- Ein Tool, das mit eBPF Verkehr, der den Linux-Kernel durchläuft, vor und nach der Verschlüsselung erfasst
- Es hookt in TLS/SSL-Funktionen ein und sammelt dadurch Traffic-Kontext (Prozess, Container, Host, Benutzer, Protokoll usw.) deutlich umfassender als herkömmliche Paketmitschnitt-Methoden
- Ohne Änderungen an Anwendungen, den Aufbau eines Proxys oder Zertifikatsverwaltung lassen sich originale Netzwerkdaten und Prozessinformationen erfassen
- Vielseitig einsetzbar für Sicherheitsaudits, Netzwerk-Debugging, API-Entwicklung, Fehlerbehebung bei Third-Party-Integrationen, Lernen und Analysieren von Protokollen sowie die Analyse von Legacy-Systemen
- Bei geringem Overhead kann der tatsächliche Verkehr in Echtzeit im Terminal eingesehen werden
- Eigene Plugins lassen sich leicht entwickeln und anbinden, sodass sich das Tool einfach in bestehende Observability-Systeme integrieren oder als Grundlage für neue Lösungen nutzen lässt
- Derzeit in einer frühen Entwicklungsphase; AGPLv3 Open Source und kommerzielle Lizenz werden parallel angeboten
3 Kommentare
Ich frage mich, welche Einsatzmöglichkeiten es außer für Hacking gibt.
Heutzutage denke ich bei BPF sofort an den SKT-Hacking-Vorfall.
Korea Internet & Security Agency (KISA): Während der Bestätigung des SKT-Hackings wurden 8 Varianten von Malware identifiziert
Deshalb haben sie wohl auch einen Leitfaden zur Überprüfung auf die BPFDoor-Malware verteilt.
Wenn man sich die jüngsten SKT-Nachrichten ansieht, wurden erneut 25 zusätzliche Arten entdeckt, sodass es insgesamt 37 Arten sind.
Es gab einen Kommentar: „Das sind sogar mehr als die Viren auf einem Computer, der nicht gewartet wurde.“