Тема eBPF продолжает будоражить умы как защитников, так и атак | k8s (in)security
Тема eBPF продолжает будоражить умы как защитников, так и атакующих! На конференции BlackHat USA 2022 были представлены доклады на интересы одних и других: 1) "Return to Sender - Detecting Kernel Exploits with eBPF" - для защитников будет полезно узнать как на базе eBPF можно бороться с эксплотацией ядерных уязвимостей в ядре Linux. Автор даже зарелизил инструмент - Kernel Runtime Integrity with eBPF (KRIe). Но по результатам всего этого автор приходит к выводу:"eBPF is not really the ideal technology to detect kernel exploits" Об таком же выводе я уже писал тут. 2) "eBPF ELFs JMPing Through the Windows" - для атакующих в этой презе можно посмотреть как поддержка eBPF в Windows расширяет attack surface и что там можно нафазить ;) А так вообще полезно посмотреть чем и как отличается eBPF в Linux и Windows.