Czy bezpiecznie jest uruchamiać aplikacje, które nie wymagają instalacji?

15

Mam Ubuntu 14.04 LTS

Pobrałem Telegram stąd . Plik został skompresowany z rozszerzeniem tar.xz.

Rozpakowałem ten plik i uruchom go Telegram(bez rozszerzenia), używając zwykłego użytkownika (nie administratora). Aplikacja została uruchomiona i działała poprawnie.

Ale dlaczego Ubuntu nie mówi mi: „Nie uruchamiaj tej aplikacji, ponieważ nie jest bezpieczna”?

Czy naprawdę bezpieczne jest uruchamianie takich aplikacji, które nie wymagają instalacji, które działają łatwo po dwukrotnym kliknięciu?

Jak nazywają się takie aplikacje? Jakie mają imiona? "Przenośny"?

security telegram D. Ktt
źródło
1
na temat Telegramu i bezpieczeństwa możesz zadać to pytanie interesujące security.stackexchange.com/questions/49782/is-telegram-secure
Reverent Lapwing
1
Podobne pytanie dotyczące systemu Windows, ale ta sama koncepcja: security.stackexchange.com/q/178814/84287
JPhi1618
2
Recenzenci: Trudno mi zrozumieć, w jaki sposób to pytanie opiera się głównie na opiniach. Odpowiedzi mogą - i wyjaśniły - istotne względy bezpieczeństwa.
Eliah Kagan
4
Obowiązkowe XKCD: xkcd.com/1200
Andrea Lazzarotto
1
Czy to ostrzeżenie w ogóle istnieje w Ubuntu?
user253751

Odpowiedzi:

26

Plik jest binarnym plikiem wykonywalnym. Został już skompilowany z kodu źródłowego do postaci, którą może wykonać Twój procesor i musisz tylko poprosić o wykonanie go, aby mógł działać.

Oprogramowanie, które pobierasz, gdy uruchamiasz menedżera pakietów, takiego jak APT, zawiera również wstępnie skompilowane pliki binarne, więc nie ma nic dziwnego w tego typu plikach. Pakowanie plików robi pomocnych rzeczy jak mówienie menedżera pakietów, gdzie w systemie plików binarnych należy skopiować do i dostarcza skrypty, które upewnij się, że program może znaleźć żadnych udostępnianych bibliotek i innych programów to zależy i środowiska Trzeba tylko skonfiguruj w razie potrzeby.

Powodem, dla którego możesz uznać ten program za niebezpieczny, jest to, że pochodzi on z nieznanego źródła, podczas gdy pakiety z repozytoriów Ubuntu pochodzą ze znanego źródła i są chronione przez proces weryfikacji podpisu, który zapewnia, że ​​nie zostały zmienione w drodze do twojego systemu.

Zasadniczo pobieranie i uruchamianie plików wykonywalnych z nieznanych źródeł jest niepewne, chyba że ufasz dostawcy i możesz sprawdzić, czy pobieranie dotarło do Ciebie w nienaruszonym stanie. W tym ostatnim przypadku dystrybutorzy mogą zapewnić pewną sumę kontrolną, której można użyć do sprawdzenia, czy przesłany plik ma taką samą zawartość, jak pobrany.

Jedną z zachęcających rzeczy w szczególności w Telegram jest to, że jest to oprogramowanie open source:

To oprogramowanie jest dostępne na licencji GPL v3.
Kod źródłowy jest dostępny na GitHub .

Oznacza to, że każdy może odczytać kod źródłowy programu, aby upewnić się, że nie zrobi on nic niepożądanego w twoim systemie. W praktyce czytanie kodu źródłowego, aby upewnić się, że program jest bezpieczny, nie jest czymś, co większość użytkowników końcowych chce spędzać czas na robieniu lub nauce. Mimo to wierzę w zaangażowaną społeczność w znajdowanie luk w zabezpieczeniach i błędów w oprogramowaniu open source.

Jeśli chodzi o to, dlaczego Ubuntu nie narzeka, że ​​program jest niebezpieczny, cóż, przeklinanie użytkownika w związku z jego wątpliwymi decyzjami nie jest tradycją Linuksa. System Linux jest zwykle zaprojektowany do robienia tego, o co go prosisz, i nic więcej. Uznaje się, że użytkownik jest odpowiedzialny za świadomość problemów bezpieczeństwa i innych potencjalnych pułapek i rzadko będzie ostrzegany, że może narazić swój system na szwank lub uszkodzenie.

