- Herramienta que usa eBPF para capturar el tráfico que pasa por el kernel de Linux antes y después del cifrado
- Se engancha a funciones TLS/SSL para recopilar un contexto de tráfico más rico (proceso, contenedor, host, usuario, protocolo, etc.) que los métodos tradicionales de captura de paquetes
- Permite identificar los datos de red originales y la información del proceso sin modificar aplicaciones, construir proxies ni gestionar certificados
- Se puede usar en auditorías de seguridad, depuración de red, desarrollo de APIs, resolución de problemas de integración con terceros, aprendizaje y análisis de protocolos, análisis de sistemas heredados y más
- Con baja sobrecarga, permite ver el tráfico real en tiempo real desde la terminal
- Facilita el desarrollo/integración de plugins personalizados, por lo que puede integrarse fácilmente con sistemas de observabilidad existentes o servir como base para nuevas soluciones
- Actualmente está en una etapa temprana de desarrollo y ofrece al mismo tiempo código abierto bajo AGPLv3 y licencias comerciales
3 comentarios
Me pregunto qué usos podría tener aparte del hacking.
Últimamente, cada vez que veo BPF me acuerdo del incidente de hackeo de SKT
La Agencia de Internet y Seguridad de Corea (KISA) confirma 8 variantes de malware mientras verifica el hackeo a SKT
Así que también distribuyeron una guía de revisión del malware BPFDoor.
Vi las noticias recientes de SKT y dicen que se encontraron 25 tipos adicionales otra vez, así que en total son 37 tipos. "Son más que la cantidad de virus instalados en una computadora sin mantenimiento", decía un comentario.