Kunne du tenke deg at et stort selskap ville lure kundene sine, spesielt hvis dette selskapet posisjonerer seg som en garantist for sikkerhet? Så jeg kunne ikke før nylig. Denne artikkelen er en advarsel om å tenke to ganger før du kjøper et kodesigneringssertifikat fra Comodo.
Som en del av jobben min (systemadministrasjon) lager jeg ulike nyttige programmer som jeg bruker aktivt i mitt eget arbeid, samtidig som jeg legger dem ut gratis for alle. For rundt tre år siden var det behov for å signere programmer, ellers kunne ikke alle mine klienter og brukere laste dem ned uten problemer bare fordi de ikke var signert. Signering har lenge vært en normal praksis, og uansett hvor sikkert et program er, men hvis det ikke er signert, vil det definitivt bli økt oppmerksomhet rundt det:
- Nettleseren samler inn statistikk over hvor ofte en fil lastes ned, og når den ikke er signert, kan den i første omgang til og med blokkeres "i tilfelle" og kreve en eksplisitt bekreftelse fra brukeren for å lagre. Algoritmene er forskjellige, noen ganger anses domenet som klarert, men generelt er det en gyldig signatur som bekrefter sikkerheten.
- Etter nedlasting blir filen sett på av antiviruset og rett før selve operativsystemet starter. For antivirus er signaturen også viktig, denne kan enkelt sees på virustotal, og når det gjelder operativsystemet, starter med Win10, blir en fil med et tilbakekalt sertifikat umiddelbart blokkert og kan ikke startes fra Explorer. I tillegg er det i noen organisasjoner generelt forbudt å kjøre usignert kode (konfigurert ved hjelp av systemverktøy), og dette er berettiget - alle normale utviklere har lenge sørget for at programmene deres kan sjekkes uten ekstra innsats.
Generelt er riktig retning valgt – i den grad det er mulig, noe som gjør Internett så trygt som mulig for uerfarne brukere. Selve implementeringen er imidlertid fortsatt langt fra ideell. En enkel utvikler kan ikke bare få et sertifikat; det må kjøpes fra selskaper som har monopolisert dette markedet og dikterer deres vilkår på det. Men hva om programmene er gratis? Ingen bryr seg. Da har utvikleren et valg - å stadig bevise sikkerheten til programmene sine, ofre brukervennligheten, eller å kjøpe et sertifikat. For tre år siden var StartCom, som nå bor på bunnen av havet, lønnsomt, det har aldri vært noen problemer med dem. For øyeblikket er minimumsprisen gitt av Comodo, men som det viser seg, er det en hake - for dem er utvikleren bokstavelig talt ingen, og det er vanlig praksis å utro ham.
Etter nesten et år med bruk av sertifikatet jeg kjøpte i midten av 2018, tilbakekalte Comodo det plutselig, uten forvarsel på mail eller telefon, uten forklaring. Deres tekniske støtte fungerer ikke bra - de svarer kanskje ikke på en uke, men de klarte likevel å finne ut hovedårsaken - de mente at det utstedte sertifikatet var signert av skadelig programvare. Og historien kunne ha endt der, hvis ikke for én ting – jeg har aldri laget skadevare, og mine egne beskyttelsesmetoder lar meg si at det er umulig å stjele min private nøkkel. Bare Comodo har en kopi av nøkkelen fordi de utsteder dem uten CSR. Og så - nesten to uker med mislykkede forsøk på å finne ut det elementære beviset. Selskapet, som angivelig garanterer sikkerhetsbeskyttelse, nektet blankt å fremlegge bevis for brudd på reglene deres.
Fra siste chat med teknisk støtteDu 01:20
Du har skrevet "Vi streber etter å svare på standard supportbilletter innen samme virkedag." men jeg har ventet på svar i en uke nå.
Vinson 01:20
Hei, Velkommen til Sectigo SSL-validering!
La meg sjekke sakens status, vennligst vent litt.
Jeg har sjekket og bestillingen er tilbakekalt på grunn av skadelig programvare/svindel/phishing av vår høyere tjenestemann.
Du 01:28
Jeg er sikker på at dette er din feil, så jeg ber om bevis.
Jeg har aldri hatt skadelig programvare/svindel/phishing.
Vinson 01:30
Jeg beklager, Alexander. Jeg har dobbeltsjekket og bestillingen er tilbakekalt på grunn av skadelig programvare/svindel/nettfisking av vår høyere tjenestemann.
Du 01:31
I hvilken fil så du viruset? Finnes det en link til virustotal? Jeg godtar ikke svaret ditt fordi det ikke er noe bevis i det. Jeg betalte penger for dette sertifikatet, og jeg har rett til å vite hvorfor pengene mine blir tatt fra meg med makt.
Hvis du ikke kan fremlegge bevis, ble sertifikatet tilbakekalt urettferdig og må returnere pengene. Ellers, hva er meningen med arbeidet ditt hvis du tilbakekaller sertifikater uten bevis?
