El tudja képzelni, hogy egy nagy cég megtéveszti ügyfeleit, különösen, ha ez a cég a biztonság garantálójaként pozícionálja magát? Szóval a közelmúltig nem tudtam. Ez a cikk egy figyelmeztetés, hogy tízszer gondolkodjon el, mielőtt kód aláíró tanúsítványt vásárolna a Comodótól.
Munkám részeként (rendszeradminisztráció) különféle hasznos programokat készítek, melyeket aktívan használok a saját munkám során, egyúttal ingyenesen közzéteszem mindenki számára. Körülbelül három éve szükség volt a programok aláírására, különben nem minden kliensem és felhasználóm tudta gond nélkül letölteni azokat csak azért, mert nincsenek aláírva. Az aláírás régóta bevett gyakorlat, és bármennyire is biztonságos egy program, de ha nincs aláírva, akkor mindenképpen fokozott figyelem lesz rá:
- A böngésző statisztikát gyűjt arról, hogy milyen gyakran töltenek le egy fájlt, és ha nincs aláírva, kezdeti szakaszban akár „minden esetre” letiltható, és a mentéshez a felhasználó kifejezett megerősítése szükséges. Az algoritmusok eltérőek, néha a tartomány megbízhatónak minősül, de általában ez egy érvényes aláírás, amely megerősíti a biztonságot.
- A letöltés után a fájlt a víruskereső megvizsgálja, és közvetlenül az operációs rendszer indulása előtt. A vírusirtóknál a szignatúra is fontos, ez a virustotalon is jól látható, ami pedig az OS-t illeti, Win10-től kezdve a visszavont tanúsítvánnyal rendelkező fájl azonnal blokkolva van, és nem indítható el az Explorerből. Ezenkívül egyes szervezetekben általában tilos aláíratlan kód futtatása (rendszereszközökkel konfigurálva), és ez indokolt - minden normál fejlesztő régóta gondoskodik arról, hogy programjait további erőfeszítés nélkül ellenőrizni lehessen.
Általánosságban elmondható, hogy a helyes irányt választották – amennyire csak lehetséges, a lehető legbiztonságosabbá téve az internetet a tapasztalatlan felhasználók számára. Maga a megvalósítás azonban még mindig messze van az ideálistól. Egy egyszerű fejlesztő nem kaphat egyszerűen egy tanúsítványt, azt olyan cégektől kell megvásárolnia, amelyek monopolizálták ezt a piacot, és diktálják a feltételeket. De mi van akkor, ha a programok ingyenesek? Senkit sem érdekel. Ezután a fejlesztő választhat: folyamatosan bizonyítja programjai biztonságát, feláldozva a felhasználók kényelmét, vagy vásárol egy tanúsítványt. Három évvel ezelőtt a most az óceán fenekén élő StartCom nyereséges volt, soha nem volt velük probléma. Jelenleg a minimális árat a Comodo biztosítja, de, mint kiderült, van egy bökkenő - számukra a fejlesztő szó szerint egy senki, és a megcsalás normális gyakorlat.
A 2018 közepén vásárolt tanúsítvány közel egy évnyi használata után hirtelen, előzetes levélben vagy telefonon történő értesítés nélkül a Comodo indoklás nélkül visszavonta azt. Technikai támogatásuk nem működik jól - lehet, hogy egy hétig nem válaszolnak, de így is sikerült kideríteni a fő okot - úgy ítélték meg, hogy a kiállított tanúsítványt kártevő írta alá. És a történet ezzel véget is érhetett volna, ha nem egy dolog miatt - soha nem hoztam létre rosszindulatú programokat, és a saját védelmi módszereim lehetővé teszik, hogy azt mondhassam, hogy lehetetlen ellopni a privát kulcsomat. Csak a Comodónak van másolata a kulcsról, mert CSR nélkül adják ki. És akkor - majdnem két hét sikertelen kísérlet az elemi bizonyíték kiderítésére. A biztonsági védelmet állítólag garantáló cég határozottan megtagadta, hogy bizonyítékot szolgáltasson szabályaik megsértésére.
Az utolsó csevegéstől technikai támogatássalTe 01:20
Azt írtad: „Arra törekszünk, hogy a szokásos támogatási jegyekre ugyanazon a munkanapon belül válaszoljunk.” de már egy hete várok a válaszra.
Vinson 01:20
Üdvözöljük a Sectigo SSL Validation oldalán!
Hadd ellenőrizzem az ügy állapotát, kérem, várjon egy percig.
Ellenőriztem, és a megbízást a felső tisztségviselőnk rosszindulatú program/csalás/adathalászat miatt visszavonták.
Te 01:28
Biztos vagyok benne, hogy ez az ön hibája, ezért bizonyítékot kérek.
Soha nem volt rosszindulatú programom/csalásom/adathalászatom.
Vinson 01:30
Sajnálom, Alexander. Kétszer is ellenőriztem, és a megrendelést rosszindulatú program/csalás/adathalászat miatt visszavonta felsőbb tisztségviselőnk.
Te 01:31
Melyik fájlban láttad a vírust? Van link a virustotalhoz? Nem fogadom el a válaszát, mert nincs benne bizonyíték. Pénzt fizettem ezért az igazolásért, és jogom van tudni, hogy miért veszik el tőlem a pénzemet erőszakkal.
