Столкнулся с интересной штукой. Есть у меня продукт, который работает, как плагин для Visual Studio. Он устанавливает хуки, чтобы расширить функционал Visual Studio.
Недавно мне пишет кастомер о проблеме, и выясняется, что моя DLL-ка удаляется антивирусом. Кастомер порылся в логах и пишет мне, что их команда безопасности выяснила, что проблема в том, что в моей подписи указано мое имя (я — ИП, компании у меня нет), а не название какой-либо компании. И даже прислал мне скриншот какой-то их корпоративной системы безопасности, где указана моя DLL и написано, что Signature Verification: NotSigned.
Здравствуйте, Unhandled_Exception, Вы писали:
U_E>Недавно мне пишет кастомер о проблеме, и выясняется, что моя DLL-ка удаляется антивирусом. Кастомер порылся в логах и пишет мне, что их команда безопасности выяснила, что проблема в том, что в моей подписи указано мое имя (я — ИП, компании у меня нет), а не название какой-либо компании. И даже прислал мне скриншот какой-то их корпоративной системы безопасности, где указана моя DLL и написано, что Signature Verification: NotSigned.
Не совсем по теме, но вот да, тоже иногда задумывался — надо ли делать "взрослое" юрлицо, чтобы сертификаты на него получать?
Пока, правда, думаю обходится без подписи, но наверное когда-то надо будет
Здравствуйте, пффф, Вы писали:
П>Не совсем по теме, но вот да, тоже иногда задумывался — надо ли делать "взрослое" юрлицо, чтобы сертификаты на него получать?
Такая мысль у меня давно есть. Но это не так-то просто, ведь будет проводиться проверка, что компания реально существует, функционирует и находится по конкретному адресу. Как я понимаю, не получится просто учредить ООО и сдавать нулевые отчеты
Впрочем, если у кого-то есть опыт, то было бы интересно послушать
Здравствуйте, Unhandled_Exception, Вы писали:
U_E>Здравствуйте, wantus, Вы писали:
W>>Не сталкивался, но — Symantec?
U_E>На скриншоте вижу sentinelone. Впервые о нем слышу.
Да, развелось сейчас таких очень много. Сплошной "AI" с какими-то нереальными false positive rates. Если есть время, стоит им написать, что мол подзах$ячте веса на своих heuristics куда надо или мы будем рекомендовать всем нашим клиентам ваших конкурентов. Если не времени — можно клиенту сказать, что типа "not these clowns again" и пусть они сами там разбираются как, чего и где whitelist'ать.
Здравствуйте, Unhandled_Exception, Вы писали:
U_E>Такая мысль у меня давно есть. Но это не так-то просто, ведь будет проводиться проверка, что компания реально существует, функционирует и находится по конкретному адресу. Как я понимаю, не получится просто учредить ООО и сдавать нулевые отчеты
U_E>Впрочем, если у кого-то есть опыт, то было бы интересно послушать
я так делал 9 лет подряд, с 2013 по 2022, нулевая ООО-шка за три копейки с содержанием на аутсорсе
имеет ли смысл делать сейчас так в свете последних событий и перспективы дальнейших санкций — хз
Здравствуйте, Unhandled_Exception, Вы писали:
U_E>Всем привет,
U_E>Столкнулся с интересной штукой. Есть у меня продукт, который работает, как плагин для Visual Studio. Он устанавливает хуки, чтобы расширить функционал Visual Studio.
U_E>Недавно мне пишет кастомер о проблеме, и выясняется, что моя DLL-ка удаляется антивирусом. Кастомер порылся в логах и пишет мне, что их команда безопасности выяснила, что проблема в том, что в моей подписи указано мое имя (я — ИП, компании у меня нет), а не название какой-либо компании. И даже прислал мне скриншот какой-то их корпоративной системы безопасности, где указана моя DLL и написано, что Signature Verification: NotSigned.
А что на VirusTotal напротив SentinelOne указано? static engine — malicious?
NotSigned — это "не подписано". На всякий случай попроси запаковать их DLL в архив и прислать тебе на проверку.
