El peligro detrás de los PPA de Ubuntu...


Ubuntu es una excelente distribución linux para el escritorio del usuario común cumpliendo con todas las necesidades básicas del día con día, sin embargo no va más allá de lo que sería una distribución para equipos de uso personal y la verdad no la recomendaría mucho sobre otras alternativas como Fedora si por ejemplo tú eres un poweruser o requieres un S.O. Linux para empresas. Ubuntu es una distro para todos aquellos que necesiten un sistema operativo para chatear, navegar por internet, usar algún que otro software para cumplir con ciertos deberes del diario, escuchar música y hacer lo que harías en una computadora de uso personal, nada más.

Pero más allá de las limitantes que ubuntu supone para los powerusers o usuarios más especializados, hay una cosa especialmente importante que debes tomar en cuenta si necesitas Linux en un ambiente de trabajo y/o empresa y es LA SEGURIDAD.

Aquí es donde ubuntu se cae drásticamente frente a otros sabores de linux, puesto que si bien sí han hecho un gran trabajo para con el usuario final, han descuidado uno de los aspectos intrínsecos de linux y es la seguridad del sistema operativo... ¿Cómo? Implementando los PPA. Los repositorios PPA que ofrece Ubuntu fueron en su tiempo una excelente e innovadora manera de instalar Software para el usuario. Ubuntu nunca se ha caracterizado por ser una distro que incluya específicamente lo último de lo último en software y éso si bien se supone que le da estabilidad, también quita funcionalidad de cierto modo puesto que cualquiera que haya usado Linux por cierto tiempo, sabrá lo rápido que éste sistema avanza y por ejemplo, si algún día encuentras un problema en X software, es sólo cuestión de tiempo para que se arregle en la versión que sigue rápidamente, por lo que tienes que estar al día con todos los programas. Anteriormente Ubuntu se caracterizaba por no darle al usuario una opción fácil para actualizar software de versión en versión, es decir que si por ejemplo tenías X versión de Emesene (Software de IM para Windows Live Messenger en Linux) y Microsoft cambiaba el protocolo haciendo que tu versión de Emesene ya no conectara, no existía manera fácil (user-friendly) de actualizar a la versión siguiente del programa que funcionaba con el nuevo protocolo a menos que actualizaras tu versión de ubuntu, cosa que casi nunca resulta bien si no reinstalas en el caso específico de ésta distro.

Ésto vino a cambiar con los PPA. Ubuntu siguió siendo la distro estable que todos conocían en lo que serían los repositorios BASE pero si algún software necesitaba una actualización de bugfix, añadiendo un PPA la podíamos obtener y el sistema seguiría funcionando como nuevo... Como dije, todo ésto al principio resultaba innovador y práctico para el usuario final (Los PPA se implementaron desde Ubuntu 9.10 si no me equivoco) Pero al pasar el tiempo y las versiones NOS LLENAMOS DE PPA's! y lo malo aquí es que la mayoría de soluciones a problemas con software que deja de funcionar bien en ubuntu actualmente son  AÑADIR Nuevos PPA al sistema, Misma situación si queremos instalar Software raro que no se encuentre en los repos oficiales/básicos de la Distro y que sea un tanto difícil hallar en paquete binario.

Todo ésto supone un riesgo de seguridad y un problema también porque si bien apunta a ser una alternativa fácil de mantener al usuario contento con un sistema funcional, También es algo que se ha salido de control, ya que como todo en el mundo del software libre, cualquiera con un poco de conocimientos puede montarse un PPA y decirle a los usuarios que lo añadan para obtener algo que desean, Pudiendo inyectar por ahí software malicioso en su sistema.

Cualquiera que use linux desde hace tiempo, sabe que por cuestiones de seguridad, comodidad y funcionalidad, es recomendable tener un set de repositorios de software pequeño que te provea todo lo que necesitas y si necesitas algo extra instalarlo aparte por paquete binario o desde código fuente... Ésto porque tú no puedes saber qué tan seguro está el repositorio de X usuario ante inyecciones de código malicioso externas, o hablando de cuestiones menos extremas, tú no puedes saber qué tanto tiempo ése usuario o grupo de usuarios mantendrán dicho repositorio actualizado y cuando dejarán de proveerte actualizaciones. En sistemas como Fedora, basta con agregar un set de repositorios bien conocidos por todos (y mantenidos dedicadamente por la comunidad) para tener cualquier pieza de software que llegues a necesitar, Pero en el caso de Ubuntu ésto ha cambiado drásticamente ya que para instalar X o Y software, para solucionar X o Y problema (o para cualquier cosa que tenga que ver con software prácticamente) la mayoría de veces lo que hay que hacer es Añadir un PPA...

Es por ésto que no recomiendo Ubuntu para un sistema de producción o de trabajo diario que tenga que ir más allá del uso personal de la computadora así como tampoco para empresas puesto que si tienes información sensible en tu computadora y quieres mantenerla lo más segura posible, los PPA de ubuntu son simple y sencillamente un punto menos ya que cualquier anomalía con ellos puede resultar en rompimientos del sistema, inyección de código malicioso en tu computadora o bien, robo de tu información.Si bien es cierto que los PPA tienen que venir FIRMADOS para poder marcarse como confiables y el usuario tiene que aceptar LA FIRMA del PPA que agrega, muy pocas veces tomaremos atención a ésto si la adición de dicho PPA supuestamente nos dará algún resultado deseado, además como ya vimos en éste blog en entradas pasadas, hacer una firma digital (tanto GPG como RSA) para paquetes es un juego de niños... Y para los que piensen "No existen los virus en Ubuntu", los invito a reflexionar 2 veces.

P.D. Así que ya saben! Hay que tener una cultura de precaución al añadir PPA's

Saludos.