Možete li zamisliti da bi velika kompanija prevarila svoje kupce, pogotovo ako se ova kompanija pozicionira kao garant sigurnosti? Tako da do nedavno nisam mogao. Ovaj članak je upozorenje da dvaput razmislite prije nego što kupite certifikat za potpisivanje koda od Comodoa.
U sklopu svog posla (administriranje sistema) pravim razne korisne programe koje aktivno koristim u svom radu, a ujedno ih postavljam besplatno za sve. Prije otprilike tri godine postojala je potreba za potpisivanjem programa, inače ne bi svi moji klijenti i korisnici mogli da ih preuzimaju bez problema samo zato što nisu potpisani. Potpisivanje je odavno uobičajena praksa i bez obzira na to koliko je program siguran, ali ako nije potpisan, svakako će mu se posvetiti veća pažnja:
- Pregledač prikuplja statistiku o tome koliko često se datoteka preuzima, a kada nije potpisana, u početnoj fazi može se čak i blokirati „za svaki slučaj“ i zahtijevati eksplicitnu potvrdu korisnika za spremanje. Algoritmi su različiti, ponekad se domen smatra pouzdanim, ali općenito je to valjan potpis koji potvrđuje sigurnost.
- Nakon preuzimanja, antivirusni program pregleda datoteku i neposredno prije pokretanja samog OS-a. Za antiviruse je takođe važan potpis, to se lako vidi na virustotal-u, a što se tiče OS-a, počevši od Win10, fajl sa opozvanim sertifikatom se odmah blokira i ne može se pokrenuti iz Explorera. Osim toga, u nekim organizacijama općenito je zabranjeno pokretanje nepotpisanog koda (konfiguriranog pomoću sistemskih alata), i to je opravdano - svi normalni programeri su se dugo pobrinuli da se njihovi programi mogu provjeriti bez dodatnih napora.
Općenito, odabran je pravi smjer - u najvećoj mogućoj mjeri, čineći Internet što sigurnijim za neiskusne korisnike. Međutim, sama implementacija je još uvijek daleko od idealne. Jednostavan programer ne može jednostavno dobiti sertifikat, on mora biti kupljen od kompanija koje su monopolizirale ovo tržište i diktiraju svoje uslove na njemu. Ali šta ako su programi besplatni? Nikoga nije briga. Tada programer ima izbor - da stalno dokazuje sigurnost svojih programa, žrtvujući udobnost korisnika, ili da kupi sertifikat. Prije tri godine StartCom, koji sada živi na dnu okeana, bio je profitabilan, s njima nikada nije bilo problema. U ovom trenutku, minimalnu cijenu daje Comodo, ali, kako se ispostavilo, postoji kvaka - za njih je programer doslovno niko i varanje je normalna praksa.
Nakon skoro godinu dana korištenja certifikata koji sam kupio sredinom 2018. godine, Comodo ga je iznenada, bez prethodne najave putem pošte ili telefona, opozvao bez objašnjenja. Njihova tehnička podrška ne funkcioniše dobro – možda neće odgovoriti nedelju dana, ali su ipak uspeli da otkriju glavni razlog – smatrali su da je izdati sertifikat potpisao malver. I priča bi se tu mogla završiti, da nije jedno - nikada nisam kreirao zlonamjerni softver, a moje vlastite metode zaštite mi dozvoljavaju da kažem da je nemoguće ukrasti moj privatni ključ. Samo Comodo ima kopiju ključa jer ih izdaju bez CSR-a. A onda - skoro dvije sedmice bezuspješnih pokušaja da se otkrije elementarni dokaz. Kompanija, koja navodno garantuje sigurnosnu zaštitu, odlučno je odbila da pruži dokaze o kršenju njihovih pravila.
Od posljednjeg razgovora sa tehničkom podrškomVi 01:20
Napisali ste „Nastojimo da odgovorimo na standardne tikete za podršku u roku od istog radnog dana.“ ali čekam odgovor već nedelju dana.
Vinson 01:20
Zdravo, dobrodošli u Sectigo SSL validaciju!
Dozvolite mi da provjerim status vašeg slučaja, sačekajte minut.
Provjerio sam i nalog je povučen zbog zlonamjernog softvera/prijevare/phishinga od strane našeg višeg službenika.
Vi 01:28
Siguran sam da je ovo tvoja greška, pa tražim dokaz.
Nikada nisam imao zlonamjerni softver/prevaru/phishing.
Vinson 01:30
Žao mi je, Aleksandre. Dvaput sam provjerio i nalog je povučen zbog zlonamjernog softvera/prijevare/phishinga od strane našeg višeg službenika.
Vi 01:31
U kom fajlu ste videli virus? Ima li link za virustotal? Ne prihvatam vaš odgovor jer u njemu nema dokaza. Platio sam novac za ovu potvrdu i imam pravo da znam zašto mi se novac oduzima na silu.
