Θα μπορούσατε να φανταστείτε ότι μια μεγάλη εταιρεία θα εξαπατούσε τους πελάτες της, ειδικά εάν αυτή η εταιρεία τοποθετηθεί ως εγγυητής της ασφάλειας; Οπότε δεν μπορούσα μέχρι πρόσφατα. Αυτό το άρθρο είναι μια προειδοποίηση για να σκεφτείτε δύο φορές πριν αγοράσετε ένα πιστοποιητικό υπογραφής κώδικα από την Comodo.
Στο πλαίσιο της δουλειάς μου (διαχείριση συστήματος) φτιάχνω διάφορα χρήσιμα προγράμματα που χρησιμοποιώ ενεργά στη δική μου δουλειά και παράλληλα τα αναρτώ δωρεάν για όλους. Πριν από περίπου τρία χρόνια, χρειάστηκε να υπογράψω προγράμματα, διαφορετικά δεν μπορούσαν όλοι οι πελάτες και οι χρήστες μου να τα κατεβάσουν χωρίς προβλήματα μόνο και μόνο επειδή δεν ήταν υπογεγραμμένα. Η υπογραφή είναι από καιρό μια συνήθης πρακτική και ανεξάρτητα από το πόσο ασφαλές είναι ένα πρόγραμμα, αλλά αν δεν υπογραφεί, σίγουρα θα δοθεί μεγαλύτερη προσοχή σε αυτό:
- Το πρόγραμμα περιήγησης συλλέγει στατιστικά στοιχεία σχετικά με το πόσο συχνά γίνεται λήψη ενός αρχείου και όταν δεν είναι υπογεγραμμένο, στο αρχικό στάδιο μπορεί ακόμη και να αποκλειστεί «για κάθε περίπτωση» και να απαιτηθεί ρητή επιβεβαίωση από τον χρήστη για αποθήκευση. Οι αλγόριθμοι είναι διαφορετικοί, μερικές φορές ο τομέας θεωρείται αξιόπιστος, αλλά γενικά είναι μια έγκυρη υπογραφή που επιβεβαιώνει την ασφάλεια.
- Μετά τη λήψη, το αρχείο εξετάζεται από το πρόγραμμα προστασίας από ιούς και αμέσως πριν ξεκινήσει το ίδιο το λειτουργικό σύστημα. Για τα προγράμματα προστασίας από ιούς, η υπογραφή είναι επίσης σημαντική, αυτό μπορεί να φανεί εύκολα στο virustotal, και όσον αφορά το λειτουργικό σύστημα, ξεκινώντας από το Win10, ένα αρχείο με ανακληθέν πιστοποιητικό αποκλείεται αμέσως και δεν μπορεί να εκκινηθεί από τον Explorer. Επιπλέον, σε ορισμένους οργανισμούς απαγορεύεται γενικά η εκτέλεση ανυπόγραφου κώδικα (που έχει ρυθμιστεί με χρήση εργαλείων συστήματος) και αυτό είναι δικαιολογημένο - όλοι οι κανονικοί προγραμματιστές έχουν από καιρό βεβαιωθεί ότι τα προγράμματά τους μπορούν να ελεγχθούν χωρίς πρόσθετη προσπάθεια.
Σε γενικές γραμμές, επιλέχθηκε η σωστή κατεύθυνση - στο μέτρο του δυνατού, καθιστώντας το Διαδίκτυο όσο το δυνατόν ασφαλέστερο για άπειρους χρήστες. Ωστόσο, η ίδια η υλοποίηση απέχει πολύ από την ιδανική. Ένας απλός προγραμματιστής δεν μπορεί απλώς να αποκτήσει ένα πιστοποιητικό· πρέπει να αγοραστεί από εταιρείες που έχουν μονοπωλήσει αυτήν την αγορά και υπαγορεύουν τους όρους τους. Τι γίνεται όμως αν τα προγράμματα είναι δωρεάν; Κανείς δεν νοιάζεται. Στη συνέχεια, ο προγραμματιστής έχει μια επιλογή - να αποδεικνύει συνεχώς την ασφάλεια των προγραμμάτων του, θυσιάζοντας την ευκολία των χρηστών ή να αγοράσει ένα πιστοποιητικό. Πριν από τρία χρόνια, η StartCom, η οποία τώρα ζει στον βυθό του ωκεανού, ήταν κερδοφόρα· δεν υπήρξαν ποτέ προβλήματα μαζί τους. Προς το παρόν, η ελάχιστη τιμή παρέχεται από την Comodo, αλλά, όπως αποδεικνύεται, υπάρχει μια αιχμή - γι 'αυτούς ο προγραμματιστής είναι κυριολεκτικά κανένας και η εξαπάτησή του είναι φυσιολογική πρακτική.
