Google utilità , consentendoti di monitorare e bloccare effettuato utilizzando dispositivi USB dannosi che simulano una tastiera USB per sostituire di nascosto tasti fittizi (ad esempio, durante l'attacco potrebbero essere presenti una sequenza di clic che porta all'apertura di un terminale e all'esecuzione di comandi arbitrari al suo interno). Il codice è scritto in Python e concesso in licenza con Apache 2.0.
L'utilità viene eseguita come servizio systemd e può operare in modalità di monitoraggio e prevenzione degli attacchi. Nella modalità di monitoraggio vengono identificati possibili attacchi e viene registrata nel log l'attività relativa ai tentativi di utilizzo dei dispositivi USB per altri scopi per la sostituzione dell'input. In modalità protezione, quando viene rilevato un dispositivo potenzialmente dannoso, viene disconnesso dal sistema a livello di driver.
L'attività dannosa viene determinata sulla base di un'analisi euristica della natura dell'input e dei ritardi tra la pressione dei tasti: l'attacco viene solitamente effettuato in presenza dell'utente e, affinché non venga rilevato, vengono inviate battute simulate con ritardi minimi atipico per il normale input da tastiera. Per modificare la logica di rilevamento degli attacchi, vengono proposte due impostazioni: KEYSTROKE_WINDOW e ABNORMAL_TYPING (la prima determina il numero di clic per l'analisi e la seconda l'intervallo di soglia tra i clic).
L'attacco può essere effettuato utilizzando un dispositivo non sospetto con firmware modificato, ad esempio simulando una tastiera , , o (in viene offerta un'utilità speciale per sostituire l'input da uno smartphone con piattaforma Android collegato alla porta USB). Per complicare gli attacchi tramite USB, oltre a ukip, è possibile utilizzare anche il pacchetto , che consente la connessione di dispositivi solo dalla lista bianca o blocca la possibilità di connettere dispositivi USB di terze parti mentre lo schermo è bloccato e non consente di lavorare con tali dispositivi dopo il ritorno dell'utente.
Fonte: opennet.ru