Google ha pubblicato un'utilità chiamata "ukip" che ti permette di monitorare e bloccare gli attacchi eseguita utilizzando dispositivi USB dannosi che simulano una tastiera USB per la sostituzione nascosta di pressioni fittizie, ad esempio durante un attacco è possibile simulare una sequenza di battute che portano all'apertura del terminale e all'esecuzione di comandi arbitrari.
Questo strumento è un demone per bloccare i dispositivi Iniezione di chiave USB su sistemi Linux. Ukip viene eseguito sotto forma di un servizio systemd E può funzionare nelle modalità di prevenzione e monitoraggio degli attacchi.
In modalità monitoraggio, viene effettuata la rilevazione di possibili attacchi e la registrazione dell'attività associata ai tentativi di utilizzare dispositivi USB per altri scopi in sostituzione dell'input. In modalità protezione, quando viene rilevato un dispositivo potenzialmente dannoso, si disconnette dal sistema a livello di driver.
Gli attacchi di key injection sono stati a lungo un problema a causa della disponibilità e del prezzo degli strumenti di key injection. Questi attacchi inviano sequenze di tasti immensamente veloci, in un batter d'occhio, pur essendo effettivamente invisibili alla vittima.
Inizialmente proposti per facilitare i compiti dell'amministratore di sistema, gli aggressori hanno imparato come utilizzare questa tecnologia per i loro scopi e compromettere i sistemi dell'utente. Ecco un esempio di attacco, con un payload più o meno benigno:
Lo strumento è progettato per fornire un ulteriore livello di protezione per difendere un utente seduto di fronte alla propria macchina sbloccata mentre osserva l'attacco. Possono vedere l'attacco, o perché le sequenze di tasti sono ritardate abbastanza a lungo da bypassare la logica dello strumento o abbastanza veloci da essere rilevate da esso, ovvero bloccano il dispositivo scollegando il suo controller e registrando le informazioni in syslog.
L'attività dannosa viene determinata sulla base di un'analisi della natura della voce e ritardi tra le sequenze di tasti: un attacco viene solitamente eseguito in presenza dell'utente e per essere poco appariscenti, le battiture simulate vengono inviate con ritardi minimi atipici dell'input da tastiera convenzionale.
Per modificare la logica di rilevamento degli attacchi, vengono proposte due configurazioni KEYSTROKE_WINDOW e ABNORMAL_TYPING (il primo determina il numero di clic da analizzare e il secondo l'intervallo di soglia tra i clic).
L'attacco può essere realizzato utilizzando un dispositivo con un firmware modificato, ad esempio, per una tastiera di simulazione può essere una chiavetta USB, un hub USB, una webcam o uno smartphone (è il caso di Kali NetHunter dove è stata proposta un'utility speciale per il sostituzione dell'ingresso connesso alla porta USB dello smartphone con piattaforma Android).
Per complicare gli attacchi USB, oltre a ukip, puoi anche utilizzare il pacchetto USBGuard, che consente ai dispositivi collegati di andare in diretta.
Questa è basata su elenchi, la whitelist è quella che contiene i dispositivi consentiti, mentre per impostazione predefinita la possibilità di connettere dispositivi USB esterni è bloccata durante il blocco dello schermo e non consente di lavorare con tali dispositivi dopo il ritorno dell'utente.
Come installare ukip su Ubuntu e derivati?
Per chi è interessato a poter installare questa utility deve seguire le istruzioni che condividiamo di seguito.
La prima cosa da fare è installa pip e virtualenv, per questo apriremo un terminale e in esso digiteremo:
sudo apt-get install build-essential libssl-dev libffi-dev python-dev sudo apt install python3-pip sudo pip3 install virtualenv
Fatto questo prendiamo il file di installazione con il seguente comando:
git clone https://github.com/google/ukip.git
Entriamo nella directory con:
cd ukip
Ora è necessario apportare alcune modifiche nel file setup.sh, in cui adatterai il file al modo in cui digiti sulla tastiera, ovvero quanti tasti premi contemporaneamente, tempo tra le sequenze di tasti, se lo esegui in modalità monitor o protezione.
Per questo è importante leggere le informazioni a riguardo nel seguente link
Una volta configurato il file, eseguilo semplicemente con:
chmod +x setup.sh ./setup.sh