Μετά από σχεδόν ένα χρόνο χρήσης του πιστοποιητικού που αγόρασα στα μέσα του 2018, ξαφνικά, χωρίς προηγούμενη ειδοποίηση μέσω ταχυδρομείου ή τηλεφώνου, η Comodo το ανακάλεσε χωρίς εξήγηση. Η τεχνική τους υποστήριξη δεν λειτουργεί καλά - μπορεί να μην ανταποκρίνονται για μια εβδομάδα, αλλά και πάλι κατάφεραν να ανακαλύψουν τον κύριο λόγο - θεώρησαν ότι το πιστοποιητικό που εκδόθηκε ήταν υπογεγραμμένο από κακόβουλο λογισμικό. Και η ιστορία θα μπορούσε να είχε τελειώσει εκεί, αν όχι για ένα πράγμα - δεν έχω δημιουργήσει ποτέ κακόβουλο λογισμικό και οι δικές μου μέθοδοι προστασίας μου επιτρέπουν να πω ότι είναι αδύνατο να κλέψω το ιδιωτικό μου κλειδί. Μόνο η Comodo έχει αντίγραφο του κλειδιού γιατί τα εκδίδουν χωρίς CSR. Και μετά - σχεδόν δύο εβδομάδες ανεπιτυχών προσπαθειών για να μάθουμε τη στοιχειώδη απόδειξη. Η εταιρεία, η οποία υποτίθεται ότι εγγυάται την προστασία της ασφάλειας, αρνήθηκε κατηγορηματικά να παράσχει αποδεικτικά στοιχεία για παραβίαση των κανόνων της.
Από την τελευταία συνομιλία με τεχνική υποστήριξηΕσείς 01:20
Έχετε γράψει "Προσπαθούμε να ανταποκριθούμε στα τυπικά εισιτήρια υποστήριξης εντός της ίδιας εργάσιμης ημέρας." αλλά περιμένω απάντηση εδώ και μια εβδομάδα.
Vinson 01:20
Γεια, Καλώς ορίσατε στην επικύρωση SSL Sectigo!
Επιτρέψτε μου να ελέγξω την κατάσταση της υπόθεσής σας, παρακαλώ περιμένετε για ένα λεπτό.
Έχω ελέγξει και η παραγγελία έχει ανακληθεί λόγω κακόβουλου λογισμικού/απάτης/ψαρέματος από τον ανώτερο αξιωματούχο μας.
Εσείς 01:28
Είμαι σίγουρος ότι αυτό είναι το λάθος σου, γι' αυτό ζητώ αποδείξεις.
Δεν είχα ποτέ κακόβουλο λογισμικό/απάτη/ψάρεμα.
Vinson 01:30
Λυπάμαι, Αλέξανδρε. Έκανα διπλό έλεγχο και η παραγγελία έχει ανακληθεί λόγω κακόβουλου λογισμικού/απάτης/ψαρέματος από τον ανώτερο υπάλληλο μας.
Εσείς 01:31
Σε ποιο αρχείο είδες τον ιό; Υπάρχει σύνδεση με το virustotal; Δεν αποδέχομαι την απάντησή σας γιατί δεν υπάρχει καμία απόδειξη σε αυτήν. Πλήρωσα χρήματα για αυτό το πιστοποιητικό και έχω το δικαίωμα να ξέρω γιατί μου αφαιρούνται τα χρήματά μου με το ζόρι.
