Google narzędzie , umożliwiając śledzenie i blokowanie przeprowadzane przy użyciu złośliwych urządzeń USB symulujących klawiaturę USB w celu ukrytego zastąpienia fikcyjnych naciśnięć klawiszy (na przykład podczas ataku może nastąpić sekwencja kliknięć prowadząca do otwarcia terminala i wykonania w nim dowolnych poleceń). Kod jest napisany w Pythonie i na licencji Apache 2.0.
Narzędzie działa jako usługa systemowa i może działać w trybach monitorowania i zapobiegania atakom. W trybie monitorowania identyfikowane są możliwe ataki, a w logu rejestrowana jest aktywność związana z próbami wykorzystania urządzeń USB do innych celów w celu podmiany wejść. W trybie ochrony, gdy zostanie wykryte potencjalnie złośliwe urządzenie, zostaje ono odłączone od systemu na poziomie sterownika.
Złośliwa aktywność jest określana na podstawie analizy heurystycznej charakteru danych wejściowych i opóźnień między naciśnięciami klawiszy — atak jest zwykle przeprowadzany w obecności użytkownika i aby pozostać niewykrytym, symulowane naciśnięcia klawiszy są wysyłane z minimalnymi opóźnieniami nietypowe dla normalnego wprowadzania danych z klawiatury. Aby zmienić logikę wykrywania ataków, zaproponowano dwa ustawienia: KEYSTROKE_WINDOW i ABNORMAL_TYPING (pierwsze określa liczbę kliknięć do analizy, a drugie próg odstępu między kliknięciami).
Atak można przeprowadzić za pomocą podejrzanego urządzenia ze zmodyfikowanym oprogramowaniem, na przykład można symulować klawiaturę , , lub (W oferowane jest specjalne narzędzie umożliwiające zastąpienie wejścia ze smartfona z platformą Android podłączonego do portu USB). Aby skomplikować ataki przez USB, oprócz ukip, możesz także użyć pakietu , który umożliwia podłączenie urządzeń wyłącznie z białej listy lub blokuje możliwość podłączenia urządzeń USB innych firm przy zablokowanym ekranie i nie pozwala na pracę z takimi urządzeniami po powrocie użytkownika.
Źródło: opennet.ru
