Google utilidade , o que che permite rastrexar e bloquear , levado a cabo mediante dispositivos USB maliciosos que simulan un teclado USB para substituír de forma encuberta pulsacións de teclas ficticias (por exemplo, un ataque pode implicar unha secuencia de pulsacións de teclas que abre un terminal e executa comandos arbitrarios nel). O código está escrito en Python e licenciado baixo Apache 2.0.
A utilidade execútase como un servizo systemd e pode funcionar tanto en modo de monitorización como de prevención de ataques. No modo de monitorización, identifica posibles ataques e rexistra a actividade relacionada cos intentos de facer un mal uso de dispositivos USB para a substitución de entrada. No modo de protección, se se detecta un dispositivo potencialmente malicioso, desconéctase do sistema a nivel de controlador.
A actividade maliciosa detéctase mediante unha análise heurística dos patróns de pulsacións de teclas e os atrasos entre elas. O ataque adoita levarse a cabo en presenza do usuario e, para evitar a detección, envíanse pulsacións de teclas simuladas con atrasos mínimos atípicos para a entrada normal do teclado. Propóñense dúas configuracións, KEYSTROKE_WINDOW e ABNORMAL_TYPING, para modificar a lóxica de detección do ataque (a primeira determina o número de pulsacións de teclas a analizar e a segunda o intervalo límite entre as pulsacións de teclas).
O ataque pódese levar a cabo empregando un dispositivo desprevenido con firmware modificado, por exemplo, pódese simular un teclado en , , ou (en Ofrécese unha utilidade especial para substituír a entrada dun teléfono intelixente que executa a plataforma conectado a un porto USB Android). Para complicar os ataques por USB, ademais de ukip, tamén podes usar o paquete , que permite a conexión de dispositivos só da lista branca ou bloquea a posibilidade de conectar dispositivos USB de terceiros durante o bloqueo de pantalla e non permite traballar con eses dispositivos despois de que o usuario regrese.
Fonte: opennet.ru