Εάν δεν μπορείτε να προσκομίσετε απόδειξη, τότε το πιστοποιητικό ανακλήθηκε άδικα και πρέπει να επιστρέψετε τα χρήματα. Διαφορετικά, ποιο είναι το νόημα της εργασίας σας εάν ανακαλέσετε πιστοποιητικά χωρίς απόδειξη;
Vinson 01:34
Καταλαβαίνω την ανησυχία σας. Το πιστοποιητικό υπογραφής κώδικα έχει αναφερθεί για διανομή κακόβουλου λογισμικού. Σύμφωνα με τις κατευθυντήριες γραμμές του κλάδου: Η Sectigo ως αρχή έκδοσης πιστοποιητικών απαιτείται να ανακαλέσει το πιστοποιητικό.
Επίσης, σύμφωνα με την πολιτική επιστροφής χρημάτων, δεν θα είμαστε σε θέση να επιστρέψουμε τα χρήματα μετά από 30 ημέρες από την ημερομηνία έκδοσης.
Εσείς 01:35
Γιατί πιστεύετε ότι αυτό δεν είναι λάθος ή ψευδώς θετικό;
Vinson 01:36
Λυπάμαι, Αλέξανδρε. Σύμφωνα με την αναφορά ανώτερων αξιωματούχων μας, η παραγγελία έχει ανακληθεί λόγω κακόβουλου λογισμικού/απάτης/ψαρέματος.
Εσείς 01:37
Δεν χρειάζεται να ζητήσω συγγνώμη, πλήρωσα τα χρήματα και θέλω να δω αποδείξεις ότι παραβίασα τους κανόνες σας. Είναι απλό.
Πλήρωσα τρία χρόνια, μετά βρήκες λόγο και με άφησες χωρίς πιστοποιητικό και χωρίς απόδειξη της ενοχής μου.
Vinson 01:43
Καταλαβαίνω την ανησυχία σας. Το πιστοποιητικό υπογραφής κώδικα έχει αναφερθεί για διανομή κακόβουλου λογισμικού. Σύμφωνα με τις κατευθυντήριες γραμμές του κλάδου: Η Sectigo ως αρχή έκδοσης πιστοποιητικών απαιτείται να ανακαλέσει το πιστοποιητικό.
Εσείς 01:45
Φαίνεται ότι δεν καταλαβαίνεις. Που είδες το δικαστήριο που εκδίδει την ποινή χωρίς αποδείξεις; Αυτό ακριβώς έκανες. Δεν είχα ποτέ κακόβουλο λογισμικό. Γιατί δεν παρέχετε αποδείξεις αν είναι; Ποια συγκεκριμένη απόδειξη είναι η ανάκληση πιστοποιητικού;
Vinson 01:46
Λυπάμαι, Αλέξανδρε. Σύμφωνα με την αναφορά ανώτερων αξιωματούχων μας, η παραγγελία έχει ανακληθεί λόγω κακόβουλου λογισμικού/απάτης/ψαρέματος.
Εσείς 01:47
Ποιος μπορώ να μάθω τον πραγματικό λόγο για την ανάκληση του πιστοποιητικού;
Εάν δεν μπορείτε να απαντήσετε, πείτε μου με ποιον να επικοινωνήσω;
Vinson 01:48
Υποβάλετε ξανά ένα εισιτήριο χρησιμοποιώντας τον παρακάτω σύνδεσμο, ώστε να λάβετε απάντηση όσο το δυνατόν νωρίτερα.
Εσείς 01:48
Σας ευχαριστώ.
Αυτό το αποτέλεσμα δεν είναι μεμονωμένο, όλη την ώρα των διαπραγματεύσεων στο chat, στην καλύτερη, απαντούν το ίδιο πράγμα, τα εισιτήρια είτε δεν απαντώνται καθόλου, είτε οι απαντήσεις είναι εξίσου άχρηστες.
