Google utilidade , permitindo que você rastreie e bloqueie realizado usando dispositivos USB maliciosos que simulam um teclado USB para substituir secretamente teclas digitadas fictícias (por exemplo, durante o ataque pode haver uma sequência de cliques que leva à abertura de um terminal e à execução de comandos arbitrários nele). O código é escrito em Python e licenciado sob Apache 2.0.
O utilitário funciona como um serviço systemd e pode operar nos modos de monitoramento e prevenção de ataques. No modo de monitoramento, possíveis ataques são identificados e atividades relacionadas a tentativas de utilização de dispositivos USB para outros fins para substituição de entrada são registradas no log. No modo de proteção, quando um dispositivo potencialmente malicioso é detectado, ele é desconectado do sistema no nível do driver.
A atividade maliciosa é determinada com base em uma análise heurística da natureza da entrada e dos atrasos entre as teclas digitadas - o ataque geralmente é realizado na presença do usuário e, para que não seja detectado, as teclas simuladas são enviadas com atrasos mínimos atípico para entrada normal do teclado. Para alterar a lógica de detecção de ataques, são propostas duas configurações: KEYSTROKE_WINDOW e ABNORMAL_TYPING (a primeira determina o número de cliques para análise e a segunda o intervalo limite entre os cliques).
O ataque pode ser realizado usando um dispositivo não suspeito com firmware modificado, por exemplo, você pode simular um teclado em , , ou (em é oferecido um utilitário especial para substituir a entrada de um smartphone rodando a plataforma Android conectado à porta USB). Para complicar os ataques via USB, além do ukip, você também pode usar o pacote , que permite a conexão de dispositivos apenas da lista branca ou bloqueia a capacidade de conectar dispositivos USB de terceiros enquanto a tela está bloqueada e não permite o trabalho com tais dispositivos após o retorno do usuário.
Fonte: opennet.ru