Моя подпись недостаточно хороша
От: Unhandled_Exception Россия  
Дата: 18.01.23 15:26
Оценка:
Всем привет,

Столкнулся с интересной штукой. Есть у меня продукт, который работает, как плагин для Visual Studio. Он устанавливает хуки, чтобы расширить функционал Visual Studio.

Недавно мне пишет кастомер о проблеме, и выясняется, что моя DLL-ка удаляется антивирусом. Кастомер порылся в логах и пишет мне, что их команда безопасности выяснила, что проблема в том, что в моей подписи указано мое имя (я — ИП, компании у меня нет), а не название какой-либо компании. И даже прислал мне скриншот какой-то их корпоративной системы безопасности, где указана моя DLL и написано, что Signature Verification: NotSigned.

Кто-нибудь с таким сталкивался?
Re: Моя подпись недостаточно хороша
От: пффф  
Дата: 18.01.23 15:31
Оценка:
Здравствуйте, Unhandled_Exception, Вы писали:

U_E>Недавно мне пишет кастомер о проблеме, и выясняется, что моя DLL-ка удаляется антивирусом. Кастомер порылся в логах и пишет мне, что их команда безопасности выяснила, что проблема в том, что в моей подписи указано мое имя (я — ИП, компании у меня нет), а не название какой-либо компании. И даже прислал мне скриншот какой-то их корпоративной системы безопасности, где указана моя DLL и написано, что Signature Verification: NotSigned.


Не совсем по теме, но вот да, тоже иногда задумывался — надо ли делать "взрослое" юрлицо, чтобы сертификаты на него получать?

Пока, правда, думаю обходится без подписи, но наверное когда-то надо будет
Re[2]: Моя подпись недостаточно хороша
От: Unhandled_Exception Россия  
Дата: 18.01.23 15:37
Оценка:
Здравствуйте, пффф, Вы писали:

П>Не совсем по теме, но вот да, тоже иногда задумывался — надо ли делать "взрослое" юрлицо, чтобы сертификаты на него получать?


Такая мысль у меня давно есть. Но это не так-то просто, ведь будет проводиться проверка, что компания реально существует, функционирует и находится по конкретному адресу. Как я понимаю, не получится просто учредить ООО и сдавать нулевые отчеты

Впрочем, если у кого-то есть опыт, то было бы интересно послушать
Re: Моя подпись недостаточно хороша
От: wantus  
Дата: 18.01.23 15:48
Оценка: 6 (1) +2
Здравствуйте, Unhandled_Exception, Вы писали:

U_E>Кто-нибудь с таким сталкивался?


Не сталкивался, но — Symantec?

И, в целом, под долбанутые антивирусы подстраваться — себя не уважать
Re[2]: Моя подпись недостаточно хороша
От: Unhandled_Exception Россия  
Дата: 18.01.23 15:52
Оценка:
Здравствуйте, wantus, Вы писали:

W>Не сталкивался, но — Symantec?


На скриншоте вижу sentinelone. Впервые о нем слышу.
Re[3]: Моя подпись недостаточно хороша
От: wantus  
Дата: 18.01.23 16:33
Оценка: +4
Здравствуйте, Unhandled_Exception, Вы писали:

U_E>Здравствуйте, wantus, Вы писали:


W>>Не сталкивался, но — Symantec?


U_E>На скриншоте вижу sentinelone. Впервые о нем слышу.


Да, развелось сейчас таких очень много. Сплошной "AI" с какими-то нереальными false positive rates. Если есть время, стоит им написать, что мол подзах$ячте веса на своих heuristics куда надо или мы будем рекомендовать всем нашим клиентам ваших конкурентов. Если не времени — можно клиенту сказать, что типа "not these clowns again" и пусть они сами там разбираются как, чего и где whitelist'ать.
Re[3]: Моя подпись недостаточно хороша
От: шароварный желудь Интернет http://isvporn.wordpress.com/
Дата: 18.01.23 17:53
Оценка: 4 (1) +1
Здравствуйте, Unhandled_Exception, Вы писали:

U_E>Такая мысль у меня давно есть. Но это не так-то просто, ведь будет проводиться проверка, что компания реально существует, функционирует и находится по конкретному адресу. Как я понимаю, не получится просто учредить ООО и сдавать нулевые отчеты


