Google 공익사업 , позволяющую отслеживать и блокировать , осуществляемые с использованием вредоносных USB-устройств, симулирующих USB-клавиатуру для скрытой подстановки фиктивных нажатий клавиш (например, в ходе атаки может быть последовательность нажатий, приводящих к открытию терминала и выполнению в нём произвольных команд). Код написан на языке Python и Apache 2.0에 따라 라이센스가 부여되었습니다.
Утилита запускается в форме сервиса systemd и может работать в режимах мониторинга и предотвращения атак. В режиме мониторинга осуществляется определение возможных атак и занесение в лог активности, связанной с попытками использования USB-устройств не по назначению для подстановки ввода. В режиме защиты при выявлении потенциально вредоносного устройства осуществляется его отсоединение от системы на уровне драйвера.
Вредоносная активность определяется на основе эвристического анализа характера ввода и задержек между нажатиями клавиш — атака обычно проводится в присутствии пользователя и для того, чтобы она осталась незамеченной, симулированные нажатия отправляются с нетипичными для обычного клавиатурного ввода минимальными задержками. Для изменения логики определения атак предложены две настройки KEYSTROKE_WINDOW и ABNORMAL_TYPING (первая определяет число нажатий для анализа, а вторая пороговый интервал между нажатиями).
Атака может быть совершена при помощи не вызывающего подозрений устройства с модифицированной прошивкой, например, симулировать клавиатуру можно в , , 또는 (에서 предлагается специальная утилита для подстановки ввода с подключённого к USB-порту смартфона под управлением платформы Android). Для усложнения атак через USB помимо ukip также можно использовать пакет , который разрешает подключение устройств только из белого списка или блокирует возможность подключения посторонних USB-устройств во время блокировки экрана и не допускает работу с такими устройствами после возвращения пользователя.
출처 : opennet.ru