eBPF का उपयोग करके CA प्रमाणपत्र के बिना SSL/TLS प्लेनटेक्स्ट को कैप्चर करना। amd64/arm64 के लिए Linux/Android कर्नेल पर समर्थित।

यहाँ मुख्य घटकों का एक स्पष्टीकरण है:

1. SSL/TLS और साधारण पाठ:

   • SSL/TLS (सिक्योर सॉकेट्स लेयर/ट्रांसपोर्ट लेयर सिक्योरिटी) का उपयोग नेटवर्क के माध्यम से भेजे गए डेटा को एन्क्रिप्ट करने के लिए किया जाता है, जैसे कि वेब ट्रैफ़िक (HTTPS)। सामान्यतः, आप एन्क्रिप्टेड सामग्री (साधारण पाठ) को तब तक नहीं देख सकते जब तक कि आपके पास एक सही कुंजी या प्रमाणपत्र प्राधिकरण (CA) प्रमाणपत्र न हो, जो डेटा को डिक्रिप्ट कर सके।

2. eBPF (एक्सटेंडेड बर्कले पैकेट फिल्टर):

   • eBPF एक तकनीक है जो आपको लिनक्स कर्नेल में सैंडबॉक्स प्रोग्राम चलाने की अनुमति देती है बिना कर्नेल सोर्स कोड को बदले या नए कर्नेल मॉड्यूल को डाले। इसका सामान्यतः ट्रेसिंग, मॉनिटरिंग, और नेटवर्किंग कार्यों के लिए उपयोग किया जाता है क्योंकि यह नेटवर्क पैकेट्स को कुशलतापूर्वक कैप्चर और फिल्टर कर सकता है।
   • eBPF का उपयोग करके, आप ऐसे प्रोग्राम लिख सकते हैं जो नेटवर्क ट्रैफ़िक या सिस्टम इवेंट्स को इंटरसेप्ट और निरीक्षण करते हैं, जैसे कि जब ब्राउज़र या अन्य प्रक्रियाएं SSL/TLS ट्रैफ़िक को डिक्रिप्ट करती हैं, यहां तक कि बिना CA प्रमाणपत्र के।

3. यह कैसे काम करता है:

   • सामान्यतः, SSL/TLS ट्रैफ़िक को डिक्रिप्ट करने के लिए, आपको CA प्रमाणपत्र तक पहुंच की आवश्यकता होती है, जिसे एक विश्वसनीय प्राधिकरण द्वारा जारी किया जाता है ताकि सुरक्षित संचार को डिक्रिप्ट किया जा सके।
   • eBPF का उपयोग करके, आप सीधे सर्वर या क्लाइंट की मेमोरी में डिक्रिप्टेड साधारण पाठ ट्रैफ़िक को इंटरसेप्ट करते हैं (जैसे एन्क्रिप्शन से पहले या डिक्रिप्शन के बाद)। ऐसा इसलिए होता है क्योंकि SSL/TLS का उपयोग करने वाले अनुप्रयोगों को किसी बिंदु पर डेटा को डिक्रिप्ट करना पड़ता है और eBPF इस चरण तक पहुंच सकता है।

4. Linux/Android समर्थन:

   • यह तकनीक Linux/Android कर्नेल्स पर समर्थित है जो amd64 और arm64 आर्किटेक्चर पर चलते हैं। ये प्लेटफॉर्म सर्वर (amd64) और मोबाइल उपकरणों (Android arm64) के लिए सामान्य हैं।
   • eBPF का उपयोग करके, डेवलपर्स और सुरक्षा शोधकर्ता इन प्रणालियों पर ट्रैफ़िक की निगरानी कर सकते हैं बिना सीधे SSL/TLS एन्क्रिप्शन से छेड़छाड़ किए।

5. उपयोग के मामले और जोखिम:

   • सुरक्षा अनुसंधान और डीबगिंग: इस विधि का उपयोग वैध उद्देश्यों के लिए किया जा सकता है, जैसे डीबगिंग, प्रदर्शन निगरानी, या सुरक्षा अनुसंधान (उदाहरण के लिए, कमजोरियों के लिए ट्रैफ़िक का निरीक्षण करना)।
   • संभावित दुरुपयोग: यह चिंता पैदा कर सकता है क्योंकि हमलावर इसका उपयोग नेटवर्क ट्रैफ़िक से संवेदनशील जानकारी प्राप्त करने के लिए कर सकते हैं, पारंपरिक एन्क्रिप्शन सुरक्षा को बायपास करते हुए।