Google Nützlichkeit , sodass Sie verfolgen und blockieren können Wird mithilfe bösartiger USB-Geräte durchgeführt, die eine USB-Tastatur simulieren, um heimlich fiktive Tastenanschläge zu ersetzen (z. B. während des Angriffs). eine Folge von Klicks, die zum Öffnen eines Terminals und zum Ausführen beliebiger Befehle darin führt). Der Code ist in Python geschrieben und lizenziert unter Apache 2.0.
Das Dienstprogramm wird als systemd-Dienst ausgeführt und kann im Überwachungs- und Angriffsschutzmodus betrieben werden. Im Überwachungsmodus werden mögliche Angriffe identifiziert und Aktivitäten im Zusammenhang mit Versuchen, USB-Geräte für andere Zwecke zur Eingabesubstitution zu verwenden, im Protokoll aufgezeichnet. Wenn im Schutzmodus ein potenziell schädliches Gerät erkannt wird, wird es auf Treiberebene vom System getrennt.
Schädliche Aktivitäten werden anhand einer heuristischen Analyse der Art der Eingabe und der Verzögerungen zwischen Tastenanschlägen ermittelt. Der Angriff wird normalerweise in Anwesenheit des Benutzers ausgeführt. Damit er unentdeckt bleibt, werden simulierte Tastenanschläge mit minimalen Verzögerungen gesendet untypisch für normale Tastatureingaben. Um die Angriffserkennungslogik zu ändern, werden zwei Einstellungen vorgeschlagen: KEYSTROKE_WINDOW und ABNORMAL_TYPING (die erste bestimmt die Anzahl der Klicks für die Analyse und die zweite das Schwellenintervall zwischen den Klicks).
Der Angriff kann mit einem unverdächtigen Gerät mit modifizierter Firmware durchgeführt werden, beispielsweise kann man darin eine Tastatur simulieren , , oder (In Es wird ein spezielles Dienstprogramm angeboten, um Eingaben von einem Smartphone mit der Android-Plattform zu ersetzen, das an den USB-Anschluss angeschlossen ist. Um Angriffe über USB zu erschweren, können Sie neben ukip auch das Paket verwenden , die den Anschluss von Geräten nur aus der Whitelist zulässt oder den Anschluss von USB-Geräten von Drittanbietern bei gesperrtem Bildschirm blockiert und die Arbeit mit solchen Geräten nach der Rückkehr des Benutzers nicht zulässt.
Source: opennet.ru