Dokážete si představit, že by velká společnost klamala své zákazníky, zvláště pokud se tato společnost staví jako garant bezpečnosti? Tak jsem donedávna nemohl. Tento článek je varováním, abyste si dvakrát rozmysleli nákup certifikátu pro podpis kódu od společnosti Comodo.
V rámci své práce (správa systému) vyrábím různé užitečné programy, které aktivně využívám při vlastní práci a zároveň je zdarma zveřejňuji pro všechny. Asi před třemi lety byla potřeba podepisovat programy, jinak si je všichni moji klienti a uživatelé nemohli bez problémů stáhnout jen proto, že nebyli podepsáni. Podepisování je již dlouho běžnou praxí a bez ohledu na to, jak bezpečný je program, ale pokud nebude podepsán, bude mu určitě věnována zvýšená pozornost:
- Prohlížeč shromažďuje statistiky o tom, jak často je soubor stahován, a když není podepsaný, může být v počáteční fázi dokonce „pro jistotu“ zablokován a vyžadovat výslovné potvrzení od uživatele k uložení. Algoritmy jsou různé, někdy je doména považována za důvěryhodnou, ale obecně je to platný podpis, který potvrzuje bezpečnost.
- Po stažení se na soubor podívá antivirus a bezprostředně před spuštěním samotného OS. U antivirů je důležitá i signatura, to je dobře vidět na virustotal a co se týče OS, počínaje Win10 je soubor se zrušeným certifikátem okamžitě zablokován a nelze jej spustit z Průzkumníka. Kromě toho je v některých organizacích obecně zakázáno spouštět nepodepsaný kód (nakonfigurovaný pomocí systémových nástrojů), a to je oprávněné - všichni normální vývojáři se již dlouho ujistili, že jejich programy lze kontrolovat bez dalšího úsilí.
Obecně byl zvolen správný směr – v rámci možností, aby byl internet pro nezkušené uživatele co nejbezpečnější. Samotná realizace má však k ideálu ještě daleko. Jednoduchý vývojář nemůže jednoduše získat certifikát, musí si jej zakoupit od společností, které si tento trh monopolizovaly a diktovat mu své podmínky. Ale co když jsou programy zdarma? Nikoho to nezajímá. Pak má vývojář na výběr - neustále prokazovat bezpečnost svých programů, obětovat pohodlí uživatelů, nebo si koupit certifikát. Před třemi lety byl StartCom, který dnes žije na dně oceánu, ziskový, nikdy s ním nebyly žádné problémy. Minimální cenu v tuto chvíli poskytuje Comodo, ale jak se ukazuje, má to háček – pro ně je vývojář doslova nikdo a podvádět ho je běžná praxe.
Po téměř roce používání certifikátu, který jsem si zakoupil v polovině roku 2018, ho náhle, bez předchozího upozornění poštou nebo telefonicky, Comodo bez vysvětlení odvolalo. Nefunguje jim dobře technická podpora – třeba týden nereagují, ale i tak se jim podařilo zjistit hlavní důvod – usoudili, že vydaný certifikát podepsal malware. A tím by příběh mohl skončit, nebýt jedné věci – nikdy jsem nevytvořil malware a mé vlastní ochranné metody mi umožňují říci, že je nemožné ukrást můj soukromý klíč. Kopii klíče má pouze Comodo, protože je vydávají bez CSR. A pak - téměř dva týdny neúspěšných pokusů o nalezení elementárního důkazu. Společnost, která prý garantuje bezpečnostní ochranu, jednoznačně odmítla poskytnout důkazy o porušení jejich pravidel.
Od posledního chatu s technickou podporouTy 01:20
Napsali jste: „Snažíme se reagovat na standardní lístky podpory ve stejný pracovní den.“ ale už týden čekám na odpověď.
Vinson 01:20
Ahoj, Vítejte v Sectigo SSL Validation!
Dovolte mi, abych zkontroloval stav vašeho případu, vydržte prosím chvíli.
Zkontroloval jsem a objednávka byla odvolána kvůli malwaru/podvodu/phishingu ze strany našeho vyššího úředníka.
Ty 01:28
Jsem si jist, že je to vaše chyba, proto žádám o důkaz.
Nikdy jsem neměl malware/podvod/phishing.
Vinson 01:30
Omlouvám se, Alexandre. Dvakrát jsem to zkontroloval a objednávka byla odvolána z důvodu malwaru/podvodu/phishingu naším vyšším úředníkem.
Ty 01:31
Ve kterém souboru jsi viděl virus? Je tam odkaz na virustotal? Vaši odpověď nepřijímám, protože v ní není žádný důkaz. Za tento certifikát jsem zaplatil peníze a mám právo vědět, proč jsou mi peníze odebrány násilím.