Δημιουργώ ξανά ένα εισιτήριοΤο αίτημα μου:
Ζητώ απόδειξη ότι παραβίασα έναν κανόνα που οδήγησε σε ανάκληση. Αγόρασα ένα πιστοποιητικό και θέλω να μάθω γιατί μου έχουν αφαιρεθεί τα χρήματά μου.
Το "malware/fraud/phishing" δεν είναι η απάντηση! Σε ποιο αρχείο είδες τον ιό; Υπάρχει σύνδεση με το virustotal; Παρακαλώ δώστε απόδειξη ή επιστρέψτε τα χρήματα, βαρέθηκα να γράφω τεχνική υποστήριξη και περιμένω περισσότερο από μια εβδομάδα.
Σας ευχαριστώ.
Η απάντησή τους:
Το πιστοποιητικό υπογραφής κώδικα έχει αναφερθεί για διανομή κακόβουλου λογισμικού. Σύμφωνα με τις κατευθυντήριες γραμμές του κλάδου: Η Sectigo ως αρχή έκδοσης πιστοποιητικών απαιτείται να ανακαλέσει το πιστοποιητικό.
Η ελπίδα ότι δεν είναι η μαϊμού που θα μου απαντήσει έχει χαθεί τελείως. Ένα ενδιαφέρον διάγραμμα προκύπτει:
- Πουλάμε πιστοποιητικό.
- Περιμένουμε περισσότερο από έξι μήνες ώστε να είναι αδύνατο να ανοίξει μια διαφωνία μέσω PayPal.
- Ανακαλούμε και περιμένουμε την επόμενη παραγγελία. Κέρδος!
Δεδομένου ότι δεν έχω άλλες μεθόδους να τους επηρεάσω, μπορώ μόνο να δημοσιοποιήσω την απάτη τους. Όταν αγοράζετε ένα πιστοποιητικό από την Comodo, επίσης γνωστή ως Sectigo, μπορεί να αντιμετωπίσετε την ίδια κατάσταση.
Ενημέρωση 9 Ιουνίου:
Σήμερα ειδοποίησα την CodeSignCert (την εταιρεία μέσω της οποίας αγόρασα το πιστοποιητικό) ότι από τη στιγμή που σταμάτησαν να ανταποκρίνονται, έθεσα την κατάσταση για δημόσια συζήτηση με έναν σύνδεσμο σε αυτό το άρθρο. Μετά από κάποιο χρονικό διάστημα, τελικά έστειλαν ένα στιγμιότυπο οθόνης του virustotal, όπου ο κατακερματισμός του προγράμματος ήταν ορατός :
VirusTotal -
Η εκτίμησή μου για την κατάσταση:
Μπορώ να πω με σιγουριά ότι αυτό είναι ψευδώς θετικό. Σημάδια:
- Ονομασία Generic στις περισσότερες περιπτώσεις.
- Δεν υπάρχουν εντοπισμοί από ηγέτες προστασίας από ιούς.
Είναι δύσκολο να πούμε τι ακριβώς προκάλεσε μια τέτοια αντίδραση από τα προγράμματα προστασίας από ιούς, αλλά επειδή το αρχείο είναι πολύ ξεπερασμένο (δημιουργήθηκε σχεδόν πριν από ένα χρόνο), δεν είχα αποθηκευμένο τον πηγαίο κώδικα της έκδοσης 1.6.1 για την αναδημιουργία δυαδικού αρχείου . Ωστόσο, έχω την πιο πρόσφατη έκδοση 1.6.5 και δεδομένης της αμετάβλητης θέσης του κύριου κλάδου, έγιναν ελάχιστες αλλαγές εκεί, αλλά δεν υπάρχουν τέτοια ψευδώς θετικά:
VirusTotal -
Το CodeSignCert έχει ειδοποιηθεί για το ψευδώς θετικό. Μόλις γίνουν διαθέσιμα περαιτέρω αποτελέσματα των διαπραγματεύσεων, το άρθρο θα ενημερωθεί μέχρι να επιλυθεί πλήρως η κατάσταση.
Πηγή: www.habr.com