Google dobishmërisë , duke ju lejuar të gjurmoni dhe bllokoni kryhet duke përdorur pajisje me qëllim të keq USB që simulojnë një tastierë USB për të zëvendësuar fshehurazi goditjet fiktive të tasteve (për shembull, gjatë sulmit mund të ketë një sekuencë klikimesh që çojnë në hapjen e terminalit dhe ekzekutimin e komandave arbitrare në të). Kodi është shkruar në Python dhe licencuar sipas Apache 2.0.
Programi funksionon si një shërbim systemd dhe mund të funksionojë në mënyrat e monitorimit dhe parandalimit të sulmeve. Në modalitetin e monitorimit, identifikohen sulmet e mundshme dhe aktiviteti në lidhje me përpjekjet për të përdorur pajisje USB për qëllime të tjera për zëvendësimin e hyrjeve regjistrohet në regjistër. Në modalitetin e mbrojtjes, kur zbulohet një pajisje me qëllim të keq, ajo shkëputet nga sistemi në nivelin e drejtuesit.
Aktiviteti keqdashës përcaktohet bazuar në një analizë heuristike të natyrës së hyrjes dhe vonesave ndërmjet goditjeve të tastave - sulmi zakonisht kryhet në prani të përdoruesit dhe, për të mbetur i pazbuluar, goditjet e simuluara të tastave dërgohen me vonesa minimale. jo tipike për hyrjen normale të tastierës. Për të ndryshuar logjikën e zbulimit të sulmit, propozohen dy cilësime: KEYSTROKE_WINDOW dhe ABNORMAL_TYPING (i pari përcakton numrin e klikimeve për analizë dhe i dyti intervalin e pragut midis klikimeve).
Sulmi mund të kryhet duke përdorur një pajisje të padyshimtë me firmware të modifikuar, për shembull, mund të simuloni një tastierë në , , ose (në ofrohet një mjet i veçantë për zëvendësimin e hyrjes nga një smartphone që përdor platformën Android të lidhur me portën USB). Për të komplikuar sulmet përmes USB-së, përveç ukip-it, mund të përdorni edhe paketën , i cili lejon lidhjen e pajisjeve vetëm nga lista e bardhë ose bllokon mundësinë e lidhjes së pajisjeve USB të palëve të treta ndërsa ekrani është i kyçur dhe nuk lejon punën me pajisje të tilla pasi përdoruesi të kthehet.
Burimi: opennet.ru