Разработчики ядра Linux тестируют новый драйвер для выявления вредоносных USB-устройств

Морда 5 апреля

Разработчики ядра Linux тестируют новый драйвер для выявления вредоносных USB-устройств

Драйвер hid-omg-detect предназначен для пассивного мониторинга и выявления вредоносных устройств класса HID, таких как специально модифицированные клавиатуры и мыши, которые могут использоваться для скрытых кибератак при физическом подключении к компьютеру.

Алгоритм обнаружения hid-omg-detect анализирует поведение подключаемой периферии по нескольким критериям. Драйвер фиксирует низкую энтропию интервалов между нажатиями клавиш (неестественно ровный темп печати, характерный для автоматизированных скриптов), попытки мгновенного ввода команд сразу после подключения устройства, а также проверяет оборудование на наличие аномалий в HID-дескрипторах и сверяет идентификаторы производителя и продукта с базой подозрительных устройств.

В драйвере предусмотрен настраиваемый порог чувствительности. Важно отметить, что hid-omg-detect работает исключительно в режиме мониторинга: он не блокирует устройства самостоятельно, не задерживает и не модифицирует вводимые команды.

В случае обнаружения подозрительной активности драйвер отправляет системное предупреждение. Для автоматической блокировки опасного оборудования предполагается совместное использование этого драйвера с программами пользовательского уровня, такими как USBGuard.

В настоящее время исходный код hid-omg-detect находится на стадии рассмотрения и рецензирования в списке рассылки разработчиков ядра Linux, где специалисты могут ознакомиться с патчами и техническими деталями проекта.