Google verktyg , så att du kan spåra och blockera utförs med skadliga USB-enheter som simulerar ett USB-tangentbord för att i hemlighet ersätta fiktiva tangenttryckningar (till exempel under attacken kan det finnas en sekvens av klick som leder till att en terminal öppnas och godtyckliga kommandon utförs i den). Koden är skriven i Python och licensierad under Apache 2.0.
Verktyget körs som en systemtjänst och kan fungera i övervaknings- och attackförebyggande lägen. I övervakningsläget identifieras möjliga attacker och aktivitet relaterad till försök att använda USB-enheter för andra ändamål för inmatningsersättning registreras i loggen. I skyddsläge, när en potentiellt skadlig enhet upptäcks, kopplas den från systemet på drivrutinsnivå.
Skadlig aktivitet bestäms baserat på en heuristisk analys av inmatningens karaktär och fördröjningarna mellan tangenttryckningar - attacken utförs vanligtvis i närvaro av användaren och, för att den ska gå oupptäckt, skickas simulerade tangenttryckningar med minimala förseningar otypiskt för normal tangentbordsinmatning. För att ändra logiken för attackdetektering föreslås två inställningar: KEYSTROKE_WINDOW och ABNORMAL_TYPING (den första bestämmer antalet klick för analys och den andra tröskelintervallet mellan klick).
Attacken kan utföras med en otänkbar enhet med modifierad firmware, till exempel kan du simulera ett tangentbord i , , eller (I ett speciellt verktyg erbjuds för att ersätta indata från en smartphone som kör Android-plattformen ansluten till USB-porten). För att komplicera attacker via USB kan du förutom ukip även använda paketet , som tillåter anslutning av enheter endast från den vita listan eller blockerar möjligheten att ansluta USB-enheter från tredje part medan skärmen är låst och tillåter inte arbete med sådana enheter efter att användaren återvänder.
Källa: opennet.ru