Google nytte , så du kan spore og blokere udføres ved hjælp af ondsindede USB-enheder, der simulerer et USB-tastatur for i det skjulte at erstatte fiktive tastetryk (f.eks. kan der under angrebet være en sekvens af klik, der fører til at åbne en terminal og udføre vilkårlige kommandoer i den). Koden er skrevet i Python og licenseret under Apache 2.0.
Hjælpeprogrammet kører som en systemd service og kan fungere i overvågnings- og angrebsforebyggelsestilstande. I overvågningstilstanden identificeres mulige angreb, og aktivitet relateret til forsøg på at bruge USB-enheder til andre formål til inputsubstitution registreres i loggen. I beskyttelsestilstand, når en potentielt ondsindet enhed opdages, afbrydes den fra systemet på driverniveau.
Ondsindet aktivitet bestemmes ud fra en heuristisk analyse af inputtets karakter og forsinkelserne mellem tastetryk - angrebet udføres normalt i brugerens tilstedeværelse, og for at det skal forblive uopdaget, sendes simulerede tastetryk med minimale forsinkelser atypisk for normal tastaturinput. For at ændre logikken til registrering af angreb foreslås to indstillinger: KEYSTROKE_WINDOW og ABNORMAL_TYPING (den første bestemmer antallet af klik til analyse, og den anden tærskelintervallet mellem klik).
Angrebet kan udføres ved hjælp af en mistænkelig enhed med modificeret firmware, for eksempel kan du simulere et tastatur i , , eller (I der tilbydes et særligt værktøj til at erstatte input fra en smartphone, der kører Android-platformen, der er tilsluttet USB-porten). For at komplicere angreb via USB, kan du udover ukip også bruge pakken , som kun tillader tilslutning af enheder fra hvidlisten eller blokerer muligheden for at tilslutte tredjeparts USB-enheder, mens skærmen er låst, og tillader ikke arbejde med sådanne enheder, efter at brugeren vender tilbage.
Kilde: opennet.ru