Voitko kuvitella, että suuri yritys pettää asiakkaitaan, varsinkin jos tämä yritys asettuu turvallisuuden takaajaksi? Joten en pystynyt vasta äskettäin. Tämä artikkeli on varoitus miettiä kahdesti ennen kuin ostat koodin allekirjoitusvarmenteen Comodolta.
Osana työtäni (järjestelmän ylläpito) teen erilaisia hyödyllisiä ohjelmia, joita käytän aktiivisesti omassa työssäni, ja samalla postaan niitä ilmaiseksi kaikille. Noin kolme vuotta sitten oli tarve allekirjoittaa ohjelmia, muuten kaikki asiakkaani ja käyttäjäni eivät voineet ladata niitä ilman ongelmia vain siksi, että niitä ei ollut allekirjoitettu. Allekirjoitus on ollut jo pitkään normaali käytäntö ja olipa ohjelma kuinka turvallinen tahansa, mutta jos sitä ei allekirjoiteta, siihen kiinnitetään ehdottomasti enemmän huomiota:
- Selain kerää tilastoja siitä, kuinka usein tiedosto ladataan, ja kun sitä ei ole allekirjoitettu, se voidaan alkuvaiheessa jopa estää "varmuuden vuoksi" ja vaatia käyttäjältä nimenomaisen vahvistuksen tallentamiseen. Algoritmit ovat erilaisia, joskus verkkotunnusta pidetään luotettavana, mutta yleensä se on kelvollinen suojauksen vahvistava allekirjoitus.
- Lataamisen jälkeen virustorjunta tarkastelee tiedostoa ja välittömästi ennen itse käyttöjärjestelmän käynnistymistä. Virustentorjuntaohjelmille allekirjoitus on myös tärkeä, tämä näkyy helposti virustotalissa, ja käyttöjärjestelmässä Win10:stä alkaen peruutetulla varmenteella varustettu tiedosto estetään välittömästi, eikä sitä voi käynnistää Explorerista. Lisäksi joissakin organisaatioissa on yleisesti kiellettyä suorittaa allekirjoittamatonta koodia (konfiguroitua järjestelmätyökaluilla), ja tämä on perusteltua - kaikki normaalit kehittäjät ovat pitkään varmistaneet, että heidän ohjelmansa voidaan tarkistaa ilman lisäponnistuksia.
Yleisesti ottaen on valittu oikea suunta - mahdollisuuksien mukaan tehden Internetistä mahdollisimman turvallisen kokemattomille käyttäjille. Itse toteutus on kuitenkin vielä kaukana ihanteellisesta. Yksinkertainen kehittäjä ei voi vain hankkia sertifikaattia, se on ostettava yrityksiltä, jotka ovat monopolisoineet nämä markkinat ja sanelevat niille ehdot. Mutta entä jos ohjelmat ovat ilmaisia? Kukaan ei välitä. Sitten kehittäjällä on valinta - todistaa jatkuvasti ohjelmiensa turvallisuus uhraten käyttäjien mukavuudesta tai ostaa sertifikaatti. Kolme vuotta sitten nyt meren pohjassa asuva StartCom oli kannattava, eikä niiden kanssa ole koskaan ollut ongelmia. Tällä hetkellä vähimmäishinnan tarjoaa Comodo, mutta, kuten käy ilmi, siinä on saalis - heille kehittäjä on kirjaimellisesti ei kukaan ja hänen pettäminen on normaalia käytäntöä.
Melkein vuoden käytön jälkeen vuoden 2018 puolivälissä ostamani sertifikaatti yhtäkkiä, ilman ennakkoilmoitusta postitse tai puhelimitse, Comodo peruutti sen ilman selityksiä. Heidän tekninen tukinsa ei toimi hyvin - he eivät ehkä vastaa viikkoon, mutta pääsyyn he kuitenkin onnistuivat selvittämään - he katsoivat, että myönnetty sertifikaatti oli haittaohjelman allekirjoittama. Ja tarina olisi voinut päättyä tähän, ellei yksi asia - en ole koskaan luonut haittaohjelmia, ja omien suojausmenetelmieni avulla voin sanoa, että yksityistä avaintani on mahdotonta varastaa. Vain Comodolla on kopio avaimesta, koska he myöntävät ne ilman CSR:ää. Ja sitten - melkein kaksi viikkoa epäonnistuneita yrityksiä selvittää alkeellinen todiste. Yritys, joka oletettavasti takaa turvallisuussuojan, kieltäytyi jyrkästi toimittamasta todisteita sääntöjen rikkomisesta.
Viimeisestä keskustelusta teknisen tuen kanssaSinä 01:20
Olet kirjoittanut "Pyrimme vastaamaan vakiotukilipukkeisiin saman arkipäivän sisällä." mutta olen odottanut vastausta nyt viikon.
Vinson 01:20
Hei, Tervetuloa Sectigo SSL -validointiin!
Anna minun tarkistaa tapauksesi tila, odota hetki.
Olen tarkistanut ja tilaus on peruutettu korkeamman virkamiehen haittaohjelman/petoksen/tietojenkalastelun vuoksi.
Sinä 01:28
Olen varma, että tämä on sinun virheesi, joten pyydän todisteita.
Minulla ei ole koskaan ollut haittaohjelmia/petoksia/tietojenkalastelua.
Vinson 01:30
Olen pahoillani, Alexander. Olen tarkistanut ja tilaus on peruutettu korkeamman virkamiehen haittaohjelman/petoksen/tietojenkalastelun vuoksi.