Ako ne možete pružiti dokaz, onda je potvrda nepravedno opozvana i morate vratiti novac. Inače, šta znači vaš rad ako poništite sertifikate bez dokaza?
Vinson 01:34
Razumijem tvoju zabrinutost. Certifikat za potpisivanje koda je prijavljen za distribuciju zlonamjernog softvera. Prema industrijskim smjernicama: Sectigo kao ovlašteno tijelo za izdavanje certifikata mora opozvati certifikat.
Također, prema politici povrata novca, nećemo moći izvršiti povrat novca nakon 30 dana od datuma izdavanja.
Vi 01:35
Zašto mislite da ovo nije greška ili lažno pozitivno?
Vinson 01:36
Žao mi je, Aleksandre. Prema izvještaju naših viših zvaničnika, nalog je povučen zbog zlonamjernog softvera/prijevare/phishinga.
Vi 01:37
Nema potrebe da se izvinjavam, platio sam novac i želim da vidim dokaz da sam prekršio vaša pravila. To je jednostavno.
Plaćao sam tri godine, onda si smislio razlog i ostavio me bez potvrde i bez dokaza o mojoj krivici.
Vinson 01:43
Razumijem tvoju zabrinutost. Certifikat za potpisivanje koda je prijavljen za distribuciju zlonamjernog softvera. Prema industrijskim smjernicama: Sectigo kao ovlašteno tijelo za izdavanje certifikata mora opozvati certifikat.
Vi 01:45
Izgleda da ne razumete. Gdje ste vidjeli sud koji izriče kaznu bez dokaza? Upravo si to uradio. Nikada nisam imao malver. Zašto ne pružite dokaz ako jeste? Koji konkretan dokaz je opoziv certifikata?
Vinson 01:46
Žao mi je, Aleksandre. Prema izvještaju naših viših zvaničnika, nalog je povučen zbog zlonamjernog softvera/prijevare/phishinga.
Vi 01:47
Ko mogu saznati pravi razlog za oduzimanje certifikata?
Ako ne možete odgovoriti, recite mi kome da se obratim?
Vinson 01:48
Molimo vas da ponovo pošaljete kartu koristeći link ispod kako biste dobili odgovor što je prije moguće.
Vi 01:48
Hvala ti.
Ovaj rezultat nije izolovan, sve vreme pregovora u chatu, u najboljem slučaju, odgovaraju isto, na tikete se ili ne odgovara uopšte, ili su odgovori isto tako beskorisni.
Ponovo kreiram kartumoj zahtjev:
Tražim dokaz da sam prekršio pravilo koje je dovelo do opoziva. Kupio sam sertifikat i želim da znam zašto mi oduzimaju novac.
"malware/prevara/phishing" nije odgovor! U kom fajlu ste videli virus? Ima li link za virustotal? Molimo da dostavite dokaz ili vratite novac, umoran sam od pisanja tehničke podrške i čekam više od nedelju dana.
Hvala ti.
Njihov odgovor:
Certifikat za potpisivanje koda je prijavljen za distribuciju zlonamjernog softvera. Prema industrijskim smjernicama: Sectigo kao ovlašteno tijelo za izdavanje certifikata mora opozvati certifikat.
Nada da mi neće majmun odgovoriti je potpuno izgubljena. Pojavljuje se zanimljiv dijagram:
- Prodajemo sertifikat.
- Čekamo više od šest mjeseci da je nemoguće otvoriti spor preko PayPal-a.
- Pozivamo se i čekamo sljedeću narudžbu. Profit!
Pošto nemam druge metode da na njih utičem, mogu samo da javno objavim njihovu prevaru. Prilikom kupovine certifikata od Comodoa, također poznatog kao Sectigo, možete naići na istu situaciju.
Ažuriranje 9. juna:
Danas sam obavijestio CodeSignCert (kompaniju preko koje sam kupio certifikat) da sam, pošto su prestali da odgovaraju, iznio situaciju na javnu raspravu linkom na ovaj članak. Nakon nekog vremena, konačno su poslali snimak ekrana virustotal, gdje je bio vidljiv hash programa :
VirusTotal -
Moja procena situacije:
Sa sigurnošću mogu reći da je ovo lažno pozitivno. znakovi:
- Oznaka Generička u većini slučajeva.
- Bez detekcije od strane antivirusnih lidera.
Teško je reći šta je tačno izazvalo takvu reakciju antivirusa, ali pošto je fajl veoma zastareo (nastao je pre skoro godinu dana), nisam imao izvorni kod verzije 1.6.1 sačuvan da binarno rekreirao fajl . Međutim, imam najnoviju verziju 1.6.5, a s obzirom na nepromjenjivost glavne grane, tamo su napravljene minimalne promjene, ali nema takvih lažnih pozitivnih rezultata:
VirusTotal -
CodeSignCert je obaviješten o lažnom pozitivnom rezultatu; kada budu dostupni daljnji rezultati pregovora, članak će se ažurirati dok se situacija u potpunosti ne riješi.
izvor: www.habr.com