Us imagineu que una gran empresa enganya els seus clients, sobretot si aquesta empresa es posiciona com a garantia de la seguretat? Així que no vaig poder fins fa poc. Aquest article és una advertència per pensar-ho dues vegades abans de comprar un certificat de signatura de codi de Comodo.
Com a part de la meva feina (administració del sistema), faig diversos programes útils que faig servir activament en el meu propi treball i, al mateix temps, els publico gratuïtament per a tothom. Fa uns tres anys, hi havia la necessitat de signar programes, en cas contrari no tots els meus clients i usuaris podien descarregar-los sense problemes només perquè no estaven signats. La signatura ha estat durant molt de temps una pràctica normal i per molt segur que sigui un programa, però si no està signat, sens dubte hi haurà més atenció:
- El navegador recopila estadístiques sobre la freqüència amb què es baixa un fitxer i, quan no està signat, en l'etapa inicial fins i tot es pot bloquejar "per si de cas" i requereix una confirmació explícita de l'usuari per desar-lo. Els algorismes són diferents, de vegades el domini es considera de confiança, però en general és una signatura vàlida que confirma la seguretat.
- Després de la descàrrega, l'antivirus mira el fitxer i immediatament abans que s'iniciï el propi sistema operatiu. Per als antivirus, la signatura també és important, això es pot veure fàcilment a virustotal, i pel que fa al sistema operatiu, a partir de Win10, un fitxer amb un certificat revocat es bloqueja immediatament i no es pot llançar des de l'Explorador. A més, en algunes organitzacions generalment està prohibit executar codi sense signar (configurat amb eines del sistema), i això està justificat: tots els desenvolupadors normals s'han assegurat des de fa temps que els seus programes es poden comprovar sense esforç addicional.
En general, s'ha escollit la direcció correcta, en la mesura del possible, fent que Internet sigui el més segur possible per als usuaris sense experiència. Tanmateix, la implementació en si encara està lluny de ser ideal. Un simple desenvolupador no pot obtenir simplement un certificat, sinó que s'ha d'adquirir a empreses que han monopolitzat aquest mercat i dictar-ne les condicions. Però, què passa si els programes són gratuïts? A ningú li importa. Aleshores, el desenvolupador té una opció: demostrar constantment la seguretat dels seus programes, sacrificar la comoditat dels usuaris o comprar un certificat. Fa tres anys, StartCom, que ara viu al fons de l'oceà, era rendible; mai hi ha hagut cap problema. De moment, Comodo proporciona el preu mínim, però, segons resulta, hi ha un problema: per a ells, el desenvolupador és literalment un ningú i enganyar-lo és una pràctica normal.
Després de gairebé un any d'utilitzar el certificat que vaig comprar a mitjans del 2018, de sobte, sense previ avís per correu o telèfon, Comodo el va revocar sense explicacions. El seu suport tècnic no funciona bé -potser no responen durant una setmana, però tot i així van aconseguir esbrinar el motiu principal- van considerar que el certificat emès estava signat per programari maliciós. I la història podria haver acabat aquí, si no fos per una cosa: mai he creat programari maliciós i els meus propis mètodes de protecció em permeten dir que és impossible robar la meva clau privada. Només Comodo té una còpia de la clau perquè les emeten sense un CSR. I després, gairebé dues setmanes d'intents infructuosos per esbrinar la prova elemental. L'empresa, que suposadament garanteix la protecció de la seguretat, es va negar rotundament a aportar proves de violació de les seves normes.
Des de l'últim xat amb suport tècnicTu 01:20
Heu escrit "Ens esforcem per respondre als tiquets d'assistència estàndard en el mateix dia laborable". però fa una setmana que espero una resposta.
Vinson 01:20
Hola, benvingut a Sectigo SSL Validation!
Permeteu-me comprovar l'estat del vostre cas, espereu un minut.
He comprovat i l'ordre s'ha revocat a causa de programari maliciós/frau/phishing pel nostre funcionari superior.
Tu 01:28
Estic segur que aquest és el teu error, així que demano proves.
Mai he tingut programari maliciós/frau/phishing.
Vinson 01:30
Ho sento, Alexandre. He comprovat i la comanda ha estat revocada a causa de programari maliciós/frau/phishing pel nostre funcionari superior.
Tu 01:31
En quin fitxer vas veure el virus? Hi ha un enllaç a virustotal? No accepto la teva resposta perquè no hi ha cap prova. Vaig pagar diners per aquest certificat i tinc dret a saber per què em treuen els diners per la força.