Vinson 01:34
Jeg forstår bekymringen din. Kodesigneringssertifikatet er rapportert for distribusjon av skadelig programvare. I henhold til bransjeretningslinjer: Sectigo som sertifiseringsinstans er pålagt å tilbakekalle sertifikatet.
I henhold til refusjonspolicyen vil vi ikke kunne refundere etter 30 dager fra utstedelsesdatoen.
Du 01:35
Hvorfor tror du at dette ikke er en feil eller en falsk positiv?
Vinson 01:36
Jeg beklager, Alexander. I henhold til vår rapport fra høyere tjenestemenn har ordren blitt tilbakekalt på grunn av skadelig programvare/svindel/nettfisking.
Du 01:37
Ingen grunn til å be om unnskyldning, jeg betalte pengene og jeg vil se bevis på at jeg har brutt reglene dine. Det er enkelt.
Jeg betalte i tre år, så kom du med en grunn og forlot meg uten attest og uten bevis på min skyld.
Vinson 01:43
Jeg forstår bekymringen din. Kodesigneringssertifikatet er rapportert for distribusjon av skadelig programvare. I henhold til bransjeretningslinjer: Sectigo som sertifiseringsinstans er pålagt å tilbakekalle sertifikatet.
Du 01:45
Det virker som du ikke forstår. Hvor så du retten som avsa dommen uten bevis? Du gjorde nettopp det. Jeg har aldri hatt skadelig programvare. Hvorfor gir du ikke bevis hvis det er det? Hvilket konkret bevis er tilbakekall av sertifikat?
Vinson 01:46
Jeg beklager, Alexander. I henhold til vår rapport fra høyere tjenestemenn har ordren blitt tilbakekalt på grunn av skadelig programvare/svindel/nettfisking.
Du 01:47
Hvem kan jeg finne ut den virkelige grunnen til å tilbakekalle sertifikatet?
Hvis du ikke kan svare, fortell meg hvem jeg skal kontakte?
Vinson 01:48
Send inn en billett på nytt ved å bruke lenken nedenfor slik at du får svar så tidlig som mulig.
Du 01:48
Takk skal du ha.
Dette resultatet er ikke isolert, hele tiden med forhandlinger i chatten, i beste fall svarer de det samme, billetter blir enten ikke besvart i det hele tatt, eller svarene er like ubrukelige.
Jeg lager en billett igjenMin forespørsel:
Jeg krever bevis på at jeg har brutt en regel som førte til tilbakekall. Jeg kjøpte et sertifikat og vil vite hvorfor pengene mine er tatt fra meg.
"skadelig programvare/svindel/phishing" er ikke svaret! I hvilken fil så du viruset? Finnes det en link til virustotal? Gi bevis eller returner pengene, jeg er lei av å skrive teknisk støtte og har ventet i mer enn en uke.
Takk skal du ha.
Deres svar:
Kodesigneringssertifikatet er rapportert for distribusjon av skadelig programvare. I henhold til bransjeretningslinjer: Sectigo som sertifiseringsinstans er pålagt å tilbakekalle sertifikatet.
Håpet om at det ikke er apen som skal svare meg er helt ute. Et interessant diagram dukker opp:
- Vi selger et sertifikat.
- Vi har ventet i mer enn seks måneder slik at det er umulig å åpne en tvist gjennom PayPal.
- Vi tilbakekaller og venter på neste bestilling. Profitt!
Siden jeg ikke har noen andre metoder for å påvirke dem, kan jeg bare offentliggjøre svindelen deres. Når du kjøper et sertifikat fra Comodo, også kjent som Sectigo, kan du støte på samme situasjon.
Oppdatering 9. juni:
I dag varslet jeg CodeSignCert (selskapet som jeg kjøpte sertifikatet gjennom) at siden de sluttet å svare, har jeg tatt opp situasjonen til offentlig diskusjon med en lenke til denne artikkelen. Etter en tid sendte de endelig et skjermbilde av virustotal, der programhasjen var synlig :
VirusTotal -
Min vurdering av situasjonen:
Jeg kan med sikkerhet si at dette er en falsk positiv. Tegn:
- Betegnelse Generisk i de fleste tilfeller.
- Ingen deteksjoner fra antivirusledere.
Det er vanskelig å si nøyaktig hva som forårsaket en slik reaksjon fra antivirusene, men siden filen er veldig utdatert (den ble opprettet for nesten et år siden), hadde jeg ikke lagret kildekoden til versjon 1.6.1 for å binært gjenskape filen . Imidlertid har jeg den nyeste versjonen 1.6.5, og gitt uforanderligheten til hovedgrenen, ble det gjort minimale endringer der, men det er ingen slike falske positiver:
VirusTotal -
CodeSignCert har blitt varslet om den falske positive; når ytterligere resultater av forhandlingene blir tilgjengelige, vil artikkelen bli oppdatert til situasjonen er fullstendig løst.
Kilde: www.habr.com