Apakah aman menjalankan aplikasi yang tidak memerlukan instalasi?

15

Saya memiliki Ubuntu 14,04 LTS

Saya telah mengunduh Telegram dari sini . File dikompres dengan ekstensitar.xz .

Saya telah membongkar file ini dan menjalankan file Telegram(tanpa ekstensi) menggunakan pengguna biasa (bukan admin). Aplikasi dimulai dan berfungsi OK.

Tetapi mengapa Ubuntu tidak memberi tahu saya, "Jangan jalankan aplikasi ini, karena itu tidak aman"?

Apakah benar-benar aman untuk menjalankan aplikasi seperti itu, yang tidak memerlukan instalasi, yang berjalan dengan mudah ketika diklik ganda?

Dan apa sebutan aplikasi seperti ini? Nama apa yang mereka miliki? “Portable”?

D. Ktt
sumber
1
pada topik Telegram dan keamanan Anda mungkin menemukan pertanyaan ini menarik security.stackexchange.com/questions/49782/is-telegram-secure
Reverent Lapwing
1
Pertanyaan terkait berbicara tentang Windows, tetapi konsep yang sama: security.stackexchange.com/q/178814/84287
JPhi1618
2
Peninjau: Saya kesulitan melihat bagaimana pertanyaan ini terutama didasarkan pada pendapat. Jawaban dapat - dan telah - menjelaskan pertimbangan keamanan yang relevan.
Eliah Kagan
4
Wajib XKCD
Andrea Lazzarotto
1
Apakah peringatan itu ada di Ubuntu?
user253751

Jawaban:

26

File ini adalah biner yang dapat dieksekusi. Sudah dikompilasi dari kode sumbernya ke dalam bentuk yang dapat dieksekusi CPU Anda dan Anda hanya perlu memintanya untuk dieksekusi agar dapat dijalankan.

Perangkat lunak yang Anda unduh saat menjalankan pengelola paket seperti APT secara umum juga menyertakan binari yang telah dikompilasi, jadi tidak ada yang aneh dengan jenis file ini. The kemasan dari file melakukan hal-hal yang bermanfaat seperti memberitahu manajer paket di mana di filesystem binari perlu disalin ke, dan menyediakan script yang memastikan program ini dapat menemukan shared library dan program lain itu tergantung pada dan lingkungan diperlukan adalah atur jika perlu.

Alasan Anda mungkin menganggap program ini tidak aman adalah karena ia berasal dari sumber yang tidak dikenal, sedangkan paket dari repositori Ubuntu berasal dari sumber yang dikenal dan dilindungi oleh proses verifikasi tanda tangan yang memastikan mereka belum dirusak dalam perjalanan ke sistem Anda.

Pada dasarnya, mengunduh dan menjalankan executable dari sumber yang tidak dikenal tidak aman, kecuali jika Anda memercayai penyedia dan Anda dapat memverifikasi bahwa unduhan mencapai Anda secara utuh. Untuk yang terakhir, distributor dapat menyediakan semacam checksum yang dapat Anda gunakan untuk memeriksa apakah file yang mereka unggah memiliki konten yang sama dengan yang Anda unduh.

Satu hal yang menggembirakan tentang Telegram pada khususnya adalah bahwa itu adalah open source:

Perangkat lunak ini tersedia di bawah lisensi GPL v3.
Kode sumber tersedia di GitHub .

Ini berarti siapa pun dapat membaca kode sumber program untuk memastikan tidak akan melakukan apa pun yang tidak diinginkan ke sistem Anda. Dalam praktiknya, membaca kode sumber untuk memastikan program itu aman bukanlah sesuatu yang sebagian besar pengguna akhir ingin menghabiskan waktu melakukan atau belajar bagaimana melakukannya. Namun, saya memiliki keyakinan pada komunitas yang terlibat untuk menemukan kerentanan keamanan dan bug dalam perangkat lunak open source.

Adapun mengapa Ubuntu tidak mengeluh bahwa program ini tidak aman, well, mendesak pengguna tentang keputusan mereka yang dipertanyakan bukanlah tradisi Linux. Sistem Linux biasanya dirancang untuk melakukan apa yang Anda minta, dan tidak ada yang lain. Pengguna dianggap bertanggung jawab untuk memiliki kesadaran akan masalah keamanan dan potensi jebakan lainnya dan jarang akan diperingatkan bahwa mereka akan berkompromi atau merusak sistem mereka.

