Você poderia imaginar que uma grande empresa enganaria seus clientes, principalmente se esta empresa se posicionasse como fiadora da segurança? Então, eu não poderia até recentemente. Este artigo é um aviso para pensar duas vezes antes de comprar um certificado de assinatura de código da Comodo.
Como parte do meu trabalho (administração de sistemas), faço vários programas úteis que uso ativamente em meu próprio trabalho e, ao mesmo tempo, os publico gratuitamente para todos. Há cerca de três anos, houve a necessidade de assinar programas, caso contrário nem todos os meus clientes e usuários poderiam baixá-los sem problemas só porque não estavam assinados. A assinatura tem sido uma prática normal e não importa quão seguro seja um programa, mas se não for assinado, certamente haverá maior atenção a ele:
- O navegador coleta estatísticas sobre a frequência de download de um arquivo e, quando não está assinado, no estágio inicial pode até ser bloqueado “por precaução” e exigir uma confirmação explícita do usuário para salvar. Os algoritmos são diferentes, às vezes o domínio é considerado confiável, mas em geral é uma assinatura válida que confirma a segurança.
- Após o download, o arquivo é visualizado pelo antivírus e imediatamente antes do próprio sistema operacional ser iniciado. Para antivírus, a assinatura também é importante, isso pode ser facilmente visto no virustotal, e quanto ao SO, a partir do Win10, um arquivo com certificado revogado é imediatamente bloqueado e não pode ser iniciado a partir do Explorer. Além disso, em algumas organizações é geralmente proibido executar código não assinado (configurado usando ferramentas do sistema), e isso é justificado - todos os desenvolvedores normais há muito se certificam de que seus programas possam ser verificados sem esforço adicional.
Em geral, foi escolhida a direção certa - na medida do possível, tornando a Internet o mais segura possível para usuários inexperientes. Contudo, a implementação em si ainda está longe do ideal. Um simples desenvolvedor não pode simplesmente obter um certificado; ele deve ser adquirido de empresas que monopolizaram esse mercado e ditam seus termos sobre ele. Mas e se os programas forem gratuitos? Ninguém se importa. Então o desenvolvedor tem uma escolha: provar constantemente a segurança de seus programas, sacrificando a conveniência dos usuários, ou comprar um certificado. Há três anos, a StartCom, que agora vive no fundo do oceano, era lucrativa; nunca houve problemas com eles. No momento, o preço mínimo é fornecido pela Comodo, mas, ao que parece, há um problema - para eles o desenvolvedor é literalmente um ninguém e traí-lo é uma prática normal.
Depois de quase um ano de uso do certificado que adquiri em meados de 2018, de repente, sem aviso prévio por correio ou telefone, a Comodo o revogou sem explicação. O suporte técnico deles não funciona bem - eles podem demorar uma semana para responder, mas ainda assim conseguiram descobrir o motivo principal - consideraram que o certificado emitido foi assinado por malware. E a história poderia ter terminado aí, se não fosse por uma coisa: nunca criei malware e meus próprios métodos de proteção me permitem dizer que é impossível roubar minha chave privada. Apenas a Comodo possui uma cópia da chave porque a emite sem CSR. E então - quase duas semanas de tentativas malsucedidas de descobrir a prova elementar. A empresa, que supostamente garante proteção de segurança, recusou-se categoricamente a fornecer provas de violação de suas regras.
Do último chat com suporte técnicoVocê 01:20
Você escreveu “Nós nos esforçamos para responder aos tickets de suporte padrão no mesmo dia útil”. mas estou esperando uma resposta há uma semana.
Vinson 01:20
Olá, bem-vindo à validação SSL da Sectigo!
Deixe-me verificar o status do seu caso. Aguarde um minuto.
Verifiquei e o pedido foi revogado devido a malware/fraude/phishing por nosso oficial superior.
Você 01:28
Tenho certeza que este é o seu erro, por isso peço provas.
Nunca tive malware/fraude/phishing.
Vinson 01:30
Sinto muito, Alexandre. Verifiquei novamente e o pedido foi revogado devido a malware/fraude/phishing por nosso oficial superior.
Você 01:31
Em qual arquivo você viu o vírus? Existe um link para o vírus total? Não aceito sua resposta porque não há provas nela. Paguei dinheiro por este certificado e tenho o direito de saber por que meu dinheiro foi tirado de mim à força.
