Google hasznosság , amely lehetővé teszi a nyomon követést és a blokkolást rosszindulatú USB-eszközök használatával hajtják végre, amelyek USB-billentyűzetet szimulálnak, hogy rejtetten helyettesítsék a fiktív billentyűleütéseket (például a támadás során egy terminál megnyitásához és tetszőleges parancsok végrehajtásához vezető kattintássorozat). A kód Python és Apache 2.0 licenc alatt.
A segédprogram rendszerszolgáltatásként fut, és felügyeleti és támadásmegelőzési módokban is működhet. Felügyeleti módban a rendszer azonosítja a lehetséges támadásokat, és rögzíti a naplóban az USB-eszközök más célokra történő, bemenetek helyettesítésére való felhasználására tett kísérletekkel kapcsolatos tevékenységeket. Védelmi módban, amikor egy potenciálisan rosszindulatú eszközt észlel, az illesztőprogram-szinten leválik a rendszerről.
A rosszindulatú tevékenység meghatározása a bevitel természetének és a billentyűleütések közötti késések heurisztikus elemzése alapján történik - a támadást általában a felhasználó jelenlétében hajtják végre, és annak érdekében, hogy észrevétlen maradjon, minimális késleltetéssel szimulált billentyűleütéseket küldenek. atipikus a normál billentyűzetes bemenethez. A támadásészlelési logika megváltoztatásához két beállítás javasolt: KEYSTROKE_WINDOW és ABNORMAL_TYPING (az első az elemzéshez szükséges kattintások számát, a második pedig a kattintások közötti küszöbintervallumot határozza meg).
A támadás végrehajtható egy gyanús eszközzel módosított firmware-rel, például szimulálhat egy billentyűzetet , , vagy (A egy speciális segédprogramot kínálnak az USB-porthoz csatlakoztatott Android platformot futtató okostelefon bemenetének helyettesítésére). Az USB-n keresztüli támadások bonyolításához az ukip mellett a csomagot is használhatja , amely csak a fehér listáról teszi lehetővé az eszközök csatlakoztatását, vagy blokkolja a külső gyártók USB-eszközeinek csatlakoztatását, miközben a képernyő le van zárva, és nem teszi lehetővé az ilyen eszközökkel való munkát a felhasználó visszatérése után.
Forrás: opennet.ru