ఒక పెద్ద కంపెనీ తన కస్టమర్లను మోసం చేస్తుందని మీరు ఊహించగలరా, ప్రత్యేకించి ఈ కంపెనీ భద్రతకు హామీదారుగా ఉంటే? కాబట్టి ఇటీవల వరకు నేను చేయలేకపోయాను. ఈ కథనం Comodo నుండి కోడ్ సంతకం సర్టిఫికేట్ను కొనుగోలు చేసే ముందు ఒకటికి రెండుసార్లు ఆలోచించమని హెచ్చరిక.
నా ఉద్యోగంలో భాగంగా (సిస్టమ్ అడ్మినిస్ట్రేషన్), నేను నా స్వంత పనిలో చురుకుగా ఉపయోగించే వివిధ ఉపయోగకరమైన ప్రోగ్రామ్లను తయారు చేస్తున్నాను మరియు అదే సమయంలో నేను వాటిని అందరికీ ఉచితంగా పోస్ట్ చేస్తున్నాను. సుమారు మూడు సంవత్సరాల క్రితం, ప్రోగ్రామ్లకు సంతకం చేయవలసిన అవసరం ఉంది, లేకపోతే నా క్లయింట్లు మరియు వినియోగదారులు అందరూ సంతకం చేయనందున సమస్యలు లేకుండా వాటిని డౌన్లోడ్ చేయలేరు. సంతకం చేయడం చాలా కాలంగా ఒక సాధారణ అభ్యాసం మరియు ప్రోగ్రామ్ ఎంత సురక్షితమైనది అయినప్పటికీ, అది సంతకం చేయకపోతే, ఖచ్చితంగా దానిపై శ్రద్ధ పెరుగుతుంది:
- ఫైల్ ఎంత తరచుగా డౌన్లోడ్ చేయబడిందనే దానిపై బ్రౌజర్ గణాంకాలను సేకరిస్తుంది మరియు అది సంతకం చేయనప్పుడు, ప్రారంభ దశలో అది "ఒకవేళ" కూడా బ్లాక్ చేయబడుతుంది మరియు సేవ్ చేయడానికి వినియోగదారు నుండి స్పష్టమైన నిర్ధారణ అవసరం. అల్గోరిథంలు భిన్నంగా ఉంటాయి, కొన్నిసార్లు డొమైన్ విశ్వసనీయమైనదిగా పరిగణించబడుతుంది, అయితే సాధారణంగా ఇది భద్రతను నిర్ధారించే చెల్లుబాటు అయ్యే సంతకం.
- డౌన్లోడ్ చేసిన తర్వాత, ఫైల్ యాంటీవైరస్ ద్వారా చూడబడుతుంది మరియు OS కూడా ప్రారంభమయ్యే ముందు వెంటనే చూస్తుంది. యాంటీవైరస్ల కోసం, సంతకం కూడా ముఖ్యమైనది, ఇది వైరస్టోటల్లో సులభంగా చూడవచ్చు మరియు OS విషయానికొస్తే, Win10తో ప్రారంభించి, రద్దు చేయబడిన సర్టిఫికేట్తో ఫైల్ వెంటనే బ్లాక్ చేయబడుతుంది మరియు Explorer నుండి ప్రారంభించబడదు. అదనంగా, కొన్ని సంస్థలలో సాధారణంగా సంతకం చేయని కోడ్ (సిస్టమ్ సాధనాలను ఉపయోగించి కాన్ఫిగర్ చేయబడింది) అమలు చేయడం నిషేధించబడింది మరియు ఇది సమర్థించబడుతోంది - అన్ని సాధారణ డెవలపర్లు తమ ప్రోగ్రామ్లను అదనపు ప్రయత్నం లేకుండా తనిఖీ చేయవచ్చని చాలా కాలంగా నిర్ధారించుకున్నారు.
సాధారణంగా, సరైన దిశ ఎంచుకోబడింది - సాధ్యమైనంత వరకు, అనుభవం లేని వినియోగదారులకు ఇంటర్నెట్ను వీలైనంత సురక్షితంగా చేస్తుంది. అయినప్పటికీ, అమలు ఇప్పటికీ ఆదర్శానికి దూరంగా ఉంది. ఒక సాధారణ డెవలపర్ కేవలం సర్టిఫికేట్ను పొందలేరు; ఈ మార్కెట్ను గుత్తాధిపత్యం చేసిన కంపెనీల నుండి కొనుగోలు చేయాలి మరియు దానిపై వారి నిబంధనలను నిర్దేశించాలి. అయితే ప్రోగ్రామ్లు ఉచితం అయితే? ఎవ్వరూ పట్టించుకోరు. అప్పుడు డెవలపర్కు ఎంపిక ఉంది - తన ప్రోగ్రామ్ల భద్రతను నిరంతరం నిరూపించడానికి, వినియోగదారుల సౌలభ్యాన్ని త్యాగం చేయడానికి లేదా సర్టిఫికేట్ కొనుగోలు చేయడానికి. మూడు సంవత్సరాల క్రితం, ఇప్పుడు సముద్రం దిగువన నివసిస్తున్న స్టార్ట్కామ్ లాభదాయకంగా ఉంది; వాటితో ఎప్పుడూ సమస్యలు లేవు. ప్రస్తుతానికి, కనీస ధర కొమోడో అందించింది, కానీ, అది మారుతుంది, ఒక క్యాచ్ ఉంది - వారికి డెవలపర్ వాచ్యంగా ఎవరూ మరియు అతనిని మోసం చేయడం సాధారణ పద్ధతి.
నేను 2018 మధ్యలో కొనుగోలు చేసిన సర్టిఫికేట్ను ఉపయోగించిన దాదాపు ఒక సంవత్సరం తర్వాత, అకస్మాత్తుగా, మెయిల్ లేదా ఫోన్ ద్వారా ముందస్తు నోటీసు లేకుండా, వివరణ లేకుండా కోమోడో దానిని ఉపసంహరించుకున్నాడు. వారి సాంకేతిక మద్దతు సరిగ్గా పని చేయదు - వారు ఒక వారం పాటు ప్రతిస్పందించకపోవచ్చు, కానీ వారు ఇప్పటికీ ప్రధాన కారణాన్ని కనుగొనగలిగారు - జారీ చేసిన సర్టిఫికేట్ మాల్వేర్ ద్వారా సంతకం చేయబడిందని వారు భావించారు. మరియు కథ అక్కడ ముగిసి ఉండవచ్చు, కాకపోతే ఒక విషయం కోసం - నేను ఎప్పుడూ మాల్వేర్ను సృష్టించలేదు మరియు నా స్వంత రక్షణ పద్ధతులు నా ప్రైవేట్ కీని దొంగిలించడం అసాధ్యం అని చెప్పడానికి నన్ను అనుమతిస్తాయి. CSR లేకుండా వాటిని జారీ చేసినందున కేవలం Comodo కీ కాపీని కలిగి ఉంటుంది. ఆపై - ప్రాథమిక రుజువును కనుగొనడానికి దాదాపు రెండు వారాల విఫల ప్రయత్నాలు. భద్రతా రక్షణకు హామీ ఇచ్చే సంస్థ, వారి నిబంధనలను ఉల్లంఘించినట్లు సాక్ష్యాలను అందించడానికి నిరాకరించింది.
సాంకేతిక మద్దతుతో చివరి చాట్ నుండిమీరు 01:20
మీరు "అదే వ్యాపార రోజులో ప్రామాణిక మద్దతు టిక్కెట్లకు ప్రతిస్పందించడానికి మేము ప్రయత్నిస్తాము" అని వ్రాసారు. కానీ నేను ఇప్పుడు ఒక వారం నుండి ప్రతిస్పందన కోసం ఎదురు చూస్తున్నాను.
విన్సన్ 01:20
హాయ్, సెక్టిగో SSL ధ్రువీకరణకు స్వాగతం!
మీ కేసు స్థితిని తనిఖీ చేయనివ్వండి, దయచేసి ఒక్క నిమిషం ఆగండి.
నేను తనిఖీ చేసాను మరియు మా ఉన్నత అధికారి మాల్వేర్/మోసం/ఫిషింగ్ కారణంగా ఆర్డర్ రద్దు చేయబడింది.
మీరు 01:28
ఇది మీ తప్పు అని నేను ఖచ్చితంగా అనుకుంటున్నాను, కాబట్టి నేను రుజువు అడుగుతున్నాను.
నాకు మాల్వేర్/మోసం/ఫిషింగ్ ఎప్పుడూ లేవు.
విన్సన్ 01:30
నన్ను క్షమించండి, అలెగ్జాండర్. నేను రెండుసార్లు తనిఖీ చేసాను మరియు మా ఉన్నత అధికారి మాల్వేర్/మోసం/ఫిషింగ్ కారణంగా ఆర్డర్ రద్దు చేయబడింది.
మీరు 01:31
మీకు ఏ ఫైల్లో వైరస్ కనిపించింది? వైరస్టోటల్కి లింక్ ఉందా? మీ సమాధానాన్ని నేను అంగీకరించను ఎందుకంటే అందులో రుజువు లేదు. నేను ఈ సర్టిఫికేట్ కోసం డబ్బు చెల్లించాను మరియు నా డబ్బును నా నుండి బలవంతంగా ఎందుకు తీసుకున్నారో తెలుసుకునే హక్కు నాకు ఉంది.
మీరు రుజువును అందించలేకపోతే, సర్టిఫికేట్ అన్యాయంగా రద్దు చేయబడింది మరియు డబ్బును తిరిగి ఇవ్వాలి. అలా కాకుండా ప్రూఫ్ లేకుండా సర్టిఫికెట్లను రద్దు చేస్తే మీ పనికి అర్థం ఏమిటి?
విన్సన్ 01:34
మీ ఆందోళన నాకు అర్థమైంది. మాల్వేర్ను పంపిణీ చేయడం కోసం కోడ్ సంతకం సర్టిఫికేట్ నివేదించబడింది. పరిశ్రమ మార్గదర్శకాల ప్రకారం: సర్టిఫికెట్ను ఉపసంహరించుకోవడానికి సర్టిఫికేట్ అథారిటీగా సెక్టిగో అవసరం.
అలాగే రీఫండ్ పాలసీ ప్రకారం, మేము ఇష్యూ చేసిన తేదీ నుండి 30 రోజుల తర్వాత తిరిగి చెల్లించలేము.
మీరు 01:35
ఇది తప్పు లేదా తప్పుడు సానుకూలం కాదని మీరు ఎందుకు అనుకుంటున్నారు?
విన్సన్ 01:36
నన్ను క్షమించండి, అలెగ్జాండర్. మా ఉన్నతాధికారుల నివేదిక ప్రకారం, మాల్వేర్/మోసం/ఫిషింగ్ కారణంగా ఆర్డర్ ఉపసంహరించబడింది.
మీరు 01:37
క్షమాపణ చెప్పాల్సిన అవసరం లేదు, నేను డబ్బు చెల్లించాను మరియు నేను మీ నిబంధనలను ఉల్లంఘించినట్లు రుజువును చూడాలనుకుంటున్నాను. ఇది సులభం.
నేను మూడు సంవత్సరాలు చెల్లించాను, అప్పుడు మీరు ఒక కారణంతో వచ్చి నన్ను సర్టిఫికేట్ లేకుండా మరియు నా నేరాన్ని రుజువు చేయకుండా వదిలేశారు.
విన్సన్ 01:43
మీ ఆందోళన నాకు అర్థమైంది. మాల్వేర్ను పంపిణీ చేయడం కోసం కోడ్ సంతకం సర్టిఫికేట్ నివేదించబడింది. పరిశ్రమ మార్గదర్శకాల ప్రకారం: సర్టిఫికెట్ను ఉపసంహరించుకోవడానికి సర్టిఫికేట్ అథారిటీగా సెక్టిగో అవసరం.
మీరు 01:45
మీకు అర్థం కానట్లుంది. రుజువు లేకుండా శిక్ష విధించే కోర్టును మీరు ఎక్కడ చూశారు? మీరు అలా చేసారు. నా దగ్గర ఎప్పుడూ మాల్వేర్ లేదు. అది ఉంటే మీరు ఎందుకు రుజువు ఇవ్వరు? సర్టిఫికేట్ రద్దు అనేది ఏ నిర్దిష్ట రుజువు?
విన్సన్ 01:46
నన్ను క్షమించండి, అలెగ్జాండర్. మా ఉన్నతాధికారుల నివేదిక ప్రకారం, మాల్వేర్/మోసం/ఫిషింగ్ కారణంగా ఆర్డర్ ఉపసంహరించబడింది.
మీరు 01:47
సర్టిఫికేట్ను రద్దు చేయడానికి అసలు కారణాన్ని నేను ఎవరు కనుగొనగలను?
మీరు సమాధానం చెప్పలేకపోతే, ఎవరిని సంప్రదించాలో చెప్పండి?
విన్సన్ 01:48
దయచేసి దిగువ లింక్ని ఉపయోగించి టిక్కెట్ను మళ్లీ సమర్పించండి, తద్వారా మీరు వీలైనంత ముందుగా ప్రతిస్పందనను అందుకుంటారు.
మీరు 01:48
ధన్యవాదాలు.
ఈ ఫలితం వివిక్తమైనది కాదు, చాట్లో చర్చల సమయంలో, ఉత్తమంగా, వారు ఒకే విషయానికి సమాధానం ఇస్తారు, టిక్కెట్లు అస్సలు సమాధానం ఇవ్వబడవు లేదా సమాధానాలు పనికిరానివి.
నేను మళ్లీ టిక్కెట్ని రూపొందిస్తున్నానునా అభ్యర్థన:
నేను ఉపసంహరణకు దారితీసిన నియమాన్ని ఉల్లంఘించినట్లు నాకు రుజువు అవసరం. నేను ఒక సర్టిఫికేట్ కొన్నాను మరియు నా డబ్బు నా నుండి ఎందుకు తీసుకున్నారో తెలుసుకోవాలనుకుంటున్నాను.
"మాల్వేర్/మోసం/ఫిషింగ్" అనేది సమాధానం కాదు! మీకు ఏ ఫైల్లో వైరస్ కనిపించింది? వైరస్టోటల్కి లింక్ ఉందా? దయచేసి రుజువు అందించండి లేదా డబ్బును తిరిగి ఇవ్వండి, నేను సాంకేతిక మద్దతును వ్రాయడంలో విసిగిపోయాను మరియు ఒక వారం కంటే ఎక్కువ కాలం వేచి ఉన్నాను.
ధన్యవాదాలు.
వారి సమాధానం:
మాల్వేర్ను పంపిణీ చేయడం కోసం కోడ్ సంతకం సర్టిఫికేట్ నివేదించబడింది. పరిశ్రమ మార్గదర్శకాల ప్రకారం: సర్టిఫికెట్ను ఉపసంహరించుకోవడానికి సర్టిఫికేట్ అథారిటీగా సెక్టిగో అవసరం.
నాకు సమాధానం చెప్పేది కోతి కాదన్న ఆశ పూర్తిగా పోయింది. ఒక ఆసక్తికరమైన రేఖాచిత్రం ఉద్భవించింది:
- మేము ఒక సర్టిఫికేట్ విక్రయిస్తాము.
- PayPal ద్వారా వివాదాన్ని తెరవడం అసాధ్యం కాబట్టి మేము ఆరు నెలలకు పైగా వేచి ఉన్నాము.
- మేము రీకాల్ చేస్తున్నాము మరియు తదుపరి ఆర్డర్ కోసం వేచి ఉన్నాము. లాభం!
వారిని ప్రభావితం చేసే ఇతర పద్ధతులు నాకు లేవు కాబట్టి, నేను వారి మోసాన్ని మాత్రమే బహిరంగపరచగలను. సెక్టిగో అని కూడా పిలువబడే కొమోడో నుండి ప్రమాణపత్రాన్ని కొనుగోలు చేసేటప్పుడు, మీరు అదే పరిస్థితిని ఎదుర్కోవచ్చు.
జూన్ 9న అప్డేట్ చేయండి:
ఈ రోజు నేను CodeSignCert (నేను సర్టిఫికేట్ని కొనుగోలు చేసిన కంపెనీ)కి వారు ప్రతిస్పందించడం ఆపివేసినందున, నేను ఈ కథనానికి లింక్తో బహిరంగ చర్చ కోసం పరిస్థితిని తీసుకువచ్చాను. కొంత సమయం తర్వాత, వారు చివరకు వైరస్టోటల్ యొక్క స్క్రీన్షాట్ను పంపారు, అక్కడ ప్రోగ్రామ్ హాష్ కనిపిస్తుంది :
వైరస్ మొత్తం -
పరిస్థితిపై నా అంచనా:
ఇది తప్పుడు పాజిటివ్ అని నేను నమ్మకంగా చెప్పగలను. సంకేతాలు:
- చాలా సందర్భాలలో హోదా జెనరిక్.
- యాంటీవైరస్ నాయకుల నుండి గుర్తించబడలేదు.
యాంటీవైరస్ల నుండి అటువంటి ప్రతిచర్యకు సరిగ్గా కారణమేమిటో చెప్పడం కష్టం, కానీ ఫైల్ చాలా పాతది (దాదాపు ఒక సంవత్సరం క్రితం సృష్టించబడింది) కాబట్టి, ఫైల్ను బైనరీ రీక్రియేట్ చేయడానికి సేవ్ చేసిన వెర్షన్ 1.6.1 యొక్క సోర్స్ కోడ్ నా వద్ద లేదు. . అయినప్పటికీ, నేను తాజా వెర్షన్ 1.6.5ని కలిగి ఉన్నాను మరియు ప్రధాన శాఖ యొక్క మార్పులేని కారణంగా, అక్కడ కనీస మార్పులు చేయబడ్డాయి, కానీ అలాంటి తప్పుడు పాజిటివ్లు లేవు:
వైరస్ మొత్తం -
కోడ్సైన్సర్ట్ తప్పుడు పాజిటివ్ గురించి తెలియజేయబడింది; చర్చల తదుపరి ఫలితాలు అందుబాటులోకి వచ్చిన తర్వాత, పరిస్థితి పూర్తిగా పరిష్కరించబడే వరకు కథనం నవీకరించబడుతుంది.
మూలం: www.habr.com