Ці маглі вы ўявіць сабе, што буйная кампанія будзе займацца падманам сваіх кліентаў, асабліва калі гэтая кампанія пазіцыянуе сябе гарантам бяспекі? Вось і я не мог да нядаўняга часу. Гэты артыкул - перасцярога, каб вы спачатку дзесяць разоў падумалі, перад тым як купляць сертыфікат для подпісу кода ў Comodo.
Па абавязку сваёй працы (сістэмнае адміністраванне) я раблю розныя карысныя праграмы, якія актыўна выкарыстоўваю ў сваёй жа працы, а заадно бясплатна выкладваю для ўсіх жадаючых. Каля трох гадоў таму наспела неабходнасць падпісваць праграмы, інакш не ўсе мае кліенты і карыстачы маглі без праблем загружаць іх толькі з-за таго, што яны не падпісаны. Ужо даўно подпіс з'яўляецца нармальнай практыкай і не важна, наколькі бяспечная праграма, але калі яна не падпісана, да яе абавязкова будзе падвышаная ўвага:
- Браўзэр збірае статыстыку, як часта загружаецца файл, і калі ён не падпісаны, то на пачатковым этапе ён можа нават блакавацца "на ўсялякі выпадак" і патрабаваць ад карыстача відавочнае пацверджанне на захаванне. Алгарытмы бываюць розныя, часам і дамен лічыцца давераным, але ў цэлым менавіта валідны подпіс з'яўляецца пацвярджэннем бяспекі.
- Пасля загрузкі файл глядзіць антывірус і непасрэдна перад запускам сама АС. Для антывірусаў подпіс таксама з'яўляецца немалаважным, гэта лёгка прасачыць на virustotal, а што да АС, пачынальна з Win10 файл з адкліканым сертыфікатам адразу блакуецца і яго нельга запусціць з правадыра. Да таго ж, у некаторых арганізацыях наогул забаронены запуск непадпісанага кода (наладжваецца сродкамі сістэмы), і гэта апраўдана – усе нармальныя распрацоўшчыкі даўно паклапаціліся аб тым, каб іх праграмы можна было праверыць без дадатковых намаганняў.
У цэлым, кірунак абраны правільны - па меры магчымасцяў рабіць інтэрнэт як мага больш бяспечным для неспрактыкаваных карыстальнікаў. Аднак сама рэалізацыя пакуль далёкая ад ідэалу. Просты распрацоўшчык не можа проста атрымаць сертыфікат, яго трэба купляць у кампаній, якія манапалізавалі гэты рынак і дыктуюць на ім свае ўмовы. Але што, калі праграмы бясплатныя? Гэта нікога не хвалюе. Тады ў распрацоўніка з'яўляецца выбар - стала даказваць бяспеку сваіх праграм, ахвяруючы выгодай карыстачоў, ці купляць сертыфікат. Тры гады таму выгадным быў StartCom, які зараз жыве на дне акіяна, з імі ніколі не было праблем. На дадзены момант мінімальны кошт падае Comodo, але, як аказалася, ёсць падвох – для іх распрацоўшчык літаральна ніхто і кінуць яго – нармальная практыка.
Праз амаль год выкарыстання сертыфіката, які я купляў у сярэдзіне 2018-га, раптоўна, без папярэдняга апавяшчэння па пошце ці тэлефоне, Comodo адклікала яго без тлумачэння прычын. Тэхпадтрымка ў іх працуе дрэнна - могуць не адказваць тыдзень, аднак асноўную прычыну ўсё ж атрымалася даведацца - яны палічылі, што выдадзеным сертыфікатам было падпісана шкоднаснае ПЗ. І на тым гісторыю можна было б сканчаць, калі б не адно але - я ніколі не ствараў шкоднаснае ПА, а ўласныя метады абароны дазваляюць сцвярджаць, што і выкрасці зачынены ключ у мяне немагчыма. Копія ключа ёсць толькі ў Comodo, таму што яны выдаюць іх без CSR. А далей - амаль два тыдні беспаспяховых спроб даведацца элементарны доказ. Кампанія, якая нібыта гарантуе абарону ў сферы бяспекі, наадрэз адмовілася прадастаўляць доказ парушэння іх правілаў.
З апошняга чата з тэхпадтрымкайYou 01:20
Вы будзеце пісаць «Вы клапоціцеся пра respondent to standard support tickets with the same business day.» але я павінен быў браць па response for week now.
Vinson 01:20
Hi, Welcome to Sectigo SSL Validation!
Давайце выбраць свой рахунак статуі, каб мець на хвіліну.
Я была выпраўленая і камунікацыя была забітая да malware/fraud/phishing з нашага высокага парадка.
You 01:28
Я маю на ўвазе, што гэта ёсьць ваш mistake, так што я маю на ўвазе.
I've never had malware/fraud/phishing.
Vinson 01:30
I am sorry, Alexander. Я мае двух checked and order будзе пазбаўлены да malware/fraud/phishing з нашым высокім парадкам.
You 01:31
У якім файле вы знойдзеце virus? Ці ёсць link to virustotal? Я не маю на ўвазе, што answer because there is no proof in it. Я плаціў грошы для гэтага савета і мае права на здагадку, якія грошы мы даем з мяне.
