Megjelent az Nzyme 1.2.0, egy eszközkészlet, amelyet a vezeték nélküli hálózatok monitorozására terveztek a rosszindulatú tevékenységek, a tisztességtelen hozzáférési pontok, a jogosulatlan kapcsolatok és a gyakori támadások észlelésére. A projekt kódja Java nyelven íródott, és a Server Side Public License (SSPL) alatt kerül terjesztésre, amely az AGPLv3-on alapul, de a felhőszolgáltatásokban való használatra vonatkozó diszkriminatív követelmények miatt nem nyílt forráskódú.
A forgalom rögzítése úgy történik, hogy a vezeték nélküli adaptert úgy állítják be, hogy figyelje az átvitt hálózati kereteket. A rögzített hálózati keretek átvihetők a Graylog rendszerbe hosszú távú tárolás céljából, ha az adatokra szükség lenne incidensek és rosszindulatú tevékenységek elemzéséhez. Például a program képes észlelni a jogosulatlan hozzáférési pontok megjelenését, és ha egy vezeték nélküli hálózat feltörésére tett kísérletet észlel, megmutatja, hogy kik voltak a célpontok és mely felhasználók sérültek meg.
A rendszer többféle riasztást képes generálni, és különféle módszereket támogat a rendellenes tevékenységek észlelésére, beleértve a hálózati komponensek ujjlenyomat-készítését és a honeypotok létrehozását. Riasztások generálhatók a hálózati struktúra megsértései (pl. korábban ismeretlen BSSID megjelenése), a biztonsággal kapcsolatos hálózati paraméterek változásai (pl. titkosítási mód változásai), tipikus támadó eszközök jelenlétének észlelése (pl. WiFi Pineapple), a honeypot hozzáférés rögzítése vagy rendellenes viselkedésváltozások észlelése (pl. szokatlanul gyenge jelerősségű egyes keretek megjelenése vagy a csomagérkezési arány küszöbértékeinek megsértése) alapján.
A rosszindulatú tevékenységek elemzése mellett a rendszer használható vezeték nélküli hálózatok általános monitorozására, valamint az észlelt rendellenességek forrásának fizikai észlelésére olyan nyomkövetők segítségével, amelyek fokozatosan azonosítják a rosszindulatú vezeték nélküli eszközöket azok specifikus tulajdonságai és a jelerősség változásai alapján. A vezérlés webes felületen keresztül történik.
Az új verzióban:
- Hozzáadott támogatás e-mailben jelentések generálásához és küldéséhez az észlelt rendellenességekről, a rögzített hálózatokról és az általános állapotról.
- Hozzáadva a támogatás a megfigyelő kamerák blokkolására irányuló támadási kísérletek észleléséről szóló riasztásokhoz, a deauthentikációs csomagok tömeges küldése alapján.
- Hozzáadott támogatást a korábban nem látott SSID-kre vonatkozó figyelmeztetésekhez.
- Hozzáadott támogatás a monitorozó rendszer hibáival kapcsolatos riasztásokhoz, például amikor egy vezeték nélküli adaptert leválasztanak egy Nzyme-ot futtató számítógépről.
- Javított kompatibilitás a WPA3 alapú hálózatokkal.
- Hozzáadva a visszahívási kezelők figyelmeztetésekre való reagálásának beállításának lehetősége (például felhasználhatók a rendellenességekkel kapcsolatos információk naplófájlban történő rögzítésére).
- Hozzáadtunk egy erőforrás-leltárlistát, amely megjeleníti a monitorozott telepített hálózatok paramétereit.
- Hozzáadtunk egy támadói profiloldalt, amely információkat nyújt a támadó által használt rendszerekről és hozzáférési pontokról, valamint statisztikákat a jelerősségről és az elküldött keretekről.
Forrás: opennet.ru
