Google utilitat per rastrejar i bloquejar realitzat amb dispositius USB maliciosos que simulen un teclat USB per substituir de manera encoberta les pulsacions de tecles ficticis (per exemple, durant un atac, pot haver-hi una seqüència de pulsacions de tecles que condueixen a obrir un terminal i executar-hi ordres arbitràries). El codi està escrit en Python i amb llicència d'Apache 2.0.
La utilitat s'executa com un servei de sistema i pot funcionar en modes de control i prevenció d'atacs. En el mode de monitorització, es detecten possibles atacs i es registra l'activitat associada als intents d'utilitzar incorrectament els dispositius USB per a la substitució d'entrada. En mode de protecció, quan es detecta un dispositiu potencialment maliciós, es desconnecta del sistema a nivell de controlador.
L'activitat maliciosa es determina a partir d'una anàlisi heurística de la naturalesa de l'entrada i els retards entre les pulsacions de tecles: l'atac sol dur a terme en presència de l'usuari i perquè passi desapercebut, les pulsacions de tecles simulades s'envien amb retards mínims que són atípic per a l'entrada normal del teclat. Per canviar la lògica de detecció d'atac, es proposen dos paràmetres KEYSTROKE_WINDOW i ABNORMAL_TYPING (la primera determina el nombre de clics per a l'anàlisi, i la segona l'interval llindar entre clics).
L'atac es pot dur a terme mitjançant un dispositiu no sospitós amb firmware modificat, per exemple, podeu simular un teclat en , , o (a es proposa una utilitat especial per substituir l'entrada d'un telèfon intel·ligent connectat al port USB que executa la plataforma Android). Per complicar els atacs via USB, a més d'ukip, també podeu utilitzar el paquet , que només permet la connexió de dispositius de la llista blanca o bloqueja la possibilitat de connectar dispositius USB estrangers durant el bloqueig de la pantalla i no permet treballar amb aquests dispositius després que l'usuari torni.
Font: opennet.ru