Калі вы не можаце плаціць, то ацэнка была абрынута нядбайна і мусіць адабраць грошы. Otherwise, what is the meanning of your work if you revoke certificates without proof?
Vinson 01:34
I understand your concern. Гэты код ацэньвання certificate будзе been reported for distributing malware. Як прамысловая адукацыя guidelines: Sectigo як Certificate Authority з'яўляецца неабходным для ажыццяўлення certificate.
Але як для рэфундацыйнай дапамогі, мы не павінны быць зняволеныя пасля 30 дзён з часу навучання.
You 01:35
Ці думаеце, што гэта не mistake or false positive?
Vinson 01:36
I am sorry, Alexander. Як для нашых вялікіх афіцыйных інфармацый, так і будзе нядрэнна закранута на malware/fraud/phishing.
You 01:37
Не патрабуецца для апалогіцыі, я плаціць грошы і я хацела б выказаць здагадку, што я заварожаны сваімі правіламі. It's simple.
Я плаціў за тры гады, будзе вымушаны з умовай і весці мяне без канцэпцыі і без дапамогі мне пяшчота.
Vinson 01:43
I understand your concern. Гэты код ацэньвання certificate будзе been reported for distributing malware. Як прамысловая адукацыя guidelines: Sectigo як Certificate Authority з'яўляецца неабходным для ажыццяўлення certificate.
You 01:45
Гэта seems, што вы не застаецеся. Where did you see the court, які прымае sentence without proof? Вы думаеце, што. I have never had malware. Які вы не маеш праблемы з тым, што гэта? What specific proof is certificate revocation?
Vinson 01:46
I am sorry, Alexander. Як для нашых вялікіх афіцыйных інфармацый, так і будзе нядрэнна закранута на malware/fraud/phishing.
You 01:47
Who can I find out the real reason for revoking the certificate?
Калі вы не хочаце, тэль мне трэба contact?
Vinson 01:48
Звярніцеся да рэкламнага цытата з дапамогай старога агенства з тым, што вы павінны мець на ўвазе заканчэнне як магчыма.
You 01:48
Дзякуй.
Такі вынік не адзінкавы, увесь час перамоваў у чаце ў лепшым выпадку адказваюць адно і тое ж, на цітэты альбо не адказваюць зусім, альбо адказы настолькі ж бескарысныя.
Зноў ствараю тыкетМой запыт:
І патрабуецца адказнасць, што я знішчана, што ідзе аб рэвалюцыі. I bought a certificate and want to know why my money is taken from me.
"malware/fraud/phishing" не з'яўляецца answer! У якім файле вы знойдзеце virus? Ці ёсць link to virustotal? Зразумейце здароўе або вяртанне грошай, я павінен быў пісаць тэхнічную дапамогу і павінен быць выкананы больш чым у дзень.
Дзякуй.
Іх адказ:
Гэты код ацэньвання certificate будзе been reported for distributing malware. Як прамысловая адукацыя guidelines: Sectigo як Certificate Authority з'яўляецца неабходным для ажыццяўлення certificate.
Надзея на тое, што мне адкажа не малпа, канчаткова знікае. Цікавая вымалёўваецца схема:
- Прадаем сертыфікат.
- Чакаем больш за паўгода, каб праз PayPal нельга было адкрыць спрэчку.
- Адклікаем і чакаем наступную замову. Профіт!
Паколькі ў мяне няма на іх іншых метадаў уздзеяння, я магу толькі давесці да іх махлярства агалосцы. Купляючы сертыфікат у Comodo, яны ж Sectigo, вы можаце сутыкнуцца з такой самай сітуацыяй.
Абнаўленне ад 9 чэрвеня:
Сёння я апавясціў CodeSignCert (кампанію, праз якую купляў сертыфікат) аб тым, што паколькі яны перасталі адказваць, то вынес сітуацыю на публічнае абмеркаванне са спасылкай на гэты артыкул. Праз некаторы час яны нарэшце даслалі скрыншот virustotal, дзе быў бачны хэш праграмы. :
VirusTotal -
Мая ацэнка сітуацыі:
З упэўненасцю магу сказаць, што гэта ілжывае спрацоўванне. Прыкметы:
- Абазначэнне Generic у большасці спрацоўванняў.
- Адсутнасць спрацоўванняў у антывірусных лідэраў.
Складана сказаць, што менавіта выклікала такую рэакцыю антывірусаў, але бо файл моцна састарэў (быў створаны амаль год назад), то ў мяне не захаваўся зыходнік версіі 1.6.1, каб бінарна ўзнавіць файл. Аднак у мяне ёсць апошняя версія 1.6.5, і улічваючы нязменнасць асноўнай галіны, змены там уносіліся мінімальныя, але на яе няма такога ілжывага спрацоўвання:
VirusTotal -
CodeSignCert апавешчаны аб ілжывым спрацоўванні, пасля з'яўлення далейшых вынікаў перамоваў артыкул будзе абнаўляцца да поўнага рашэння сітуацыі.
Крыніца: habr.com