Google utilidade , que che permite rastrexar e bloquear realízase mediante dispositivos USB maliciosos que simulan un teclado USB para substituír encubertamente pulsacións de teclas ficticias (por exemplo, durante o ataque pode haber unha secuencia de clics que conducen a abrir un terminal e a executar comandos arbitrarios nel). O código está escrito en Python e licenciado baixo Apache 2.0.
A utilidade execútase como un servizo systemd e pode funcionar en modos de monitorización e prevención de ataques. No modo de seguimento, identifícanse os posibles ataques e rexístrase no rexistro a actividade relacionada cos intentos de utilizar dispositivos USB para outros fins para a substitución de entradas. No modo de protección, cando se detecta un dispositivo potencialmente malicioso, desconéctase do sistema a nivel de controlador.
A actividade maliciosa determínase en base a unha análise heurística da natureza da entrada e dos atrasos entre as pulsacións de teclas: o ataque adoita realizarse en presenza do usuario e, para que non se detecte, as pulsacións de teclas simuladas envíanse cun atraso mínimo. atípico para a entrada normal do teclado. Para cambiar a lóxica de detección de ataques, propóñense dúas opcións: KEYSTROKE_WINDOW e ABNORMAL_TYPING (a primeira determina o número de clics para a análise, e a segunda o intervalo limiar entre clics).
O ataque pode levarse a cabo usando un dispositivo non sospeitoso con firmware modificado, por exemplo, pode simular un teclado en , , ou (en ofrécese unha utilidade especial para substituír a entrada dun teléfono intelixente que executa a plataforma Android conectada ao porto USB). Para complicar os ataques vía USB, ademais de ukip, tamén se pode utilizar o paquete , que permite a conexión de dispositivos só da lista branca ou bloquea a posibilidade de conectar dispositivos USB de terceiros mentres a pantalla está bloqueada e non permite traballar con estes dispositivos despois de que o usuario regrese.
Fonte: opennet.ru