Kunt u zich voorstellen dat een groot bedrijf zijn klanten zou misleiden, vooral als dit bedrijf zichzelf positioneert als een garantie voor veiligheid? Dus dat kon ik tot voor kort niet. Dit artikel is een waarschuwing om twee keer na te denken voordat u een Code Signing-certificaat van Comodo aanschaft.
Als onderdeel van mijn werk (systeembeheer) maak ik verschillende nuttige programma's die ik actief gebruik in mijn eigen werk, en tegelijkertijd plaats ik ze gratis voor iedereen. Ongeveer drie jaar geleden was het nodig om programma's te ondertekenen, anders konden niet al mijn klanten en gebruikers deze zonder problemen downloaden, alleen maar omdat ze niet ondertekend waren. Ondertekenen is lange tijd een normale praktijk geweest en hoe veilig een programma ook is, maar als het niet ondertekend is, zal er zeker meer aandacht voor komen:
- De browser verzamelt statistieken over hoe vaak een bestand wordt gedownload en als het niet is ondertekend, kan het in de beginfase zelfs worden geblokkeerd ‘voor het geval dat’ en een expliciete bevestiging van de gebruiker vereisen om het op te slaan. De algoritmen zijn verschillend, soms wordt het domein als vertrouwd beschouwd, maar over het algemeen is het een geldige handtekening die de veiligheid bevestigt.
- Na het downloaden wordt het bestand bekeken door de antivirus en onmiddellijk voordat het besturingssysteem zelf start. Voor antivirussen is de handtekening ook belangrijk, deze is gemakkelijk te zien op virustotal, en wat het besturingssysteem betreft, vanaf Win10 wordt een bestand met een ingetrokken certificaat onmiddellijk geblokkeerd en kan het niet vanuit Explorer worden gestart. Bovendien is het in sommige organisaties over het algemeen verboden om niet-ondertekende code uit te voeren (geconfigureerd met systeemtools), en dit is gerechtvaardigd - alle normale ontwikkelaars hebben er al lang voor gezorgd dat hun programma's zonder extra inspanning kunnen worden gecontroleerd.
Over het algemeen is de goede richting gekozen: voor zover mogelijk het internet zo veilig mogelijk maken voor onervaren gebruikers. De implementatie zelf is echter nog verre van ideaal. Een eenvoudige ontwikkelaar kan niet zomaar een certificaat verkrijgen; het moet worden aangeschaft bij bedrijven die deze markt hebben gemonopoliseerd en hun voorwaarden daarop dicteren. Maar wat als de programma’s gratis zijn? Het kan niemand iets schelen. Dan heeft de ontwikkelaar de keuze: voortdurend de veiligheid van zijn programma's bewijzen, het gemak van gebruikers opofferen, of een certificaat kopen. Drie jaar geleden was StartCom, dat nu op de bodem van de oceaan leeft, winstgevend; er zijn nooit problemen mee geweest. Op dit moment wordt de minimumprijs geleverd door Comodo, maar het blijkt dat er een addertje onder het gras zit: voor hen is de ontwikkelaar letterlijk een niemand en hem bedriegen is de normaalste zaak van de wereld.
Na bijna een jaar gebruik te hebben gemaakt van het certificaat dat ik medio 2018 had gekocht, heeft Comodo het plotseling, zonder voorafgaande kennisgeving per post of telefoon, zonder uitleg ingetrokken. Hun technische ondersteuning werkt niet goed - ze reageren misschien een week lang niet, maar ze zijn er toch in geslaagd de belangrijkste reden te achterhalen: ze waren van mening dat het uitgegeven certificaat was ondertekend door malware. En daar had het verhaal kunnen eindigen, al was het maar om één ding: ik heb nooit malware gemaakt en dankzij mijn eigen beveiligingsmethoden kan ik zeggen dat het onmogelijk is om mijn privésleutel te stelen. Alleen Comodo heeft een kopie van de sleutel omdat zij deze zonder CSR uitgeven. En dan - bijna twee weken van mislukte pogingen om het elementaire bewijs te achterhalen. Het bedrijf, dat zogenaamd de veiligheid garandeert, weigerde botweg bewijs te leveren van overtreding van hun regels.
Vanaf het laatste gesprek met technische ondersteuningJij 01:20
U heeft geschreven: “Wij streven ernaar om binnen dezelfde werkdag op standaard supporttickets te reageren.” maar ik wacht al een week op antwoord.
Vinson 01:20
Hallo, welkom bij Sectigo SSL-validatie!
Ik wil de status van uw zaak controleren. Een ogenblik geduld alstublieft.
Ik heb het gecontroleerd en de bestelling is ingetrokken vanwege malware/fraude/phishing door onze hogere functionaris.
Jij 01:28
Ik ben er zeker van dat dit uw fout is, dus ik vraag om bewijs.
Ik heb nog nooit malware/fraude/phishing gehad.
Vinson 01:30
Het spijt me, Alexander. Ik heb het dubbel gecontroleerd en de bestelling is ingetrokken vanwege malware/fraude/phishing door onze hogere functionaris.
Jij 01:31
In welk bestand heb je het virus gezien? Is er een link naar virustotal? Ik aanvaard uw antwoord niet omdat er geen bewijs in zit. Ik heb geld betaald voor dit certificaat en ik heb het recht om te weten waarom mijn geld met geweld van mij wordt afgepakt.