U_E>Впрочем, если у кого-то есть опыт, то было бы интересно послушать


я так делал 9 лет подряд, с 2013 по 2022, нулевая ООО-шка за три копейки с содержанием на аутсорсе
имеет ли смысл делать сейчас так в свете последних событий и перспективы дальнейших санкций — хз
Re: Моя подпись недостаточно хороша
От: autopsist  
Дата: 18.01.23 18:19
Оценка:
Здравствуйте, Unhandled_Exception, Вы писали:

U_E>Всем привет,


U_E>Столкнулся с интересной штукой. Есть у меня продукт, который работает, как плагин для Visual Studio. Он устанавливает хуки, чтобы расширить функционал Visual Studio.


U_E>Недавно мне пишет кастомер о проблеме, и выясняется, что моя DLL-ка удаляется антивирусом. Кастомер порылся в логах и пишет мне, что их команда безопасности выяснила, что проблема в том, что в моей подписи указано мое имя (я — ИП, компании у меня нет), а не название какой-либо компании. И даже прислал мне скриншот какой-то их корпоративной системы безопасности, где указана моя DLL и написано, что Signature Verification: NotSigned.


А что на VirusTotal напротив SentinelOne указано? static engine — malicious?

NotSigned — это "не подписано". На всякий случай попроси запаковать их DLL в архив и прислать тебе на проверку.
Проверь целостность, может она реально на их стороне изменена и подпись слетела в результате изменений?!

U_E>Кто-нибудь с таким сталкивался?


SentinelOne — это непробиваемая жопа, но писать им однозначно нужно. Придется напоминать периодически, что засабмитил фолс давно, но они не реагируют.
Кроме этого можно написать пользователю, чтобы он сам DLL добавил в белый список.

Если кратко, то — клиенты SentinelOne имеют доступ к консоли управления ( management console ) SentinelOne (или они могут позвонить в их службу поддержки и попросить сотрудников службы поддержки помочь им запустить консоль управления). В ней они могут выбрать твое программное обеспечение и внести его в белый список для всей своей компании.

При внесении ПО в белый список вся компания клиента больше не будет сталкиваться с проблемой ложного срабатывания на твое ПО в SentinelOne. Это не решает проблему полностью, но позволит клиентам SantinelOne, использующим твое ПО, продолжать им пользоваться.
Отредактировано 18.01.2023 18:21 autopsist . Предыдущая версия .
Re: Моя подпись недостаточно хороша
От: Евгений Музыченко Франция https://software.muzychenko.net/ru
Дата: 18.01.23 18:23
Оценка:
Здравствуйте, Unhandled_Exception, Вы писали:

U_E>их команда безопасности выяснила, что проблема в том, что в моей подписи указано мое имя (я — ИП, компании у меня нет), а не название какой-либо компании.


Если заказчик ценный, можно попытаться спокойно выяснить, чем ИП (официально зарегистрированный государством и присутствующий в государственном же реестре) хуже компании. Если не особо ценный, стоит сразу послать на хер вместе с такой "корпоративной системой безопасности", которая вместо реальных рисков ищет надуманные (понятно, почему — это ж проще).
Re[4]: Моя подпись недостаточно хороша
От: Matrix_Failure http://matrixfailure.wordpress.com/
Дата: 18.01.23 20:57
Оценка: 4 (1)
U_E>>Такая мысль у меня давно есть. Но это не так-то просто, ведь будет проводиться проверка, что компания реально существует, функционирует и находится по конкретному адресу.

Проверка нахождения по адресу это пока для EV сертификатов. Типа курьер принесёт флешку для вручения лично в руки и надо сфоткать нераспечатанный конверт вместе со специальным распечатанным письмом. Или в более простом случае отправят письмо с кодом по адресу регистрации.

ШЖ>я так делал 9 лет подряд, с 2013 по 2022, нулевая ООО-шка

На заре тоже получал серты на неактивную компанию с нулевыми отчетами.

Хотя последний раз мне говорили представители одного центра сертификации, что для получения лучше компания трехлетняя. И мол даже смотрят якобы на обороты. В чем я сомневаюсь.

