Ar galite įsivaizduoti, kad didelė įmonė apgaudinėtų savo klientus, ypač jei ši įmonė save pozicionuotų kaip saugumo garantą? Taigi aš negalėjau iki šiol. Šis straipsnis yra įspėjimas, kad prieš perkant „Comodo“ kodo pasirašymo sertifikatą reikia gerai pagalvoti.
Atlikdamas savo darbą (sistemos administravimą), kuriu įvairias naudingas programas, kurias aktyviai naudoju savo darbe, o tuo pačiu jas visiems talpinu nemokamai. Prieš kokius trejus metus atsirado poreikis pasirašyti programas, antraip ne visi mano klientai ir vartotojai galėjo jas be problemų atsisiųsti vien dėl to, kad jos nebuvo pasirašytos. Pasirašymas jau seniai įprasta praktika ir kad ir kokia saugi būtų programa, tačiau jei ji nepasirašyta, tai tikrai bus didesnis dėmesys:
- Naršyklė renka statistiką apie tai, kaip dažnai failas atsisiunčiamas, o kai jis nepasirašytas, pradiniame etape jis gali būti net užblokuotas „tik tuo atveju“ ir reikalauti aiškaus vartotojo patvirtinimo, kad būtų išsaugotas. Algoritmai skiriasi, kartais domenas laikomas patikimu, bet apskritai tai yra galiojantis parašas, patvirtinantis saugumą.
- Atsisiuntus failą peržiūri antivirusinė programa ir prieš pat paleidžiant pačią OS. Antivirusinėms programoms taip pat svarbus parašas, tai nesunkiai galima pamatyti virustotal, o kalbant apie OS, pradedant nuo Win10, failas su atšauktu sertifikatu iš karto blokuojamas ir jo negalima paleisti iš Explorer. Be to, kai kuriose organizacijose paprastai draudžiama paleisti nepasirašytą kodą (konfigūruotą naudojant sistemos įrankius), ir tai pateisinama – visi normalūs kūrėjai jau seniai įsitikino, kad jų programas galima patikrinti be papildomų pastangų.
Apskritai pasirinkta teisinga kryptis – kiek įmanoma, padaryti internetą kuo saugesnį nepatyrusiems vartotojams. Tačiau pats įgyvendinimas dar toli gražu nėra idealus. Paprastas kūrėjas negali tiesiog gauti sertifikato, jį reikia įsigyti iš įmonių, kurios monopolizavo šią rinką ir diktuoja joje savo sąlygas. Bet ką daryti, jei programos yra nemokamos? Niekam nerūpi. Tada kūrėjas turi pasirinkimą – nuolat įrodinėti savo programų saugumą, aukojant vartotojų patogumą, arba pirkti sertifikatą. Prieš trejus metus „StartCom“, dabar gyvenantis vandenyno dugne, dirbo pelningai, su jais niekada nebuvo jokių problemų. Šiuo metu minimalią kainą teikia „Comodo“, tačiau, pasirodo, yra slypi – jiems kūrėjas tiesiogine prasme yra niekas, o apgaudinėti jį yra įprasta praktika.
Po beveik metų naudojimosi sertifikatu, kurį įsigyjau 2018 metų viduryje, staiga, be išankstinio įspėjimo paštu ar telefonu, Comodo be paaiškinimo jį atšaukė. Jų techninis palaikymas neveikia gerai – savaitę gali neatsakyti, bet vis tiek pavyko išsiaiškinti pagrindinę priežastį – manė, kad išduotas sertifikatas buvo pasirašytas kenkėjiškų programų. Ir istorija tuo galėjo baigtis, jei ne vienas dalykas – niekada nesu kūręs kenkėjiškų programų, o mano pačios apsaugos metodai leidžia teigti, kad mano privataus rakto pavogti neįmanoma. Tik „Comodo“ turi rakto kopiją, nes išduoda juos be CSR. O paskui – beveik dvi savaites nesėkmingų bandymų išsiaiškinti elementarų įrodymą. Saugumą neva garantuojanti įmonė kategoriškai atsisakė pateikti įrodymų, kad pažeidė jų taisykles.
Nuo paskutinio pokalbio su technine pagalbaJūs 01:20
Jūs parašėte „Stengiamės atsakyti į standartinius palaikymo bilietus per tą pačią darbo dieną“. bet jau savaite laukiu atsakymo.
Vinsonas 01:20
Sveiki, Sveiki atvykę į Sectigo SSL patvirtinimą!
Leiskite patikrinti jūsų bylos būseną, palaukite minutę.
Patikrinau ir užsakymas buvo atšauktas dėl kenkėjiškų programų / sukčiavimo / sukčiavimo mūsų aukštesnio pareigūno.
Jūs 01:28
Esu tikras, kad tai jūsų klaida, todėl prašau įrodymų.
Niekada neturėjau kenkėjiškų programų / sukčiavimo / sukčiavimo.
Vinsonas 01:30
Atsiprašau, Aleksandrai. Dar kartą patikrinau ir užsakymas buvo atšauktas dėl kenkėjiškų programų / sukčiavimo / sukčiavimo mūsų aukštesnio pareigūno.
Jūs 01:31
Kuriame faile matėte virusą? Ar yra nuoroda į virustotal? Jūsų atsakymo nepriimu, nes jame nėra įrodymų. Sumokėjau pinigus už šią pažymą ir turiu teisę žinoti, kodėl iš manęs pinigai atimami per prievartą.
Jei negalite pateikti įrodymų, pažymėjimas buvo panaikintas nesąžiningai ir privalo grąžinti pinigus. Priešingu atveju, kokia jūsų darbo prasmė, jei atšaukiate pažymėjimus be įrodymų?
