¿Es seguro ejecutar aplicaciones que no necesitan instalación?

Tengo Ubuntu 14.04 LTS

He descargado Telegram desde aquí . El archivo fue comprimido con la extensión tar.xz.

Descomprimí este archivo y ejecuté el archivo Telegram(sin extensión) usando un usuario común (no administrador). La aplicación comenzó y funcionó bien.

Pero, ¿por qué Ubuntu no me dice: "No ejecutes esta aplicación porque no es segura"?

¿Es realmente seguro ejecutar tales aplicaciones, que no necesitan instalación, que se ejecutan fácilmente cuando se hace doble clic?

¿Y cómo se llaman las aplicaciones como esta? ¿Qué nombre tienen? "Portátil"?

El archivo es un ejecutable binario. Ya se ha compilado a partir de su código fuente en una forma que su CPU puede ejecutar y solo tiene que pedir que se ejecute para que se ejecute.

El software que descarga cuando ejecuta un administrador de paquetes, como APT en general, también incluye binarios precompilados, por lo que no hay nada peculiar en este tipo de archivo. El paquete de los archivos hace cosas útiles, como decirle al administrador de paquetes en qué parte del sistema de archivos deben copiarse los archivos binarios, y proporciona scripts que aseguran que el programa pueda encontrar cualquier biblioteca compartida y otros programas de los que depende y el entorno que requiere. configurar si es necesario.

La razón por la que podría considerar que este programa no es seguro es que proviene de una fuente desconocida, mientras que los paquetes de los repositorios de Ubuntu son de una fuente conocida y están protegidos por un proceso de verificación de firma que garantiza que no hayan sido manipulados en su camino a su sistema.

Básicamente, descargar y ejecutar ejecutables de fuentes desconocidas es inseguro, a menos que confíes en el proveedor y puedas verificar que la descarga te haya llegado intacta. Con este último fin, los distribuidores pueden proporcionar algún tipo de suma de verificación que puede usar para verificar que el archivo que cargaron tenga el mismo contenido que el que descargó.

Una cosa alentadora sobre Telegram en particular es que es de código abierto:

Este software está disponible bajo licencia GPL v3.
El código fuente está disponible en GitHub .

Esto significa que cualquiera puede leer el código fuente del programa para asegurarse de que no hará nada indeseable en su sistema. En la práctica, leer el código fuente para asegurarse de que el programa sea seguro no es algo que la mayoría de los usuarios finales quieran dedicar tiempo o aprender a hacer. Aún así, tengo algo de fe en la comunidad involucrada para encontrar vulnerabilidades y errores de seguridad en el software de código abierto.

En cuanto a por qué Ubuntu no se queja de que el programa no es seguro, molestar al usuario sobre sus decisiones cuestionables no es la tradición de Linux. Un sistema Linux generalmente está diseñado para hacer lo que le pides y nada más. El usuario se considera responsable de tener conocimiento de los problemas de seguridad y otras posibles trampas y rara vez se le advertirá que está a punto de comprometer o dañar su sistema.

Utilizo un PPA para Telegram. Vea esta respuesta para conocer todas las formas de instalar Telegram . Las PPA utilizan el mecanismo de verificación de firmas de APT, pero aún tienen algunos riesgos porque usted confía en el responsable. Los PPA proporcionan cierta conveniencia, se actualizan cuando ejecuta actualizaciones (si el responsable de mantenimiento actualiza el PPA), informando al administrador de paquetes de que tiene el software, etc.

Software instalado localmente

El software descargado (o copiado localmente de cualquier manera) y ejecutado localmente (desde su usuario) puede hacer cualquier cosa para la que no requiera permisos de administrador. Eso incluye eliminar sus archivos (personales), que la mayoría de nosotros encontraría dañinos.

Si ha iniciado sesión en algo, y el software se ejecuta como su usuario, lo mismo, pero también piense en los scripts o comandos que podría haber agregado al archivo sudoers.

En caso de que tenga una cuenta de administrador, y el software le solicite su contraseña y la proporcione accidentalmente, podría pasar cualquier cosa.

¿Advertencia?

Sin dar su contraseña, el daño potencial se limitará a su propia cuenta. No querrás que Ubuntu te advierta sobre todos y cada uno de los comandos que ejecutes, deliberadamente o no.

Es por eso que simplemente no debe ejecutar código de fuentes que no sabe si puede confiar en ellas, a menos que comprenda completamente el código.