Google korisnost , što vam omogućuje praćenje i blokiranje provodi se korištenjem zlonamjernih USB uređaja koji simuliraju USB tipkovnicu kako bi prikriveno zamijenili fiktivne pritiske tipki (na primjer, tijekom napada može doći do niz klikova koji vode do otvaranja terminala i izvršavanja proizvoljnih naredbi u njemu). Kod je napisan u Pythonu i licenciran pod Apache 2.0.
Uslužni program radi kao systemd servis i može raditi u načinima praćenja i sprječavanja napada. U načinu praćenja identificiraju se mogući napadi i u zapisnik se bilježe aktivnosti vezane uz pokušaje korištenja USB uređaja u druge svrhe za zamjenu ulaza. U načinu zaštite, kada se detektira potencijalno zlonamjerni uređaj, on se isključuje iz sustava na razini upravljačkog programa.
Zlonamjerna aktivnost utvrđuje se na temelju heurističke analize prirode unosa i kašnjenja između pritisaka tipki - napad se obično izvodi u prisutnosti korisnika, a kako bi ostao neotkriven, simulirani pritisci tipki šalju se s minimalnim kašnjenjima netipično za uobičajeni unos s tipkovnice. Za promjenu logike otkrivanja napada predlažu se dvije postavke: KEYSTROKE_WINDOW i ABNORMAL_TYPING (prva određuje broj klikova za analizu, a druga granični interval između klikova).
Napad se može izvesti korištenjem nesumnjivog uređaja s modificiranim firmwareom, na primjer, možete simulirati tipkovnicu u , , ili (U nudi se poseban uslužni program za zamjenu unosa s pametnog telefona s Android platformom spojenog na USB priključak). Za kompliciranje napada putem USB-a, osim ukipa, možete koristiti i paket , koji omogućuje povezivanje uređaja samo s bijele liste ili blokira mogućnost povezivanja USB uređaja trećih strana dok je ekran zaključan i ne dopušta rad s takvim uređajima nakon povratka korisnika.
Izvor: opennet.ru