Zaprezentowano wydanie zestawu narzędzi Nzyme 1.2.0, przeznaczonego do monitorowania fal radiowych w sieciach bezprzewodowych w celu identyfikowania szkodliwej aktywności, wdrażania fałszywych punktów dostępu, nieautoryzowanych połączeń i przeprowadzania standardowych ataków. Kod projektu napisany jest w języku Java i jest rozpowszechniany na podstawie licencji SSPL (Server Side Public License), która opiera się na AGPLv3, ale nie jest otwarta ze względu na obecność dyskryminujących wymagań dotyczących wykorzystania produktu w usługach chmurowych.
Ruch jest przechwytywany poprzez przełączenie karty bezprzewodowej w tryb monitorowania ramek sieci tranzytowej. Możliwe jest przesłanie przechwyconych ramek sieciowych do systemu Graylog w celu długoterminowego przechowywania na wypadek, gdyby dane były potrzebne do analizy incydentów i szkodliwych działań. Program pozwala na przykład wykryć pojawienie się nieautoryzowanych punktów dostępu, a w przypadku wykrycia próby włamania się do sieci bezprzewodowej pokaże, kto był celem ataku i którzy użytkownicy zostali narażeni.
System może generować kilka typów alertów, a także obsługuje różne metody wykrywania anomalnej aktywności, w tym sprawdzanie elementów sieci po identyfikatorach odcisków palców i tworzenie pułapek. Obsługuje generowanie alertów w przypadku naruszenia struktury sieci (np. pojawienie się nieznanego wcześniej BSSID), zmiany parametrów sieci związanych z bezpieczeństwem (np. zmiany trybów szyfrowania), wykrywanie obecności typowych urządzeń atakujących (np. np. WiFi Ananas), nagranie wywołania pułapki lub określenie nietypowej zmiany zachowania (np. pojawienie się poszczególnych ramek z nietypowo słabym poziomem sygnału lub przekroczeniem wartości progowych intensywności przychodzących pakietów).
Oprócz analizy szkodliwej aktywności system może służyć do ogólnego monitorowania sieci bezprzewodowych, a także do fizycznego wykrywania źródła wykrytych anomalii poprzez wykorzystanie modułów śledzących, które umożliwiają stopniową identyfikację złośliwego urządzenia bezprzewodowego na podstawie jego specyfiki. atrybuty i zmiany poziomu sygnału. Zarządzanie odbywa się poprzez interfejs WWW.
W nowej wersji:
- Dodano obsługę generowania i wysyłania raportów e-mail o wykrytych anomaliach, zarejestrowanych sieciach i ogólnym stanie.
- Dodano obsługę ostrzeżeń o wykryciu prób ataków mających na celu zablokowanie działania kamer monitorujących w oparciu o masowe wysyłanie pakietów cofających uwierzytelnienie.
- Dodano obsługę ostrzeżeń o identyfikowaniu wcześniej niewidocznych identyfikatorów SSID.
- Dodano obsługę ostrzeżeń o awariach w systemie monitorowania, np. gdy karta bezprzewodowa zostanie odłączona od komputera, na którym działa Nzyme.
- Poprawiona kompatybilność z sieciami opartymi na WPA3.
- Dodano możliwość określenia procedur obsługi wywołań zwrotnych, które mają reagować na ostrzeżenie (na przykład można ich użyć do zapisania informacji o anomaliach w pliku dziennika).
- Dodano listę inwentaryzacji zasobów, która wyświetla parametry monitorowanych sieci.
- Dodana została strona profilu atakującego, zawierająca informacje o systemach i punktach dostępowych, z którymi atakujący wszedł w interakcję, a także statystyki dotyczące siły sygnału i wysłanych ramek.
Źródło: opennet.ru