Проверь целостность, может она реально на их стороне изменена и подпись слетела в результате изменений?!
U_E>Кто-нибудь с таким сталкивался?
SentinelOne — это непробиваемая жопа, но писать им однозначно нужно. Придется напоминать периодически, что засабмитил фолс давно, но они не реагируют.
Кроме этого можно написать пользователю, чтобы он сам DLL добавил в белый список.
Если кратко, то — клиенты SentinelOne имеют доступ к консоли управления ( management console ) SentinelOne (или они могут позвонить в их службу поддержки и попросить сотрудников службы поддержки помочь им запустить консоль управления). В ней они могут выбрать твое программное обеспечение и внести его в белый список для всей своей компании.
При внесении ПО в белый список вся компания клиента больше не будет сталкиваться с проблемой ложного срабатывания на твое ПО в SentinelOne. Это не решает проблему полностью, но позволит клиентам SantinelOne, использующим твое ПО, продолжать им пользоваться.
Здравствуйте, Unhandled_Exception, Вы писали:
U_E>их команда безопасности выяснила, что проблема в том, что в моей подписи указано мое имя (я — ИП, компании у меня нет), а не название какой-либо компании.
Если заказчик ценный, можно попытаться спокойно выяснить, чем ИП (официально зарегистрированный государством и присутствующий в государственном же реестре) хуже компании. Если не особо ценный, стоит сразу послать на хер вместе с такой "корпоративной системой безопасности", которая вместо реальных рисков ищет надуманные (понятно, почему — это ж проще).
U_E>>Такая мысль у меня давно есть. Но это не так-то просто, ведь будет проводиться проверка, что компания реально существует, функционирует и находится по конкретному адресу.
Проверка нахождения по адресу это пока для EV сертификатов. Типа курьер принесёт флешку для вручения лично в руки и надо сфоткать нераспечатанный конверт вместе со специальным распечатанным письмом. Или в более простом случае отправят письмо с кодом по адресу регистрации.
ШЖ>я так делал 9 лет подряд, с 2013 по 2022, нулевая ООО-шка
На заре тоже получал серты на неактивную компанию с нулевыми отчетами.
Хотя последний раз мне говорили представители одного центра сертификации, что для получения лучше компания трехлетняя. И мол даже смотрят якобы на обороты. В чем я сомневаюсь.
У другого центра сертификации получение сильно облегчалось после 6 месяцев от даты регистрации — меньше доков требуют. Правда речь была про ООО не из РФ.
В общем все это лотерея особенно сейчас, когда для компаний из РФ осталось слишком мало вариантов.
Я получал последний раз на свою не российскую компанию и это тоже было отчасти лотереей. Получал серт в виде файла, без флешки — криптоконтейнера. А то говорят, что скоро файликами выдавать уже не будут, только записью в контейнер или облачный сервис. Но пока ещё дают.
В общем сертификаты это цирк с конями всякий раз. Потом ещё и репутацию набирай для SmartScreen-a.
Здравствуйте, Unhandled_Exception, Вы писали:
U_E>Кто-нибудь с таким сталкивался?
Считаю что это проблема конкретного антивируса. Обычно таким страдает Symantec, у которого все не-ЕV подписи по-умолчанию находятся в сером листе до тех пор, пока им не занесут денежку чтобы попасть в белый список. По-другому как вымагательством подобную практику назвать невозможно.
Также сейчас на рынке имеется огромное кол-во AI антивирусов, главный принцип работы которых — это указывание пальцем в небо. Это типичные представители направления известного всем под названием fake antivirus, но они играют в игру: создается некий с виду приличный бренд, пишутся пафосные многоязычные статьи про увеличение безопасности бизнеса и его ROI. Естественно для поднятия авторитета иногда нужно обеспечить срабатывания. Реальные вирусы подобные решения предпочитают не замечать, но это с лихвой компенсируется огромным кол-вом false positives в духе е%ли гусей. Распознать такие антивирусы довольно просто — они любят употреблять слово AI или их сайты сходу ориентированы на бизнес, а в дизайне присутствуют клише наподобие офисов, галстуков, людей в костюмах, небоскребов.
