Ĉu vi povus imagi, ke granda firmao trompus siajn klientojn, precipe se ĉi tiu firmao poziciigas sin kiel garantianto de sekureco? Do mi ne povis ĝis antaŭ nelonge. Ĉi tiu artikolo estas averto pensi dufoje antaŭ aĉeti kodan subskriban atestilon de Comodo.
Kadre de mia laboro (sistema administrado), mi faras diversajn utilajn programojn, kiujn mi aktive uzas en mia propra laboro, kaj samtempe mi afiŝas ilin senpage por ĉiuj. Antaŭ ĉirkaŭ tri jaroj, estis bezono subskribi programojn, alie ne ĉiuj miaj klientoj kaj uzantoj povis elŝuti ilin senprobleme nur ĉar ili ne estis subskribitaj. Subskribo estas delonge normala praktiko kaj kiom ajn sekura programo estas, sed se ĝi ne estas subskribita, certe estos pliigita atento al ĝi:
- La retumilo kolektas statistikojn pri kiom ofte dosiero estas elŝutita, kaj kiam ĝi ne estas subskribita, en la komenca stadio ĝi eĉ povas esti blokita "ĉiaokaze" kaj postulas eksplicitan konfirmon de la uzanto por konservi. La algoritmoj estas malsamaj, foje la domajno estas konsiderata fidinda, sed ĝenerale ĝi estas valida subskribo, kiu konfirmas sekurecon.
- Post elŝuto, la dosiero estas rigardata de la antiviruso kaj tuj antaŭ ol la OS mem komenciĝas. Por antivirusoj, la subskribo ankaŭ estas grava, ĉi tio povas esti facile videbla sur virustotal, kaj koncerne la OS, komencante de Win10, dosiero kun revokita atestilo estas tuj blokita kaj ne povas esti lanĉita de Explorer. Krome, en iuj organizoj estas ĝenerale malpermesite ruli nesubskribitan kodon (agordita per sistemaj iloj), kaj tio estas pravigita - ĉiuj normalaj programistoj delonge certigis, ke iliaj programoj povas esti kontrolitaj sen plia peno.
Ĝenerale oni elektis la ĝustan direkton - laŭeble, igante Interreton kiel eble plej sekura por nespertaj uzantoj. Tamen, la efektivigo mem estas ankoraŭ malproksima de ideala. Simpla programisto ne povas simple akiri atestilon; ĝi devas esti aĉetita de kompanioj, kiuj monopoligis ĉi tiun merkaton kaj diktas siajn kondiĉojn pri ĝi. Sed kio se la programoj estas senpagaj? Neniu zorgas. Tiam la programisto havas elekton - konstante pruvi la sekurecon de siaj programoj, oferante la komforton de uzantoj aŭ aĉeti atestilon. Antaŭ tri jaroj, StartCom, kiu nun vivas ĉe la fundo de la oceano, estis enspeziga; neniam estis problemoj kun ili. Nuntempe, la minimuma prezo estas provizita de Comodo, sed, kiel rezultas, estas kapto - por ili la programisto estas laŭvorte neniu kaj trompi lin estas normala praktiko.
Post preskaŭ unu jaro de uzado de la atestilo, kiun mi aĉetis meze de 2018, subite, sen antaŭa avizo per poŝto aŭ telefono, Comodo revokis ĝin sen klarigo. Ilia teknika subteno ne funkcias bone - ili eble ne respondas dum unu semajno, sed ili tamen sukcesis eltrovi la ĉefan kialon - ili konsideris, ke la eldonita atestilo estas subskribita de malware. Kaj la rakonto povus esti finita tie, se ne unu afero - mi neniam kreis malware, kaj miaj propraj protektaj metodoj permesas al mi diri, ke estas neeble ŝteli mian privatan ŝlosilon. Nur Comodo havas kopion de la ŝlosilo ĉar ili eldonas ilin sen CSR. Kaj poste — preskaŭ du semajnoj da malsukcesaj provoj eltrovi la elementan pruvon. La kompanio, kiu supozeble garantias sekurecan protekton, tute rifuzis provizi pruvojn pri malobservo de siaj reguloj.
De la lasta babilado kun teknika subtenoVi 01:20
Vi skribis "Ni strebas respondi al normaj subtenaj biletoj en la sama labortago." sed mi atendas respondon jam de unu semajno.
Vinson 01:20
Saluton, Bonvenon al Sectigo SSL Validation!
Lasu min kontroli vian kazon, bonvolu atendi dum minuto.
Mi kontrolis kaj la mendo estis nuligita pro malware/fraŭdo/phishing de nia supera oficisto.
Vi 01:28
Mi certas, ke tio estas via eraro, do mi petas pruvon.
Mi neniam havis malware/fraŭdon/phishing.
Vinson 01:30
Mi bedaŭras, Aleksandro. Mi duoble kontrolis kaj la mendo estis nuligita pro malware/fraŭdo/phishing de nia pli alta oficisto.
Vi 01:31
En kiu dosiero vi vidis la viruson? Ĉu estas ligo al virustotal? Mi ne akceptas vian respondon ĉar ne estas pruvo en ĝi. Mi pagis monon por ĉi tiu atestilo kaj mi rajtas scii, kial oni forprenas de mi mian monon.
