¿Es seguro ejecutar aplicaciones que no necesitan instalación?

15

Tengo Ubuntu 14.04 LTS

He descargado Telegram desde aquí . El archivo fue comprimido con la extensión tar.xz.

Descomprimí este archivo y ejecuté el archivo Telegram(sin extensión) usando un usuario común (no administrador). La aplicación comenzó y funcionó bien.

Pero, ¿por qué Ubuntu no me dice: "No ejecutes esta aplicación porque no es segura"?

¿Es realmente seguro ejecutar tales aplicaciones, que no necesitan instalación, que se ejecutan fácilmente cuando se hace doble clic?

¿Y cómo se llaman las aplicaciones como esta? ¿Qué nombre tienen? "Portátil"?

D. Ktt
fuente
1
sobre el tema de Telegram y seguridad, puede encontrar esta pregunta interesante security.stackexchange.com/questions/49782/is-telegram-secure
Reverent Lapwing
1
Pregunta relacionada que habla sobre Windows, pero el mismo concepto: security.stackexchange.com/q/178814/84287
JPhi1618
2
Revisores: Me cuesta ver cómo esta pregunta se basa principalmente en la opinión. Las respuestas pueden, y han explicado, las consideraciones de seguridad relevantes.
Eliah Kagan
44
Obligatorio XKCD: xkcd.com/1200
Andrea Lazzarotto
1
¿Esa advertencia aun existe en Ubuntu?
user253751

Respuestas:

26

El archivo es un ejecutable binario. Ya se ha compilado a partir de su código fuente en una forma que su CPU puede ejecutar y solo tiene que pedir que se ejecute para que se ejecute.

El software que descarga cuando ejecuta un administrador de paquetes, como APT en general, también incluye binarios precompilados, por lo que no hay nada peculiar en este tipo de archivo. El paquete de los archivos hace cosas útiles, como decirle al administrador de paquetes en qué parte del sistema de archivos deben copiarse los archivos binarios, y proporciona scripts que aseguran que el programa pueda encontrar cualquier biblioteca compartida y otros programas de los que depende y el entorno que requiere. configurar si es necesario.

La razón por la que podría considerar que este programa no es seguro es que proviene de una fuente desconocida, mientras que los paquetes de los repositorios de Ubuntu son de una fuente conocida y están protegidos por un proceso de verificación de firma que garantiza que no hayan sido manipulados en su camino a su sistema.

Básicamente, descargar y ejecutar ejecutables de fuentes desconocidas es inseguro, a menos que confíes en el proveedor y puedas verificar que la descarga te haya llegado intacta. Con este último fin, los distribuidores pueden proporcionar algún tipo de suma de verificación que puede usar para verificar que el archivo que cargaron tenga el mismo contenido que el que descargó.

Una cosa alentadora sobre Telegram en particular es que es de código abierto:

Este software está disponible bajo licencia GPL v3.
El código fuente está disponible en GitHub .

Esto significa que cualquiera puede leer el código fuente del programa para asegurarse de que no hará nada indeseable en su sistema. En la práctica, leer el código fuente para asegurarse de que el programa sea seguro no es algo que la mayoría de los usuarios finales quieran dedicar tiempo o aprender a hacer. Aún así, tengo algo de fe en la comunidad involucrada para encontrar vulnerabilidades y errores de seguridad en el software de código abierto.

En cuanto a por qué Ubuntu no se queja de que el programa no es seguro, molestar al usuario sobre sus decisiones cuestionables no es la tradición de Linux. Un sistema Linux generalmente está diseñado para hacer lo que le pides y nada más. El usuario se considera responsable de tener conocimiento de los problemas de seguridad y otras posibles trampas y rara vez se le advertirá que está a punto de comprometer o dañar su sistema.

Utilizo un PPA para Telegram. Vea esta respuesta para conocer todas las formas de instalar Telegram . Las PPA utilizan el mecanismo de verificación de firmas de APT, pero aún tienen algunos riesgos porque usted confía en el responsable. Los PPA proporcionan cierta conveniencia, se actualizan cuando ejecuta actualizaciones (si el responsable de mantenimiento actualiza el PPA), informando al administrador de paquetes de que tiene el software, etc.

Zanna
fuente
66
" Un sistema Linux generalmente está diseñado para hacer lo que le pides y nada más " . Dos palabras: Lennart Poettering.
RonJohn
66
Mientras que la fuente de Telegram está en Github, no significa que el binario compilado que descargaste se generó usando exactamente la misma fuente. Entonces, al final, el problema real aquí es la confianza en toda la cadena, que se maneja mejor con los paquetes de su sistema operativo.
jjmontes
Por supuesto, podría deshacerse de este binario, tomar esa fuente y compilarlo él mismo, y usarlo, o compararlo con el binario que tiene si lo compila exactamente de la misma manera (aunque eso es potencialmente difícil de replicar).
ttbek
1
@RonJohn, no puedo encontrar nada que aclare por qué lo mencionas en relación con (en contraste con) esa oración. ¿Estás hablando de alguna oscura ruptura de la expectativa de PulseAudio, o algo más?
Comodín
2
"verifique que la descarga lo haya alcanzado intacto. Con este último fin, los distribuidores pueden proporcionar algún tipo de suma de verificación que puede usar para verificar que el archivo que cargaron tenga el mismo contenido que el que descargó". - tenga en cuenta que esto no agrega ninguna seguridad adicional si la suma de verificación ha viajado a usted por el mismo canal que la descarga, ya que también podría haber sido manipulada.
Jon Bentley
11

Software instalado localmente

El software descargado (o copiado localmente de cualquier manera) y ejecutado localmente (desde su usuario) puede hacer cualquier cosa para la que no requiera permisos de administrador. Eso incluye eliminar sus archivos (personales), que la mayoría de nosotros encontraría dañinos.

Si ha iniciado sesión en algo, y el software se ejecuta como su usuario, lo mismo, pero también piense en los scripts o comandos que podría haber agregado al archivo sudoers.

En caso de que tenga una cuenta de administrador, y el software le solicite su contraseña y la proporcione accidentalmente, podría pasar cualquier cosa.

¿Advertencia?

Sin dar su contraseña, el daño potencial se limitará a su propia cuenta. No querrás que Ubuntu te advierta sobre todos y cada uno de los comandos que ejecutes, deliberadamente o no.

Es por eso que simplemente no debe ejecutar código de fuentes que no sabe si puede confiar en ellas, a menos que comprenda completamente el código.

Jacob Vlijm
fuente
77
"El daño potencial se limitará a su propia cuenta", no es que no esté de acuerdo con el principio principal, pero para ser honesto, no puedo pensar en ningún dato valioso en mi máquina que NO esté en mi propia cuenta.
Mirek Długosz
11
@ MirosławZalewski obligatoria xkcd: xkcd.com/1200
Olorin
Además del xkcd: un malware podría intentar enviar correo no deseado o piratear otros servidores (ya lo vi en acción). Esto no solo es molesto para los demás, sino que también puede incluirlo en listas negras.
allo