Sinä 01:31
Missä tiedostossa näit viruksen? Onko linkkiä virustotaliin? En hyväksy vastaustasi, koska siinä ei ole todisteita. Maksoin rahaa tästä todistuksesta ja minulla on oikeus tietää, miksi rahani on otettu minulta väkisin.
Jos et pysty esittämään todisteita, todistus peruutettiin epäoikeudenmukaisesti ja rahat on palautettava. Muuten, mitä merkitystä työlläsi on, jos peruutat sertifikaatit ilman todisteita?
Vinson 01:34
Ymmärrän huolesi. Koodin allekirjoitussertifikaatti on raportoitu haittaohjelmien levittämisestä. Alan ohjeiden mukaan: Sectigo varmentajana on peruutettava varmenne.
Myöskään hyvityskäytännön mukaan emme voi palauttaa hyvitystä 30 päivän kuluttua myöntämispäivästä.
Sinä 01:35
Miksi tämä ei mielestäsi ole virhe tai väärä positiivinen tulos?
Vinson 01:36
Olen pahoillani, Alexander. Korkeampien virkamiestemme raportin mukaan määräys on peruutettu haittaohjelman/petoksen/tietojenkalastelun vuoksi.
Sinä 01:37
Ei tarvitse pyytää anteeksi, maksoin rahat ja haluan nähdä todisteet siitä, että olen rikkonut sääntöjäsi. Se on yksinkertaista.
Maksoin kolme vuotta, sitten keksit syyn ja jätit minut ilman todistusta ja todisteita syyllisyydestäni.
Vinson 01:43
Ymmärrän huolesi. Koodin allekirjoitussertifikaatti on raportoitu haittaohjelmien levittämisestä. Alan ohjeiden mukaan: Sectigo varmentajana on peruutettava varmenne.
Sinä 01:45
Vaikuttaa siltä, että et ymmärrä. Missä näit tuomioistuimen, joka antaa tuomion ilman todisteita? Teit juuri niin. Minulla ei ole koskaan ollut haittaohjelmia. Mikset esitä todisteita jos on? Mikä todiste varmenteen peruuttamisesta on?
Vinson 01:46
Olen pahoillani, Alexander. Korkeampien virkamiestemme raportin mukaan määräys on peruutettu haittaohjelman/petoksen/tietojenkalastelun vuoksi.
Sinä 01:47
Keneltä voin saada selville varmenteen peruuttamisen todellisen syyn?
Jos et pysty vastaamaan, kerro keneen ottaa yhteyttä?
Vinson 01:48
Lähetä lippu uudelleen alla olevan linkin kautta, jotta saat vastauksen mahdollisimman aikaisemmin.
Sinä 01:48
Kiitos.
Tämä tulos ei ole yksittäinen, koko keskustelun ajan chatissa he vastaavat parhaimmillaan samalla tavalla, lippuihin joko ei vastata ollenkaan tai vastaukset ovat yhtä hyödyttömiä.
Luon jälleen lipunPyyntöni:
Vaadin todisteita siitä, että olen rikkonut sääntöä, joka johti peruuttamiseen. Ostin todistuksen ja haluan tietää, miksi rahani on otettu minulta.
"haittaohjelma/petos/tietojenkalastelu" ei ole vastaus! Missä tiedostossa näit viruksen? Onko linkkiä virustotaliin? Ole hyvä ja toimita todiste tai palauta rahat, olen kyllästynyt teknisen tuen kirjoittamiseen ja olen odottanut yli viikon.
Kiitos.
Heidän vastauksensa:
Koodin allekirjoitussertifikaatti on raportoitu haittaohjelmien levittämisestä. Alan ohjeiden mukaan: Sectigo varmentajana on peruutettava varmenne.
Toivo, ettei apina vastaa minulle, on täysin menetetty. Mielenkiintoinen kaavio ilmestyy:
- Myymme sertifikaatin.
- Olemme odottaneet yli kuusi kuukautta, jotta on mahdotonta avata riitaa PayPalin kautta.
- Muistutamme ja odotamme seuraavaa tilausta. Voitto!
Koska minulla ei ole muita tapoja vaikuttaa heihin, voin vain tuoda heidän petoksensa julkisuuteen. Kun ostat sertifikaatin Comodolta, joka tunnetaan myös nimellä Sectigo, saatat kohdata saman tilanteen.
Päivitys 9. kesäkuuta:
Tänään ilmoitin CodeSignCertille (yhtiö, jonka kautta ostin varmenteen), että koska he lakkasivat vastaamasta, olen tuonut tilanteen julkiseen keskusteluun linkin kautta tähän artikkeliin. Jonkin ajan kuluttua he lopulta lähettivät kuvakaappauksen virustotalista, jossa ohjelman hash oli näkyvissä :
VirusTotal -
Oma arvioni tilanteesta:
Voin vakuuttavasti sanoa, että tämä on väärä positiivinen tulos. Merkit:
- Nimitys Yleinen useimmissa tapauksissa.
- Ei havaintoja virustentorjuntajohtajilta.
On vaikea sanoa, mikä tarkalleen aiheutti tällaisen virustorjuntareaktion, mutta koska tiedosto on erittäin vanhentunut (se luotiin melkein vuosi sitten), en tallentanut version 1.6.1 lähdekoodia tiedoston binääriluomista varten. . Minulla on kuitenkin uusin versio 1.6.5, ja päähaaran muuttumattomuuden vuoksi siihen tehtiin vain vähän muutoksia, mutta tällaisia vääriä positiivisia ei ole:
VirusTotal -
CodeSignCertille on ilmoitettu väärästä positiivisuudesta; kun neuvottelujen lisätulokset ovat saatavilla, artikkelia päivitetään, kunnes tilanne on täysin ratkaistu.
Lähde: will.com