Если в первой части мы говорили о шпионаже и наблюдении, то теперь речь пойдёт о действиях. Злоумышленник, получивший доступ к системе, редко ограничивается пассивным сбором информации — ему нужен контроль. А eBPF, как универсальный инъекционный механизм ядра, даёт этот контроль буквально «в корне»: на уровне системных вызовов, сетевого стека, безопасности и подсистем ядра.
Возможности вмешательства велики в своей точности и незаметности. Через eBPF можно превратить Linux-машину в персонализированный брандмауэр, в саботажную платформу, в сетевой ретранслятор — и всё это без одного байта на диске, без единой строчки в cron, без видимого процесса в ps. В этой части разберу, как с помощью eBPF злоумышленник может перехватывать, модифицировать и саботировать поведение системы: от фильтрации пакетов до манипуляции запуском процессов и внедрения теневых политик безопасности. Это не фантазия, не гипотеза — это уже было. И это может быть снова.
Читать далееИсточник: Хабрахабр
Источник: spectrumi (Security Vision)
Другие материалы на сайте b.Z - Записки о гаджетах, людях и музыке