Als u geen bewijs kunt leveren, is het certificaat ten onrechte ingetrokken en moet u het geld teruggeven. Wat is anders de betekenis van uw werk als u certificaten intrekt zonder bewijs?
Vinson 01:34
Ik begrijp je zorgen. Er is gemeld dat het codeondertekeningscertificaat malware verspreidt. Volgens brancherichtlijnen: Sectigo is als certificeringsinstantie verplicht om het certificaat in te trekken.
Volgens het restitutiebeleid kunnen we ook niet terugbetalen na 30 dagen vanaf de uitgiftedatum.
Jij 01:35
Waarom denk je dat dit geen vergissing of vals-positief is?
Vinson 01:36
Het spijt me, Alexander. Volgens ons rapport van hogere ambtenaren is het bevel ingetrokken vanwege malware/fraude/phishing.
Jij 01:37
Je hoeft je niet te verontschuldigen, ik heb het geld betaald en ik wil bewijs zien dat ik je regels heb overtreden. Het is makkelijk.
Ik heb voor drie jaar betaald, toen kwam jij met een reden en liet mij achter zonder certificaat en zonder bewijs van mijn schuld.
Vinson 01:43
Ik begrijp je zorgen. Er is gemeld dat het codeondertekeningscertificaat malware verspreidt. Volgens brancherichtlijnen: Sectigo is als certificeringsinstantie verplicht om het certificaat in te trekken.
Jij 01:45
Het lijkt erop dat je het niet begrijpt. Waar heb je de rechtbank gezien die het vonnis uitspreekt zonder bewijs? Dat heb je precies gedaan. Ik heb nog nooit malware gehad. Waarom levert u geen bewijs als dat zo is? Welk specifiek bewijs is een certificaatintrekking?
Vinson 01:46
Het spijt me, Alexander. Volgens ons rapport van hogere ambtenaren is het bevel ingetrokken vanwege malware/fraude/phishing.
Jij 01:47
Bij wie kan ik de echte reden voor het intrekken van het certificaat achterhalen?
Als u niet kunt antwoorden, kunt u mij vertellen met wie ik contact moet opnemen?
Vinson 01:48
Dien alstublieft opnieuw een ticket in via onderstaande link, zodat u zo snel mogelijk een reactie ontvangt.
Jij 01:48
Dank je.
Dit resultaat staat niet op zichzelf, de hele tijd van onderhandelingen in de chat antwoorden ze in het beste geval hetzelfde, tickets worden helemaal niet beantwoord of de antwoorden zijn net zo nutteloos.
Ik maak opnieuw een ticket aanMijn verzoek:
Ik heb bewijs nodig dat ik een regel heb overtreden die tot intrekking heeft geleid. Ik heb een certificaat gekocht en wil weten waarom mijn geld van mij wordt afgepakt.
"malware/fraude/phishing" is niet het antwoord! In welk bestand heb je het virus gezien? Is er een link naar virustotal? Geef alstublieft een bewijs of retourneer het geld. Ik ben het schrijven van technische ondersteuning beu en wacht al meer dan een week.
Dank je.
Hun antwoord:
Er is gemeld dat het codeondertekeningscertificaat malware verspreidt. Volgens brancherichtlijnen: Sectigo is als certificeringsinstantie verplicht om het certificaat in te trekken.
De hoop dat het niet de aap is die mij zal antwoorden, is volledig verloren. Er ontstaat een interessant diagram:
- Wij verkopen een certificaat.
- We wachten al meer dan zes maanden, zodat het onmogelijk is om via PayPal een geschil te openen.
- We herinneren ons en wachten op de volgende bestelling. Winst!
Omdat ik geen andere methoden heb om ze te beïnvloeden, kan ik hun fraude alleen maar openbaar maken. Wanneer u een certificaat aanschaft bij Comodo, ook wel Sectigo genoemd, kunt u dezelfde situatie tegenkomen.
Update 9 juni:
Vandaag heb ik CodeSignCert (het bedrijf waar ik het certificaat heb gekocht) op de hoogte gebracht dat ik, sinds ze niet meer reageerden, de situatie ter sprake heb gebracht voor publieke discussie met een link naar dit artikel. Na enige tijd stuurden ze eindelijk een screenshot van virustotal, waarop de programma-hash zichtbaar was :
VirusTotaal -
Mijn inschatting van de situatie:
Ik kan met vertrouwen zeggen dat dit een vals positief resultaat is. Tekens:
- Benaming Generiek in de meeste gevallen.
- Geen detecties van antivirusleiders.
Het is moeilijk te zeggen wat precies zo'n reactie van de antivirussen veroorzaakte, maar aangezien het bestand erg verouderd is (het is bijna een jaar geleden gemaakt), had ik de broncode van versie 1.6.1 niet opgeslagen om het bestand binair opnieuw te maken . Ik heb echter de nieuwste versie 1.6.5, en gezien de onveranderlijkheid van de hoofdvertakking zijn daar minimale wijzigingen aangebracht, maar dergelijke valse positieven zijn er niet:
VirusTotaal -
CodeSignCert is op de hoogte gesteld van het vals-positieve resultaat; zodra verdere resultaten van de onderhandelingen beschikbaar komen, zal het artikel worden bijgewerkt totdat de situatie volledig is opgelost.
Bron: www.habr.com