Die mit Abstand schlechteste Linux-Distribution der Welt

BetriebssystemEnterpriseOpen SourceSoftwareWorkspace

Damn Vulnerable Linux (DVL) weisst genau das, was eine gelungene Distribution nicht enthalten sollte, auf.

Das Projekt enthält veralterte Software und Komponenten, die es angreifbar machen. Und dann ist es auch noch verdammt schlecht konfiguriert. Die Initiatoren dahinter haben sich wirklich alle Mühe gegeben und in stundenlanger Arbeit, das schlechteste Linux der Welt zusammengesetz.

Und sie haben aber eines nicht, nämlich schlechte Arbeit geleistet. Die minderwertige Qualität von DVL soll nämlich keinen produktiven Desktop betreiben, sondern ist als Studienobjekt für Programmierer und solche, die es werden wollen, gedacht. Ganz besonders eignet es sich aber für angehende Sicherheitsexperten.

DVL basiert auf der Distribution Damn Small Linux, nicht nur, weil es wie der Name schon sagt, sehr schlank ist, sondern weil diese Distribution auf dem Kernel 2.4 basiert, der für Attacken verwundbarer ist als der aktuelle Kernel 2.6. Daneben enthält es vor allem veraltete Versionen verbreiteter Anwendungen, wie etwa MySQL oder PHP.

Entworfen hat DVL der Universitätsdozent Thorsten Schneider, des International Institute for Training Assessment and Certification (IITAC). Er wollte ein Trainingssystem haben, mit dem er seinen Unterricht veranschaulichen kann. Er braucht daher ein System, das so angreifbar wie möglich ist, um all die verschiedenen Techniken, wie Buffer Overflows, SQL Injection oder Reverse Code Engineering daran demonstrieren zu können.

An der Distribution hätten sogar richtig böse Jungs mitgarbeitet, die sich sonst in zwielichtigen Hacker-Foren herumtreiben. Die Distribution ist nicht nur eine Distribution, sondern sie enthält auch übersichtliche Übungen. Diese sind nach drei Bereichen aufgeteilt. Der erste führt ein in die Welt der Buffer Overflows, der Format-String-Vulnerabilties oder Binary Exploitations. Im zweiten Teil geht es vor allem um Verwundbarkeiten, die mit dem Web zusammenhängen, wie etwa Path Retrieval. Der dritte Teil zeige, wie verwundbar ein Kopierschutz sein kann und was sich mit Reverse Code Engineering alles erreichen lässt.