Vedeli by ste si predstaviť, že by veľká spoločnosť klamala svojich zákazníkov, najmä ak sa táto spoločnosť stavia do pozície garanta bezpečnosti? Takže donedávna som nemohol. Tento článok je varovaním, aby ste si pred zakúpením certifikátu na podpis kódu od spoločnosti Comodo dvakrát rozmysleli.
V rámci svojej práce (správa systému) vyrábam rôzne užitočné programy, ktoré aktívne využívam pri vlastnej práci a zároveň ich pre všetkých zadarmo postujem. Asi pred tromi rokmi bola potreba podpisovať programy, inak si ich všetci moji klienti a užívatelia nemohli bez problémov stiahnuť len preto, že neboli podpísané. Podpisovanie je už dlho bežnou praxou a bez ohľadu na to, aký bezpečný je program, ale ak nie je podpísaný, určite sa mu bude venovať zvýšená pozornosť:
- Prehliadač zhromažďuje štatistiky o tom, ako často sa súbor sťahuje, a keď nie je podpísaný, môže byť v počiatočnej fáze dokonca „pre každý prípad“ zablokovaný a na uloženie vyžaduje výslovné potvrdenie používateľa. Algoritmy sú rôzne, niekedy sa doména považuje za dôveryhodnú, ale vo všeobecnosti ide o platný podpis, ktorý potvrdzuje bezpečnosť.
- Po stiahnutí sa na súbor pozrie antivírus a bezprostredne pred spustením samotného OS. Pri antivírusoch je dôležitý aj podpis, na virustotal je to dobre vidieť a čo sa týka OS, počnúc Win10 je súbor so zrušeným certifikátom okamžite zablokovaný a nedá sa spustiť z Prieskumníka. Okrem toho je v niektorých organizáciách vo všeobecnosti zakázané spúšťať nepodpísaný kód (konfigurovaný pomocou systémových nástrojov), čo je opodstatnené - všetci normálni vývojári sa už dlho starajú o to, aby ich programy bolo možné kontrolovať bez ďalšieho úsilia.
Vo všeobecnosti bol zvolený správny smer – v maximálnej možnej miere, aby bol internet pre neskúsených používateľov čo najbezpečnejší. Samotná realizácia však ešte zďaleka nie je ideálna. Jednoduchý vývojár nemôže jednoducho získať certifikát, musí si ho kúpiť od spoločností, ktoré si monopolizovali tento trh a diktovať mu svoje podmienky. Ale čo keď sú programy zadarmo? Nikoho to nezaujíma. Potom má vývojár na výber - neustále dokazovať bezpečnosť svojich programov, obetovať pohodlie používateľov alebo si kúpiť certifikát. Pred tromi rokmi bol StartCom, ktorý dnes žije na dne oceánu, ziskový, nikdy s ním neboli žiadne problémy. Minimálnu cenu momentálne poskytuje Comodo, no, ako sa ukazuje, má to háčik – vývojár je pre nich doslova nikto a podvádzať ho je bežná prax.
Po takmer roku používania certifikátu, ktorý som si zakúpil v polovici roku 2018, ho spoločnosť Comodo náhle bez predchádzajúceho upozornenia poštou alebo telefonicky odvolala bez vysvetlenia. Nefunguje im dobre technická podpora – možno týždeň nereagujú, no aj tak sa im podarilo zistiť hlavný dôvod – usúdili, že vydaný certifikát podpísal malvér. A tým by sa príbeh mohol skončiť, nebyť jednej veci – nikdy som nevytvoril malvér a moje vlastné metódy ochrany mi umožňujú povedať, že ukradnúť môj súkromný kľúč je nemožné. Len Comodo má kópiu kľúča, pretože ich vydáva bez CSR. A potom - takmer dva týždne neúspešných pokusov zistiť elementárny dôkaz. Spoločnosť, ktorá vraj garantuje bezpečnostnú ochranu, jednoznačne odmietla poskytnúť dôkazy o porušení ich pravidiel.
Od posledného chatu s technickou podporouVy 01:20
Napísali ste: „Snažíme sa odpovedať na štandardné podporné lístky v ten istý pracovný deň.“ ale uz tyzden cakam na odpoved.
Vinson 01:20
Ahoj, vitajte v Sectigo SSL Validation!
Dovoľte mi skontrolovať stav vášho prípadu, chvíľu počkajte.
Skontroloval som to a objednávka bola odvolaná z dôvodu škodlivého softvéru/podvodu/phishingu zo strany nášho vyššieho úradníka.
Vy 01:28
Som si istý, že je to vaša chyba, preto vás žiadam o dôkaz.
Nikdy som nemal malvér/podvod/phishing.
Vinson 01:30
Je mi to ľúto, Alexander. Dvakrát som to skontroloval a objednávka bola odvolaná z dôvodu škodlivého softvéru/podvodu/phishingu zo strany nášho vyššieho úradníka.
Vy 01:31
V ktorom súbore ste videli vírus? Existuje odkaz na virustotal? Vašu odpoveď neprijímam, pretože v nej nie je žiadny dôkaz. Za tento certifikát som zaplatil peniaze a mám právo vedieť, prečo mi sú moje peniaze násilne odobraté.