Ha nem tud igazolni, akkor a tanúsítványt tisztességtelenül visszavonták, és vissza kell adnia a pénzt. Egyébként mi értelme van a munkádnak, ha igazolás nélkül visszavonod a tanúsítványokat?
Vinson 01:34
Megértem az aggodalmát. A kód aláíró tanúsítványt rosszindulatú programok terjesztése miatt jelentették. Az iparági irányelvek szerint: A Sectigo-nak mint tanúsító hatóságnak vissza kell vonnia a tanúsítványt.
Szintén a visszatérítési szabályzat értelmében, a kiadás dátumától számított 30 napon belül nem áll módunkban visszafizetni.
Te 01:35
Miért gondolja, hogy ez nem hiba vagy hamis pozitív eredmény?
Vinson 01:36
Sajnálom, Alexander. Felsőbb tisztségviselőink jelentése szerint a végzést rosszindulatú program/csalás/adathalászat miatt visszavonták.
Te 01:37
Nem kell bocsánatot kérni, kifizettem a pénzt, és bizonyítékot akarok látni arra, hogy megsértettem a szabályait. Ez egyszerű.
Három évig fizettem, aztán találtál egy okot, és bizonyítvány és bűnösségem nélkül hagytál.
Vinson 01:43
Megértem az aggodalmát. A kód aláíró tanúsítványt rosszindulatú programok terjesztése miatt jelentették. Az iparági irányelvek szerint: A Sectigo-nak mint tanúsító hatóságnak vissza kell vonnia a tanúsítványt.
Te 01:45
Úgy tűnik, nem érted. Hol láttad azt a bíróságot, amelyik bizonyítás nélkül hozza meg az ítéletet? Pont ezt tetted. Soha nem volt rosszindulatú programom. Miért nem adsz bizonyítékot, ha igen? Milyen konkrét bizonyíték a tanúsítvány visszavonása?
Vinson 01:46
Sajnálom, Alexander. Felsőbb tisztségviselőink jelentése szerint a végzést rosszindulatú program/csalás/adathalászat miatt visszavonták.
Te 01:47
Kitől tudhatom meg a tanúsítvány visszavonásának valódi okát?
Ha nem tud válaszolni, mondja meg, kihez forduljak?
Vinson 01:48
Kérjük, küldjön újra jegyet az alábbi linken, hogy a lehető leghamarabb választ kapjon.
Te 01:48
Köszönöm.
Ez az eredmény nem elszigetelt, a chaten folytatott tárgyalások minden idejére a legjobb esetben ugyanazt válaszolják, a jegyekre vagy egyáltalán nem válaszolnak, vagy a válaszok ugyanolyan haszontalanok.
Újra jegyet készítekAz én keresem:
Bizonyítékot kérek arra vonatkozóan, hogy megszegtem egy szabályt, amely visszavonáshoz vezetett. Vettem egy igazolást, és szeretném tudni, miért veszik el tőlem a pénzem.
"rosszindulatú program/csalás/adathalászat" nem megoldás! Melyik fájlban láttad a vírust? Van link a virustotalhoz? Kérem, igazolja, vagy adja vissza a pénzt, elegem van a technikai támogatás írásából, és több mint egy hete várok.
Köszönöm.
A válaszuk:
A kód aláíró tanúsítványt rosszindulatú programok terjesztése miatt jelentették. Az iparági irányelvek szerint: A Sectigo-nak mint tanúsító hatóságnak vissza kell vonnia a tanúsítványt.
Teljesen elveszett a remény, hogy nem a majom válaszol nekem. Egy érdekes diagram jelenik meg:
- Tanúsítványt árulunk.
- Több mint hat hónapja várunk arra, hogy ne lehessen vitát nyitni PayPal-on keresztül.
- Visszahívjuk és várjuk a következő rendelést. Nyereség!
Mivel nincs más módszerem a befolyásolásra, csak a csalásukat tudom nyilvánosságra hozni. Amikor megvásárol egy tanúsítványt a Comodo-tól, más néven Sectigo-tól, ugyanilyen helyzetbe kerülhet.
Frissítés június 9-én:
Ma értesítettem a CodeSignCert (a cég, amelyen keresztül a tanúsítványt vásároltam), hogy mivel nem válaszoltak, nyilvános vitára hoztam fel a helyzetet egy linkkel erre a cikkre. Egy idő után végre elküldtek egy screenshotot a virustotalról, ahol a program hash volt látható :
VirusTotal -
Az én helyzetértékelésem:
Bátran kijelenthetem, hogy ez hamis pozitív eredmény. Jelek:
- Általános megnevezés a legtöbb esetben.
- Nem észleltek a víruskereső vezetők.
Nehéz megmondani, hogy pontosan mi váltotta ki a vírusirtó ilyen reakcióját, de mivel a fájl nagyon elavult (majdnem egy éve készült), nem mentettem el az 1.6.1-es verzió forráskódját, hogy binárisan újra létrehozhassam a fájlt. . Viszont a legfrissebb 1.6.5-ös verzióm van, és a fő ág megváltoztathatatlanságára tekintettel minimális változtatásokat hajtottak végre rajta, de nincs ilyen téves pozitív:
VirusTotal -
A CodeSignCert értesítést kapott a téves pozitív eredményről; amint a tárgyalások további eredményei rendelkezésre állnak, a cikket frissítjük a helyzet teljes megoldásáig.
Forrás: will.com