Czy możesz sobie wyobrazić, że duża firma oszukałaby swoich klientów, zwłaszcza jeśli pozycjonuje się jako gwarant bezpieczeństwa? Więc do niedawna nie mogłem. Ten artykuł jest ostrzeżeniem, aby pomyśleć dwa razy przed zakupem certyfikatu do podpisywania kodu od Comodo.
W ramach swojej pracy (administrowanie systemem) tworzę różne przydatne programy, które aktywnie wykorzystuję w swojej pracy, a jednocześnie udostępniam je bezpłatnie dla wszystkich. Około trzy lata temu pojawiła się potrzeba podpisywania programów, w przeciwnym razie nie wszyscy moi klienci i użytkownicy mogliby je bez problemów pobrać tylko dlatego, że nie były podpisane. Podpisywanie jest od dawna normalną praktyką i niezależnie od tego, jak bezpieczny jest program, jeśli nie zostanie podpisany, z pewnością zwróci się na to większą uwagę:
- Przeglądarka zbiera statystyki dotyczące częstotliwości pobierania pliku, a gdy nie jest on podpisany, na początkowym etapie może nawet zostać zablokowany „na wszelki wypadek” i wymagać wyraźnego potwierdzenia od użytkownika, aby zapisać. Algorytmy są różne, czasami domena jest uważana za zaufaną, ale generalnie jest to ważny podpis potwierdzający bezpieczeństwo.
- Po pobraniu plik jest sprawdzany przez program antywirusowy i bezpośrednio przed uruchomieniem samego systemu operacyjnego. W przypadku antywirusów ważny jest również podpis, można to łatwo zobaczyć na VirusTotal, a jeśli chodzi o system operacyjny, począwszy od Win10, plik z unieważnionym certyfikatem jest natychmiast blokowany i nie można go uruchomić z Eksploratora. Ponadto w niektórych organizacjach ogólnie zabrania się uruchamiania niepodpisanego kodu (skonfigurowanego za pomocą narzędzi systemowych) i jest to uzasadnione - wszyscy zwykli programiści od dawna dbają o to, aby ich programy można było sprawdzić bez dodatkowego wysiłku.
Generalnie obrany został słuszny kierunek – na tyle, na ile to możliwe, aby Internet był jak najbardziej bezpieczny dla niedoświadczonych użytkowników. Jednak samo wdrożenie jest wciąż dalekie od ideału. Prosty deweloper nie może po prostu zdobyć certyfikatu, trzeba go kupić od firm, które zmonopolizowały ten rynek i dyktują mu warunki. Ale co, jeśli programy są bezpłatne? Nikogo to nie obchodzi. Wtedy programista ma wybór - stale udowadniać bezpieczeństwo swoich programów, rezygnując z wygody użytkowników, lub kupić certyfikat. Trzy lata temu StartCom, który obecnie żyje na dnie oceanu, był rentowny, nigdy nie było z nimi żadnych problemów. Na chwilę obecną cenę minimalną zapewnia Comodo, jednak jak się okazuje jest w tym pewien haczyk – dla nich deweloper jest dosłownie nikim i oszukiwanie go to normalna praktyka.
Po prawie roku korzystania z certyfikatu zakupionego w połowie 2018 roku, nagle, bez wcześniejszego powiadomienia mailowego lub telefonicznego, Comodo unieważniło go bez wyjaśnienia. Ich wsparcie techniczne nie działa najlepiej - może i przez tydzień nie odpowiedzieli, ale udało im się znaleźć główny powód - uznali, że wydany certyfikat został podpisany przez złośliwe oprogramowanie. I na tym cała historia mogłaby się zakończyć, gdyby nie jedno – nigdy nie stworzyłem złośliwego oprogramowania, a własne metody ochrony pozwalają mi powiedzieć, że kradzież mojego klucza prywatnego jest niemożliwa. Tylko Comodo ma kopię klucza, ponieważ wydaje je bez CSR. A potem - prawie dwa tygodnie nieudanych prób znalezienia elementarnego dowodu. Firma, która rzekomo gwarantuje ochronę bezpieczeństwa, kategorycznie odmówiła przedstawienia dowodów na naruszenie jej zasad.
Z ostatniej rozmowy z pomocą technicznąTy 01:20
Napisałeś: „Staramy się odpowiadać na standardowe zgłoszenia pomocy technicznej w ciągu tego samego dnia roboczego”. ale czekam na odpowiedź już tydzień.
Vinsona 01:20
Cześć, Witamy w Walidacji SSL Sectigo!
Pozwól, że sprawdzę status Twojej sprawy. Poczekaj chwilę.
Sprawdziłem i zamówienie zostało odwołane z powodu złośliwego oprogramowania/oszustwa/phishingu przez naszego wyższego urzędnika.
Ty 01:28
Jestem pewien, że to Twój błąd, dlatego proszę o dowód.
Nigdy nie spotkałem się ze złośliwym oprogramowaniem/oszustwem/phishingiem.
Vinsona 01:30
Przykro mi, Aleksandrze. Sprawdziłem dokładnie i okazało się, że zamówienie zostało odwołane przez naszego wyższego urzędnika z powodu złośliwego oprogramowania/oszustwa/phishingu.
Ty 01:31
W którym pliku widziałeś wirusa? Czy jest link do VirusTotal? Nie przyjmuję Twojej odpowiedzi, ponieważ nie ma w niej żadnego dowodu. Zapłaciłem pieniądze za to zaświadczenie i mam prawo wiedzieć, dlaczego ktoś mi je siłą odebrał.
