Британская компания NotSoSecure, специализирующаяся на penetration testing и ИТ-безопасности в целом, представила головоломку для специалистов по Docker под названием Vulnerable Docker VM.
Подготовленный авторами образ виртуальной машины предназначен для тех, кто «мечтал поиграть с неправильными конфигурациями Docker, превышением привилегий и т.п. в контейнере». Образ на базе Linux-дистрибутива Ubuntu 14.04 доступен для скачивания в формате OVA (запускается, например, в VirtualBox) на странице проекта и лицензирован под GPL (т.е. допускает модификации и дальнейшее распространение на тех же условиях).
У головоломки предусмотрено два режима (или уровня):
- простой (Easy), для прохождения которого потребуются только знания Docker,
- сложный (Hard), где для достижения цели необходимы также навыки в области pentesting.
Выбор уровня осуществляется на этапе загрузки операционной системы в GRUB:
Суть задания сводится к тому, чтобы обнаружить 3 файла-флага, размещённых «посреди различных машин/систем, доступных для вас» (все флаги присутствуют в обоих режимах задания), и получить root-доступ к хостовой машине. Представленные в образе проблемы в безопасности могут содержаться как в неправильной конфигурации сервисов, так и в традиционных уязвимостях. По словам одного из авторов Vulnerable Docker VM, эти проблемы были найдены в реальных окружениях во время проведения pen testing его компанией.
Никакого приза за прохождение этого квеста не предполагается. Так что… пробуйте just for fun!
P.S. Идея этой головоломки пришлась мне по душе ещё и по той причине, что мы уже много лет практикуем нечто похожее в качестве тестового задания при отборе кандидатов… и сложившийся опыт показывает, что fun они действительно получают.
Автор: shurup