Pokud nemůžete poskytnout důkaz, pak byl certifikát zneplatněn neoprávněně a musíte vrátit peníze. Jinak jaký je smysl vaší práce, když zneplatníte certifikáty bez doložení?
Vinson 01:34
Chápu vaše obavy. Certifikát podpisu kódu byl nahlášen kvůli distribuci malwaru. Podle průmyslových pokynů: Sectigo jako certifikační autorita musí certifikát zrušit.
Podle zásad vrácení peněz také nebudeme moci vrátit peníze po 30 dnech od data vydání.
Ty 01:35
Proč si myslíte, že to není chyba nebo falešně pozitivní?
Vinson 01:36
Omlouvám se, Alexandre. Podle zprávy našich vyšších úředníků byl příkaz odvolán kvůli malwaru/podvodu/phishingu.
Ty 01:37
Není třeba se omlouvat, zaplatil jsem peníze a chci vidět důkaz, že jsem porušil vaše pravidla. Je to jednoduché.
Platil jsem tři roky, pak jsi přišel s důvodem a nechal jsi mě bez certifikátu a bez důkazu o mé vině.
Vinson 01:43
Chápu vaše obavy. Certifikát podpisu kódu byl nahlášen kvůli distribuci malwaru. Podle průmyslových pokynů: Sectigo jako certifikační autorita musí certifikát zrušit.
Ty 01:45
Zdá se, že nerozumíte. Kde jste viděl soud, který vynesl rozsudek bez důkazů? Právě jsi to udělal. Nikdy jsem neměl malware. Proč neposkytnete důkaz, pokud ano? Jaký konkrétní důkaz je zneplatnění certifikátu?
Vinson 01:46
Omlouvám se, Alexandre. Podle zprávy našich vyšších úředníků byl příkaz odvolán kvůli malwaru/podvodu/phishingu.
Ty 01:47
Komu mohu zjistit skutečný důvod zneplatnění certifikátu?
Pokud nemůžete odpovědět, řekněte mi, na koho se obrátit?
Vinson 01:48
Odešlete prosím tiket znovu pomocí níže uvedeného odkazu, abyste odpověď měli obdržet co nejdříve.
Ty 01:48
Děkuji.
Tento výsledek není ojedinělý, celou dobu vyjednávání na chatu v lepším případě odpovídají stejně, na lístky se buď neodpovídá vůbec, nebo jsou odpovědi stejně zbytečné.
Znovu vytvářím tiketMoje žádost:
Požaduji důkaz, že jsem porušil pravidlo, které vedlo k odvolání. Koupil jsem si certifikát a chci vědět, proč jsou mi strženy peníze.
„malware/podvod/phishing“ není řešení! Ve kterém souboru jsi viděl virus? Je tam odkaz na virustotal? Doložte prosím doklad nebo vraťte peníze, už mě nebaví psát technickou podporu a čekám déle než týden.
Děkuji.
Jejich odpověď:
Certifikát podpisu kódu byl nahlášen kvůli distribuci malwaru. Podle průmyslových pokynů: Sectigo jako certifikační autorita musí certifikát zrušit.
Naděje, že to není opice, která mi odpoví, se úplně ztrácí. Objevuje se zajímavý diagram:
- Prodáme certifikát.
- Čekali jsme více než šest měsíců, aby nebylo možné otevřít spor přes PayPal.
- Svoláváme a čekáme na další objednávku. Zisk!
Jelikož nemám jiné způsoby, jak je ovlivnit, mohu pouze zveřejnit jejich podvody. Při nákupu certifikátu od Comodo, známého také jako Sectigo, se můžete setkat se stejnou situací.
Aktualizace 9. června:
Dnes jsem upozornil CodeSignCert (společnost, přes kterou jsem certifikát zakoupil), že protože přestali odpovídat, dal jsem situaci k veřejné diskusi s odkazem na tento článek. Po nějaké době konečně poslali screenshot virutotal, kde byl vidět hash programu :
VirusTotal -
Moje hodnocení situace:
Mohu s jistotou říci, že je to falešně pozitivní. Znamení:
- Ve většině případů označení Generic.
- Žádné detekce od předních antivirových programů.
Těžko říct, co přesně způsobilo takovou reakci antivirů, ale protože je soubor velmi zastaralý (byl vytvořen téměř před rokem), neměl jsem zdrojový kód verze 1.6.1 uložený, abych soubor binárně znovu vytvořil . Mám však nejnovější verzi 1.6.5 a vzhledem k neměnnosti hlavní větve tam byly provedeny minimální změny, ale nejsou tam žádné takové falešné poplachy:
VirusTotal -
CodeSignCert byl upozorněn na falešnou pozitivitu, jakmile budou k dispozici další výsledky jednání, bude článek aktualizován, dokud nebude situace zcela vyřešena.
Zdroj: www.habr.com