Kunne du forestille dig, at en stor virksomhed ville bedrage sine kunder, især hvis denne virksomhed positionerer sig som en garant for sikkerhed? Så det kunne jeg ikke før for nylig. Denne artikel er en advarsel om at tænke sig om to gange, før du køber et kodesigneringscertifikat fra Comodo.
Som en del af mit job (systemadministration) laver jeg forskellige brugbare programmer, som jeg aktivt bruger i mit eget arbejde, og samtidig lægger jeg dem op gratis for alle. For omkring tre år siden var der behov for at signere programmer, ellers var det ikke alle mine kunder og brugere, der kunne downloade dem uden problemer, bare fordi de ikke var underskrevet. Signering har længe været en normal praksis, og uanset hvor sikkert et program er, men hvis det ikke er underskrevet, vil der helt sikkert være øget opmærksomhed på det:
- Browseren indsamler statistik over, hvor ofte en fil downloades, og når den ikke er signeret, kan den i den indledende fase endda blive blokeret "just in case" og kræve en eksplicit bekræftelse fra brugeren for at gemme. Algoritmerne er forskellige, nogle gange betragtes domænet som betroet, men generelt er det en gyldig signatur, der bekræfter sikkerheden.
- Efter download bliver filen kigget på af antivirusprogrammet og umiddelbart før selve operativsystemet starter. For antivirus er signaturen også vigtig, denne kan let ses på virustotal, og hvad angår OS, starter med Win10, en fil med et tilbagekaldt certifikat blokeres øjeblikkeligt og kan ikke startes fra Explorer. Derudover er det i nogle organisationer generelt forbudt at køre usigneret kode (konfigureret ved hjælp af systemværktøjer), og dette er berettiget - alle normale udviklere har længe sørget for, at deres programmer kan kontrolleres uden yderligere indsats.
Generelt er den rigtige retning valgt – i det omfang det er muligt, at gøre internettet så sikkert som muligt for uerfarne brugere. Selve implementeringen er dog stadig langt fra ideel. En simpel udvikler kan ikke bare få et certifikat; det skal købes fra virksomheder, der har monopoliseret dette marked og dikterer deres vilkår på det. Men hvad nu hvis programmerne er gratis? Alle er ligeglade. Så har udvikleren et valg - konstant at bevise sikkerheden af sine programmer, ofre brugernes bekvemmelighed eller at købe et certifikat. For tre år siden var StartCom, som nu bor på bunden af havet, rentabelt, der har aldrig været problemer med dem. I øjeblikket leveres minimumsprisen af Comodo, men som det viser sig, er der en fangst - for dem er udvikleren bogstaveligt talt ingen, og det er normal praksis at snyde ham.
Efter næsten et års brug af det certifikat, jeg købte i midten af 2018, tilbagekaldte Comodo det pludselig uden forudgående varsel via mail eller telefon uden forklaring. Deres tekniske support fungerer ikke godt - de svarer måske ikke i en uge, men det lykkedes alligevel at finde ud af hovedårsagen - de mente, at det udstedte certifikat var underskrevet af malware. Og historien kunne være endt der, hvis ikke for én ting – jeg har aldrig lavet malware, og mine egne beskyttelsesmetoder giver mig mulighed for at sige, at det er umuligt at stjæle min private nøgle. Kun Comodo har en kopi af nøglen, fordi de udsteder dem uden CSR. Og så - næsten to ugers mislykkede forsøg på at finde ud af det elementære bevis. Virksomheden, som angiveligt garanterer sikkerhedsbeskyttelse, nægtede blankt at fremlægge bevis for overtrædelse af deres regler.
Fra sidste chat med teknisk supportDu 01:20
Du har skrevet "Vi bestræber os på at svare på standard supportbilletter inden for samme hverdag." men jeg har ventet på svar i en uge nu.
Vinson 01:20
Hej, Velkommen til Sectigo SSL Validation!
Lad mig tjekke din sagsstatus, vent venligst et øjeblik.
Jeg har tjekket, og ordren er blevet tilbagekaldt på grund af malware/bedrageri/phishing af vores højere embedsmand.
Du 01:28
Jeg er sikker på, at dette er din fejl, så jeg beder om bevis.
Jeg har aldrig haft malware/bedrageri/phishing.
Vinson 01:30
Jeg er ked af det, Alexander. Jeg har dobbelttjekket, og ordren er blevet tilbagekaldt på grund af malware/bedrageri/phishing af vores højere embedsmand.
Du 01:31
I hvilken fil så du virussen? Er der et link til virustotal? Jeg accepterer ikke dit svar, fordi der ikke er noget bevis i det. Jeg har betalt penge for dette certifikat, og jeg har ret til at vide, hvorfor mine penge er taget fra mig med magt.
Hvis du ikke kan fremlægge bevis, så blev certifikatet tilbagekaldt uretfærdigt og skal returnere pengene. Hvad er ellers meningen med dit arbejde, hvis du tilbagekalder certifikater uden bevis?
