- เครื่องมือที่ใช้ eBPF เพื่อดักจับ ทราฟฟิกที่วิ่งผ่านเคอร์เนลลินุกซ์ ทั้งก่อนและหลังการเข้ารหัส
- ทำการ hook กับฟังก์ชัน TLS/SSL เพื่อเก็บ บริบทของทราฟฟิก (โปรเซส คอนเทนเนอร์ โฮสต์ ผู้ใช้ โปรโตคอล ฯลฯ) ได้ละเอียดกว่าวิธีจับแพ็กเก็ตแบบดั้งเดิม
- สามารถตรวจสอบ ข้อมูลเครือข่ายต้นฉบับและข้อมูลของโปรเซส ได้โดยไม่ต้องแก้ไขแอปพลิเคชัน ไม่ต้องสร้างพร็อกซี หรือจัดการใบรับรอง
- ใช้งานได้หลากหลาย เช่น การตรวจสอบความปลอดภัย การดีบักเครือข่าย การพัฒนา API การแก้ปัญหาการเชื่อมต่อกับ third-party การเรียนรู้และวิเคราะห์โปรโตคอล การวิเคราะห์ระบบ legacy
- มีโอเวอร์เฮดต่ำ และสามารถ ดูทราฟฟิกจริงแบบเรียลไทม์บนเทอร์มินัล ได้
- พัฒนา/เชื่อมต่อปลั๊กอินแบบกำหนดเองได้ง่าย จึงผสานเข้ากับระบบสังเกตการณ์ที่มีอยู่ได้สะดวก หรือใช้เป็นฐานสำหรับโซลูชันใหม่ได้
- ขณะนี้ยังอยู่ในช่วงเริ่มต้นของการพัฒนา และ ให้ทั้งโอเพนซอร์สแบบ AGPLv3 และไลเซนส์เชิงพาณิชย์
3 ความคิดเห็น
สงสัยว่านอกจากการแฮ็กแล้วจะนำไปใช้งานอะไรได้บ้าง
ช่วงนี้พอเห็น BPF ทีไรก็นึกถึงเหตุการณ์แฮ็ก SKT ทุกที
สถาบันส่งเสริมความมั่นคงปลอดภัยไซเบอร์เกาหลี (KISA) ยืนยันพบมัลแวร์กลายพันธุ์ 8 ชนิดระหว่างตรวจสอบการแฮ็ก SKT
เลยมีการเผยแพร่ คู่มือตรวจสอบมัลแวร์ BPFDoor ด้วยเหมือนกันครับ
ช่วงนี้เห็นข่าว SKT แล้วบอกว่าพบเพิ่มอีก 25 ชนิด รวมเป็นทั้งหมด 37 ชนิดแล้ว
มีคอมเมนต์ว่า "ยังมากกว่าจำนวนไวรัสที่ติดอยู่ในคอมพิวเตอร์ที่ไม่ได้ดูแลเสียอีก"