Google utilitaire , vous permettant de suivre et de bloquer effectuée à l'aide de périphériques USB malveillants qui simulent un clavier USB pour substituer secrètement des frappes fictives (par exemple, lors de l'attaque, il peut y avoir une séquence de clics conduisant à l'ouverture d'un terminal et à l'exécution de commandes arbitraires dans celui-ci). Le code est écrit en Python et sous licence Apache 2.0.
L'utilitaire fonctionne comme un service systemd et peut fonctionner en modes de surveillance et de prévention des attaques. En mode surveillance, les attaques possibles sont identifiées et l'activité liée aux tentatives d'utilisation de périphériques USB à d'autres fins pour la substitution d'entrée est enregistrée dans le journal. En mode protection, lorsqu'un périphérique potentiellement malveillant est détecté, il est déconnecté du système au niveau du pilote.
L'activité malveillante est déterminée sur la base d'une analyse heuristique de la nature de l'entrée et des délais entre les frappes - l'attaque est généralement effectuée en présence de l'utilisateur et, pour qu'elle ne soit pas détectée, des frappes simulées sont envoyées avec des délais minimes. atypique pour une saisie normale au clavier. Pour modifier la logique de détection des attaques, deux paramètres sont proposés : KEYSTROKE_WINDOW et ABNORMAL_TYPING (le premier détermine le nombre de clics à analyser, et le second l'intervalle seuil entre les clics).
L'attaque peut être menée à l'aide d'un appareil non suspect doté d'un micrologiciel modifié. Par exemple, vous pouvez simuler un clavier dans , , ou (en un utilitaire spécial est proposé pour remplacer l'entrée d'un smartphone exécutant la plateforme Android connecté au port USB). Pour compliquer les attaques via USB, en plus de l'ukip, vous pouvez également utiliser le package , qui autorise la connexion d'appareils uniquement à partir de la liste blanche ou bloque la possibilité de connecter des périphériques USB tiers lorsque l'écran est verrouillé et ne permet pas de travailler avec de tels appareils après le retour de l'utilisateur.
Source: opennet.ru