Se vi ne povas doni pruvon, tiam la atestilo estis revokita maljuste kaj devas redoni la monon. Alie, kio estas la signifo de via laboro se vi nuligas atestojn sen pruvo?
Vinson 01:34
Mi komprenas vian zorgon. La atestilo pri subskribo de kodo estis raportita por distribuado de malware. Laŭ industriaj gvidlinioj: Sectigo kiel Atestila Aŭtoritato estas postulata por revoki la atestilon.
Ankaŭ laŭ repagpolitiko, ni ne povos repagi post 30 tagoj de la dato de eldono.
Vi 01:35
Kial vi pensas, ke tio ne estas eraro aŭ falsa pozitivo?
Vinson 01:36
Mi bedaŭras, Aleksandro. Laŭ la raporto de niaj pli altaj oficialuloj, la ordono estis nuligita pro malware/fraŭdo/phishing.
Vi 01:37
Ne necesas pardonpeti, mi pagis la monon kaj mi volas vidi pruvon, ke mi malobservis viajn regulojn. Ĝi estas simpla.
Mi pagis por tri jaroj, poste vi elpensis kialon kaj lasis min sen atestilo kaj sen pruvo de mia kulpo.
Vinson 01:43
Mi komprenas vian zorgon. La atestilo pri subskribo de kodo estis raportita por distribuado de malware. Laŭ industriaj gvidlinioj: Sectigo kiel Atestila Aŭtoritato estas postulata por revoki la atestilon.
Vi 01:45
Ŝajnas, ke vi ne komprenas. Kie vi vidis la tribunalon, kiu faras la juĝon sen pruvo? Vi faris ĝuste tion. Mi neniam havis malware. Kial vi ne donas pruvon se ĝi estas? Kiu specifa pruvo estas revoko de atestilo?
Vinson 01:46
Mi bedaŭras, Aleksandro. Laŭ la raporto de niaj pli altaj oficialuloj, la ordono estis nuligita pro malware/fraŭdo/phishing.
Vi 01:47
Kiu mi povas ekscii la veran kialon por revoko de la atestilo?
Se vi ne povas respondi, diru al mi kiun kontakti?
Vinson 01:48
Bonvolu sendi bileton denove uzante la suban ligilon por ke vi ricevu respondon kiel eble plej frue.
Vi 01:48
Dankon.
Ĉi tiu rezulto ne estas izolita, la tutan tempon de intertraktadoj en la babilejo, en la plej bona kazo, ili respondas la samon, biletoj aŭ tute ne respondas, aŭ la respondoj estas same senutilaj.
Mi denove kreas biletonMia peto:
Mi postulas pruvon, ke mi malobservis regulon, kiu kondukis al revoko. Mi aĉetis atestilon kaj volas scii kial mia mono estas prenita de mi.
"malware/fraŭdo/phishing" ne estas la respondo! En kiu dosiero vi vidis la viruson? Ĉu estas ligo al virustotal? Bonvolu doni pruvon aŭ redoni la monon, mi estas laca de skribi teknikan subtenon kaj atendis pli ol unu semajnon.
Dankon.
Ilia respondo:
La atestilo pri subskribo de kodo estis raportita por distribuado de malware. Laŭ industriaj gvidlinioj: Sectigo kiel Atestila Aŭtoritato estas postulata por revoki la atestilon.
La espero, ke ne la simio respondos al mi, estas tute perdita. Interesa diagramo aperas:
- Ni vendas atestilon.
- Ni atendas pli ol ses monatojn por ke ne eblas malfermi disputon per PayPal.
- Ni rememoras kaj atendas la sekvan mendon. Profito!
Ĉar mi ne havas aliajn metodojn por influi ilin, mi povas nur publikigi ilian fraŭdon. Kiam vi aĉetas atestilon de Comodo, ankaŭ konata kiel Sectigo, vi eble renkontos la saman situacion.
Ĝisdatigo la 9-an de junio:
Hodiaŭ mi sciigis CodeSignCert (la kompanio per kiu mi aĉetis la atestilon), ke ĉar ili ĉesis respondi, mi alportis la situacion por publika diskuto kun ligilo al ĉi tiu artikolo. Post iom da tempo, ili finfine sendis ekrankopion de virustotal, kie la programo hash estis videbla :
VirusTotal -
Mia takso de la situacio:
Mi povas diri kun konfido, ke ĉi tio estas falsa pozitivo. Signoj:
- Nomo Ĝenerala en la plej multaj kazoj.
- Neniuj detektoj de antivirusaj gvidantoj.
Estas malfacile diri, kio ĝuste kaŭzis tian reagon de la antivirusoj, sed ĉar la dosiero estas tre malmoderna (ĝi estis kreita antaŭ preskaŭ unu jaro), mi ne havis la fontkodon de versio 1.6.1 konservita por binare rekrei la dosieron. . Tamen, mi havas la lastan version 1.6.5, kaj pro la neŝanĝebleco de la ĉefa branĉo, oni faris tie minimumajn ŝanĝojn, sed ne ekzistas tiaj falsaj pozitivoj:
VirusTotal -
CodeSignCert estis sciigita pri la falsa pozitivo; kiam pliaj rezultoj de la intertraktado estos disponeblaj, la artikolo estos ĝisdatigita ĝis la situacio estos plene solvita.
fonto: www.habr.com