Если вы столкнулись с вымагателем Symantec или с одним из описанных псевдоантивирусов, то базовый алгоритм действий очень прост — ничего не делать, так как нормальные люди подобные решения всё равно не используют.
Здравствуйте, TailWind, Вы писали:
TW>чисто по имени, вряд ли антивирус определяет
Такие "антивирусы" могут и в общедоступных каталогах искать по названию. Там чего только не придумают, чтоб выделиться на общем фоне, даже откровенной хренью.
Здравствуйте, Unhandled_Exception, Вы писали:
U_E>Здравствуйте, TailWind, Вы писали:
TW>>Вы уверены, что причина именно в этом?
U_E>Не уверен, меня это тоже сразу смутило. По факту там мое имя, это верно, но я сразу засомневался, потому что не слышал о таком флаге.
Нет такого флага. У этого антивиря своя база доверенных подписантов, тебя в ней нет, вот и все.
Здравствуйте, autopsist, Вы писали:
A>А что на VirusTotal напротив SentinelOne указано? static engine — malicious?
SentinelOne (Static ML): Undetected
A>NotSigned — это "не подписано". На всякий случай попроси запаковать их DLL в архив и прислать тебе на проверку. A>Проверь целостность, может она реально на их стороне изменена и подпись слетела в результате изменений?!
Хорошая мысль, попрошу прислать мне файл.
A>SentinelOne — это непробиваемая жопа, но писать им однозначно нужно. Придется напоминать периодически, что засабмитил фолс давно, но они не реагируют.
Никак не найду у них форму для сабмита... Не подскажешь?
Здравствуйте, шароварный желудь, Вы писали:
ШЖ>я так делал 9 лет подряд, с 2013 по 2022, нулевая ООО-шка за три копейки с содержанием на аутсорсе
Не расскажешь, что проверяли? В последний раз у меня (я — ИП) просили аж квитанцию об оплате коммунальных услуг.
ШЖ>имеет ли смысл делать сейчас так в свете последних событий и перспективы дальнейших санкций — хз
Здравствуйте, Unhandled_Exception, Вы писали:
U_E>Не расскажешь, что проверяли? В последний раз у меня (я — ИП) просили аж квитанцию об оплате коммунальных услуг.
Если я верно помню — просили ИНН/ОГРН (в validation team умели ходить на сайты наших налоговых и пробивать данные компании)
Далее подтверждение адреса — DUNS, дибо выписка из банка либо можно было зарегаться в google my business (с получением кода активации от гугла по адресу, что я и сделал)
Далее прозвон от validation team — нужно поговорить с живым человеком на английском и ответить на несколько несложных вопросов
может еще что-то, не помню, но ничего такого что нельзя было бы сделать с нулевой ООО-шкой без банковского счета
с нулевой ООО на самом деле проблем больше с нашей налоговой (бей своих, *би гусей, бомби воронеж) — все они были грохнуты, одна за неактивность (когда я забил на отчетность), вторую (там я нанял девочку чтобы сдавать все нулевки и прочую крэпоту) за то что просто не было р/с и не вела деятельность, но для получения сертификата на 3 года — вполне рабочий вариант. был.
ШЖ>>имеет ли смысл делать сейчас так в свете последних событий и перспективы дальнейших санкций — хз
U_E>А как сейчас делаешь?
Сейчас у меня компания в ОАЭ, ВНЖ, резидентство, все пейпалы, страйпы и прочие радости жизни. Ну и гимор с КИК.
Здравствуйте, Matrix_Failure, Вы писали:
M_F>Я получал последний раз на свою не российскую компанию и это тоже было отчасти лотереей. Получал серт в виде файла, без флешки — криптоконтейнера. А то говорят, что скоро файликами выдавать уже не будут, только записью в контейнер или облачный сервис. Но пока ещё дают.
да, все так, уже суют этот клауд и в рот и в попу, не так давно получал, едва отбился.