Utgivelsen av Nzyme 1.2.0-verktøysettet presenteres, designet for å overvåke eteren til trådløse nettverk for å identifisere ondsinnet aktivitet, distribuere falske tilgangspunkter, uautoriserte tilkoblinger og utføre standardangrep. Prosjektkoden er skrevet i Java og distribueres under SSPL (Server Side Public License), som er basert på AGPLv3, men er ikke åpen på grunn av tilstedeværelsen av diskriminerende krav til bruk av produktet i skytjenester.
Trafikk fanges opp ved å bytte den trådløse adapteren til overvåkingsmodus for transittnettverksrammer. Det er mulig å overføre avlyttede nettverksrammer til Graylog-systemet for langtidslagring i tilfelle dataene er nødvendige for å analysere hendelser og ondsinnede aktiviteter. For eksempel lar programmet deg oppdage fremveksten av uautoriserte tilgangspunkter, og hvis et forsøk på å kompromittere et trådløst nettverk oppdages, vil det vise hvem som var målet for angrepet og hvilke brukere som ble kompromittert.
Systemet kan generere flere typer varsler, og støtter også ulike metoder for å oppdage unormal aktivitet, inkludert å sjekke nettverkskomponenter ved hjelp av fingeravtrykkidentifikatorer og lage feller. Den støtter generering av varsler når nettverksstrukturen blir krenket (for eksempel utseendet til en tidligere ukjent BSSID), endringer i sikkerhetsrelaterte nettverksparametere (for eksempel endringer i krypteringsmoduser), gjenkjenning av tilstedeværelsen av typiske angrepsenheter (f. for eksempel WiFi Pineapple), opptak av et anrop til en felle eller bestemme en unormal endring i atferd (for eksempel når individuelle rammer vises med et atypisk svakt signalnivå eller brudd på terskelverdier for intensiteten av pakkeankomster).
I tillegg til å analysere ondsinnet aktivitet, kan systemet brukes til generell overvåking av trådløse nettverk, samt for fysisk å oppdage kilden til oppdagede anomalier ved bruk av sporere som gjør det mulig å gradvis identifisere en ondsinnet trådløs enhet basert på dens spesifikke attributter og endringer i signalnivå. Styring utføres via et webgrensesnitt.
I den nye versjonen:
- Lagt til støtte for å generere og sende e-postrapporter om oppdagede anomalier, registrerte nettverk og generell status.
- Lagt til støtte for advarsler om gjenkjenning av forsøk på angrep for å blokkere driften av overvåkingskameraer basert på massesending av deautentiseringspakker.
- Lagt til støtte for advarsler om identifisering av tidligere usett SSID.
- Lagt til støtte for advarsler om feil i overvåkingssystemet, for eksempel når den trådløse adapteren er koblet fra datamaskinen som kjører Nzyme.
- Forbedret kompatibilitet med WPA3-baserte nettverk.
- Lagt til muligheten til å spesifisere tilbakeringingsbehandlere for å svare på en advarsel (de kan for eksempel brukes til å registrere informasjon om uregelmessigheter i en loggfil).
- En ressursbeholdningsliste er lagt til, som viser parametrene til distribuerte nettverk som overvåkes.
- En angriperprofilside er lagt til som gir informasjon om systemene og tilgangspunktene som angriperen samhandlet med, samt statistikk om signalstyrke og sendte rammer.
Kilde: opennet.ru