Google tính thiết thực , cho phép bạn theo dõi và chặn được thực hiện bằng cách sử dụng các thiết bị USB độc hại mô phỏng bàn phím USB để ngấm ngầm thay thế các thao tác gõ phím hư cấu (ví dụ: trong cuộc tấn công có thể có một chuỗi các cú nhấp chuột dẫn đến mở thiết bị đầu cuối và thực hiện các lệnh tùy ý trong đó). Mã này được viết bằng Python và được cấp phép theo Apache 2.0.
Tiện ích này chạy dưới dạng dịch vụ systemd và có thể hoạt động ở chế độ giám sát và ngăn chặn tấn công. Ở chế độ giám sát, các cuộc tấn công có thể xảy ra sẽ được xác định và hoạt động liên quan đến nỗ lực sử dụng thiết bị USB cho các mục đích khác để thay thế đầu vào sẽ được ghi lại trong nhật ký. Ở chế độ bảo vệ, khi phát hiện một thiết bị có khả năng độc hại, thiết bị đó sẽ bị ngắt kết nối khỏi hệ thống ở cấp độ trình điều khiển.
Hoạt động độc hại được xác định dựa trên phân tích heuristic về bản chất của dữ liệu đầu vào và độ trễ giữa các lần nhấn phím - cuộc tấn công thường được thực hiện với sự có mặt của người dùng và để không bị phát hiện, các lần nhấn phím mô phỏng sẽ được gửi với độ trễ tối thiểu. không điển hình cho đầu vào bàn phím thông thường. Để thay đổi logic phát hiện tấn công, hai cài đặt được đề xuất: KEYSTROKE_WINDOW và ABNORMAL_TYPING (cài đặt đầu tiên xác định số lần nhấp để phân tích và cài đặt thứ hai là khoảng thời gian ngưỡng giữa các lần nhấp).
Cuộc tấn công có thể được thực hiện bằng cách sử dụng một thiết bị đáng ngờ có phần sụn đã được sửa đổi, chẳng hạn như bạn có thể mô phỏng bàn phím trong , , hoặc (trong một tiện ích đặc biệt được cung cấp để thay thế đầu vào từ điện thoại thông minh chạy nền tảng Android được kết nối với cổng USB). Để làm phức tạp các cuộc tấn công qua USB, ngoài ukip, bạn cũng có thể sử dụng gói , chỉ cho phép kết nối các thiết bị từ danh sách trắng hoặc chặn khả năng kết nối thiết bị USB của bên thứ ba trong khi màn hình bị khóa và không cho phép hoạt động với các thiết bị đó sau khi người dùng quay lại.
Nguồn: opennet.ru