La version de la boîte à outils Nzyme 1.2.0 est présentée, conçue pour surveiller les ondes des réseaux sans fil afin d'identifier les activités malveillantes, de déployer de faux points d'accès, des connexions non autorisées et de mener des attaques standards. Le code du projet est écrit en Java et est distribué sous la licence SSPL (Server Side Public License), basée sur AGPLv3, mais n'est pas ouverte en raison de la présence d'exigences discriminatoires concernant l'utilisation du produit dans les services cloud.
Le trafic est capturé en basculant l'adaptateur sans fil en mode de surveillance des trames du réseau de transit. Il est possible de transférer les trames réseau interceptées vers le système Graylog pour un stockage à long terme au cas où les données seraient nécessaires pour analyser les incidents et les activités malveillantes. Par exemple, le programme vous permet de détecter l'émergence de points d'accès non autorisés, et si une tentative de compromettre un réseau sans fil est détectée, il montrera qui était la cible de l'attaque et quels utilisateurs ont été compromis.
Le système peut générer plusieurs types d'alertes et prend également en charge diverses méthodes de détection d'activités anormales, notamment la vérification des composants du réseau par des identifiants d'empreintes digitales et la création de pièges. Il prend en charge la génération d'alertes lorsque la structure du réseau est violée (par exemple, l'apparition d'un BSSID jusqu'alors inconnu), les modifications des paramètres réseau liés à la sécurité (par exemple, les modifications des modes de cryptage), la détection de la présence de dispositifs d'attaque typiques (par exemple exemple, WiFi Pineapple), enregistrement d'un appel à un piège ou détermination d'un changement de comportement anormal (par exemple, lorsque des trames individuelles apparaissent avec un niveau de signal faible atypique ou une violation des valeurs seuils pour l'intensité des arrivées de paquets).
En plus d'analyser les activités malveillantes, le système peut être utilisé pour la surveillance générale des réseaux sans fil, ainsi que pour détecter physiquement la source des anomalies détectées grâce à l'utilisation de trackers qui permettent d'identifier progressivement un dispositif sans fil malveillant en fonction de ses caractéristiques spécifiques. attributs et changements dans le niveau du signal. La gestion s'effectue via une interface web.
Dans la nouvelle version:
- Ajout de la prise en charge de la génération et de l'envoi de rapports par courrier électronique sur les anomalies détectées, les réseaux enregistrés et l'état général.
- Ajout de la prise en charge des avertissements concernant la détection de tentatives d'attaque pour bloquer le fonctionnement des caméras de surveillance basées sur l'envoi massif de paquets de désauthentification.
- Ajout de la prise en charge des avertissements concernant l'identification de SSID précédemment invisibles.
- Ajout de la prise en charge des avertissements concernant les pannes du système de surveillance, par exemple lorsque l'adaptateur sans fil est déconnecté de l'ordinateur exécutant Nzyme.
- Compatibilité améliorée avec les réseaux basés sur WPA3.
- Ajout de la possibilité de spécifier des gestionnaires de rappel pour répondre à un avertissement (par exemple, ils peuvent être utilisés pour enregistrer des informations sur les anomalies dans un fichier journal).
- Une liste d'inventaire des ressources a été ajoutée, qui affiche les paramètres des réseaux déployés qui sont surveillés.
- Une page de profil de l'attaquant a été ajoutée, fournissant des informations sur les systèmes et les points d'accès avec lesquels l'attaquant a interagi, ainsi que des statistiques sur la force du signal et les trames envoyées.
Source: opennet.ru