È sicuro eseguire app che non richiedono installazione?

15

Ho Ubuntu 14.04 LTS

Ho scaricato Telegram da qui . Il file è stato compresso con l'estensione tar.xz.

Ho decompresso questo file ed eseguo il file Telegram(senza estensione) utilizzando un utente comune (non amministratore). L'applicazione è stata avviata e ha funzionato correttamente.

Ma perché Ubuntu non mi dice "Non eseguire questa app, perché non è sicura"?

È davvero sicuro eseguire tali applicazioni, che non necessitano di installazione, che si eseguono facilmente quando si fa doppio clic?

E come si chiamano app come questa? Che nome hanno? "Portatile"?

security  telegram 
D. Ktt
fonte
1
sull'argomento Telegram e sicurezza potresti trovare questa domanda interessante security.stackexchange.com/questions/49782/is-telegram-secure
Reverent Lapwing
1
Domanda correlata che parla di Windows, ma stesso concetto: security.stackexchange.com/q/178814/84287
JPhi1618
2
Revisori: ho difficoltà a vedere come questa domanda sia principalmente basata sull'opinione pubblica. Le risposte possono - e hanno - spiegato le pertinenti considerazioni sulla sicurezza.
Eliah Kagan,
4
XKCD obbligatorio: xkcd.com/1200
Andrea Lazzarotto
1
Questo avviso esiste anche in Ubuntu?
user253751

Risposte:

26

Il file è un eseguibile binario. È già stato compilato dal suo codice sorgente in un modulo che la tua CPU può eseguire e devi solo richiederne l'esecuzione per farlo funzionare.

Il software scaricato quando si esegue un gestore di pacchetti come APT in generale include anche file binari precompilati, quindi non c'è nulla di strano in questo tipo di file. Il packaging dei file fa cose utili come dire al gestore dei pacchetti dove devono essere copiati i file binari nel filesystem e fornisce script che assicurano che il programma possa trovare tutte le librerie condivise e altri programmi da cui dipende e l'ambiente che richiede è impostare se necessario.

Il motivo per cui potresti considerare questo programma insicuro è che proviene da una fonte sconosciuta, mentre i pacchetti dai repository Ubuntu provengono da una fonte nota e protetti da un processo di verifica della firma che assicura che non siano stati manomessi sulla strada per il tuo sistema.

Fondamentalmente, il download e l'esecuzione di file eseguibili da fonti sconosciute non è sicuro, a meno che non ti fidi del provider e puoi verificare che il download ti abbia raggiunto intatto. A tal fine, i distributori possono fornire un tipo di checksum che è possibile utilizzare per verificare che il file caricato abbia lo stesso contenuto di quello scaricato.

Una cosa incoraggiante su Telegram in particolare è che è open source:

Questo software è disponibile con licenza GPL v3.
Il codice sorgente è disponibile su GitHub .

Questo significa che chiunque può leggere il codice sorgente del programma per assicurarsi che non farà nulla di indesiderato al tuo sistema. In pratica, leggere il codice sorgente per assicurarsi che il programma sia sicuro non è qualcosa che la maggior parte degli utenti finali vuole trascorrere del tempo facendo o imparando a fare. Tuttavia, ho una certa fiducia nella comunità coinvolta nel trovare vulnerabilità della sicurezza e bug nel software open source.

Per quanto riguarda il motivo per cui Ubuntu non si lamenta del fatto che il programma non sia sicuro, beh, criticare l'utente in merito alle sue decisioni discutibili non è la tradizione di Linux. Un sistema Linux è in genere progettato per fare ciò che gli viene richiesto e nient'altro. L'utente è ritenuto responsabile della conoscenza dei problemi di sicurezza e di altre potenziali insidie ​​e raramente verrà avvertito che stanno per compromettere o danneggiare il proprio sistema.

Uso un PPA per Telegram, vedi questa risposta per tutte le modalità di installazione di Telegram . I PPA utilizzano il meccanismo di verifica della firma di APT, ma presentano ancora alcuni rischi perché ti stai affidando al manutentore. I PPA forniscono una certa comodità, aggiornandosi quando si eseguono gli aggiornamenti (se il manutentore aggiorna il PPA), rendendo il gestore dei pacchetti consapevole che si dispone del software e così via.

Zanna
fonte
6
" Un sistema Linux è in genere progettato per fare ciò che gli viene chiesto e nient'altro. " Due parole: Lennart Poettering.
RonJohn
6
Mentre il sorgente di Telegram è su Github, ciò non significa che il binario compilato che hai scaricato sia stato generato usando esattamente la stessa fonte. Quindi, alla fine, il vero problema qui è la fiducia nell'intera catena, che è meglio gestita dai pacchetti del sistema operativo.
jjmontes,
Ovviamente potrebbe abbandonare questo binario, prendere quella fonte e compilarlo da solo, e usarlo o confrontarlo con il binario che ha se lo compila esattamente allo stesso modo (sebbene sia potenzialmente difficile da replicare).
tbek
1
@RonJohn, non riesco a trovare nulla che chiarisca il motivo per cui lo stai citando in connessione (in contrasto con?) Quella frase. Stai parlando di qualche oscura rottura delle aspettative di PulseAudio o di qualcos'altro?
Wildcard
2
"verifica che il download ti abbia raggiunto intatto. A tal fine, i distributori possono fornire un tipo di checksum che puoi utilizzare per verificare che il file che hanno caricato abbia lo stesso contenuto di quello scaricato." - nota che ciò non aggiunge alcuna sicurezza aggiuntiva se il checksum ti ha viaggiato lungo lo stesso canale del download, in quanto avrebbe potuto essere manomesso.
Jon Bentley,
11

Software installato localmente

Il software, scaricato (o copiato localmente in alcun modo) ed eseguito localmente (dal tuo utente) può potenzialmente fare tutto ciò per cui non hai bisogno delle autorizzazioni di amministratore. Ciò include la rimozione dei file (personali), che la maggior parte di noi troverebbe dannosi.

Se hai effettuato l'accesso a qualsiasi cosa e il software funziona come utente, idem, ma pensa anche a script o comandi che potresti aver aggiunto al file sudoers.

Nel caso in cui tu abbia un account amministratore e il software richieda la tua password e tu la dia accidentalmente, tutto potrebbe succedere.

Avvertimento?

Senza fornire la password, il danno potenziale sarà limitato al proprio account. Non vorrai che Ubuntu ti avvertisse per ogni singolo comando che esegui, deliberatamente o no.

Ecco perché semplicemente non dovresti eseguire codice da fonti che non sai se puoi fidarti di loro, a meno che tu non comprenda appieno il codice.

Jacob Vlijm
fonte
7
"il danno potenziale sarà limitato al tuo account" - non che io non sia d'accordo con il principio principale, ma ad essere sincero, non riesco a pensare a nessun dato prezioso sulla mia macchina che NON sia sul mio account.
Mirek Długosz,
11
@ MirosławZalewski obbligatorio xkcd: xkcd.com/1200
Olorin
Oltre a xkcd: un malware potrebbe provare a spam o hackerare altri server (l'ho già visto in azione). Questo non è solo fastidioso per gli altri, ma può anche farti entrare nelle blacklist.
allo
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.