Potresti immaginare che una grande azienda ingannerebbe i suoi clienti, soprattutto se questa azienda si propone come garante della sicurezza? Quindi non potevo fino a poco tempo fa. Questo articolo è un avvertimento a pensarci due volte prima di acquistare un certificato di firma del codice da Comodo.
Nell'ambito del mio lavoro (amministrazione di sistema), realizzo vari programmi utili che utilizzo attivamente nel mio lavoro e allo stesso tempo li pubblico gratuitamente per tutti. Circa tre anni fa c'era la necessità di firmare i programmi, altrimenti non tutti i miei clienti e utenti potevano scaricarli senza problemi solo perché non erano firmati. La firma è da tempo una pratica normale e non importa quanto sia sicuro un programma, ma se non è firmato, ci sarà sicuramente maggiore attenzione:
- Il browser raccoglie statistiche sulla frequenza con cui un file viene scaricato e, quando non è firmato, nella fase iniziale può anche essere bloccato "per ogni evenienza" e richiedere una conferma esplicita da parte dell'utente per il salvataggio. Gli algoritmi sono diversi, a volte il dominio è considerato affidabile, ma in generale è una firma valida che conferma la sicurezza.
- Dopo il download, il file viene esaminato dall'antivirus e immediatamente prima dell'avvio del sistema operativo stesso. Per gli antivirus è importante anche la firma, questa può essere facilmente vista su virustotal, e per quanto riguarda il sistema operativo, a partire da Win10, un file con certificato revocato viene immediatamente bloccato e non può essere avviato da Explorer. Inoltre, in alcune organizzazioni è generalmente vietato eseguire codice non firmato (configurato utilizzando gli strumenti di sistema), e questo è giustificato: tutti i normali sviluppatori si sono assicurati da tempo che i loro programmi possano essere controllati senza ulteriori sforzi.
In generale, è stata scelta la giusta direzione, per quanto possibile, rendendo Internet il più sicuro possibile per gli utenti inesperti. Tuttavia, l’implementazione in sé è ancora lontana dall’essere ideale. Un semplice sviluppatore non può semplicemente ottenere un certificato, deve essere acquistato da aziende che hanno monopolizzato questo mercato e dettano le loro condizioni. Ma cosa succede se i programmi sono gratuiti? A nessuno importa. Quindi lo sviluppatore ha una scelta: dimostrare costantemente la sicurezza dei suoi programmi, sacrificando la comodità degli utenti o acquistando un certificato. Tre anni fa StartCom, che ora vive sul fondo dell'oceano, era redditizia e non ci sono mai stati problemi con loro. Al momento, il prezzo minimo è fornito da Comodo, ma, a quanto pare, c'è un problema: per loro lo sviluppatore non è letteralmente nessuno e tradirlo è una pratica normale.
Dopo quasi un anno di utilizzo del certificato che avevo acquistato a metà del 2018, improvvisamente, senza preavviso via mail o telefono, Comodo lo ha revocato senza spiegazioni. Il loro supporto tecnico non funziona bene - potrebbero non rispondere per una settimana, ma sono comunque riusciti a scoprire il motivo principale - ritenevano che il certificato emesso fosse firmato da malware. E la storia avrebbe potuto finire qui, se non fosse stato per una cosa: non ho mai creato malware e i miei metodi di protezione mi permettono di dire che è impossibile rubare la mia chiave privata. Solo Comodo ha una copia della chiave perché le rilascia senza CSR. E poi - quasi due settimane di tentativi infruttuosi di trovare la prova elementare. L'azienda, che dovrebbe garantire la protezione della sicurezza, si è rifiutata categoricamente di fornire prove di violazione delle proprie regole.
Dall'ultima chiacchierata con il supporto tecnicoTu 01:20
Hai scritto "Ci impegniamo a rispondere ai ticket di supporto standard entro lo stesso giorno lavorativo". ma è da una settimana che aspetto una risposta.
Vinson 01:20
Ciao, benvenuto nella convalida SSL di Sectigo!
Fammi controllare lo stato del tuo caso, aspetta un attimo.
Ho controllato e l'ordine è stato revocato a causa di malware/frode/phishing da parte del nostro funzionario superiore.
Tu 01:28
Sono sicuro che questo sia il tuo errore, quindi chiedo prova.
Non ho mai avuto malware/frodi/phishing.
Vinson 01:30
Mi dispiace, Alessandro. Ho ricontrollato e l'ordine è stato revocato a causa di malware/frode/phishing da parte del nostro funzionario superiore.
Tu 01:31
In quale file hai visto il virus? Esiste un collegamento a virustotal? Non accetto la tua risposta perché non contiene prove. Ho pagato dei soldi per questo certificato e ho il diritto di sapere perché i miei soldi mi vengono tolti con la forza.
