Google
L'utilità viene eseguita come servizio systemd e può operare in modalità di monitoraggio e prevenzione degli attacchi. Nella modalità di monitoraggio vengono identificati possibili attacchi e viene registrata nel log l'attività relativa ai tentativi di utilizzo dei dispositivi USB per altri scopi per la sostituzione dell'input. In modalità protezione, quando viene rilevato un dispositivo potenzialmente dannoso, viene disconnesso dal sistema a livello di driver.
L'attività dannosa viene determinata sulla base di un'analisi euristica della natura dell'input e dei ritardi tra la pressione dei tasti: l'attacco viene solitamente effettuato in presenza dell'utente e, affinché non venga rilevato, vengono inviate battute simulate con ritardi minimi atipico per il normale input da tastiera. Per modificare la logica di rilevamento degli attacchi, vengono proposte due impostazioni: KEYSTROKE_WINDOW e ABNORMAL_TYPING (la prima determina il numero di clic per l'analisi e la seconda l'intervallo di soglia tra i clic).
L'attacco può essere effettuato utilizzando un dispositivo non sospetto con firmware modificato, ad esempio simulando una tastiera
Fonte: opennet.ru