У другого центра сертификации получение сильно облегчалось после 6 месяцев от даты регистрации — меньше доков требуют. Правда речь была про ООО не из РФ.

В общем все это лотерея особенно сейчас, когда для компаний из РФ осталось слишком мало вариантов.

Я получал последний раз на свою не российскую компанию и это тоже было отчасти лотереей. Получал серт в виде файла, без флешки — криптоконтейнера. А то говорят, что скоро файликами выдавать уже не будут, только записью в контейнер или облачный сервис. Но пока ещё дают.

В общем сертификаты это цирк с конями всякий раз. Потом ещё и репутацию набирай для SmartScreen-a.
Отредактировано 18.01.2023 21:03 Matrix_Failure . Предыдущая версия . Еще …
Отредактировано 18.01.2023 21:01 Matrix_Failure . Предыдущая версия .
Re: Моя подпись недостаточно хороша
От: Aquilaware  
Дата: 18.01.23 20:57
Оценка: 1 (1) +2
Здравствуйте, Unhandled_Exception, Вы писали:

U_E>Кто-нибудь с таким сталкивался?


Считаю что это проблема конкретного антивируса. Обычно таким страдает Symantec, у которого все не-ЕV подписи по-умолчанию находятся в сером листе до тех пор, пока им не занесут денежку чтобы попасть в белый список. По-другому как вымагательством подобную практику назвать невозможно.

Также сейчас на рынке имеется огромное кол-во AI антивирусов, главный принцип работы которых — это указывание пальцем в небо. Это типичные представители направления известного всем под названием fake antivirus, но они играют в игру: создается некий с виду приличный бренд, пишутся пафосные многоязычные статьи про увеличение безопасности бизнеса и его ROI. Естественно для поднятия авторитета иногда нужно обеспечить срабатывания. Реальные вирусы подобные решения предпочитают не замечать, но это с лихвой компенсируется огромным кол-вом false positives в духе е%ли гусей. Распознать такие антивирусы довольно просто — они любят употреблять слово AI или их сайты сходу ориентированы на бизнес, а в дизайне присутствуют клише наподобие офисов, галстуков, людей в костюмах, небоскребов.

Если вы столкнулись с вымагателем Symantec или с одним из описанных псевдоантивирусов, то базовый алгоритм действий очень прост — ничего не делать, так как нормальные люди подобные решения всё равно не используют.
Re: Моя подпись недостаточно хороша
От: TailWind  
Дата: 19.01.23 06:42
Оценка: +1
U_E>проблема в том, что в моей подписи указано мое имя (я — ИП, компании у меня нет), а не название какой-либо компании

Вы уверены, что причина именно в этом?

Если бы в подписи был байт отвечающий за статус подписанта (частное лицо или ООО) я бы ещё понял
Но чисто по имени, вряд ли антивирус определяет

Может их антивирус не имеет нужного коневого сертификата или типа того?
Там же не написано в логах, что это именно из-за того, что вы ИП
Re[2]: Моя подпись недостаточно хороша
От: Евгений Музыченко Франция https://software.muzychenko.net/ru
Дата: 19.01.23 09:15
Оценка:
Здравствуйте, TailWind, Вы писали:

TW>чисто по имени, вряд ли антивирус определяет


Такие "антивирусы" могут и в общедоступных каталогах искать по названию. Там чего только не придумают, чтоб выделиться на общем фоне, даже откровенной хренью.
Re[2]: Моя подпись недостаточно хороша
От: Unhandled_Exception Россия  
Дата: 19.01.23 09:25
Оценка:
Здравствуйте, TailWind, Вы писали:

TW>Вы уверены, что причина именно в этом?


Не уверен, меня это тоже сразу смутило. По факту там мое имя, это верно, но я сразу засомневался, потому что не слышал о таком флаге.
Re[3]: Моя подпись недостаточно хороша
От: autopsist  
Дата: 20.01.23 10:35
Оценка: 4 (1)
Здравствуйте, Unhandled_Exception, Вы писали:

U_E>Здравствуйте, TailWind, Вы писали:


TW>>Вы уверены, что причина именно в этом?


U_E>Не уверен, меня это тоже сразу смутило. По факту там мое имя, это верно, но я сразу засомневался, потому что не слышал о таком флаге.


