Google nytte , slik at du kan spore og blokkere utført ved bruk av ondsinnede USB-enheter som simulerer et USB-tastatur for å i det skjulte erstatte fiktive tastetrykk (for eksempel under angrepet kan det være en sekvens med klikk som fører til å åpne en terminal og utføre vilkårlige kommandoer i den). Koden er skrevet i Python og lisensiert under Apache 2.0.
Verktøyet kjører som en systemtjeneste og kan operere i overvåkings- og angrepsforebyggende moduser. I overvåkingsmodus identifiseres mulige angrep og aktivitet knyttet til forsøk på å bruke USB-enheter til andre formål for input-erstatning registreres i loggen. I beskyttelsesmodus, når en potensielt skadelig enhet oppdages, kobles den fra systemet på drivernivå.
Ondsinnet aktivitet bestemmes basert på en heuristisk analyse av inndataenes natur og forsinkelsene mellom tastetrykk - angrepet utføres vanligvis i brukerens nærvær, og for at det skal gå uoppdaget, sendes simulerte tastetrykk med minimale forsinkelser atypisk for normal tastaturinngang. For å endre angrepsdeteksjonslogikken foreslås to innstillinger: KEYSTROKE_WINDOW og ABNORMAL_TYPING (den første bestemmer antall klikk for analyse, og den andre terskelintervallet mellom klikk).
Angrepet kan utføres ved hjelp av en mistenkelig enhet med modifisert fastvare, for eksempel kan du simulere et tastatur i , , eller (I et spesialverktøy tilbys for å erstatte input fra en smarttelefon som kjører Android-plattformen koblet til USB-porten). For å komplisere angrep via USB kan du i tillegg til ukip også bruke pakken , som tillater tilkobling av enheter kun fra hvitelisten eller blokkerer muligheten til å koble til tredjeparts USB-enheter mens skjermen er låst og tillater ikke arbeid med slike enheter etter at brukeren kommer tilbake.
Kilde: opennet.ru