- Ferramenta que usa eBPF para capturar o tráfego que passa pelo kernel Linux antes e depois da criptografia
- Faz hook em funções TLS/SSL para coletar um contexto de tráfego mais rico (processo, contêiner, host, usuário, protocolo etc.) do que os métodos tradicionais de captura de pacotes
- Permite identificar dados originais da rede e informações de processo sem modificar aplicações, criar proxies ou gerenciar certificados
- Pode ser usada de várias formas, como em auditoria de segurança, depuração de rede, desenvolvimento de API, solução de problemas em integrações com terceiros, aprendizado e análise de protocolos, análise de sistemas legados
- Com baixa sobrecarga, permite ver o tráfego real em tempo real no terminal
- Facilita o desenvolvimento/integração de plugins personalizados, podendo ser integrada facilmente a sistemas de observabilidade existentes ou usada como base para novas soluções
- Atualmente está em estágio inicial de desenvolvimento e oferece simultaneamente código aberto sob AGPLv3 e licença comercial
3 comentários
Fico curioso para saber que outras aplicações isso teria além de hacking.
Hoje em dia, sempre que vejo BPF, lembro do caso de invasão à SKT.
Korea Internet & Security Agency (KISA), durante a confirmação do hack da SKT, identificou 8 variantes de malware
Por isso, eles também distribuíram o guia de verificação do malware BPFDoor.
Vendo as notícias recentes da SKT, parece que foram encontrados mais 25 tipos, totalizando 37 ao todo.
Há até um comentário dizendo: "É mais do que a quantidade de vírus instalada em computadores sem manutenção"