¿Se imagina que una gran empresa engañaría a sus clientes, sobre todo si se posiciona como garante de la seguridad? Entonces no pude hasta hace poco. Este artículo es una advertencia que le hará pensar diez veces antes de comprar un certificado de firma de código de Comodo.
Como parte de mi trabajo (administración de sistemas), creo varios programas útiles que utilizo activamente en mi propio trabajo y, al mismo tiempo, los publico de forma gratuita para todos. Hace unos tres años, era necesario firmar programas; de lo contrario, no todos mis clientes y usuarios podían descargarlos sin problemas simplemente porque no estaban firmados. La firma ha sido durante mucho tiempo una práctica normal y no importa cuán seguro sea un programa, pero si no está firmado, definitivamente se le prestará mayor atención:
- El navegador recopila estadísticas sobre la frecuencia con la que se descarga un archivo y, cuando no está firmado, en la etapa inicial puede incluso bloquearse "por si acaso" y requerir una confirmación explícita del usuario para guardarlo. Los algoritmos son diferentes, a veces el dominio se considera confiable, pero en general es una firma válida que confirma la seguridad.
- Después de la descarga, el antivirus examina el archivo e inmediatamente antes de que se inicie el sistema operativo. Para los antivirus, la firma también es importante, esto se puede ver fácilmente en virustotal, y en cuanto al sistema operativo, a partir de Win10, un archivo con un certificado revocado se bloquea inmediatamente y no se puede iniciar desde el Explorador. Además, en algunas organizaciones está generalmente prohibido ejecutar código sin firmar (configurado mediante herramientas del sistema), y esto está justificado: todos los desarrolladores normales se han asegurado durante mucho tiempo de que sus programas se puedan verificar sin esfuerzo adicional.
En general, se ha elegido la dirección correcta: en la medida de lo posible, hacer que Internet sea lo más seguro posible para los usuarios inexpertos. Sin embargo, la implementación en sí está todavía lejos de ser ideal. Un simple desarrollador no puede simplemente obtener un certificado, debe comprarlo a empresas que han monopolizado este mercado y dictan sus condiciones. ¿Pero qué pasa si los programas son gratuitos? A nadie le importa. Entonces el desarrollador tiene una opción: demostrar constantemente la seguridad de sus programas, sacrificando la comodidad de los usuarios, o comprar un certificado. Hace tres años StartCom, que ahora vive en el fondo del océano, era rentable y nunca ha habido problemas con ellos. Por el momento, Comodo proporciona el precio mínimo, pero resulta que hay un problema: para ellos el desarrollador es literalmente un don nadie y engañarlo es una práctica normal.
Después de casi un año de usar el certificado que compré a mediados de 2018, de repente, sin previo aviso por correo o teléfono, Comodo lo revocó sin explicación. Su soporte técnico no funciona bien; es posible que no respondan durante una semana, pero aún así lograron descubrir la razón principal: consideraron que el certificado emitido estaba firmado por malware. Y la historia podría haber terminado ahí, si no fuera por una cosa: nunca he creado malware y mis propios métodos de protección me permiten decir que es imposible robar mi clave privada. Solo Comodo tiene una copia de la clave porque las emiten sin CSR. Y luego, casi dos semanas de intentos infructuosos de encontrar la prueba elemental. La empresa, que supuestamente garantiza la protección de la seguridad, se negó rotundamente a presentar pruebas de la violación de sus normas.
Del último chat con soporte técnicoTú 01:20
Ha escrito "Nos esforzamos por responder a los tickets de soporte estándar dentro del mismo día hábil". pero llevo una semana esperando una respuesta.
vinson 01:20
Hola, ¡bienvenido a la validación SSL de Sectigo!
Déjame verificar el estado de tu caso, espera un minuto.
Lo verifiqué y nuestro funcionario superior revocó la orden debido a malware/fraude/phishing.
Tú 01:28
Estoy seguro de que este es tu error, por eso te pido pruebas.
Nunca he tenido malware/fraude/phishing.
vinson 01:30
Lo siento, Alejandro. Lo verifiqué dos veces y nuestro funcionario superior revocó la orden debido a malware/fraude/phishing.
Tú 01:31
¿En qué archivo viste el virus? ¿Existe un enlace a virustotal? No acepto tu respuesta porque no hay pruebas en ella. Pagué dinero por este certificado y tengo derecho a saber por qué me quitan el dinero por la fuerza.