Vinson 01:34
Jeg forstår din bekymring. Kodesigneringscertifikatet er blevet rapporteret for at distribuere malware. I henhold til industriens retningslinjer: Sectigo som certifikatmyndighed er forpligtet til at tilbagekalde certifikatet.
Også i henhold til refusionspolitikken vil vi ikke være i stand til at refundere efter 30 dage fra udstedelsesdatoen.
Du 01:35
Hvorfor tror du, at dette ikke er en fejl eller en falsk positiv?
Vinson 01:36
Jeg er ked af det, Alexander. Ifølge vores højere embedsmænds rapport er ordren blevet tilbagekaldt på grund af malware/bedrageri/phishing.
Du 01:37
Ingen grund til at undskylde, jeg har betalt pengene, og jeg vil gerne se beviser for, at jeg har overtrådt dine regler. Det er simpelt.
Jeg betalte i tre år, så kom du med en grund og efterlod mig uden attest og uden bevis for min skyld.
Vinson 01:43
Jeg forstår din bekymring. Kodesigneringscertifikatet er blevet rapporteret for at distribuere malware. I henhold til industriens retningslinjer: Sectigo som certifikatmyndighed er forpligtet til at tilbagekalde certifikatet.
Du 01:45
Det lader til, at du ikke forstår. Hvor har du set retten, der afsiger dommen uden bevis? Du gjorde netop det. Jeg har aldrig haft malware. Hvorfor giver du ikke bevis, hvis det er det? Hvilket konkret bevis er en tilbagekaldelse af et certifikat?
Vinson 01:46
Jeg er ked af det, Alexander. Ifølge vores højere embedsmænds rapport er ordren blevet tilbagekaldt på grund af malware/bedrageri/phishing.
Du 01:47
Hvem kan jeg finde ud af den egentlige årsag til at tilbagekalde certifikatet?
Hvis du ikke kan svare, så fortæl mig, hvem jeg skal kontakte?
Vinson 01:48
Indsend venligst en billet igen ved at bruge nedenstående link, så du får et svar så tidligere som muligt.
Du 01:48
Tak.
Dette resultat er ikke isoleret, hele tiden med forhandlinger i chatten svarer de i bedste fald det samme, billetter bliver enten slet ikke besvaret, eller også er svarene lige så ubrugelige.
Jeg opretter en billet igenMin anmodning:
Jeg kræver bevis for, at jeg har overtrådt en regel, der førte til tilbagekaldelse. Jeg købte et certifikat og vil gerne vide, hvorfor mine penge er taget fra mig.
"malware/bedrageri/phishing" er ikke svaret! I hvilken fil så du virussen? Er der et link til virustotal? Giv venligst bevis eller returner pengene, jeg er træt af at skrive teknisk support og har ventet i mere end en uge.
Tak.
Deres svar:
Kodesigneringscertifikatet er blevet rapporteret for at distribuere malware. I henhold til industriens retningslinjer: Sectigo som certifikatmyndighed er forpligtet til at tilbagekalde certifikatet.
Håbet om, at det ikke er aben, der vil svare mig, er fuldstændig tabt. Et interessant diagram viser sig:
- Vi sælger et certifikat.
- Vi har ventet i mere end seks måneder, så det er umuligt at åbne en tvist gennem PayPal.
- Vi tilbagekalder og venter på næste ordre. Profit!
Da jeg ikke har andre metoder til at påvirke dem, kan jeg kun offentliggøre deres svindel. Når du køber et certifikat fra Comodo, også kendt som Sectigo, kan du støde på samme situation.
Opdatering 9. juni:
I dag meddelte jeg CodeSignCert (det firma, hvorigennem jeg købte certifikatet), at siden de holdt op med at svare, har jeg bragt situationen til offentlig diskussion med et link til denne artikel. Efter noget tid sendte de endelig et skærmbillede af virustotal, hvor programmets hash var synlig :
VirusTotal -
Min vurdering af situationen:
Jeg kan med tillid sige, at dette er en falsk positiv. Tegn:
- Betegnelse Generisk i de fleste tilfælde.
- Ingen påvisninger fra antivirusledere.
Det er svært at sige, hvad der præcist forårsagede en sådan reaktion fra antivirus, men da filen er meget forældet (den blev oprettet for næsten et år siden), havde jeg ikke gemt kildekoden til version 1.6.1 for at genskabe filen binært . Jeg har dog den seneste version 1.6.5, og i betragtning af hovedgrenens uforanderlighed blev der foretaget minimale ændringer der, men der er ingen sådanne falske positiver:
VirusTotal -
CodeSignCert er blevet underrettet om den falske positiv; når yderligere resultater af forhandlingerne foreligger, vil artiklen blive opdateret, indtil situationen er fuldt løst.
Kilde: www.habr.com