Utgivelsen av Nzyme 1.2.0-verktÞysettet presenteres, designet for Ä overvÄke eteren til trÄdlÞse nettverk for Ä identifisere ondsinnet aktivitet, distribuere falske tilgangspunkter, uautoriserte tilkoblinger og utfÞre standardangrep. Prosjektkoden er skrevet i Java og distribueres under SSPL (Server Side Public License), som er basert pÄ AGPLv3, men er ikke Äpen pÄ grunn av tilstedevÊrelsen av diskriminerende krav til bruk av produktet i skytjenester.
Trafikk fanges opp ved Ä bytte den trÄdlÞse adapteren til overvÄkingsmodus for transittnettverksrammer. Det er mulig Ä overfÞre avlyttede nettverksrammer til Graylog-systemet for langtidslagring i tilfelle dataene er nÞdvendige for Ä analysere hendelser og ondsinnede aktiviteter. For eksempel lar programmet deg oppdage fremveksten av uautoriserte tilgangspunkter, og hvis et forsÞk pÄ Ä kompromittere et trÄdlÞst nettverk oppdages, vil det vise hvem som var mÄlet for angrepet og hvilke brukere som ble kompromittert.
Systemet kan generere flere typer varsler, og stÞtter ogsÄ ulike metoder for Ä oppdage unormal aktivitet, inkludert Ä sjekke nettverkskomponenter ved hjelp av fingeravtrykkidentifikatorer og lage feller. Den stÞtter generering av varsler nÄr nettverksstrukturen blir krenket (for eksempel utseendet til en tidligere ukjent BSSID), endringer i sikkerhetsrelaterte nettverksparametere (for eksempel endringer i krypteringsmoduser), gjenkjenning av tilstedevÊrelsen av typiske angrepsenheter (f. for eksempel WiFi Pineapple), opptak av et anrop til en felle eller bestemme en unormal endring i atferd (for eksempel nÄr individuelle rammer vises med et atypisk svakt signalnivÄ eller brudd pÄ terskelverdier for intensiteten av pakkeankomster).
I tillegg til Ä analysere ondsinnet aktivitet, kan systemet brukes til generell overvÄking av trÄdlÞse nettverk, samt for fysisk Ä oppdage kilden til oppdagede anomalier ved bruk av sporere som gjÞr det mulig Ä gradvis identifisere en ondsinnet trÄdlÞs enhet basert pÄ dens spesifikke attributter og endringer i signalnivÄ. Styring utfÞres via et webgrensesnitt.
I den nye versjonen:
- Lagt til stĂžtte for Ă„ generere og sende e-postrapporter om oppdagede anomalier, registrerte nettverk og generell status.
- Lagt til stÞtte for advarsler om gjenkjenning av forsÞk pÄ angrep for Ä blokkere driften av overvÄkingskameraer basert pÄ massesending av deautentiseringspakker.
- Lagt til stĂžtte for advarsler om identifisering av tidligere usett SSID.
- Lagt til stÞtte for advarsler om feil i overvÄkingssystemet, for eksempel nÄr den trÄdlÞse adapteren er koblet fra datamaskinen som kjÞrer Nzyme.
- Forbedret kompatibilitet med WPA3-baserte nettverk.
- Lagt til muligheten til Ä spesifisere tilbakeringingsbehandlere for Ä svare pÄ en advarsel (de kan for eksempel brukes til Ä registrere informasjon om uregelmessigheter i en loggfil).
- En ressursbeholdningsliste er lagt til, som viser parametrene til distribuerte nettverk som overvÄkes.
- En angriperprofilside er lagt til som gir informasjon om systemene og tilgangspunktene som angriperen samhandlet med, samt statistikk om signalstyrke og sendte rammer.
Kilde: opennet.ru