Si no puede presentar pruebas, entonces el certificado fue revocado injustamente y deberá devolver el dinero. De lo contrario, ¿qué sentido tiene su trabajo si revoca certificados sin pruebas?
vinson 01:34
Entiendo tu preocupación. Se ha informado que el certificado de firma de código distribuye malware. Según las pautas de la industria: Sectigo, como autoridad certificadora, debe revocar el certificado.
Además, según la política de reembolso, no podremos realizar reembolsos después de 30 días a partir de la fecha de emisión.
Tú 01:35
¿Por qué crees que esto no es un error o un falso positivo?
vinson 01:36
Lo siento, Alejandro. Según el informe de nuestros altos funcionarios, la orden ha sido revocada debido a malware/fraude/phishing.
Tú 01:37
No necesito disculparme, pagué el dinero y quiero ver pruebas de que violé tus reglas. Es sencillo.
Pagué por tres años, luego se te ocurrió una razón y me dejaste sin certificado y sin prueba de mi culpa.
vinson 01:43
Entiendo tu preocupación. Se ha informado que el certificado de firma de código distribuye malware. Según las pautas de la industria: Sectigo, como autoridad certificadora, debe revocar el certificado.
Tú 01:45
Parece que no lo entiendes. ¿Dónde viste al tribunal que dicta sentencia sin pruebas? Hiciste precisamente eso. Nunca he tenido malware. ¿Por qué no aporta pruebas si lo es? ¿Qué prueba concreta es la revocación de un certificado?
vinson 01:46
Lo siento, Alejandro. Según el informe de nuestros altos funcionarios, la orden ha sido revocada debido a malware/fraude/phishing.
Tú 01:47
¿Quién puedo saber el verdadero motivo de la revocación del certificado?
Si no puedes responder, dime ¿a quién contactar?
vinson 01:48
Envíe un ticket nuevamente utilizando el enlace a continuación para recibir una respuesta lo antes posible.
Tú 01:48
Gracias por su atención.
Este resultado no es aislado, todo el tiempo de negociaciones en el chat, en el mejor de los casos, responden lo mismo, los tickets o no se responden en absoluto o las respuestas son igualmente inútiles.
Estoy creando un ticket nuevamenteMi petición:
Necesito pruebas de que violé una regla que condujo a la revocación. Compré un certificado y quiero saber por qué me quitan el dinero.
¡"malware/fraude/phishing" no es la respuesta! ¿En qué archivo viste el virus? ¿Existe un enlace a virustotal? Por favor proporcione prueba o devuelva el dinero, estoy cansado de escribir al soporte técnico y llevo más de una semana esperando.
Gracias por su atención.
Su respuesta:
Se ha informado que el certificado de firma de código distribuye malware. Según las pautas de la industria: Sectigo, como autoridad certificadora, debe revocar el certificado.
La esperanza de que no sea el mono el que me responda se pierde por completo. Surge un diagrama interesante:
- Vendemos un certificado.
- Llevamos más de seis meses esperando que sea imposible abrir una disputa a través de PayPal.
- Estamos retirando y esperando el próximo pedido. ¡Ganancia!
Como no tengo otros métodos para influir en ellos, sólo puedo hacer público su fraude. Al comprar un certificado de Comodo, también conocido como Sectigo, puedes encontrarte con la misma situación.
Actualización 9 de junio:
Hoy notifiqué a CodeSignCert (la empresa a través de la cual compré el certificado) que, dado que dejaron de responder, planteé la situación para discusión pública con un enlace a este artículo. Después de un tiempo, finalmente enviaron una captura de pantalla de virustotal, donde se veía el hash del programa. :
VirusTotal -
Mi valoración de la situación:
Puedo decir con confianza que se trata de un falso positivo. Señales:
- Designación Genérica en la mayoría de los casos.
- No hay detecciones de los líderes en antivirus.
Es difícil decir qué causó exactamente tal reacción de los antivirus, pero como el archivo está muy desactualizado (fue creado hace casi un año), no tenía el código fuente de la versión 1.6.1 guardado en binario para recrear el archivo. . Sin embargo, tengo la última versión 1.6.5 y, dada la inmutabilidad de la rama principal, se realizaron cambios mínimos allí, pero no hay tales falsos positivos:
VirusTotal -
CodeSignCert ha sido notificado del falso positivo; una vez que estén disponibles más resultados de las negociaciones, el artículo se actualizará hasta que la situación se resuelva por completo.
Fuente: habr.com