Se você não puder fornecer provas, o certificado foi revogado injustamente e você deverá devolver o dinheiro. Caso contrário, qual é o significado do seu trabalho se você revogar certificados sem provas?
Vinson 01:34
Eu percebo a tua preocupação. O certificado de assinatura de código foi relatado por distribuição de malware. De acordo com as diretrizes do setor: A Sectigo, como Autoridade de Certificação, é obrigada a revogar o certificado.
Além disso, de acordo com a política de reembolso, não poderemos reembolsar após 30 dias a partir da data de emissão.
Você 01:35
Por que você acha que isso não é um erro ou um falso positivo?
Vinson 01:36
Sinto muito, Alexandre. De acordo com nosso relatório de altos funcionários, o pedido foi revogado devido a malware/fraude/phishing.
Você 01:37
Não precisa se desculpar, paguei o dinheiro e quero ver provas de que violei suas regras. É simples.
Paguei três anos, aí você deu um motivo e me deixou sem atestado e sem prova da minha culpa.
Vinson 01:43
Eu percebo a tua preocupação. O certificado de assinatura de código foi relatado por distribuição de malware. De acordo com as diretrizes do setor: A Sectigo, como Autoridade de Certificação, é obrigada a revogar o certificado.
Você 01:45
Parece que você não entende. Onde você viu o tribunal que profere a sentença sem provas? Você fez exatamente isso. Nunca tive malware. Por que você não fornece provas, se for o caso? Que prova específica é uma revogação de certificado?
Vinson 01:46
Sinto muito, Alexandre. De acordo com nosso relatório de altos funcionários, o pedido foi revogado devido a malware/fraude/phishing.
Você 01:47
Quem posso saber o real motivo da revogação do certificado?
Se você não puder responder, diga-me com quem entrar em contato?
Vinson 01:48
Por favor, envie um ticket novamente usando o link abaixo para que você receba uma resposta o mais cedo possível.
Você 01:48
Muito Obrigado.
Esse resultado não é isolado, durante todo o tempo de negociação no chat, na melhor das hipóteses, eles respondem a mesma coisa, os tickets ou não são respondidos ou as respostas são igualmente inúteis.
Estou criando um ticket novamenteMeu pedido:
Exijo provas de que violei uma regra que levou à revogação. Comprei um certificado e quero saber por que meu dinheiro foi tirado de mim.
"malware/fraude/phishing" não é a resposta! Em qual arquivo você viu o vírus? Existe um link para o vírus total? Por favor, forneça um comprovante ou devolva o dinheiro, estou cansado de escrever para o suporte técnico e estou esperando há mais de uma semana.
Muito Obrigado.
A resposta deles:
O certificado de assinatura de código foi relatado por distribuição de malware. De acordo com as diretrizes do setor: A Sectigo, como Autoridade de Certificação, é obrigada a revogar o certificado.
A esperança de que não seja o macaco quem me responderá está completamente perdida. Surge um diagrama interessante:
- Vendemos um certificado.
- Estamos esperando há mais de seis meses para que seja impossível abrir uma disputa através do PayPal.
- Estamos recordando e aguardando o próximo pedido. Lucro!
Como não tenho outros métodos para influenciá-los, só posso tornar pública a sua fraude. Ao adquirir um certificado da Comodo, também conhecido como Sectigo, você poderá se deparar com a mesma situação.
Atualização em 9 de junho:
Hoje notifiquei a CodeSignCert (a empresa por meio da qual adquiri o certificado) que, como eles pararam de responder, trouxe a situação para discussão pública com um link para este artigo. Depois de algum tempo, eles finalmente enviaram uma captura de tela do virustotal, onde o hash do programa estava visível :
VirusTotal -
Minha avaliação da situação:
Posso dizer com segurança que este é um falso positivo. Sinais:
- Designação Genérica na maioria dos casos.
- Nenhuma detecção de líderes de antivírus.
É difícil dizer o que exatamente causou tal reação dos antivírus, mas como o arquivo está muito desatualizado (foi criado há quase um ano), não tive o código-fonte da versão 1.6.1 salvo em binário para recriar o arquivo . No entanto, tenho a versão mais recente 1.6.5 e, dada a imutabilidade do branch principal, foram feitas alterações mínimas lá, mas não existem tais falsos positivos:
VirusTotal -
CodeSignCert foi notificado do falso positivo; assim que mais resultados das negociações estiverem disponíveis, o artigo será atualizado até que a situação seja totalmente resolvida.
Fonte: habr.com