Немец выпустил «самую уязвимую ОС» на базе Linux

    Торстен Шнайдер, преподаватель с факультета технологий Университета Билефельда, что находится в Германии, выпустил Damn Vulnerable Linux — специальный дистрибутив, который вобрал «все, чего не должно быть в хорошей Linux-системе».

    В составе Damn Vulnerable Linux — «ориентированное на взлом» (устаревшее, неправильно настроенное и т.п.) программное обеспечение (Apache, MySQL, PHP и т.п.), а также ряд инструментов для выявления различных проблем, компиляции своих программ, отладки приложений и т.п. Все это разместилось на 1,8-гигабайтном LiveDVD, доступном для скачивания с сайта проекта.


    Сам автор объяснил создание Damn Vulnerable Linux тем, что ему нужна была демонстрационная система, с помощью которой было бы удобно обучать студентов различным проблемам в ИТ-безопасности.

    // по мотивам nixp.ru

    UPDATE (22:28): tarlarion подсказал, что, оказывается, проекту DVL уже не один год. Но главное — совсем в другом. Как некоторые тут и хотели, этот дистрибутив уже использовался в одном из российских вузов для обучения студентов основам ИТ-безопасности. Если быть точнее — это МИЭМ (технический университет), кафедра ИКТ, курс «Защита информации», преподаватель — Андрей Грунау. Видите, как замечательно? Не спешите хоронить российское образование, коллеги! :-)
    Share post
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 73

      –42
      Смысл? о_О
        +36
        Написано же. Показывать студентам на примере системе различные уязвимости.
          –3
          Проглядел. (
            +2
            Дим, мне кажется ты иногда отстаешь (:
            Просто этот дистриб был у нас на ЗИ под руководством гетмана Грунау. (МИЭМ, для тех кто не знает)

            Ну т.е. я так понимаю дистриб достаточно долгое время существует.
              0
              Впервые про него услышал из новости на geek.com. Новость от сегодняшнего числа. Про нее написал (тоже сегодня) в твиттере один Linux-«новостник».

              Новость эту на хабре просмотрели уже очень многие, и не было еще ни одного замечания о том, что они про сабж знают.

              Так что — да, возможно, он и существовал. Но тогда отстают и все остальные, а значит — никто не мешает порадовать их новостью (для них-то это новость).
                0
                Я немного покопался… Да, ты прав. Релиз этой системы был аж в январе 2009 года: distrowatch.com/table.php?distribution=dvl

                Зато хотя бы теперь про него все узнали :-)

                А Грунау — респект. Тут кто-то как раз писали «Наших студентов бы так обучали»…
                  +1
                  Отлично распиарили наш ВУЗ ^___^