Si no podeu aportar proves, el certificat va ser revocat injustament i ha de tornar els diners. En cas contrari, quin sentit té el vostre treball si revoqueu certificats sense prova?
Vinson 01:34
Entenc la teva preocupació. S'ha informat del certificat de signatura de codi per distribuir programari maliciós. Segons les directrius del sector: Sectigo com a autoritat de certificació ha de revocar el certificat.
A més, d'acord amb la política de reemborsament, no podrem reemborsar després de 30 dies des de la data d'emissió.
Tu 01:35
Per què creus que això no és un error o un fals positiu?
Vinson 01:36
Ho sento, Alexandre. Segons el nostre informe de funcionaris superiors, l'ordre s'ha revocat a causa de programari maliciós/frau/phishing.
Tu 01:37
No cal que us disculpeu, he pagat els diners i vull veure proves que he infringit les vostres regles. És fàcil.
Vaig pagar tres anys, després vas trobar un motiu i em vas deixar sense certificat i sense prova de la meva culpabilitat.
Vinson 01:43
Entenc la teva preocupació. S'ha informat del certificat de signatura de codi per distribuir programari maliciós. Segons les directrius del sector: Sectigo com a autoritat de certificació ha de revocar el certificat.
Tu 01:45
Sembla que no ho entens. On va veure el tribunal que dicta la sentència sense proves? Només has fet això. Mai he tingut programari maliciós. Per què no aporteu la prova si ho és? Quina prova específica és una revocació de certificat?
Vinson 01:46
Ho sento, Alexandre. Segons el nostre informe de funcionaris superiors, l'ordre s'ha revocat a causa de programari maliciós/frau/phishing.
Tu 01:47
Qui puc esbrinar el motiu real de la revocació del certificat?
Si no pots respondre, digues-me amb qui em poso?
Vinson 01:48
Si us plau, torneu a enviar un bitllet mitjançant l'enllaç següent perquè rebeu una resposta el més aviat possible.
Tu 01:48
Gràcies.
Aquest resultat no és aïllat, tot el temps de negociacions al xat, en el millor dels casos, responen el mateix, les entrades o no es responen gens, o les respostes són igualment inútils.
Torno a crear un bitlletLa meva petició:
Necessito prova que he infringit una norma que va conduir a la revocació. Vaig comprar un certificat i vull saber per què em treuen els diners.
"programari maliciós/frau/phishing" no és la resposta! En quin fitxer vas veure el virus? Hi ha un enllaç a virustotal? Si us plau, proporcioneu una prova o retorneu els diners, estic cansat d'escriure suport tècnic i he estat esperant més d'una setmana.
Gràcies.
La seva resposta:
S'ha informat del certificat de signatura de codi per distribuir programari maliciós. Segons les directrius del sector: Sectigo com a autoritat de certificació ha de revocar el certificat.
L'esperança que no sigui el mico qui em respongui està completament perduda. En sorgeix un diagrama interessant:
- Venem un certificat.
- Fa més de sis mesos que estem esperant perquè sigui impossible obrir una disputa a través de PayPal.
- Recordem i esperem la propera comanda. Guany!
Com que no tinc altres mètodes per influir-los, només puc fer públic el seu frau. En comprar un certificat de Comodo, també conegut com a Sectigo, és possible que us trobeu amb la mateixa situació.
Actualització 9 de juny:
Avui he notificat a CodeSignCert (l'empresa a través de la qual vaig comprar el certificat) que com que van deixar de respondre, he posat la situació a debat pública amb un enllaç a aquest article. Després d'un temps, finalment van enviar una captura de pantalla de virustotal, on era visible el hash del programa :
VirusTotal -
La meva valoració de la situació:
Puc dir amb confiança que això és un fals positiu. Signes:
- Denominació Genèrica en la majoria dels casos.
- Cap detecció dels líders antivirus.
És difícil dir què va causar exactament aquesta reacció dels antivirus, però com que el fitxer està molt obsolet (es va crear fa gairebé un any), no tenia desat el codi font de la versió 1.6.1 per recrear el fitxer en binari. . Tanmateix, tinc l'última versió 1.6.5 i, donada la immutabilitat de la branca principal, s'hi van fer canvis mínims, però no hi ha aquests falsos positius:
VirusTotal -
CodeSignCert ha estat notificat del fals positiu; un cop estiguin disponibles nous resultats de les negociacions, l'article s'actualitzarà fins que la situació es resolgui completament.
Font: www.habr.com