Skip to Content.
Menu Sympa

gnl - Sobre segurança com uso do WINE

gnl AT framalistes.org

Assunto: GNU // Linux // Software Livre // Privacidade // Segurança // Linha de comandos

Arquivo da lista

Sobre segurança com uso do WINE


Cronológico Linha  
    < Cronológico >       < Linha >
  • From: Hugo Cerqueira <hrcerq AT disroot.org>
  • To: Lista GNL <gnl AT framalistes.org>
  • Subject: Sobre segurança com uso do WINE
  • Date: Fri, 15 Apr 2022 22:22:11 -0300

Olá mais uma vez pessoal!

Desde que comecei a me aventurar no mundo das distros GNU/Linux sempre
vi uma grande controvérsia sobre usar o WINE ser algo bom ou não. Um dos
aspectos colocados em questão é a possibilidade (ou não) de que ele
comprometa a segurança do sistema.

Como penso que as referências anedóticas e as especulações não são
suficientes pra chegar a uma boa conclusão, lá fui eu atrás de uma
pesquisa mais estruturada, e acabei esbarrando com uma [1].

E devo dizer, não foi uma grande surpresa ver que sim, o WINE aumenta
os riscos para o sistema. Isso quer dizer que você terá o mesmo nível
de risco que teria ao usar o Windows? Certamente não, e acho que isso
também fica bem claro no artigo. Mas levanta algumas preocupações
bastante válidas.

Recomendo a leitura, mas dando uma pincelada: o autor realiza um
experimento com um número relativamente pequeno de malwares conhecidos
(30), monitorando a execução e efetividade dos mesmos tanto no Windows,
como no Wine, comparando os resultados. Ao fim ele faz uma apuração
estatística a fim de identificar causalidade em características dos
malwares testados, porém infelizmente essa parte foi inconclusiva
devido ao pequeno número de malwares utilizados.

Dos 30 malwares, 5 foram plenamente efetivos no Wine, tendo sim a
capacidade de causar danos, e 6 foram parcialmente efetivos. É um
percentual pequeno? Certamente é, mas não é desprezível.

Um ponto deve ser destacado sobre a terminologia usada no artigo:
quando ele fala sobre execução automática do malware (ao iniciar o
sistema) no caso ele se refere ao iniciar o WINE, mais especificamente.

O artigo não explora muito os vetores de infecção no sistema, focando
mais na sua execução e efetividade uma vez executado. Ele até menciona
vetores comuns de infecção, mas no Windows. Para que os mesmos
infectassem o WINE, seria necessário que primeiro um programa executado
no WINE abrisse uma brecha para eles. Evidentemente, aplicações que
façam uso de rede são mais suscetíveis a abrir essas brechas.
Dispositivos removíveis também podem ser um fator de risco.

Dito isso, qual é a minha recomendação? Para o público geral, se você
não precisa do WINE, podendo substituir programas que executaria nele
por outros, nativos, faça isso, e evite usar o WINE. Por menor que seja
o risco representado, é um risco a mais que você pode evitar.

Para desenvolvedores, acredito que pode fazer algum sentido ter o WINE
para testar as aplicações desenvolvidas, caso se pretendam
multiplataforma. Mas nesse caso seria interessante prover uma camada de
isolamento como a execução dentro de um contêiner bem configurado, por
exemplo. De todo modo, nesse caso o risco tende a ser menor devido ao
fato de executar apenas uma aplicação conhecida.

Manter o WINE instalado no sistema principal, por outro lado, é algo
que eu também não recomendaria, se puder ser evitado.

Para além disso, mais algumas contramedidas (em ordem de prioridade)
que podem ser consideradas para reduzir os riscos, na eventualidade de
precisar do WINE:

- Não execute nada que você não sabe o que é (do mesmo modo que deve
checar os programas que roda nativamente). Sempre verifique os
programas e suas fontes antes de executá-los no WINE.
- Utilize prefixos [2][3]: separe as instâncias (prefixos) de WINE de
acordo com as aplicações que pretende executar. Assim, caso tenha
qualquer problema em uma instância do WINE e precise removê-la, não
afetará as demais instâncias.
- Use o Firejail [4][5]. O Firejail provê uma camada de segurança
adicional, ao poder restringir acesso da aplicação a recursos que, em
tese, ela não precisa acessar pra funcionar.
- Tornar o WINE não executável e mudar via ACL [6][7] para que um
usuário específico apenas possa executá-lo.

E a minha conclusão sobre o tema é: WINE não é ruim por si só, mas para
usá-lo você deve compreender os riscos envolvidos.

[1] Duncan, R., Schreuders, Z.C. Security implications of running
windows software on a Linux system using Wine: a malware analysis
study. J Comput Virol Hack Tech 15, 39*60 (2019).
https://doi.org/10.1007/s11416-018-0319-9

Disponível em:
https://link.springer.com/article/10.1007/s11416-018-0319-9

[2] https://wiki.winehq.org/FAQ#Wineprefixes
[3] https://wiki.winehq.org/Bottling_Standards
[4] https://firejail.wordpress.com/
[5] https://wiki.archlinux.org/title/Firejail
[6] https://man7.org/linux/man-pages/man5/acl.5.html
[7] https://man7.org/linux/man-pages/man1/setfacl.1.html

--
Atenciosamente,

Hugo R. Cerqueira

"A única maneira de lidar com um mundo sem liberdade é tornar-se tão
absolutamente livre que a sua própria existência seja um ato de
rebelião."

(Albert Camus)

  • Sobre segurança com uso do WINE, Hugo Cerqueira, 16/04/2022

Arquivo provido por MHonArc 2.6.19+.

Top of Page