Google nástroj , což vám umožní sledovat a blokovat prováděné pomocí škodlivých USB zařízení, která simulují USB klávesnici, aby skrytě nahradily fiktivní úhozy (např. během útoku může dojít sekvence kliknutí vedoucí k otevření terminálu a provedení libovolných příkazů v něm). Kód je napsán v Pythonu a licencováno pod Apache 2.0.
Nástroj běží jako systémová služba a může pracovat v režimech monitorování a prevence útoků. V monitorovacím režimu jsou identifikovány možné útoky a do protokolu je zaznamenávána aktivita související s pokusy o použití USB zařízení pro jiné účely pro náhradu vstupu. V ochranném režimu, když je detekováno potenciálně škodlivé zařízení, je odpojeno od systému na úrovni ovladače.
Škodlivá aktivita je určena na základě heuristické analýzy povahy vstupu a prodlevy mezi stisky kláves – útok se obvykle provádí v přítomnosti uživatele a aby nebyl odhalen, jsou simulované stisky kláves odesílány s minimálním zpožděním atypické pro normální vstup z klávesnice. Pro změnu logiky detekce útoku jsou navržena dvě nastavení: KEYSTROKE_WINDOW a ABNORMAL_TYPING (první určuje počet kliknutí pro analýzu a druhé prahový interval mezi kliknutími).
Útok lze provést pomocí nepodezřelého zařízení s upraveným firmwarem, například můžete simulovat klávesnici v , , nebo (v je nabízen speciální nástroj pro nahrazení vstupu ze smartphonu s platformou Android připojeného k portu USB). Pro zkomplikování útoků přes USB můžete kromě ukip použít i balíček , který umožňuje připojení zařízení pouze z bílé listiny nebo blokuje možnost připojení USB zařízení třetích stran při zamčené obrazovce a neumožňuje práci s takovými zařízeními po návratu uživatele.
Zdroj: opennet.ru