¿Debería preocuparse una tienda de TI de Windows por habilitar WSL para los usuarios?

Navega tus respuestas
2

Trabajo en un lugar que solo admite Windows, y las personas a cargo de TI son (1) muy conservadoras y (2) no están al borde de su profesión.

Quiero que el Subsistema de Windows para Linux (WSL) esté habilitado para facilitar el trabajo de ciencia de datos, cosas que simplemente funcionan mejor en Linux. Estoy pensando específicamente en forking para procesamiento paralelo, pero también en utilidades básicas como curl , tmux , htop , sed , awk , etc.

Al tratar de explicar a estas personas que WSL no es una amenaza, veo cosas conflictivas en línea. "Seguridad WSL" de Google y te encuentras con artículos sobre software de base. Al parecer, un pirata informático que ha obtenido acceso a un sistema puede ejecutar WSL, instalar wine y usarlo para instalar malware de Windows.

Según este artículo de FOSS , WSL ahora está integrado en el defensor. ¿Eso significa que el problema del malware se solucionó?

Apreciaría los argumentos a favor o en contra de habilitar WSL en una tienda de TI conservadora y adversa al riesgo. ¿Es realmente arriesgado? ¿Por qué o por qué no?

    
pregunta generic_user 31.10.2018 - 19:50
fuente

2 respuestas

2

Primero, bienvenido a Security Stackexchange,

  

Al tratar de explicar a estas personas que WSL no es una amenaza, yo   Ver cosas conflictivas en línea. Google "seguridad WSL" y vienes   A través de artículos sobre bashware.

El hecho es que los expertos en seguridad y otros profesionales de It están hablando sobre WSL y que fue desarrollado en conjunto con (entre otros) el canónico (los tipos que te trajeron Ubuntu) de hecho está demostrando que hay una seguridad buena y adecuada Clima alrededor de WSL. Una mejor que está alrededor de Windows. (IMHO)

  

Al parecer un hacker que ha ganado   el acceso a un sistema puede ejecutar WSL, instalar Wine y usarlo para instalar   malware de Windows.

Esto es cierto para cualquier 'pirata informático' que tenga acceso a su sistema. Además, no necesita wine para infectar las ventanas una vez que esté dentro de la WSL.

Linux tiene un sistema de permisos adecuado, uno que puede aprovechar dentro de su WSL. (cosas como usar sudo y limitar cómo puedes usar sudo y quién). También los servicios de Linux están construidos (en su mayoría) con una cantidad mínima de bases de permisos. un promedio es más seguro que los servicios de Windows debido a esa base.

Necesita aprender más sobre cómo funcionan Linux y WSL y cómo interactúan. La empresa sería prudente gastar su conocimiento y comenzar (en una escala limitada) a conocer qué es WSL y cómo funciona.

La diferencia principal para usted entre un sistema Linux y un sistema Windows es cuánto ha trabajado en él. Trabajar en WSL le permite aprender más sobre Linux y sus sistemas de seguridad sin sacrificar su base de Windows.

Como siempre saber más sobre las computadoras y los sistemas informáticos te hace mejor en seguridad, estar expuesto a diferentes paradigmas te hace pensar en diferentes posibilidades.

Tl; Dr  Recomendaría a cualquier compañía (que valga la pena) sal que opere en un entorno donde la seguridad sea importante (así que en todas partes) para aprender y adquirir experiencia con Linux y WSL es la mejor manera de comenzar con él, ya que tiene la barrera más baja. de todos ellos. Esto se gasta a partir de ellos hasta los usuarios finales

    
respondido por el LvB 31.10.2018 - 20:43
fuente
2

Depende de cuánto intentan bloquear los usuarios de Windows y cómo. Si limitan los programas que puede ejecutar, WSL es un bypass para eso; la mayoría de las herramientas que filtran programas de Windows ignorarán las de Linux que se ejecutan en el mismo kernel. Sin embargo, si le dan un administrador local, también pueden permitirle ejecutar WSL; no puede hacer nada en WSL que no pueda hacer en Win32, con suficiente esfuerzo.

Vale la pena señalar que WSL en realidad no otorga ningún privilegio adicional. Un proceso WSL iniciado como Administrador de (Windows) tiene privilegios de administrador en el sistema de archivos de Windows (y cualquier proceso de Windows que inicie heredará esos privilegios de administrador), ya sea que el shell WSL se ejecute como root. De manera similar, un shell WSL que no es de administrador, incluso si está elevado a raíz, no tiene más privilegios en el sistema de archivos de Windows o en el kernel que el usuario que no lo ha administrado. Esto realmente causó errores en las primeras versiones de WSL, donde cosas como ping no funcionaban porque su bit de root setuid no le daba la capacidad de hacer nada extra con los sockets de red (que están controlados por los permisos del núcleo de NT).

Cada usuario de Windows obtiene su propia instalación WSL aislada (si la usa), con sus propios usuarios; ni siquiera puedes atacar a otros usuarios en la misma caja física utilizando WSL (a menos que puedas hacerlo desde Win32). Las principales cosas que WSL hace para el impacto en la seguridad son confundir u omitir algunas herramientas de restricción de software y monitoreo, y abrir alguna superficie adicional de ataque al kernel (hasta donde sé, nadie ha usado WSL como un vector de explotación en el kernel, pero me sorprendería si no hubiera uno en alguna parte ... como si estuviera seguro de que todavía hay más vulnerabilidades en Win32k.sys).

    
respondido por el CBHacking 01.11.2018 - 00:07
fuente

Lea otras preguntas en las etiquetas

Herramienta de Linux para monitorear la actividad de la red por aplicación ¿Qué puede hacer alguien con el indicador de comando (no administrador) en una red?