Se non puoi fornire la prova, il certificato è stato revocato ingiustamente e devi restituire il denaro. Altrimenti che senso ha il tuo lavoro se revochi i certificati senza prova?
Vinson 01:34
Capisco la tua preoccupazione. È stato segnalato che il certificato di firma del codice distribuisce malware. Secondo le linee guida del settore: Sectigo in qualità di autorità di certificazione è tenuta a revocare il certificato.
Inoltre, secondo la politica di rimborso, non saremo in grado di rimborsare dopo 30 giorni dalla data di emissione.
Tu 01:35
Perché pensi che questo non sia un errore o un falso positivo?
Vinson 01:36
Mi dispiace, Alessandro. Secondo il rapporto dei nostri alti funzionari, l'ordine è stato revocato a causa di malware/frode/phishing.
Tu 01:37
Non c'è bisogno di scusarsi, ho pagato i soldi e voglio vedere la prova che ho violato le tue regole. È semplice.
Ho pagato per tre anni, poi tu mi hai spiegato il motivo e mi hai lasciato senza certificato e senza prove della mia colpevolezza.
Vinson 01:43
Capisco la tua preoccupazione. È stato segnalato che il certificato di firma del codice distribuisce malware. Secondo le linee guida del settore: Sectigo in qualità di autorità di certificazione è tenuta a revocare il certificato.
Tu 01:45
Sembra che tu non capisca. Dove hai visto il tribunale che emette la sentenza senza prove? Hai fatto proprio questo. Non ho mai avuto malware. Perché non fornisci la prova se lo è? Quale prova concreta è la revoca di un certificato?
Vinson 01:46
Mi dispiace, Alessandro. Secondo il rapporto dei nostri alti funzionari, l'ordine è stato revocato a causa di malware/frode/phishing.
Tu 01:47
Chi posso conoscere il vero motivo della revoca del certificato?
Se non puoi rispondere, dimmi a chi rivolgermi?
Vinson 01:48
Ti preghiamo di inviare nuovamente un ticket utilizzando il link sottostante in modo da ricevere una risposta il prima possibile.
Tu 01:48
Thank you.
Questo risultato non è isolato, per tutto il tempo delle negoziazioni in chat, nella migliore delle ipotesi, rispondono la stessa cosa, i ticket o non ricevono alcuna risposta o le risposte sono altrettanto inutili.
Sto creando di nuovo un ticketLa mia richiesta:
Richiedo la prova di aver violato una norma che ha comportato la revoca. Ho acquistato un certificato e voglio sapere perché mi vengono prelevati i soldi.
"malware/frode/phishing" non è la risposta! In quale file hai visto il virus? Esiste un collegamento a virustotal? Si prega di fornire una prova o restituire il denaro, sono stanco di scrivere supporto tecnico e aspetto da più di una settimana.
Thank you.
La loro risposta:
È stato segnalato che il certificato di firma del codice distribuisce malware. Secondo le linee guida del settore: Sectigo in qualità di autorità di certificazione è tenuta a revocare il certificato.
La speranza che non sia la scimmia a rispondermi è completamente perduta. Ne emerge uno schema interessante:
- Vendiamo un certificato.
- Stiamo aspettando da più di sei mesi affinché sia impossibile aprire una controversia tramite PayPal.
- Stiamo richiamando e aspettando il prossimo ordine. Profitto!
Poiché non ho altri metodi per influenzarli, posso solo rendere pubblica la loro frode. Quando acquisti un certificato da Comodo, noto anche come Sectigo, potresti riscontrare la stessa situazione.
Aggiornamento del 9 giugno:
Oggi ho informato CodeSignCert (la società attraverso la quale ho acquistato il certificato) che poiché non hanno più risposto, ho sollevato la situazione per una discussione pubblica con un collegamento a questo articolo. Dopo un po' di tempo, hanno finalmente inviato uno screenshot di virustotal, in cui era visibile l'hash del programma :
Virus Totale -
La mia valutazione della situazione:
Posso dire con sicurezza che si tratta di un falso positivo. Segni:
- Designazione Generica nella maggior parte dei casi.
- Nessun rilevamento da parte dei leader antivirus.
È difficile dire cosa abbia causato esattamente una simile reazione da parte degli antivirus, ma poiché il file è molto obsoleto (è stato creato quasi un anno fa), non avevo il codice sorgente della versione 1.6.1 salvato per ricreare in formato binario il file . Tuttavia, ho l'ultima versione 1.6.5 e, data l'immutabilità del ramo principale, sono state apportate modifiche minime, ma non ci sono falsi positivi di questo tipo:
Virus Totale -
CodeSignCert è stato informato del falso positivo; una volta che saranno disponibili ulteriori risultati delle trattative, l'articolo verrà aggiornato fino alla completa risoluzione della situazione.
Fonte: habr.com