Ak nemôžete poskytnúť dôkaz, certifikát bol zrušený nespravodlivo a musíte vrátiť peniaze. V opačnom prípade, aký je zmysel vašej práce, ak zrušíte certifikáty bez dôkazu?
Vinson 01:34
Chápem vaše obavy. Certifikát na podpisovanie kódu bol nahlásený za distribúciu škodlivého softvéru. Podľa odvetvových pokynov: Sectigo ako certifikačná autorita je povinná zrušiť certifikát.
Podľa pravidiel pre vrátenie platby nebudeme môcť vrátiť peniaze po 30 dňoch od dátumu vydania.
Vy 01:35
Prečo si myslíte, že to nie je chyba alebo falošné pozitívum?
Vinson 01:36
Je mi to ľúto, Alexander. Podľa správy našich vyšších predstaviteľov bol príkaz odvolaný z dôvodu škodlivého softvéru/podvodu/phishingu.
Vy 01:37
Nemusíte sa ospravedlňovať, zaplatil som peniaze a chcem vidieť dôkaz, že som porušil vaše pravidlá. Je to jednoduché.
Platil som tri roky, potom si prišiel s dôvodom a nechal si ma bez osvedčenia a bez dôkazu o mojej vine.
Vinson 01:43
Chápem vaše obavy. Certifikát na podpisovanie kódu bol nahlásený za distribúciu škodlivého softvéru. Podľa odvetvových pokynov: Sectigo ako certifikačná autorita je povinná zrušiť certifikát.
Vy 01:45
Zdá sa, že nerozumieš. Kde si videl súd, ktorý vynesie rozsudok bez dôkazov? Práve ste to urobili. Malvér som nikdy nemal. Prečo neposkytnete dôkaz, ak áno? Aký konkrétny dôkaz je zrušenie certifikátu?
Vinson 01:46
Je mi to ľúto, Alexander. Podľa správy našich vyšších predstaviteľov bol príkaz odvolaný z dôvodu škodlivého softvéru/podvodu/phishingu.
Vy 01:47
Komu môžem zistiť skutočný dôvod zrušenia certifikátu?
Ak neviete odpovedať, povedzte mi, na koho sa mám obrátiť?
Vinson 01:48
Odošlite lístok znova pomocou odkazu nižšie, aby ste odpoveď dostali čo najskôr.
Vy 01:48
Ďakujem.
Tento výsledok nie je ojedinelý, celý čas vyjednávania na chate v lepšom prípade odpovedajú to isté, na lístky buď neodpovedajú vôbec, alebo sú odpovede rovnako zbytočné.
Opäť vytváram lístokMoja žiadosť:
Vyžadujem dôkaz, že som porušil pravidlo, ktoré viedlo k odvolaniu. Kúpil som si certifikát a chcem vedieť, prečo mi vzali peniaze.
„malvér/podvod/phishing“ nie je odpoveď! V ktorom súbore ste videli vírus? Existuje odkaz na virustotal? Poskytnite dôkaz alebo vráťte peniaze, už ma nebaví písať technickú podporu a čakám už viac ako týždeň.
Ďakujem.
Ich odpoveď:
Certifikát na podpisovanie kódu bol nahlásený za distribúciu škodlivého softvéru. Podľa odvetvových pokynov: Sectigo ako certifikačná autorita je povinná zrušiť certifikát.
Nádej, že to nie je opica, ktorá mi odpovie, sa úplne stráca. Vzniká zaujímavý diagram:
- Predáme certifikát.
- Čakali sme viac ako šesť mesiacov, aby nebolo možné otvoriť spor cez PayPal.
- Odvolávame a čakáme na ďalšiu objednávku. Zisk!
Keďže nemám iné spôsoby, ako ich ovplyvniť, môžem len zverejniť ich podvody. Pri kúpe certifikátu od Comodo, známeho aj ako Sectigo, sa môžete stretnúť s rovnakou situáciou.
Aktualizácia 9. júna:
Dnes som upozornil CodeSignCert (spoločnosť, cez ktorú som si certifikát zakúpil), že keďže prestali reagovať, dal som situáciu na verejnú diskusiu s odkazom na tento článok. Po nejakom čase konečne poslali screenshot virustotal, kde bol viditeľný hash programu :
VirusTotal -
Moje hodnotenie situácie:
Môžem s istotou povedať, že je to falošne pozitívne. Znamenia:
- Vo väčšine prípadov označenie Generic.
- Žiadne zistenia od lídrov v oblasti antivírusov.
Ťažko povedať, čo presne spôsobilo takúto reakciu antivírusov, ale keďže súbor je veľmi zastaraný (bol vytvorený takmer pred rokom), nemal som uložený zdrojový kód verzie 1.6.1, aby som súbor binárne znovu vytvoril . Mám však najnovšiu verziu 1.6.5 a vzhľadom na nemennosť hlavnej vetvy tam boli vykonané minimálne zmeny, ale nie sú tam žiadne falošné pozitíva:
VirusTotal -
CodeSignCert bol upozornený na falošne pozitívny výsledok; akonáhle budú k dispozícii ďalšie výsledky rokovaní, článok bude aktualizovaný, kým sa situácia úplne nevyrieši.
Zdroj: hab.com