Predstavuje sa vydanie sady nástrojov Nzyme 1.2.0, ktorá je určená na monitorovanie rádiových vĺn bezdrôtových sietí s cieľom identifikovať škodlivú aktivitu, nasadiť falošné prístupové body, neoprávnené pripojenia a vykonávať štandardné útoky. Kód projektu je napísaný v jazyku Java a je distribuovaný pod SSPL (Server Side Public License), ktorá je založená na AGPLv3, ale nie je otvorená z dôvodu existencie diskriminačných požiadaviek týkajúcich sa používania produktu v cloudových službách.
Prevádzka sa zachytáva prepnutím bezdrôtového adaptéra do režimu monitorovania pre rámce tranzitnej siete. Zachytené sieťové rámce je možné preniesť do systému Graylog na dlhodobé ukladanie v prípade, že sú údaje potrebné na analýzu incidentov a škodlivých aktivít. Program napríklad umožňuje odhaliť výskyt neoprávnených prístupových bodov a v prípade zistenia pokusu o kompromitáciu bezdrôtovej siete ukáže, kto bol cieľom útoku a ktorí používatelia boli napadnutí.
Systém môže generovať niekoľko typov upozornení a tiež podporuje rôzne metódy detekcie anomálnej aktivity vrátane kontroly sieťových komponentov pomocou identifikátorov odtlačkov prstov a vytvárania pascí. Podporuje generovanie výstrah, keď je narušená štruktúra siete (napríklad objavenie sa predtým neznámeho BSSID), zmeny parametrov siete súvisiace s bezpečnosťou (napríklad zmeny režimov šifrovania), detekcia prítomnosti typických útočných zariadení (napr. napríklad WiFi Pineapple), nahrávanie volania do pasce alebo určenie anomálnej zmeny v správaní (napríklad, keď sa jednotlivé snímky objavia s atypickou slabou úrovňou signálu alebo prekročením prahových hodnôt intenzity príchodu paketov).
Okrem analýzy škodlivej aktivity je možné systém použiť na všeobecné monitorovanie bezdrôtových sietí, ako aj na fyzické zisťovanie zdroja zistených anomálií pomocou sledovačov, ktoré umožňujú postupne identifikovať škodlivé bezdrôtové zariadenie na základe jeho špecifických vlastností. atribúty a zmeny v úrovni signálu. Správa sa vykonáva cez webové rozhranie.
V novej verzii:
- Pridaná podpora pre generovanie a odosielanie e-mailových správ o zistených anomáliách, zaznamenaných sieťach a všeobecnom stave.
- Pridaná podpora pre varovania o detekcii pokusov o útok na blokovanie činnosti sledovacích kamier na základe hromadného odosielania deautentizačných paketov.
- Pridaná podpora pre upozornenia týkajúce sa identifikácie predtým nevidených SSID.
- Pridaná podpora pre varovania o zlyhaniach v monitorovacom systéme, napríklad pri odpojení bezdrôtového adaptéra od počítača so systémom Nzyme.
- Vylepšená kompatibilita so sieťami založenými na WPA3.
- Pridaná možnosť špecifikovať obslužné programy spätného volania, ktoré budú reagovať na varovanie (môžu sa napríklad použiť na zaznamenávanie informácií o anomáliách do súboru denníka).
- Bol pridaný zoznam zásob zdrojov, ktorý zobrazuje parametre nasadených sietí, ktoré sú monitorované.
- Bola pridaná stránka profilu útočníka, ktorá poskytuje informácie o systémoch a prístupových bodoch, s ktorými útočník interagoval, ako aj štatistiky o sile signálu a odoslaných rámcoch.
Zdroj: opennet.ru