TrustCor Systems — это так называемый корневой центр сертификации, ключевая позиция в интернет-инфраструктуре, которая гарантирует подлинность веб-сайта. November 30, 2022.
Веб-браузеры удаляют таинственную компанию, связанную с военным подрядчиком США
Основные веб-браузеры в среду прекратили использовать таинственную компанию-разработчика программного обеспечения, которая сертифицировала безопасность веб-сайтов, через три недели после того, как The Washington Post сообщила о ее связях с военным подрядчиком США.
Техника — это не ваш друг. Мы. Подпишитесь на рассылку новостей для технических друзей.
Mozilla Firefox и Microsoft Edge заявили, что перестанут доверять новым сертификатам от TrustCor Systems, которые гарантировали законность сайтов, посещаемых их пользователями, что привело к неделям онлайн-споров между их экспертами по технологиям, внешними исследователями и TrustCor, который заявил, что у него нет постоянных проблем. Ожидается, что другие технологические компании последуют их примеру. ”Центры сертификации играют важную роль в экосистеме Интернета, и недопустимо, чтобы центр сертификации был тесно связан через владение и эксплуатацию с компанией, занимающейся распространением вредоносных программ», — написала Кэтлин Уилсон из Mozilla в список рассылки для экспертов по безопасности браузеров. “Ответы Trustcor через их вице-президента по операциям CA еще раз подтверждают фактическую основу для опасений Mozilla”.
Таинственная компания со связями в правительстве играет ключевую роль в Интернете
8 ноября The Post сообщила, что регистрационные записи TrustCor в Панаме показали тот же список сотрудников, агентов и партнеров, что и у производителя шпионских программ, идентифицированного в этом году как филиал базирующейся в Аризоне компании Packet Forensics, которая более десяти лет продавала услуги по перехвату сообщений правительственным учреждениям США. В одном из этих контрактов “местом исполнения” был указан Форт-Мид, штат Мэриленд, где располагались Агентство национальной безопасности и киберкомандование Пентагона. Этот случай по-новому осветил малоизвестные системы доверия и проверок, которые позволяют людям полагаться на Интернет для большинства целей. Браузеры, как правило, имеют более сотни разрешений, утвержденных по умолчанию, включая государственные и небольшие компании, чтобы легко подтвердить, что безопасные веб-сайты являются тем, за что они себя выдают. У TrustCor есть небольшой штат в Канаде, где он официально базируется в почтовом отделении магазина UPS, сообщила Mozilla исполнительный директор компании Рэйчел Макферсон в теме обсуждения электронной почты. Она сказала, что сотрудники там работают удаленно, хотя и признала, что у компании также есть инфраструктура в Аризоне.
Макферсон сказал, что некоторые из тех же холдинговых компаний инвестировали в TrustCor и Packet Forensics, но право собственности на TrustCor было передано сотрудникам. Packet Forensics также заявила, что у нее нет постоянных деловых отношений с TrustCor. Несколько технологов, участвовавших в обсуждении, заявили, что они сочли TrustCor уклончивым в основных вопросах, таких как юридический адрес и право собственности, что, по их словам, неуместно для компании, обладающей полномочиями корневого центра сертификации, который не только утверждает, что защищенный веб-сайт https не является самозванцем, но и может поручать другим эмитентам сертификатов делать это то же самое.
Отчет Post основан на работе двух исследователей, которые первыми обнаружили корпоративные документы компании, Джоэла Рирдона из Университета Калгари и Сержа Эгельмана из Калифорнийского университета в Беркли. Эти двое и другие также проводили эксперименты с защищенным предложением электронной почты от TrustCor под названием MsgSafe.io . Они обнаружили, что, вопреки публичным заявлениям MsgSafe, электронные письма, отправленные через ее систему, не были сквозным шифрованием и могли быть прочитаны компанией.
Макферсон сказал, что различные эксперты по технологиям не использовали правильную версию или не настроили ее должным образом. Объявляя о решении Mozilla, Уилсон сослался на прошлые совпадения в должностных лицах и операциях между TrustCor и MsgSafe, а также между TrustCor и Measurement Systems, панамской компанией-шпионом, ранее сообщавшей о связях с Packet Forensics.
Пентагон не ответил на запрос о комментариях.
Предпринимались отдельные попытки сделать процесс выдачи сертификатов более подотчетным, иногда после разоблачений подозрительной деятельности. В 2019 году охранная компания, контролируемая правительством Объединенных Арабских Эмиратов, которая была известна как DarkMatter, подала заявку на повышение до корневого органа высшего уровня с промежуточного органа с меньшей независимостью. Это последовало за разоблачениями о том, что DarkMatter взломал диссидентов и даже некоторых американцев; Mozilla отказала ему в root-правах.
В 2015 году Google отозвала корневой центр информационного центра сети Интернет Китая (CNNIC) после того, как он позволил промежуточному органу выдавать поддельные сертификаты для сайтов Google.
Ранее в этом году Рирдон и Эгельман обнаружили, что Packet Forensics была связана с панамской компанией Measurement Systems, которая платила разработчикам программного обеспечения за включение кода в различные приложения для записи и передачи телефонных номеров пользователей, адресов электронной почты и точного местоположения. Они подсчитали, что эти приложения были загружены более 60 миллионов раз, включая 10 миллионов загрузок мусульманских молитвенных приложений.
Веб-сайт Measurement Systems был зарегистрирован Vostrom Holdings, согласно историческим записям доменных имен. Согласно архивам штата Вирджиния, Востром подал документы в 2007 году на ведение бизнеса в качестве судебной экспертизы пакетов. После того, как исследователи поделились своими выводами, Google удалил все приложения со шпионским кодом из своего магазина приложений Play. Они также обнаружили, что версия этого кода была включена в тестовую версию MsgSafe. Макферсон сообщил списку рассылки, что разработчик включил это без согласования с руководителями.
Судебная экспертиза пакетов впервые привлекла внимание защитников неприкосновенности частной жизни дюжину лет назад.
В 2010 году исследователь Крис Согоян посетил отраслевую конференцию только по приглашению, получившую название the Wiretapper’s Ball, и получил брошюру Packet Forensics, предназначенную для клиентов правоохранительных органов и разведывательных агентств. Брошюра предназначалась для аппаратного обеспечения, помогающего покупателям считывать веб-трафик, который стороны считали безопасным. Но это было не так.
“IP-связь диктует необходимость проверки зашифрованного трафика по желанию”, — говорилось в брошюре, согласно отчету Wired. “Ваши сотрудники по расследованию будут собирать наилучшие доказательства, в то время как пользователи будут убаюканы ложным чувством безопасности, обеспечиваемым шифрованием Интернета, электронной почты или VOIP”, — добавлялось в брошюре.
В то время исследователи полагали, что наиболее вероятным способом использования ящика был сертификат, выданный органом власти за деньги или по решению суда, который гарантировал бы подлинность сайта связи-самозванца. Они не пришли к выводу, что весь центр сертификации сам по себе может быть скомпрометирован.
Рирдон и Эгельман предупредили Google, Mozilla и Apple о своем исследовании Trust score в апреле. Они сказали, что почти ничего не слышали в ответ, пока «Пост» не опубликовала свой отчет.