Predstavljena je izdaja kompleta orodij Nzyme 1.2.0, zasnovanega za spremljanje radijskih valov brezžičnih omrežij z namenom prepoznavanja zlonamerne dejavnosti, uvajanja lažnih dostopnih točk, nepooblaščenih povezav in izvajanja standardnih napadov. Projektna koda je napisana v Javi in se distribuira pod licenco SSPL (Server Side Public License), ki temelji na AGPLv3, vendar ni odprta zaradi prisotnosti diskriminatornih zahtev glede uporabe izdelka v storitvah v oblaku.
Promet se zajame s preklopom brezžičnega vmesnika v način spremljanja okvirjev tranzitnega omrežja. Možno je prenesti prestrežene omrežne okvire v sistem Graylog za dolgoročno shranjevanje, če so podatki potrebni za analizo incidentov in zlonamernih dejavnosti. Program na primer omogoča zaznavanje pojava nepooblaščenih dostopnih točk, in če je zaznan poskus ogrožanja brezžičnega omrežja, bo pokazal, kdo je bil tarča napada in kateri uporabniki so bili ogroženi.
Sistem lahko ustvari več vrst opozoril, poleg tega pa podpira različne metode za odkrivanje nenormalnih dejavnosti, vključno s preverjanjem omrežnih komponent z identifikatorji prstnih odtisov in ustvarjanjem pasti. Podpira generiranje opozoril, ko je struktura omrežja kršena (na primer pojav predhodno neznanega BSSID), spremembe omrežnih parametrov, povezanih z varnostjo (na primer spremembe načinov šifriranja), zaznavanje prisotnosti tipičnih napadalnih naprav (za na primer WiFi Pineapple), snemanje klica v past ali določanje nepravilne spremembe v vedenju (na primer, ko se posamezni okvirji pojavijo z netipično šibko stopnjo signala ali kršitvijo mejnih vrednosti za intenzivnost prejemov paketov).
Poleg analiziranja zlonamerne dejavnosti se sistem lahko uporablja za splošno spremljanje brezžičnih omrežij, pa tudi za fizično odkrivanje vira odkritih nepravilnosti z uporabo sledilcev, ki omogočajo postopno prepoznavanje zlonamerne brezžične naprave na podlagi njenih specifičnih lastnosti in spremembe ravni signala. Upravljanje poteka preko spletnega vmesnika.
V novi različici:
- Dodana podpora za ustvarjanje in pošiljanje e-poštnih poročil o odkritih anomalijah, posnetih omrežjih in splošnem stanju.
- Dodana podpora za opozorila o zaznavi poskusov napadov za blokiranje delovanja nadzornih kamer na podlagi množičnega pošiljanja paketov deavtentikacije.
- Dodana podpora za opozorila o prepoznavanju prej nevidenih SSID-jev.
- Dodana podpora za opozorila o napakah v nadzornem sistemu, na primer, ko je brezžični adapter odklopljen od računalnika, v katerem se izvaja Nzyme.
- Izboljšana združljivost z omrežji, ki temeljijo na WPA3.
- Dodana možnost določanja obravnavnikov povratnih klicev za odziv na opozorilo (lahko se na primer uporabijo za beleženje informacij o anomalijah v dnevniško datoteko).
- Dodan je bil seznam virov, ki prikazuje parametre nameščenih omrežij, ki se spremljajo.
- Dodana je bila stran s profilom napadalca, ki ponuja informacije o sistemih in dostopnih točkah, s katerimi je napadalec komuniciral, ter statistične podatke o moči signala in poslanih okvirih.
Vir: opennet.ru