nzyme 1.2.0 - софтовая защита Wi-Fi
Представлен выпуск инструментария Nzyme 1.2.0, предназначенного для мониторинга эфира беспроводных сетей с целью выявления вредоносной активности, развёртывания подставных точек доступа, неавторизированных подключений и совершения типовых атак. Код проекта написан на языке Java и распространяется под лицензией SSPL (Server Side Public License), которая основана AGPLv3, но не является открытой из-за наличия дискриминирующих требований в отношении использования продукта в облачных сервисах.

Захват трафика осуществляется через перевод беспроводного адаптера в режим мониторинга за транзитными сетевыми кадрами. Возможна передача перехваченных сетевых кадров в систему Graylog для длительного хранения на случай, если данные потребуются для разбора инцидентов и вредоносных действий. Например, программа позволяет выявить появление несанкционированных точек доступа, а в случае выявления попытки компрометации беспроводной сети покажет, кто стал целью атаки и какие пользователи были скомпрометированы.

Система может генерировать несколько типов предупреждений, а также поддерживает различные способы определения аномальной активности, включая проверку компонентов сети по fingerprint-идентификаторам и создание ловушек. Поддерживается генерация предупреждений при нарушении структуры сети (например, появления ранее не известного BSSID), изменении связанных с безопасностью параметров сети (например, изменение режимов шифрования), выявления присутствия типовых устройств для проведения атак (например, WiFi Pineapple), фиксации обращения к ловушке или определения аномального изменения поведения (например, при появлении отдельных кадров с нетипичным слабым уровнем сигнала или нарушением пороговых значений интенсивности поступления пакетов).
Помимо анализа вредоносной активности система может применяться для общего мониторинга за беспроводными сетями, а также для физического обнаружения источника выявленных аномалий через использование трекеров, позволяющих поступательно определить вредоносное беспроводное устройство на основании специфичных для него атрибутов и изменения уровня сигнала. Управление производится через web-интерфейс.
 
Добавлена поддержка генерации и отправки на email отчётов о выявленных аномалиях, зафиксированных сетях и общем состоянии.
 
Добавлен поддержка предупреждений о выявлении попыток совершения атак для блокировки работы камер наблюдения, основанных на массовой отправке пакетов деаутентификации.

Добавлена поддержка предупреждений о выявлении ранее не встречавшихся SSID-идентификаторов.

Добавлена поддержка предупреждений о сбоях в работе системы мониторинга, например, при отключении беспроводного адаптера от компьютера, на котором выполняется Nzyme.

Улучшена совместимость с сетями на базе WPA3.

Добавлена возможность задания callback-обработчиков для реагирования на предупреждение (например, можно использовать для записи информации об аномалиях в лог-файл).

Добавлен список инвентаризации ресурсов, в котором отображены параметры развёрнутых сетей, за которыми осуществляется мониторинг.
 
Добавлена страница с профилем атакующего, предоставляющая информацию о системах и точках доступа с которыми взаимодействовал атакующий, а также статистику об уровне сигнала и отправленных кадрах.
 
Публікації за темою:
більше приховати
Джерело: www.opennet.ru
Ви маєте увійти під своїм обліковим записом

loading