eBPF è diventata una tecnologia chiave per l’osservabilità e la sicurezza dei sistemi, consentendo l’esecuzione efficiente, all’interno del kernel, di programmi definiti dall’utente. Tuttavia, la sua crescente adozione ha introdotto anche nuove superfici di attacco, con diverse vulnerabilità che hanno portato a gravi conseguenze come escalation di privilegi, kernel panic e attacchi alle mappe eBPF. Questa tesi, sviluppata in collaborazione con Rakuten e un collega, è stata complessivamente suddivisa in quattro casi d’uso, di cui due presentati qui. La prima parte del lavoro si è concentrata sullo studio dei fondamenti di eBPF, sull’analisi delle problematiche di sicurezza note, sull’esplorazione della sua integrazione con LSM e sulla revisione dei prodotti presenti sul mercato che impiegano eBPF per il monitoraggio della sicurezza.