Možete li zamisliti da bi velika tvrtka prevarila svoje kupce, pogotovo ako se ova tvrtka pozicionira kao jamac sigurnosti? Tako da nisam mogao do nedavno. Ovaj je članak upozorenje da dobro razmislite prije kupnje Comodo certifikata za potpisivanje koda.
U sklopu svog posla (administracija sustava) izrađujem razne korisne programe koje aktivno koristim u vlastitom radu, a pritom ih postavljam besplatno za sve. Prije otprilike tri godine pojavila se potreba za potpisivanjem programa, inače ih svi moji klijenti i korisnici nisu mogli bez problema preuzeti samo zato što nisu bili potpisani. Potpisivanje je odavno normalna praksa i bez obzira na to koliko je program siguran, ali ako nije potpisan, svakako će mu se posvetiti povećana pažnja:
- Preglednik prikuplja statistiku o tome koliko se često neka datoteka preuzima, a kada nije potpisana, u početnoj fazi može čak biti blokirana “za svaki slučaj” i zahtijevati izričitu potvrdu korisnika za spremanje. Algoritmi su različiti, ponekad se domena smatra pouzdanom, ali općenito je riječ o valjanom potpisu koji potvrđuje sigurnost.
- Nakon preuzimanja, datoteku pregledava antivirus i neposredno prije pokretanja samog OS-a. Za antiviruse je bitan i potpis, to se lako vidi na virustotalu, a što se tiče OS-a, počevši od Win10, datoteka s opozvanim certifikatom se odmah blokira i ne može se pokrenuti iz Explorera. Osim toga, u nekim je organizacijama općenito zabranjeno pokretanje nepotpisanog koda (konfiguriranog pomoću alata sustava), i to je opravdano - svi normalni programeri odavno su se pobrinuli da se njihovi programi mogu provjeriti bez dodatnog napora.
Općenito, odabran je pravi smjer - u mjeri u kojoj je to moguće, učiniti Internet što sigurnijim za neiskusne korisnike. Međutim, sama implementacija još je daleko od idealne. Jednostavan programer ne može jednostavno dobiti certifikat; on se mora kupiti od tvrtki koje su monopolizirale ovo tržište i diktiraju svoje uvjete na njemu. Ali što ako su programi besplatni? Nikoga nije briga. Tada programer ima izbor - stalno dokazivati sigurnost svojih programa, žrtvujući pogodnost korisnika, ili kupiti certifikat. Prije tri godine StartCom, koji sada živi na dnu oceana, bio je profitabilan, s njima nikada nije bilo problema. Trenutačno minimalnu cijenu nudi Comodo, ali, kako se pokazalo, postoji kvaka - za njih je programer doslovno nitko i varanje ga je normalna praksa.
Nakon gotovo godinu dana korištenja certifikata koji sam kupio sredinom 2018., iznenada, bez prethodne najave mailom ili telefonom, Comodo ga je opozvao bez obrazloženja. Njihova tehnička podrška ne radi dobro - možda se neće javiti tjedan dana, ali su ipak uspjeli saznati glavni razlog - smatrali su da je izdani certifikat potpisan malwareom. I priča bi mogla završiti tu, da nije zbog jedne stvari - nikada nisam stvorio zlonamjerni softver, a moje vlastite metode zaštite dopuštaju mi da kažem da je nemoguće ukrasti moj privatni ključ. Samo Comodo ima kopiju ključa jer ih izdaju bez CSR-a. A onda - gotovo dva tjedna neuspješnih pokušaja da se sazna elementarni dokaz. Tvrtka, koja navodno jamči sigurnosnu zaštitu, odlučno je odbila pružiti dokaze o kršenju njihovih pravila.
Od posljednjeg razgovora s tehničkom podrškomTi 01:20
Napisali ste "Nastojimo odgovoriti na standardne prijave za podršku unutar istog radnog dana." ali već tjedan dana čekam odgovor.
Vinson 01:20
Bok, dobro došli u Sectigo SSL Validation!
Dopustite mi da provjerim status vašeg slučaja, molim pričekajte minutu.
Provjerio sam i naš viši dužnosnik je povukao narudžbu zbog zlonamjernog softvera/prijevare/phishinga.
Ti 01:28
Siguran sam da je to vaša greška, pa tražim dokaz.
Nikada nisam imao zlonamjerni softver/prevaru/phishing.
Vinson 01:30
Žao mi je, Alexander. Dva puta sam provjerio i naš viši dužnosnik je narudžbu opozvao zbog zlonamjernog softvera/prijevare/krađe identiteta.
Ti 01:31
U kojoj ste datoteci vidjeli virus? Ima li link na virustotal? Ne prihvaćam vaš odgovor jer u njemu nema dokaza. Platio sam novac za ovu potvrdu i imam pravo znati zašto mi se na silu uzima moj novac.