Jeśli nie możesz przedstawić dowodu, oznacza to, że certyfikat został niesłusznie unieważniony i musisz zwrócić pieniądze. W przeciwnym razie jaki sens ma Twoja praca, jeśli unieważniasz certyfikaty bez dowodu?
Vinsona 01:34
Rozumiem Twój niepokój. Zgłoszono, że certyfikat podpisywania kodu rozpowszechnia złośliwe oprogramowanie. Zgodnie z wytycznymi branżowymi: Sectigo jako urząd certyfikacji ma obowiązek unieważnić certyfikat.
Zgodnie z polityką zwrotów nie będziemy mogli zwrócić pieniędzy po upływie 30 dni od daty wystawienia.
Ty 01:35
Dlaczego uważasz, że nie jest to błąd ani fałszywie pozytywny wynik?
Vinsona 01:36
Przykro mi, Aleksandrze. Zgodnie z raportem naszych urzędników wyższego szczebla zamówienie zostało odwołane z powodu złośliwego oprogramowania/oszustwa/phishingu.
Ty 01:37
Nie musisz przepraszać, zapłaciłem pieniądze i chcę zobaczyć dowód, że naruszyłem Twoje zasady. To proste.
Zapłaciłem przez trzy lata, potem podałeś powód i zostawiłeś mnie bez zaświadczenia i bez dowodu mojej winy.
Vinsona 01:43
Rozumiem Twój niepokój. Zgłoszono, że certyfikat podpisywania kodu rozpowszechnia złośliwe oprogramowanie. Zgodnie z wytycznymi branżowymi: Sectigo jako urząd certyfikacji ma obowiązek unieważnić certyfikat.
Ty 01:45
Wygląda na to, że nie rozumiesz. Gdzie widziałeś sąd, który wydaje wyrok bez dowodu? Właśnie to zrobiłeś. Nigdy nie miałem złośliwego oprogramowania. Dlaczego nie przedstawiłeś dowodu, jeśli tak jest? Jakim konkretnym dowodem jest unieważnienie certyfikatu?
Vinsona 01:46
Przykro mi, Aleksandrze. Zgodnie z raportem naszych urzędników wyższego szczebla zamówienie zostało odwołane z powodu złośliwego oprogramowania/oszustwa/phishingu.
Ty 01:47
Kto może poznać prawdziwy powód unieważnienia certyfikatu?
Jeśli nie możesz odebrać, powiedz mi, z kim się skontaktować?
Vinsona 01:48
Prosimy o ponowne przesłanie zgłoszenia za pomocą poniższego linku, aby otrzymać odpowiedź możliwie jak najszybciej.
Ty 01:48
Dziękuję Ci.
Wynik ten nie jest odosobniony, cały czas negocjacji na czacie w najlepszym przypadku odpowiadają na to samo, bilety albo nie są w ogóle odbierane, albo odpowiedzi są tak samo bezużyteczne.
Ponownie tworzę zgłoszenieMoja prośba:
Wymagam dowodu, że naruszyłem zasadę, która doprowadziła do cofnięcia członkostwa. Kupiłem certyfikat i chcę wiedzieć, dlaczego odebrano mi pieniądze.
„złośliwe oprogramowanie/oszustwo/phishing” nie jest odpowiedzią! W którym pliku widziałeś wirusa? Czy jest link do VirusTotal? Proszę o dowód lub zwrot pieniędzy, mam dość pisania do pomocy technicznej i czekam już ponad tydzień.
Dziękuję Ci.
Ich odpowiedź:
Zgłoszono, że certyfikat podpisywania kodu rozpowszechnia złośliwe oprogramowanie. Zgodnie z wytycznymi branżowymi: Sectigo jako urząd certyfikacji ma obowiązek unieważnić certyfikat.
Nadzieja, że to nie małpa mi odpowie, jest całkowicie stracona. Wyłania się ciekawy diagram:
- Sprzedajemy certyfikat.
- Czekaliśmy ponad sześć miesięcy, aby nie można było otworzyć sporu za pośrednictwem PayPal.
- Przypominamy i czekamy na kolejne zamówienie. Zysk!
Ponieważ nie mam innych możliwości wywarcia na nich wpływu, mogę jedynie upublicznić ich oszustwo. Kupując certyfikat od Comodo, znanego również jako Sectigo, możesz spotkać się z tą samą sytuacją.
Aktualizacja z 9 czerwca:
Dzisiaj powiadomiłem CodeSignCert (firmę, za pośrednictwem której kupiłem certyfikat), że ponieważ przestali odpowiadać, poddałem sytuację do publicznej dyskusji, podając link do tego artykułu. Po pewnym czasie w końcu przesłali zrzut ekranu wirusa Virustotal, na którym widoczny był skrót programu :
Wirus Razem -
Moja ocena sytuacji:
Mogę śmiało powiedzieć, że jest to wynik fałszywie pozytywny. Oznaki:
- Oznaczenie Ogólne w większości przypadków.
- Brak wykrycia ze strony liderów oprogramowania antywirusowego.
Trudno powiedzieć co dokładnie spowodowało taką reakcję antywirusów, ale ponieważ plik jest bardzo nieaktualny (powstał prawie rok temu), nie miałem zapisanego kodu źródłowego wersji 1.6.1 w wersji binarnej, odtwórz plik . Mam jednak najnowszą wersję 1.6.5 i biorąc pod uwagę niezmienność głównej gałęzi, wprowadzono tam minimalne zmiany, ale nie ma takich fałszywych alarmów:
Wirus Razem -
CodeSignCert został powiadomiony o fałszywie pozytywnym wyniku; po udostępnieniu dalszych wyników negocjacji artykuł będzie aktualizowany do czasu całkowitego rozwiązania sytuacji.
Źródło: www.habr.com