Первый шаг специалиста по IT безопасности — Damn Vulnerable Linux

Наверняка многие из вас, уважаемые читатели, интересовались вопросами безопасности в сфере IT. Не знаю как вы, а лично я был впечатлен фильмом «Пароль рыба-меч», просмотренным еще в детстве. Помните, как герой фильма в исполнении  Хью Джекмана легко взламывал правительственные ресурсы? М-да, романтика чистой воды.

Однако изучая информационные технологии, мне все чаще приходилось убеждаться в излишней лживости голливудских фильмов. Все, оказывается, далеко не так,  как нам преподносит Голливуд. Хотя, правда там все-таки есть – хакер это самая опасная профессия. Поэтому я хочу предостеречь вас от необдуманных поступков. Поверьте, ничего замечательного нет в том, что у вас однажды выключат свет в подъезде и с криками «Всем лежать на полу!», вам выбьют дверь и повяжут за киберпреступления.

Тем не менее, не стоит забывать, что для успешного противоборства с хакерами существуют подразделения специалистов по информационной безопасности. Именно эти ребята противостоят проискам различных взломщиков и зачастую получают весьма и весьма неплохую зарплату. Например, работая в Питере ведущим джава программистом, мой оклад был в районе 90 тысяч рублей, тогда как знакомый в банке спец по информационной защите  получал порядка 150 тысяч. Неплохо, не так ли?

Однако реалии нашего образования таковы, что в университетах вас вряд ли научат этой профессии. Может быть поэтому многие конторы активно мониторят «белых» хакеров, надеясь заполучить их в свой штат? Тем не менее, все эти хакеры на чем-то же учатся, ведь так? И вот тут мы поговорим об инструментах специалиста по информационной безопасности.

К счастью или нет, но эта проблема актуальна и для всего остального мира. Может быть поэтому немецкий преподаватель  Торстен Шнайдер создал инструмент для подготовки специалистов по информационной безопасности. Называется этот инструмент Damn Vulnerable Linux (или DVL в сокращении).  Шнайдер нарочно включил в дистрибутив Линукса (а это именно Live CD Линукса) многие уязвимости ( DVL расшифровывается как «самая уязвимая операционная система в мире») с целью обучения студентов своего факультета.  DVL стал настолько популярной платформой, что ее используют многие «белые» хакеры во многих странах.

К сожалению, сейчас ресурс с DVL не работает. С чем это связано, неизвестно. Скачать дистрибутив в рунете можно лишь на Рутрэкере. Тем не менее, у любого нормального айтишника обязательно должен быть в арсенале DVL и его старшие аналоги BackTrack и PHLAK.

Будем считать, что вы раздобыли iso образ DVL.  Несмотря на то, что вы теперь можете нарезать его на болванку и запускаться с нее, все же лучше использовать виртуальную машину для этих целей.  Если вы не знаете, что такое виртуальная машина, поясняю – это специальная программа, которая эмулирует работу физического компьютера. Фактически, вы получаете компьютер в компьютере со своими ресурсами. Забегая вперед, скажу, что мы часто будем использовать во многих уроках виртуальные машины, поэтому одна из них должна быть на вашем компьютере.

Фактически, ваш выбор будет ограничен лишь бесплатными Virtual Box, Virtual PC и отличной платной виртуальной машиной VMWare Workstation (хотя на ее базе ожно построить бесплатную виртуальную машину).

Виртуальным машинам я посвящу отдельную статью, поэтому останавливаться на этом пока не буду.

Я использую VMWare Workstation, но в других виртуальных машинах принцип будет таким же. Создайте новый проект виртуальной машины  и назовите его DVL.   В разделе операционные системы лучше выберите Other, выделите оперативной памяти 512 МВ, насчет жесткого диска согласитесь с мастером.

Все, теперь используя какой-нибудь инструмент типа Daemon Tools, можете загрузить в него образ и поставить этот диск загрузчиком системы. Обратите внимание, что DVL загружается только в консольном варианте. Графическую подсистему вы потом запустите уже сами.

Итак, увидев надпись на экране виртуальной машины

 

логином укажите root, а пароль toor (root наоброт). Обратите внимание на то, что немного выше указаны команды запуска графической подсистемы. Здесь вы можете увидеть и стандартную для KDE команду startx, и старинную xconf —  вобщем, можете поэкспериментировать. Я остановлюсь на startx как более удобную после перехода с Windows на linux. После того, как вы ввели логин и пароль, система запустит терминал, в который нужно ввести startx и нажать  клавишу Enter

Загрузится графическая оболочка KDE. Теперь можно кликать на все, что понравится и смотреть результат

Помимо использования различных уязвимостей, айтиспециалист может написать свои программы на c++, java или freepascal, благо Шнайдер любезно включил среды разработки в дистрибутив. Ну и, конечно, теперь можно искать уязвимости и пытаться самостоятельно их залатать.

К сожалению, эта тема настолько обширна, что в рамках вводной статьи ее глупо освещать. Тем не менее, время от времени я буду писать статьи. И помните – чтобы стать нормальным специалистом по информационной защите, нужно побывать в шкуре хакера. А DVL поможет вам в этом, причем вы абсолютно не нарушите законы.

Рубрика: Хакинг

Комментарии

3 коммент. на “Первый шаг специалиста по IT безопасности — Damn Vulnerable Linux”
  1. Георгий:

    Прошло 3 года 😉 Хотелось бы ещё статей :(
    Мне эта тема очень интересна. И не смотря на огромное количество всякой информации на этот счет, мне больше нравятся ваши уроки, то как вы объясняете) Ваш подход))

    • domenix:

      Советую Вам книгу приобрести » Основы веб — хакинга нападение и защита » автор Юрий Жуков в которой подробно рассмотрены примеры взлома и защиты веб ресурсов
      Книга идёт вместе с дистрибутивом DVL что позволяет не практически «потренироваться » и понять тот или иной метод защиты или нападения.
      Эта книга без сомнения одна из многочисленных ступенек для it специалиста.

      • admin:

        Сильно устарела. Книге 5 лет. Я ее читал когда-то. Полезная, но уже неактуальная. Не советую. Как и DVL. Статья просто 2012 года

Добавить комментарий

Внимание! Не будут добавляться комментарии в виде откровенного спама или прямого анкора на свои сайты. Все спамеры будут передаваться в базу Akismet

Подтвердите, что Вы не бот — выберите человечка с поднятой рукой: