Si lahko predstavljate, da bi veliko podjetje zavajalo svoje stranke, še posebej, če se to podjetje postavlja kot garant varnosti? Tako da do nedavnega nisem mogel. Ta članek je opozorilo, da dvakrat premislite, preden kupite potrdilo za podpis kode pri Comodo.
V okviru svojega dela (sistemska administracija) izdelujem različne uporabne programe, ki jih aktivno uporabljam pri svojem delu, hkrati pa jih objavljam brezplačno za vse. Pred kakšnimi tremi leti se je pojavila potreba po podpisovanju programov, sicer jih vsi moji klienti in uporabniki niso mogli brez težav prenesti samo zato, ker niso bili podpisani. Podpisovanje je že dolgo normalna praksa in ne glede na to, kako varen je program, če pa ni podpisan, bo zagotovo povečana pozornost nanj:
- Brskalnik zbira statistične podatke o tem, kako pogosto je datoteka prenesena, in ko ni podpisana, jo lahko v začetni fazi celo blokira "za vsak slučaj" in zahteva izrecno potrditev uporabnika za shranjevanje. Algoritmi so različni, včasih velja, da je domena zaupanja vredna, na splošno pa gre za veljaven podpis, ki potrjuje varnost.
- Po prenosu datoteko pregleda protivirusni program in tik pred samim zagonom OS. Pri antivirusih je pomemben tudi podpis, to se lepo vidi na virustotalu, pri OS pa se začne z Win10 datoteka s preklicanim certifikatom takoj blokira in je ni mogoče zagnati iz Raziskovalca. Poleg tega je v nekaterih organizacijah na splošno prepovedano zagnati nepodpisano kodo (konfigurirano s sistemskimi orodji) in to je upravičeno - vsi normalni razvijalci so že dolgo poskrbeli, da je mogoče njihove programe preveriti brez dodatnega truda.
Na splošno je bila izbrana prava smer - čim bolj varen internet za neizkušene uporabnike. Vendar je sama izvedba še daleč od idealne. Preprost razvijalec ne more preprosto pridobiti certifikata, kupiti ga je treba pri podjetjih, ki so monopolizirala ta trg in na njem narekujejo svoje pogoje. Kaj pa, če so programi brezplačni? Nikomur ni mar. Potem ima razvijalec izbiro - nenehno dokazovati varnost svojih programov, pri čemer žrtvuje udobje uporabnikov, ali kupiti certifikat. Pred tremi leti je bil StartCom, ki zdaj živi na dnu oceana, dobičkonosen, z njimi nikoli ni bilo težav. Trenutno najnižjo ceno zagotavlja Comodo, a kot kaže, obstaja zanka – zanje je razvijalec dobesedno nihče in goljufanje z njim je običajna praksa.
Po skoraj letu dni uporabe certifikata, ki sem ga kupil sredi leta 2018, mi ga je Comodo nenadoma, brez predhodnega obvestila po pošti ali telefonu, brez obrazložitve preklical. Njihova tehnična podpora ne deluje dobro - morda se ne bodo odzvali teden dni, vendar jim je vseeno uspelo ugotoviti glavni razlog - menili so, da je izdano potrdilo podpisano z zlonamerno programsko opremo. In zgodba bi se lahko končala tam, če ne zaradi ene stvari - nikoli nisem ustvaril zlonamerne programske opreme in moje lastne metode zaščite mi omogočajo, da rečem, da je nemogoče ukrasti moj zasebni ključ. Samo Comodo ima kopijo ključa, ker jih izda brez CSR. In potem - skoraj dva tedna neuspešnih poskusov, da bi našli osnovni dokaz. Podjetje, ki naj bi zagotavljalo varnostno zaščito, je odločno zavrnilo predložitev dokazov o kršitvi njihovih pravil.
Iz zadnjega klepeta s tehnično podporoTi 01:20
Napisali ste: »Prizadevamo si odgovoriti na standardne zahteve za podporo v istem delovnem dnevu.« pa že en teden čakam na odgovor.
Vinson 01:20
Pozdravljeni, dobrodošli v Sectigo SSL Validation!
Naj preverim status vašega primera, počakajte malo.
Preveril sem in naš višji uradnik je naročilo preklical zaradi zlonamerne programske opreme/goljufije/lažnega predstavljanja.
Ti 01:28
Prepričan sem, da je to vaša napaka, zato prosim za dokaz.
Nikoli nisem imel zlonamerne programske opreme/prevare/phishinga.
Vinson 01:30
Žal mi je, Alexander. Dvakrat sem preveril in naš višji uradnik je naročilo preklical zaradi zlonamerne programske opreme/goljufije/lažnega predstavljanja.
Ti 01:31
V kateri datoteki ste videli virus? Ali obstaja povezava do virustotal? Ne sprejemam vašega odgovora, ker v njem ni nobenega dokaza. Za to potrdilo sem plačal denar in imam pravico vedeti, zakaj mi denar jemljejo na silo.
Če ne morete predložiti dokazila, je bilo potrdilo neupravičeno preklicano in morate vrniti denar. Sicer pa, kakšen smisel ima tvoje delo, če brez dokazil odvzemaš certifikate?
Vinson 01:34
Razumem vašo skrb. Potrdilo za podpisovanje kode je bilo prijavljeno zaradi distribucije zlonamerne programske opreme. V skladu z industrijskimi smernicami: Sectigo kot overitelj potrdil mora preklicati potrdilo.
Tudi v skladu s pravilnikom o vračilu denarja ne bomo mogli vrniti po 30 dneh od datuma izdaje.
Ti 01:35
Zakaj mislite, da to ni napaka ali lažno pozitivno?
Vinson 01:36
Žal mi je, Alexander. Po poročilu naših višjih uradnikov je bilo naročilo preklicano zaradi zlonamerne programske opreme/prevare/phishinga.
Ti 01:37
Ni mi treba opravičevati, plačal sem denar in želim videti dokaz, da sem kršil vaša pravila. Enostavno je.
Tri leta sem plačeval, potem pa ste si izmislili razlog in me pustili brez potrdila in brez dokaza o moji krivdi.
Vinson 01:43
Razumem vašo skrb. Potrdilo za podpisovanje kode je bilo prijavljeno zaradi distribucije zlonamerne programske opreme. V skladu z industrijskimi smernicami: Sectigo kot overitelj potrdil mora preklicati potrdilo.
Ti 01:45
Zdi se, da ne razumeš. Kje ste videli sodišče, ki izreče kazen brez dokazov? Prav to si naredil. Nikoli nisem imel zlonamerne programske opreme. Zakaj ne zagotoviš dokaza, če je? Katero konkretno dokazilo je preklic potrdila?
Vinson 01:46
Žal mi je, Alexander. Po poročilu naših višjih uradnikov je bilo naročilo preklicano zaradi zlonamerne programske opreme/prevare/phishinga.
Ti 01:47
Kdo lahko ugotovi pravi razlog za preklic potrdila?
Če ne morete odgovoriti, mi povejte, na koga naj se obrnem?
Vinson 01:48
Ponovno pošljite prijavo s spodnjo povezavo, da boste prejeli odgovor čim prej.
Ti 01:48
Hvala.
Ta rezultat ni osamljen, ves čas pogajanj v klepetu v najboljšem primeru odgovarjajo isto, na vstopnice sploh ne odgovorijo ali pa so odgovori enako neuporabni.
Spet ustvarjam vstopnicoMoja zahteva:
Potrebujem dokaz, da sem kršil pravilo, ki je privedlo do preklica. Kupil sem potrdilo in želim vedeti, zakaj mi vzamejo denar.
"zlonamerna programska oprema/prevara/phishing" ni rešitev! V kateri datoteki ste videli virus? Ali obstaja povezava do virustotal? Predložite dokazilo ali vrnite denar, naveličan sem pisanja tehnične podpore in čakam že več kot en teden.
Hvala.
Njihov odgovor:
Potrdilo za podpisovanje kode je bilo prijavljeno zaradi distribucije zlonamerne programske opreme. V skladu z industrijskimi smernicami: Sectigo kot overitelj potrdil mora preklicati potrdilo.
Upanje, da mi ne bo odgovorila opica, je popolnoma izgubljeno. Nastane zanimiv diagram:
- Prodamo certifikat.
- Čakamo že več kot šest mesecev, tako da je nemogoče odpreti spor prek PayPala.
- Odpoklicujemo in čakamo na naslednje naročilo. Dobiček!
Ker nimam drugih načinov vplivanja nanje, lahko njihovo goljufijo le objavim. Pri nakupu potrdila pri Comodo, znanem tudi kot Sectigo, lahko naletite na isto situacijo.
Posodobitev 9. junija:
Danes sem CodeSignCert (podjetje, preko katerega sem kupil certifikat) obvestil, da ker se ne odzivajo, sem dal situacijo v javno razpravo s povezavo do tega članka. Čez nekaj časa so končno poslali screenshot virustotal, kjer je bil viden hash programa :
VirusTotal -
Moja ocena situacije:
Z gotovostjo lahko rečem, da je to lažno pozitivno. Znaki:
- Oznaka Generično v večini primerov.
- Nobenih zaznav vodilnih protivirusnih programov.
Težko je reči, kaj točno je povzročilo tako reakcijo protivirusnikov, a ker je datoteka zelo zastarela (nastala je pred skoraj enim letom), nisem imel shranjene izvorne kode različice 1.6.1, da bi binarno ponovno ustvaril datoteko . Vendar imam najnovejšo različico 1.6.5 in glede na nespremenljivost glavne veje so bile tam narejene minimalne spremembe, vendar ni takih lažno pozitivnih rezultatov:
VirusTotal -
CodeSignCert je bil obveščen o lažno pozitivnem rezultatu; ko bodo na voljo nadaljnji rezultati pogajanj, bo članek posodobljen, dokler situacija ne bo v celoti razrešena.
Vir: www.habr.com