Google nut , zodat u kunt volgen en blokkeren uitgevoerd met kwaadaardige USB-apparaten die een USB-toetsenbord simuleren om heimelijk fictieve toetsaanslagen te vervangen (tijdens de aanval kunnen er bijvoorbeeld een reeks klikken die leiden tot het openen van een terminal en het uitvoeren van willekeurige opdrachten daarin). De code is geschreven in Python en gelicentieerd onder Apache 2.0.
Het hulpprogramma draait als een systemd-service en kan werken in monitoring- en aanvalspreventiemodi. In de monitoringmodus worden mogelijke aanvallen geïdentificeerd en worden activiteiten gerelateerd aan pogingen om USB-apparaten voor andere doeleinden te gebruiken voor invoervervanging vastgelegd in het logboek. Wanneer in de beschermingsmodus een potentieel kwaadaardig apparaat wordt gedetecteerd, wordt de verbinding met het systeem op stuurprogrammaniveau verbroken.
Kwaadwillige activiteit wordt vastgesteld op basis van een heuristische analyse van de aard van de invoer en de vertragingen tussen toetsaanslagen. De aanval wordt meestal uitgevoerd in aanwezigheid van de gebruiker en om onopgemerkt te blijven, worden gesimuleerde toetsaanslagen met minimale vertraging verzonden. atypisch voor normale toetsenbordinvoer. Om de aanvalsdetectielogica te wijzigen, worden twee instellingen voorgesteld: KEYSTROKE_WINDOW en ABNORMAL_TYPING (de eerste bepaalt het aantal klikken voor analyse, en de tweede het drempelinterval tussen klikken).
De aanval kan worden uitgevoerd met behulp van een nietsverdacht apparaat met aangepaste firmware, je kunt er bijvoorbeeld een toetsenbord in simuleren , , of (In het er wordt een speciaal hulpprogramma aangeboden voor het vervangen van de invoer van een smartphone met het Android-platform aangesloten op de USB-poort). Om aanvallen via USB te compliceren, kun je naast ukip ook het pakket gebruiken , waardoor alleen apparaten van de witte lijst kunnen worden aangesloten of de mogelijkheid wordt geblokkeerd om USB-apparaten van derden aan te sluiten terwijl het scherm is vergrendeld en het werken met dergelijke apparaten niet mogelijk is nadat de gebruiker terugkeert.
Bron: opennet.ru