Google
O utilitário funciona como um serviço systemd e pode operar nos modos de monitoramento e prevenção de ataques. No modo de monitoramento, possíveis ataques são identificados e atividades relacionadas a tentativas de utilização de dispositivos USB para outros fins para substituição de entrada são registradas no log. No modo de proteção, quando um dispositivo potencialmente malicioso é detectado, ele é desconectado do sistema no nível do driver.
A atividade maliciosa é determinada com base em uma análise heurística da natureza da entrada e dos atrasos entre as teclas digitadas - o ataque geralmente é realizado na presença do usuário e, para que não seja detectado, as teclas simuladas são enviadas com atrasos mínimos atípico para entrada normal do teclado. Para alterar a lógica de detecção de ataques, são propostas duas configurações: KEYSTROKE_WINDOW e ABNORMAL_TYPING (a primeira determina o número de cliques para análise e a segunda o intervalo limite entre os cliques).
O ataque pode ser realizado usando um dispositivo não suspeito com firmware modificado, por exemplo, você pode simular um teclado em
Fonte: opennet.ru