                  +1
                  Обновил пост! Пусть все порадуются :-)
                  0
                  совместимые между собой уязвимости? х)
                  +33
                  Я бы сказал что это один из немногих дистрибутивов со смыслом.
                    +2
                    кром того смысла, что уже озвучен это оочень нужная вещь для разработчивов антивирусов.
                    из таких дистров можно создать незащищенную сеть для ловли свежих вирусов
                      +3
                      тоже подумал о honeypot
                        +11
                        Скоро вирусы научатся определять этот дистриб, при виде его будут разворачиваться и уходить. «Слишком много дыр, подозрительно это» — подумал вирус.
                          0
                          ну это тоже нужная вещь — разрабы будут знать о том, что данные вирусописальщики активно работают над вирусом, а тот который попался споличным еще не обновлен. вирусы это такой фронт где любая инфа полезна
                            0
                            В итоге данный дистриб станет самым безопасным :D
                              0
                              Ну это крутые вирусы уйдут. А начинающих скрипт-киддисов коллеги будут чморить: «Вот лох, попался на „дырявый дистриб“.
                                0
                                Эх, блин, обломал, а я так рассчитывал на «идеальную ОС» :(
                                +3
                                Можно даже представить себе ситуацию: «Вчера за полночь дописываю свежий вирь для ботнета, компилю, запускаю в сеть. Смотрю — нашлись серваки с открытыми портами, червяк пошел в интранеты… Открываю ещё пиво, и тут поперли phpbb 2.4! Блдья, да это дырявые хонипоты! Не успеваю остановить атаку, вирь уже в лабе, все сигнатуры записаны, и алгоритмы попалил. Теперь придется ночами сидеть придумывать заново, чтобы к дедлайну успеть».
                          0
                          Спасибо, любопытно
                            0
                            Надо будет скачать
                              +17
                              Наших студентов бы так обучали
                                +13
                                Нашим студентам и так сделали специальную ОС с кучей дыр и «всем, чего не должно быть в хорошей системе». При этом все это прекрасно размещается на 700-мегабайтном CD.
                                  –1
                                  w xp sp1?
                                    –1
                                    угум-с
                                +1
                                Заинтриговал, блин! Побежал скачивать.
                                  +28
                                  Я чувствую, что от него форкнется наша новая русская ос :)
                                    +5
                                    правильнее все таки Национальная ОС; )
                                      +4
                                      с тендером на 70 лямов рублей.
                                        +3
                                        Которые будут потрачены на новые национальные обои.
                                          +2
                                          Принципиально новые
                                    +2
                                    Интересно, что будет дырявее — DVL или диск с виндами без сервис-пака?
                                      +3
                                      Damn Vulnerable Windows, если это возможно.

                                      Я вот с английским не так уж сильно дружу, поэтому написанную выше фразу решил перевести в гугл.транслэйт и узнал, что слово «Windows», в отличии от «windows» на русский переводится совсем не как «окна». translate.google.com/#en|ru|Windows
                                        +2
                                        Мне больше понравились приводимые ниже варианты:
                                          +1
                                          У гугла же алгоритмы, он не по словарю переводит.
                                        0
                                        Каким образом LiveCD 1.8-гигабайтный?
                                          +3
                                          Ну, «LiveCD» — это же образно… :-) Поправил на LiveDVD.
                                          +2
                                          Скоро диск поступит в передовые части Бундесвера как новейшее электронное оружие.
                                            –33
                                            Немец выпустил «самую уязвимую ОС» на базе BolgenOS?
                                              –14
                                              Ахаахахахахахахах
                                              АХахахахах
                                              хдхдхд
                                              ЖжОШЬ, ПАРНИША!

                                              Как ч0тко и оригинально ты про BolgenOS пошутил!

                                              Это ведь так смешно, когда BolgenOS пишут в комментариях к каждому топику про Linux!
                                              Бвахахахахаах, прямо сейчас помру от смеха
                                              • UFO just landed and posted this here
                                              –8
                                              «ориентированное на взлом» (устаревшее, неправильно настроенное и т.п.) программное обеспечение (Apache, MySQL, PHP и т.п.), а также ряд инструментов… и при чём тут Linux?
                                                +12
                                                Очевидно, что при ядре.
                                                –4
                                                да, не совсем конкретно выразился. Софт типа Apache и MySQL и его уязвимости — неотъемлемые части ядра?
                                                  +8
                                                  Кто-то говорил, что будут показаны уязвимости ядра Linux? Linux — удобная платформа для того, чтобы показать различные уязвимости студентам. Уязвимости часто (даже так: «чаще») встречаются в различном ПО, а не самой ОС, поэтому там в дистрибутиве и предустановлены всякие Apache.

                                                  Блин, я тут не нанимался на роль К.О.
                                                    +1
                                                    А быть может и ядро там устаревшее, тоже со своими дырами.
                                                      0
                                                      да еще и кривособранное
                                                  –6
                                                  В общем, правильное название:
                                                  «Damn Vulnerable Apache, MySQL, PHP, etc»
                                                  PS. Windows всё-же в разы удобнее, чтобы показать уязвимости не только студентам, но и всему миру)
                                                    +6
                                                    Это Linux-дистрибутив, и ничего предосудительного в наличии слова «Linux» в названии проекта нет.

