Bylo představeno vydání sady nástrojů Nzyme 1.2.0, která je navržena tak, aby monitorovala vzduch v bezdrátových sítích za účelem odhalování škodlivé činnosti, nasazování podvodných přístupových bodů, neoprávněných připojení a provádění typických útoků. Kód projektu je napsán v Javě a distribuován pod licencí SSPL (Server Side Public License), která je založena na AGPLv3, ale není otevřená z důvodu diskriminačních požadavků ohledně použití produktu v cloudových službách.
Zachycování provozu se provádí přepnutím bezdrátového adaptéru do režimu sledování pro rámce tranzitní sítě. Je možné přenést zachycené síťové rámce do systému Graylog pro dlouhodobé uložení v případě, že jsou data vyžadována pro analýzu incidentů a škodlivých akcí. Program například umožňuje odhalit výskyt neautorizovaných přístupových bodů a v případě zjištění pokusu o kompromitaci bezdrátové sítě ukáže, kdo byl cílem útoku a kteří uživatelé byli kompromitováni.
Systém může generovat několik typů výstrah a také podporuje různé metody pro detekci anomální aktivity, včetně kontroly síťových komponent pomocí identifikátorů otisků prstů a vytváření pastí. Upozornění jsou podporována, když je narušena struktura sítě (například se objeví dříve neznámý BSSID), se mění parametry sítě související se zabezpečením (například změna režimů šifrování), detekuje se přítomnost typických útočných zařízení (například WiFi Pineapple), oprava volání do pasti nebo detekce abnormální změny chování (například když se jednotlivé rámce objeví s atypickou slabou úrovní signálu nebo překročením prahových hodnot pro intenzitu příchodu paketů).
Kromě analýzy škodlivé aktivity lze systém použít pro obecné monitorování bezdrátových sítí a také pro fyzickou detekci zdroje detekovaných anomálií pomocí trackerů, které umožňují progresivní identifikaci škodlivého bezdrátového zařízení na základě jeho specifických vlastností. a změny úrovně signálu. Správa se provádí přes webové rozhraní.
V nové verzi:
- Přidána podpora pro generování a zasílání e-mailových zpráv o zjištěných anomáliích, pevných sítích a obecném stavu.
- Přidána podpora pro upozornění na detekci pokusů o spáchání útoků na blokování práce sledovacích kamer na základě hromadného odesílání deautentizačních paketů.
- Přidána podpora pro varování o dříve neviděných SSID.
- Přidána podpora upozornění na selhání monitorovacího systému, například při odpojení bezdrátového adaptéru od počítače se systémem Nzyme.
- Vylepšená kompatibilita se sítěmi založenými na WPA3.
- Přidána možnost nastavit obslužné rutiny zpětných volání, aby reagovaly na varování (například je lze použít k zápisu informací o anomáliích do souboru protokolu).
- Byl přidán seznam inventáře zdrojů, který zobrazuje parametry nasazených sítí, které jsou monitorovány.
- Byla přidána stránka profilu útočníka, která poskytuje informace o systémech a přístupových bodech, se kterými útočník interagoval, a také statistiky o síle signálu a odeslaných rámcích.
Zdroj: opennet.ru