Korzystam z PPA dla Telegramu. Zobacz tę odpowiedź na wszystkie sposoby instalacji Telegramu . Umowy PPA korzystają z mechanizmu weryfikacji podpisów APT, ale nadal wiążą się z pewnym ryzykiem, ponieważ pokładasz zaufanie w opiekunie. Umowy PPA zapewniają pewną wygodę, aktualizując po uruchomieniu aktualizacji (jeśli opiekun aktualizuje PPA), informując menedżera pakietów, że masz oprogramowanie i tak dalej.

Zanna
źródło
6
System Linux jest zwykle zaprojektowany do robienia tego, o co go prosisz, i nic więcej. ” Dwa słowa: Lennart Poettering.
RonJohn
6
Chociaż źródło telegramu znajduje się na Githubie, nie oznacza to, że skompilowany plik binarny, który pobrałeś, został wygenerowany przy użyciu dokładnie tego samego źródła. Tak więc ostatecznie problemem jest zaufanie do całego łańcucha, które lepiej radzą sobie z pakietami OS.
jjmontes
Oczywiście mógłby porzucić ten plik binarny, pobrać to źródło i sam go skompilować, i użyć go lub porównać z plikiem binarnym, który posiada, jeśli skompiluje go dokładnie w ten sam sposób (choć jest to potencjalnie trudne do odtworzenia).
ttbek
1
@RonJohn, nie mogę znaleźć niczego, co wyjaśniałoby, dlaczego wspominasz o nim w związku z (w przeciwieństwie do?) Tym zdaniem. Czy mówisz o jakimś niejasnym złamaniu oczekiwań PulseAudio, czy coś innego?
Wildcard
2
„sprawdź, czy pobieranie dotarło do Ciebie w nienaruszonym stanie. W tym drugim przypadku dystrybutorzy mogą udostępnić pewnego rodzaju sumę kontrolną, za pomocą której można sprawdzić, czy przesłany plik ma taką samą zawartość, jak pobrany”. - pamiętaj, że nie dodaje to żadnych dodatkowych zabezpieczeń, jeśli suma kontrolna dotarła do Ciebie tym samym kanałem co pobieranie, ponieważ mogła zostać również zmieniona.
Jon Bentley
11

Oprogramowanie zainstalowane lokalnie

Oprogramowanie, pobrane (lub skopiowane lokalnie w jakikolwiek sposób) i uruchomione lokalnie (od użytkownika) może potencjalnie zrobić wszystko, co nie wymaga uprawnień administratora. Obejmuje to usunięcie twoich (osobistych) plików, które większość z nas uznałaby za szkodliwe.

Jeśli jesteś zalogowany, a oprogramowanie działa jako użytkownik, to samo, ale pomyśl także o skryptach lub poleceniach, które mogłeś dodać do pliku sudoers.

Jeśli masz konto administratora, a oprogramowanie prosi o hasło i przypadkowo je podajesz, wszystko może się zdarzyć.

Ostrzeżenie?

Bez podania hasła potencjalne szkody będą ograniczone do Twojego konta. Nie chciałbyś, aby Ubuntu ostrzegał cię przed każdym wykonanym poleceniem, celowo lub nie.

Właśnie dlatego nie powinieneś uruchamiać kodu ze źródeł, których nie wiesz, czy możesz im ufać, chyba że w pełni rozumiesz kod.

Jacob Vlijm
źródło
7
„potencjalne szkody będą ograniczone do twojego konta” - nie dlatego, że nie zgadzam się z główną zasadą, ale szczerze mówiąc, nie mogę wymyślić żadnych cennych danych na moim komputerze, które NIE są na moim koncie.
Mirek Długosz
11
@ MirosławZalewski obowiązkowe xkcd: xkcd.com/1200
Olorin
Oprócz xkcd: złośliwe oprogramowanie może próbować spamować lub hakować inne serwery (widziałem to już w działaniu). Jest to nie tylko denerwujące dla innych, ale może również doprowadzić cię do czarnej listy.
allo