                                                    А подобную легальную Windows-сборку вам сделать никто не даст. Ковыряться в исходниках установленных там продуктов — тоже (конечно, если это не будут те же Open Source-продукты). Такой вот интересный пример использования преимуществ свободного ПО.
                                                      –4
                                                      Кому ничего предосудительного, а кому — «ухо режет»
                                                        0
                                                        да ладно вам! Берёте любой диск с Windows XP или Windows 2003 без каких-либо сервис-паков — вот вам и DVW. Code red, blast, confiker, какие там ещё дыры самые известные?
                                                          0
                                                          Акцент был на слове легальную. И про исходный код я писал. Для данного проекта мало иметь дыры — тут еще и исследовать/исправлять их надо будет.
                                                          0
                                                          Справедливости ради, вроде как есть легальные способы (unattend там чего-то и т. п.) делать сборки винды (вроде только для oem-производителей или интеграторов, в подробности не вникал, но тем не менее)
                                                            0
                                                            дэ. в этом весь смысл произошедшего.
                                                            0
                                                            Как удобно с религией жить. Навяжут себе какую-нибудь идеологию, и она на все их вопросы отвечает.
                                                          • UFO just landed and posted this here
                                                              +1
                                                              «Damn Vulnerable Apache, MySQL, PHP» а уязвимость на самом деле в предустановленном phpbb 2.4 ветки ;)
                                                                0
                                                                Наверное и локализации там тоже максимально кривые… ;-J
                                                                  –6
                                                                  тоесть обычный дистрибьютив линукса?
                                                                    –2
                                                                    я бы сказал больше тянется к стилю win
                                                                      0
                                                                      довольно!
                                                                      ну почему и здесь становится так, что в каждом посте со словом линукс есть коммент что линукс плохой и что линукс не нужен и что линукс дырявый и коммент что win плохая и дырявая?
                                                                      хорошо хоть это минусуют.
                                                                        0
                                                                        потому что в каждом топике про линукс есть 98% коментов про то, что линукс хороший. и это хорошо
                                                                    –1
                                                                    Подкат ради одного сложного предложения…
                                                                      0
                                                                      … и внешней ссылки.

                                                                      Плюс, сначала думал написать больше, а потом решил, что вроде и так все понятно :-)
                                                                    • UFO just landed and posted this here
                                                                        –5
                                                                        >Торстен Шнайдер, преподаватель с факультета технологий Университета Билефельда, что находится в Германии, выпустил Damn Vulnerable Linux — специальный дистрибутив, который вобрал «все, чего не должно быть в хорошей Linux-системе».

                                                                        Да этоже Попов скрылся за псевдонимом!
                                                                          0
                                                                          Кстати, хороший дистр ещё должен обновляться, выпускать обновления безопасности… Т.е. обновления софта на те версии, которые засветились в секурити-репортах.
                                                                            +1
                                                                            В случае с сабж можно бекпортировать новые уязвимости, чтобы не обновлять версии пакетов ;-)
                                                                            +1
                                                                            охренеть, мой техфак оказался хоть на что-то годный :). Торстен с 2008 года преподаёт основы программирования и структуры данных + ещё некоторые курсы по разработке по. говорят, что он хороший доцент.
                                                                              0
                                                                              Торстен передаёт привет хабре.
                                                                              0
                                                                              хороший инструмент для создания honeypot — ловушек для хакеров.
                                                                                0
                                                                                не думаю. Хонейпот должен выглядеть хорошо настроенной промышленной средой с «одной-двумя досадными упущениями» в настройке. На это же сборище дыр поймать можно лишь пионера, любой хакер вычислит подставу в момент.
                                                                                А вот для обучения — замечательно подходит. Также хорошо подходит для тестирования эффективности работы сканеров уязвимостей.
                                                                                0
                                                                                Я активно использую в работе dvwa (damn vulnerable web app), приятно, что тема нашла продолжение, непременно буду использовать.
                                                                                  0
                                                                                  Можно было сделать заголовок «Самая уязвимая ОС — это Линукс»

                                                                                  Only users with full accounts can post comments. Log in, please.