Ako ne možete pružiti dokaz, onda je certifikat nepravedno opozvan i morate vratiti novac. Inače, koji je smisao vašeg rada ako bez dokaza ukidate certifikate?
Vinson 01:34
Razumijem vašu zabrinutost. Certifikat za potpisivanje koda prijavljen je zbog distribucije zlonamjernog softvera. Prema industrijskim smjernicama: Sectigo kao tijelo za izdavanje certifikata mora opozvati certifikat.
Također, prema politici povrata, nećemo moći izvršiti povrat nakon 30 dana od datuma izdavanja.
Ti 01:35
Zašto mislite da ovo nije pogreška ili lažno pozitivno?
Vinson 01:36
Žao mi je, Alexander. Prema izvješću naših viših dužnosnika, naredba je opozvana zbog zlonamjernog softvera/prijevare/phishinga.
Ti 01:37
Nema potrebe da se ispričavate, uplatio sam novac i želim vidjeti dokaz da sam prekršio vaša pravila. Jednostavno je.
Plaćao sam tri godine, a onda si ti smislio razlog i ostavio me bez potvrde i bez dokaza moje krivnje.
Vinson 01:43
Razumijem vašu zabrinutost. Certifikat za potpisivanje koda prijavljen je zbog distribucije zlonamjernog softvera. Prema industrijskim smjernicama: Sectigo kao tijelo za izdavanje certifikata mora opozvati certifikat.
Ti 01:45
Čini se da ne razumijete. Gdje ste vidjeli sud koji izriče kaznu bez dokaza? Učinio si upravo to. Nikada nisam imao malware. Zašto ne pružite dokaz ako jeste? Koji je konkretan dokaz opoziv certifikata?
Vinson 01:46
Žao mi je, Alexander. Prema izvješću naših viših dužnosnika, naredba je opozvana zbog zlonamjernog softvera/prijevare/phishinga.
Ti 01:47
Kod koga mogu saznati pravi razlog opoziva certifikata?
Ako ne možete odgovoriti, recite mi kome da se obratim?
Vinson 01:48
Molimo ponovno pošaljite prijavu koristeći donju poveznicu kako biste dobili odgovor što je prije moguće.
Ti 01:48
Hvala Vam.
Ovaj rezultat nije izoliran, cijelo vrijeme pregovora u chatu, u najboljem slučaju, odgovaraju isto, na karte se ili uopće ne odgovara, ili su odgovori jednako beskorisni.
Opet kreiram kartuMoj zahtjev:
Trebam dokaz da sam prekršio pravilo koje je dovelo do opoziva. Kupio sam potvrdu i želim znati zašto mi uzimaju novac.
"malware/prijevara/phishing" nije odgovor! U kojoj ste datoteci vidjeli virus? Ima li link na virustotal? Molimo dostavite dokaz ili vratite novac, umoran sam od pisanja tehničke podrške i čekam više od tjedan dana.
Hvala Vam.
Njihov odgovor:
Certifikat za potpisivanje koda prijavljen je zbog distribucije zlonamjernog softvera. Prema industrijskim smjernicama: Sectigo kao tijelo za izdavanje certifikata mora opozvati certifikat.
Nada da nije majmun taj koji će mi odgovoriti je potpuno izgubljena. Pojavljuje se zanimljiv dijagram:
- Prodajemo certifikat.
- Čekamo više od šest mjeseci tako da je nemoguće otvoriti spor preko PayPala.
- Opozivamo i čekamo sljedeću narudžbu. Dobit!
Budući da nemam drugih metoda utjecaja na njih, mogu samo obznaniti njihovu prijevaru. Kada kupujete Comodo certifikat, također poznat kao Sectigo, možete naići na istu situaciju.
Ažuriranje 9. lipnja:
Danas sam obavijestio CodeSignCert (tvrtku preko koje sam kupio certifikat) da sam s obzirom da su prestali odgovarati, iznio situaciju u javnu raspravu s linkom na ovaj članak. Nakon nekog vremena, konačno su poslali screenshot virustotala, gdje je vidljiv hash programa :
VirusTotal -
Moja procjena situacije:
Sa sigurnošću mogu reći da je ovo lažno pozitivno. Znakovi:
- Oznaka Generički u većini slučajeva.
- Nema otkrivanja vodećih antivirusnih programa.
Teško je reći što je točno uzrokovalo takvu reakciju antivirusa, ali budući da je datoteka vrlo zastarjela (kreirana je prije gotovo godinu dana), nisam imao spremljen izvorni kod verzije 1.6.1 za binarno rekreiranje datoteke . Međutim, imam najnoviju verziju 1.6.5, a s obzirom na nepromjenjivost glavne grane, tamo su napravljene minimalne promjene, ali nema takvih lažno pozitivnih:
VirusTotal -
CodeSignCert je obaviješten o lažno pozitivnom rezultatu; kada daljnji rezultati pregovora postanu dostupni, članak će se ažurirati dok se situacija u potpunosti ne riješi.
Izvor: www.habr.com