- Outil qui utilise eBPF pour capturer le trafic traversant le noyau Linux avant et après chiffrement
- En se branchant sur les fonctions TLS/SSL, il collecte un contexte de trafic (processus, conteneur, hôte, utilisateur, protocole, etc.) plus riche que les méthodes traditionnelles de capture de paquets
- Permet d’identifier les données réseau brutes et les informations sur les processus sans modifier les applications, mettre en place un proxy ni gérer des certificats
- Peut être utilisé pour des audits de sécurité, le débogage réseau, le développement d’API, la résolution de problèmes d’intégration tierce, l’apprentissage et l’analyse de protocoles, l’analyse de systèmes legacy et bien plus
- Avec une faible surcharge, il permet de visualiser le trafic réel en temps réel dans le terminal
- Le développement et l’intégration de plugins personnalisés sont simples, ce qui facilite l’intégration avec les systèmes d’observabilité existants ou l’utilisation comme base pour de nouvelles solutions
- Actuellement à un stade de développement précoce, avec double distribution en open source sous AGPLv3 et sous licence commerciale
3 commentaires
Je me demande quelles pourraient être les utilisations, en dehors du piratage.
Ces temps-ci, dès que je vois BPF, je pense à l’affaire du piratage de SKT.
La Korea Internet & Security Agency (KISA) confirme 8 variantes de malware lors de la vérification du piratage de SKT
Du coup, ils ont aussi diffusé un guide d’inspection du malware BPFDoor.
En voyant récemment les actualités sur SKT, j’ai appris que 25 types supplémentaires avaient encore été découverts, portant le total à 37.