Saya menggunakan PPA untuk Telegram, lihat jawaban ini untuk semua cara menginstal Telegram . PPA menggunakan mekanisme verifikasi tanda tangan APT, tetapi mereka masih memiliki beberapa risiko karena Anda menaruh kepercayaan pada pengelola. PPA memang memberikan kenyamanan, memperbarui ketika Anda menjalankan pembaruan (jika pengelola memperbarui PPA), membuat manajer paket sadar bahwa Anda memiliki perangkat lunak dan sebagainya.

Zanna
sumber
6
" Sistem Linux biasanya dirancang untuk melakukan apa yang Anda minta, dan tidak ada yang lain. " Dua kata: Lennart Poettering.
RonJohn
6
Meskipun sumber Telegram ada di Github, itu tidak berarti biner yang Anda unduh dihasilkan dengan menggunakan sumber yang sama persis. Jadi pada akhirnya, masalah sebenarnya di sini adalah kepercayaan pada seluruh rantai, yang lebih baik ditangani oleh paket OS Anda.
jjmontes
Tentu saja dia bisa membuang biner ini, mengambil sumber itu, dan mengkompilasinya sendiri, dan menggunakannya, atau membandingkannya dengan biner yang dia miliki jika dia mengompilasinya dengan cara yang persis sama (walaupun itu berpotensi sulit untuk ditiru).
ttbek
1
@RonJohn, saya tidak dapat menemukan apa pun yang menjelaskan mengapa Anda menyebutkannya sehubungan dengan (berbeda dengan?) Kalimat itu. Apakah Anda berbicara tentang beberapa kerusakan ekspektasi PulseAudio yang tidak jelas, atau sesuatu yang lain?
Wildcard
2
"verifikasi bahwa unduhan mencapai Anda secara utuh. Hingga akhir, distributor dapat memberikan semacam checksum yang dapat Anda gunakan untuk memeriksa apakah file yang mereka unggah memiliki konten yang sama dengan yang Anda unduh." - perhatikan bahwa ini tidak menambah keamanan tambahan jika checksum telah melakukan perjalanan ke Anda melalui saluran yang sama dengan unduhan, karena itu bisa saja dirusak juga.
Jon Bentley
11

Perangkat lunak yang diinstal secara lokal

Perangkat lunak, yang diunduh (atau disalin secara lokal dengan cara apa pun) dan dijalankan secara lokal (dari pengguna Anda) berpotensi dapat melakukan apa pun yang Anda tidak memerlukan izin admin untuk. Itu termasuk menghapus file (pribadi) Anda, yang sebagian besar dari kita akan merasa berbahaya.

Jika Anda masuk ke sesuatu, dan perangkat lunak berjalan sebagai pengguna Anda, ditto, tetapi juga memikirkan skrip atau perintah yang mungkin Anda tambahkan ke file sudoers.

Jika Anda memiliki akun admin, dan perangkat lunak meminta kata sandi Anda dan Anda secara tidak sengaja memberikannya, apa pun bisa terjadi.

Peringatan?

Tanpa memberikan kata sandi Anda, potensi kerusakan akan terbatas pada akun Anda sendiri. Anda tidak ingin Ubuntu memperingatkan Anda untuk setiap dan setiap perintah yang Anda jalankan, sengaja atau tidak.

Itu sebabnya Anda seharusnya tidak menjalankan kode dari sumber yang Anda tidak tahu jika Anda bisa mempercayai mereka, kecuali jika Anda sepenuhnya memahami kode.

Yakub Vlijm
sumber
7
"potensi kerusakan akan terbatas pada akun Anda sendiri" - bukan karena saya tidak setuju dengan prinsip utama, tetapi jujur ​​saja, saya tidak bisa memikirkan data berharga apa pun pada mesin saya yang BUKAN pada akun saya sendiri.
Mirek Długosz
11
@ MirosławZalewski wajib xkcd: xkcd.com/1200
Olorin
Selain xkcd: Malware dapat mencoba melakukan spam atau meretas server lain (saya sudah melihat ini sedang beraksi). Ini tidak hanya menjengkelkan bagi orang lain tetapi juga membuat Anda masuk daftar hitam.
allo