Ни для кого не стало сюрпризом следующее известие, обнародованное на конференции по информационной безопасности Black Hat USA: добавив в код Windows 10 возможность выполнять определенные Linux-команды благодаря встраиванию языка командной оболочки Bash, разработчики операционной системы добавили и новые риски безопасности.
Дело в том, что невозможно придумать новый способ взаимодействия с программным обеспечением настолько высокого уровня сложности, как у Windows 10, и при этом не открыть новые лазейки для взлома системы безопасности. Но есть и более актуальные вопросы: насколько серьезным может оказаться риск потенциального взлома и какова вероятность того, что им кто-то воспользуется?
Вообще то вряд ли им кто-то воспользуется, так как командная строка Ubuntu Linux по умолчанию отключена в Windows 10, при этом найти и активировать ее захотят очень немногие пользователи, разве что они окажутся программистами или хакерами, задумавшими нечто злодейское.
Без оболочки Bash и сопутствующей командной строки провести кибератаку с помощью команд Linux никак не получится. Но факт остается фактом: оболочка Bash все же существует, и если только вы у себя в компании не настроите все компьютеры таким образом, чтобы пользователи не смогли включать эту опцию, в один прекрасный день вы можете обнаружить, что ваши сотрудники решили поэкспериментировать с новой возможностью.
На всякий случай расскажем, как активировать подсистему Linux для Windows. Сначала нужно открыть панель «Настройки», которая теперь появляется в виде значка шестеренки при нажатии на кнопку «Пуск». Затем нужно зайти во вкладку «Обновления и безопасность» и нажать на пункт списка «Для разработчиков».
Кнопки Linux вы там не найдете, зато можете поискать пункт «Возможности Windows». Выбрав его, вы откроете список функций, которые можно включать и отключать с помощью галочек.
Вот одна из этих опций и позволяет активировать подсистему Linux для Windows. Включите эту опцию, нажмите «Применить» — и, как только Windows найдет необходимые файлы, вас попросят перегрузить компьютер. После этого достаточно впечатать «Bash» в командную строку — и можно приступать к работе.
Несмотря на то, что этот Linux-подобный интерфейс был разработан сообща компаниями Microsoft и Canonical, на самом деле он не является настоящей Linux, так как внутри Windows нет полноценного ядра Linux. Но отдельные части ядра все же присутствуют, и этого достаточно, чтобы, получив доступ к этой Bash-оболочке, позволить вредоносному ПО обойти некоторые из типичных функций безопасности Windows.
И хотя новый функционал Ubuntu Linux не предполагает возможности запускать графические приложения или рабочий стол Ubuntu, фактически уже многие знают, каким образом это сделать.
Запуск под Linux графических приложений вроде Firefox или использование рабочего стола Ubuntu сами по себе не представляют какой-либо угрозы для безопасности. Однако наметившаяся возня с кодом Windows 10 указывает на то, что в массе своей изобретательные линуксоиды обязательно найдут способ проникнуть гораздо глубже в систему, чем могли ожидать Microsoft или создатели Ubuntu.
Теперь, когда вы узнали, в каком месте активируется командная строка Linux, вам также стало понятно, какие функции отключить при настройке рабочих компьютеров компании, если вы еще этого не сделали. Но прежде чем это делать, убедитесь, что такие меры отражены в параметрах вашей политики. А также убедитесь, что не отрезаете своим разработчикам доступ к этой функции, если у них есть основания использовать командную строку Linux.
К счастью, шансы на то, что командную строку Linux будут массово использовать для взлома, достаточно невелики, хотя бы потому, что только горстка пользователей сможет разобраться в необходимых настройках и командах и добиться каких-нибудь успехов в практической реализации подсистемы Windows Subsystem for Linux.
Проблема состоит в том, что большая часть антивирусов может не обнаружить вредоносное ПО внутри подсистемы Linux. Хотя вирусов под Linux на практике пишется очень мало, они все же есть, и на данный момент не ясно, будут ли они работать под WSL. Но даже если существующие эксплойты не заработают, ничто не может помешать креативному киберпреступнику создать рабочий вирус, если подсистемой WSL начнут пользоваться широко.
Но, возможно, еще большую опасность может представлять собой некий вредоносный скрипт, который в фоновом режиме активирует WSL, а затем использует ее для совершения атаки. Возможен ли такой вариант в принципе? Я точно не знаю, но у меня такое чувство, что возможен. И именно такая бомба замедленного действия, работая незаметно в фоновом режиме, может оказаться вне зоны внимания пользователя и его антивирусных программ.
Для ИТ-руководителей такое положение вещей, по сути, означает следующее: пора установить контроль над тем, что именно способны проделывать пользователи в вашей организации со своими версиями Windows. Если вы еще не учредили политику компании в отношении Windows, сейчас самое подходящее для этого время. В реальности же выпуск Anniversary Update — это еще более весомый аргумент в пользу таких мер.
Изменения, внесенные в новую версию Windows 10, достаточно серьезны и могут сильно повлиять на то, как ваши сотрудники пользуются своими компьютерами. Вам нужно научиться их контролировать именно сейчас, до того, как обновление загрузится автоматически. Как только ваши пользователи прочувствуют, как можно воспользоваться этими изменениями, в том числе доступом к командной строке Linux, вернуть себе контроль будет крайне сложно.
Но пока вы над этим размышляете, выделите минутку на то, чтобы попробовать WSL в действии. Она весьма недурно спроектирована.