Нет такого флага. У этого антивиря своя база доверенных подписантов, тебя в ней нет, вот и все.
Re[2]: Моя подпись недостаточно хороша
От: Unhandled_Exception Россия  
Дата: 20.01.23 13:52
Оценка:
Здравствуйте, autopsist, Вы писали:

A>А что на VirusTotal напротив SentinelOne указано? static engine — malicious?


SentinelOne (Static ML): Undetected

A>NotSigned — это "не подписано". На всякий случай попроси запаковать их DLL в архив и прислать тебе на проверку.

A>Проверь целостность, может она реально на их стороне изменена и подпись слетела в результате изменений?!

Хорошая мысль, попрошу прислать мне файл.

A>SentinelOne — это непробиваемая жопа, но писать им однозначно нужно. Придется напоминать периодически, что засабмитил фолс давно, но они не реагируют.


Никак не найду у них форму для сабмита... Не подскажешь?
Re[5]: Моя подпись недостаточно хороша
От: Unhandled_Exception Россия  
Дата: 20.01.23 13:53
Оценка:
Здравствуйте, Matrix_Failure, Вы писали:

M_F>Я получал последний раз на свою не российскую компанию и это тоже было отчасти лотереей.


Сложно было? Это реально функционирующая компания с офисом?
Re[4]: Моя подпись недостаточно хороша
От: Unhandled_Exception Россия  
Дата: 20.01.23 13:55
Оценка:
Здравствуйте, шароварный желудь, Вы писали:

ШЖ>я так делал 9 лет подряд, с 2013 по 2022, нулевая ООО-шка за три копейки с содержанием на аутсорсе


Не расскажешь, что проверяли? В последний раз у меня (я — ИП) просили аж квитанцию об оплате коммунальных услуг.

ШЖ>имеет ли смысл делать сейчас так в свете последних событий и перспективы дальнейших санкций — хз


А как сейчас делаешь?
Re[5]: Моя подпись недостаточно хороша
От: шароварный желудь Интернет http://isvporn.wordpress.com/
Дата: 20.01.23 15:23
Оценка: 2 (1)
Здравствуйте, Unhandled_Exception, Вы писали:

U_E>Не расскажешь, что проверяли? В последний раз у меня (я — ИП) просили аж квитанцию об оплате коммунальных услуг.


Если я верно помню — просили ИНН/ОГРН (в validation team умели ходить на сайты наших налоговых и пробивать данные компании)
Далее подтверждение адреса — DUNS, дибо выписка из банка либо можно было зарегаться в google my business (с получением кода активации от гугла по адресу, что я и сделал)
Далее прозвон от validation team — нужно поговорить с живым человеком на английском и ответить на несколько несложных вопросов

может еще что-то, не помню, но ничего такого что нельзя было бы сделать с нулевой ООО-шкой без банковского счета

с нулевой ООО на самом деле проблем больше с нашей налоговой (бей своих, *би гусей, бомби воронеж) — все они были грохнуты, одна за неактивность (когда я забил на отчетность), вторую (там я нанял девочку чтобы сдавать все нулевки и прочую крэпоту) за то что просто не было р/с и не вела деятельность, но для получения сертификата на 3 года — вполне рабочий вариант. был.

ШЖ>>имеет ли смысл делать сейчас так в свете последних событий и перспективы дальнейших санкций — хз


U_E>А как сейчас делаешь?


Сейчас у меня компания в ОАЭ, ВНЖ, резидентство, все пейпалы, страйпы и прочие радости жизни. Ну и гимор с КИК.
Re[5]: Моя подпись недостаточно хороша
От: шароварный желудь Интернет http://isvporn.wordpress.com/
Дата: 20.01.23 15:28
Оценка: +1
Здравствуйте, Matrix_Failure, Вы писали:

M_F>Я получал последний раз на свою не российскую компанию и это тоже было отчасти лотереей. Получал серт в виде файла, без флешки — криптоконтейнера. А то говорят, что скоро файликами выдавать уже не будут, только записью в контейнер или облачный сервис. Но пока ещё дают.


да, все так, уже суют этот клауд и в рот и в попу, не так давно получал, едва отбился.
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.