta alata Nzyme 1.2.0, dizajniranog za praćenje zraka bežičnih mreža u cilju otkrivanja zlonamjerne aktivnosti, postavljanja lažnih pristupnih tačaka, neovlaštenih veza i izvođenja tipičnih napada. Kod projekta je napisan na Javi i distribuira se pod SSPL (javna licenca na strani servera), koja je zasnovana na AGPLv3, ali nije otvorena zbog diskriminatornih zahtjeva u pogledu korištenja proizvoda u uslugama u oblaku.
Snimanje saobraćaja se vrši prebacivanjem bežičnog adaptera u režim praćenja tranzitnih mrežnih okvira. Uhvaćeni mrežni okviri mogu se prenijeti u Graylog sistem za dugotrajno skladištenje u slučaju da su podaci potrebni za analizu incidenata i zlonamjernih radnji. Na primjer, program vam omogućava da otkrijete pojavu neovlaštenih pristupnih tačaka, a ako se otkrije pokušaj kompromitacije bežične mreže, pokazaće ko je bio meta napada i koji su korisnici kompromitovani.
Sistem može generirati nekoliko vrsta upozorenja, a također podržava različite metode za otkrivanje anomalnih aktivnosti, uključujući provjeru mrežnih komponenti pomoću identifikatora otiska prsta i stvaranje zamki. Upozorenja su podržana kada je mrežna struktura narušena (na primjer, pojavi se prethodno nepoznati BSSID), promijene mrežni parametri vezani za sigurnost (na primjer, promjena načina šifriranja), otkrivanje prisutnosti tipičnih uređaja za napad (na primjer, WiFi Ananas), fiksiranje poziva u zamku ili otkrivanje abnormalne promjene u ponašanju (na primjer, kada se pojave pojedinačni okviri s atipičnim slabim nivoom signala ili kršenjem graničnih vrijednosti za intenzitet dolaska paketa).
Osim za analizu zlonamjerne aktivnosti, sistem se može koristiti za generalno praćenje bežičnih mreža, kao i za fizičko otkrivanje izvora otkrivenih anomalija korištenjem trackera koji omogućavaju progresivnu identifikaciju zlonamjernog bežičnog uređaja na osnovu njegovih specifičnih atributa i promjena nivoa signala. Upravljanje se vrši preko web-interfejsa.
U novoj verziji:
- Dodata podrška za generiranje i slanje izvještaja e-poštom o otkrivenim anomalijama, fiksnim mrežama i općem statusu.
- Dodata podrška za upozorenja o otkrivanju pokušaja napada radi blokiranja rada nadzornih kamera na osnovu masovnog slanja paketa za deautentifikaciju.
- Dodata podrška za upozorenja o prethodno nevidljivim SSID-ovima.
- Dodata podrška za upozorenja o kvarovima u sistemu za nadzor, na primjer, kada je bežični adapter isključen sa računara na kojem je pokrenut Nzyme.
- Poboljšana kompatibilnost sa WPA3 baziranim mrežama.
- Dodata je mogućnost postavljanja rukovalaca povratnim pozivima da odgovore na upozorenje (na primjer, mogu se koristiti za pisanje informacija o anomalijama u datoteku dnevnika).
- Dodana je lista inventara resursa koja prikazuje parametre raspoređenih mreža koje se nadziru.
- Dodata je stranica profila napadača koja pruža informacije o sistemima i pristupnim tačkama sa kojima je napadač komunicirao, kao i statistiku o jačini signala i poslanim okvirima.
izvor: opennet.ru