Viene presentato il rilascio del toolkit Nzyme 1.2.0, progettato per monitorare le onde radio delle reti wireless al fine di identificare attività dannose, implementare punti di accesso falsi, connessioni non autorizzate ed effettuare attacchi standard. Il codice del progetto è scritto in Java ed è distribuito sotto la licenza SSPL (Server Side Public License), che si basa su AGPLv3, ma non è aperta per la presenza di requisiti discriminatori riguardo l'utilizzo del prodotto nei servizi cloud.
Il traffico viene catturato commutando l'adattatore wireless in modalità di monitoraggio per i frame della rete di transito. È possibile trasferire i frame di rete intercettati al sistema Graylog per l'archiviazione a lungo termine nel caso in cui i dati siano necessari per analizzare incidenti e attività dannose. Ad esempio, il programma consente di rilevare la comparsa di punti di accesso non autorizzati e, se viene rilevato un tentativo di compromettere una rete wireless, mostrerà chi era il bersaglio dell'attacco e quali utenti sono stati compromessi.
Il sistema può generare diversi tipi di avvisi e supporta anche vari metodi per rilevare attività anomale, incluso il controllo dei componenti di rete tramite identificatori di impronte digitali e la creazione di trappole. Supporta la generazione di avvisi in caso di violazione della struttura della rete (ad esempio, comparsa di un BSSID precedentemente sconosciuto), modifiche dei parametri di rete relativi alla sicurezza (ad esempio, modifiche nelle modalità di crittografia), rilevamento della presenza di tipici dispositivi di attacco (ad esempio esempio WiFi Pineapple), registrazione di una chiamata a una trappola o determinazione di un cambiamento anomalo nel comportamento (ad esempio, quando singoli frame compaiono con un livello di segnale debole atipico o violazione dei valori di soglia per l'intensità dei pacchetti in arrivo).
Oltre all'analisi di attività dannose, il sistema può essere utilizzato per il monitoraggio generale delle reti wireless, nonché per individuare fisicamente l'origine delle anomalie rilevate attraverso l'uso di tracker che consentono di identificare progressivamente un dispositivo wireless dannoso in base alle sue specifiche caratteristiche. attributi e cambiamenti nel livello del segnale. La gestione avviene tramite interfaccia web.
Nella nuova versione:
- Aggiunto supporto per la generazione e l'invio di report via email sulle anomalie rilevate, sulle reti registrate e sullo stato generale.
- Aggiunto supporto per avvisi sul rilevamento di tentativi di attacco per bloccare il funzionamento delle telecamere di sorveglianza basate sull'invio massiccio di pacchetti di deautenticazione.
- Aggiunto supporto per avvisi sull'identificazione di SSID mai visti in precedenza.
- Aggiunto supporto per avvisi sugli errori nel sistema di monitoraggio, ad esempio, quando l'adattatore wireless viene disconnesso dal computer che esegue Nzyme.
- Compatibilità migliorata con le reti basate su WPA3.
- Aggiunta la possibilità di specificare gestori di callback per rispondere a un avviso (ad esempio, possono essere utilizzati per registrare informazioni sulle anomalie in un file di registro).
- È stato aggiunto un elenco di inventario delle risorse che visualizza i parametri delle reti distribuite che vengono monitorate.
- È stata aggiunta una pagina del profilo dell'aggressore che fornisce informazioni sui sistemi e sui punti di accesso con cui l'aggressore ha interagito, nonché statistiche sulla potenza del segnale e sui frame inviati.
Fonte: opennet.ru