Google ein Tool , das die Verfolgung und Blockierung ermöglicht , die mit schädlichen USB-Geräten durchgeführt werden, die USB-Tastaturen simulieren, um heimlich gefälschte Tasteneingaben einzufügen (zum Beispiel könnte während eines Angriffs eine Tastenfolge, die zur Öffnung eines Terminals führt und darin beliebige Kommandos ausführt). Der Code ist in Python geschrieben und unter der Apache 2.0-Lizenz.
Das Tool wird als systemd-Dienst ausgeführt und kann im Überwachungs- und Angriffsverhütungsmodus arbeiten. Im Überwachungsmodus werden mögliche Angriffe identifiziert und die Aktivitäten, die mit dem unsachgemäßen Einsatz von USB-Geräten zur Eingabeersetzung zusammenhängen, in einem Protokoll festgehalten. Im Schutzzustand wird bei der Erkennung eines potenziell schädlichen Geräts dessen Trennung vom System auf Treiber-Ebene vorgenommen.
Schadhafte Aktivitäten werden durch heuristische Analysen des Eingabeverhaltens und der Verzögerungen zwischen den Tastendrücken erkannt – Angriffe erfolgen meist in Anwesenheit des Benutzers, wobei simulierte Tasteneingaben mit für gewöhnliche Eingaben untypischen minimalen Verzögerungen gesendet werden, um unbemerkt zu bleiben. Zwei Einstellungen, KEYSTROKE_WINDOW und ABNORMAL_TYPING, werden vorgeschlagen, um die Logik der Angriffsidentifikation zu ändern (die erste legt die Anzahl der Tastenanschläge für die Analyse fest, die zweite definiert den Schwellenwert der Verzögerung zwischen den Anschlägen).
Ein Angriff kann mithilfe eines unauffälligen Geräts mit modifizierter Firmware durchgeführt werden; zum Beispiel kann eine Tastatur in einem , , oder (in gibt es ein spezielles Werkzeug, das die Eingaben von einem über USB angeschlossenen Smartphone mit Android-Betriebssystem emuliert). Um Angriffe über USB zu erschweren, kann neben ukip auch das Paket , der die Verbindung von Geräten nur aus einer Whitelist erlaubt oder die Verbindung von fremden USB-Geräten während des Sperrbildschirms blockiert und deren Nutzung nach der Rückkehr des Benutzers verhindert.
Quelle: opennet.ru
