11

Pitch: Criei um EDR open-source em Rust + eBPF que bloqueia ataques no Linux

E aí galera do TabNews,

Venho compartilhar o Inner Warden, um agente de segurança autônomo para Linux baseado em eBPF (mais de 40 hooks no kernel), DNA comportamental de processos e detecção com IA local.

O objetivo é ter uma ferramenta leve (~29MB), que não depende de nuvem e que consiga detectar e bloquear ameaças em tempo real (brute force, reverse shells, privilege escalation, etc.), com modo dry-run pra testar com segurança.

Github: https://github.com/InnerWarden/innerwarden
Demo ao vivo (servidor real sendo atacado agora): https://www.innerwarden.com/live

O projeto já tem algumas pessoas ajudando, mas estamos buscando mais colaboradores, especialmente quem tem experiência em:

  • eBPF / Rust
  • Segurança ofensiva / Red Team
  • Self-hosted / homelab
  • Testes e feedback real em produção

Se você curte o tema ou quer contribuir de alguma forma (código, testes, ideias, críticas), fica à vontade pra dar uma olhada e deixar sua opinião sincera.

Abraço e obrigado!

Carregando publicação patrocinada...
4
2

Me mantem informado por favor, inclusive estou abrindo em breve uma chamada para parceiros que me ajudem a validar e levantar dados para melhorias, vou oferencer algumas licencas free da versao premium que esta em desenvolvimento.

Me chama manda mensagem no Github se estiver interessado.

Obrigado

3

Caraca, que projeto legal! Deixei uma estrela no github. Imagino que pela arquitetura o "custo" de hardware seja baixo, mas qual o mínimo de hardware necessário para utilizar? Qual a chance dele "trancar a gaveta com a chave dentro" depois de habilitar o modo de bloqueio? Ou seja, desabilitar o serviço de ssh ou bloquear todas as conexões externas.

4

Hoje esta rodando em media com 250 a 400 Mb de ran, se voce usar o modelo de classificacao nosso que ajuda a diminuir o gasto de API vai dar mais ou menos os 400mb, ele e feito em rust, e tem muita coisa, o knowlodge graph tambem gasta um pouco de memoria. Eu testava sempre em um server de 1gb de ran, mas confesso que faz um tempo que nao testo nela. Sobre a chave dentro hehe nao vou mentir que nao aconteceu no processo de desenvolvimento, mas a principio tem um allowlist que identifica o teu ip quando vc usa ssh, ainda estou testando em diferentes distribuicoes entao se instalar comeca por algum lugar menos importante, se tiver qualquer problema ou sujestao vou ficar feliz em resolver ou avaliar a implememtacao. A ideia e manter opensource mesmo e to buscando colaboradores para o projeto, moro na inglaterra e estou ja fazendo alguns contatos nas universidades e no governo aqui para levantar recursos para deixar o projeto mais robusto. Eu diria que a missao e oferecer uma alternativa barata de protecao para servidores hoje vulneraveis que acabam comprometidos e sendo usados em botnets e etc.

2