Vinsonas 01:34
Suprantu jūsų susirūpinimą. Buvo pranešta apie kodo pasirašymo sertifikatą dėl kenkėjiškų programų platinimo. Pagal pramonės gaires: „Sectigo“ kaip sertifikavimo institucija privalo atšaukti sertifikatą.
Be to, pagal pinigų grąžinimo politiką, mes negalėsime grąžinti pinigų praėjus 30 dienų nuo išdavimo datos.
Jūs 01:35
Kodėl manote, kad tai nėra klaida ar klaidingas teigiamas rezultatas?
Vinsonas 01:36
Atsiprašau, Aleksandrai. Remiantis mūsų aukštesnių pareigūnų pranešimu, įsakymas buvo atšauktas dėl kenkėjiškų programų / sukčiavimo / sukčiavimo.
Jūs 01:37
Nereikia atsiprašyti, aš sumokėjau pinigus ir noriu pamatyti įrodymą, kad pažeidžiau jūsų taisykles. Tai paprasta.
Aš mokėjau trejus metus, tada tu sugalvojai priežastį ir palikai mane be pažymos ir be mano kaltės įrodymų.
Vinsonas 01:43
Suprantu jūsų susirūpinimą. Buvo pranešta apie kodo pasirašymo sertifikatą dėl kenkėjiškų programų platinimo. Pagal pramonės gaires: „Sectigo“ kaip sertifikavimo institucija privalo atšaukti sertifikatą.
Jūs 01:45
Atrodo, kad tu nesupranti. Kur matėte teismą, kuris priima nuosprendį be įrodymų? Tu tai padarei. Niekada neturėjau kenkėjiškų programų. Kodėl nepateiki įrodymų, jei taip? Koks konkretus įrodymas yra sertifikato panaikinimas?
Vinsonas 01:46
Atsiprašau, Aleksandrai. Remiantis mūsų aukštesnių pareigūnų pranešimu, įsakymas buvo atšauktas dėl kenkėjiškų programų / sukčiavimo / sukčiavimo.
Jūs 01:47
Kas galiu sužinoti tikrąją pažymėjimo panaikinimo priežastį?
Jei negalite atsakyti, pasakykite, į ką kreiptis?
Vinsonas 01:48
Dar kartą pateikite bilietą naudodami toliau pateiktą nuorodą, kad kuo anksčiau gautumėte atsakymą.
Jūs 01:48
Ačiū.
Šis rezultatas nėra izoliuotas, visą derybų laiką pokalbyje geriausiu atveju atsako tuo pačiu, į bilietus arba išvis neatsiliepia, arba atsakymai tokie pat nenaudingi.
Vėl kuriu bilietąMano prašymas:
Man reikia įrodymų, kad pažeidiau taisyklę, dėl kurios buvo atšaukta. Nusipirkau pažymėjimą ir noriu sužinoti, kodėl iš manęs atimami pinigai.
„kenkėjiška programa / sukčiavimas / sukčiavimas“ nėra atsakymas! Kuriame faile matėte virusą? Ar yra nuoroda į virustotal? Pateikite įrodymą arba grąžinkite pinigus, pavargau rašyti techninę pagalbą ir laukiau daugiau nei savaitę.
Ačiū.
Jų atsakymas:
Buvo pranešta apie kodo pasirašymo sertifikatą dėl kenkėjiškų programų platinimo. Pagal pramonės gaires: „Sectigo“ kaip sertifikavimo institucija privalo atšaukti sertifikatą.
Viltis, kad man atsakys ne beždžionė, visiškai prarasta. Pasirodo įdomi diagrama:
- Parduodame sertifikatą.
- Mes laukėme daugiau nei šešis mėnesius, kad nebūtų įmanoma pradėti ginčo per PayPal.
- Atšaukiame ir laukiame kito užsakymo. Pelnas!
Kadangi neturiu kitų būdų jiems paveikti, galiu tik paviešinti jų sukčiavimą. Įsigydami sertifikatą iš Comodo, dar žinomo kaip Sectigo, galite susidurti su ta pačia situacija.
Atnaujinimas birželio 9 d.:
Šiandien pranešiau „CodeSignCert“ (įmonei, per kurią įsigijau sertifikatą), kad jiems nustojus atsakyti, iškėliau situaciją viešai aptarti su nuoroda į šį straipsnį. Po kurio laiko jie pagaliau atsiuntė virustotal ekrano kopiją, kurioje buvo matoma programos maiša :
VirusTotal –
Mano situacijos vertinimas:
Galiu drąsiai teigti, kad tai klaidingas teigiamas rezultatas. Ženklai:
- Pavadinimas Bendrasis daugeliu atvejų.
- Jokių aptikimų iš antivirusinių lyderių.
Sunku pasakyti, kas tiksliai sukėlė tokią antivirusų reakciją, bet kadangi failas labai pasenęs (sukurtas beveik prieš metus), neturėjau išsaugoto 1.6.1 versijos šaltinio kodo, kad atkurčiau failą dvejetainiu būdu. . Tačiau turiu naujausią 1.6.5 versiją ir, atsižvelgiant į pagrindinės šakos nekintamumą, ten buvo padaryti minimalūs pakeitimai, tačiau tokių klaidingų teigiamų rezultatų nėra:
VirusTotal –
CodeSignCert buvo pranešta apie klaidingą teigiamą rezultatą; kai paaiškės tolesni derybų rezultatai, straipsnis bus atnaujintas, kol situacija bus visiškai išspręsta.
Šaltinis: www.habr.com