إليك شرح المكونات الرئيسية:

  1. SSL/TLS والنص العادي:

    • SSL/TLS (طبقة المقابس الآمنة/أمان طبقة النقل) تُستخدم لتشفير البيانات المرسلة عبر الشبكات، مثل حركة مرور الويب (HTTPS). عادةً، لا يمكنك عرض المحتوى المشفر (النص العادي) بدون مفتاح مناسب أو شهادة سلطة تصديق (CA) تقوم بفك تشفير البيانات.
  2. eBPF (مرشح حزم بيركلي الموسع):

    • eBPF هو تقنية تسمح لك بتشغيل برامج معزولة داخل نواة Linux دون تغيير شفرة النواة أو إدراج وحدات نواة جديدة. تُستخدم هذه التقنية عادةً للتتبع، المراقبة، والمهام المتعلقة بالشبكات لأنها قادرة على التقاط وتصفية حزم الشبكة بكفاءة.
    • باستخدام eBPF، يمكنك كتابة برامج تعترض وتفحص حركة مرور الشبكة أو أحداث النظام، مثل عندما يتم فك تشفير حركة مرور SSL/TLS بواسطة التطبيقات مثل المتصفحات أو العمليات الأخرى، حتى بدون الحاجة إلى شهادة CA.
  3. كيفية عملها:

    • عادةً، لفك تشفير حركة مرور SSL/TLS، تحتاج إلى الوصول إلى شهادة CA، وهي صادرة من سلطة موثوقة لفك تشفير الاتصالات الآمنة.
    • باستخدام eBPF، بدلاً من الاعتماد على شهادات CA، تقوم باعتراض حركة المرور النصية العادية (التي تم فك تشفيرها) مباشرةً من الذاكرة على الخادم أو العميل (على سبيل المثال، قبل عملية التشفير أو بعد عملية فك التشفير). يحدث هذا لأن التطبيقات التي تستخدم SSL/TLS يجب أن تفك تشفير البيانات في مرحلة ما للعمل معها، ويمكن لـ eBPF الوصول إلى هذه المرحلة.
  4. دعم Linux/Android:

    • هذه التقنية مدعومة على نوى Linux/Android التي تعمل على معمارية amd64 و arm64. هذه الأنظمة شائعة في الخوادم (amd64) والأجهزة المحمولة (Android arm64).
    • من خلال الاستفادة من eBPF، يمكن للمطورين والباحثين في مجال الأمان مراقبة حركة المرور على هذه الأنظمة دون الحاجة إلى التلاعب بتشفير SSL/TLS مباشرةً.
  5. حالات الاستخدام والمخاطر:

    • البحث الأمني وتصحيح الأخطاء: يمكن استخدام هذه الطريقة لأغراض مشروعة مثل تصحيح الأخطاء، مراقبة الأداء، أو البحث الأمني (مثل فحص حركة المرور للكشف عن الثغرات).
    • إساءة الاستخدام المحتملة: يمكن أن تثير هذه التقنية مخاوف لأن المهاجمين يمكنهم استخدامها لالتقاط معلومات حساسة من حركة مرور الشبكة، متجاوزين الحماية التقليدية للتشفير.