Home Τεχνολογία Η Mozilla και η Microsoft διαλύουν την TrustCor Root CA μετά την...

Η Mozilla και η Microsoft διαλύουν την TrustCor Root CA μετά την έκθεση των εργολάβων των ΗΠΑ

0
45

Η Mozilla και η Microsoft διαλύουν την TrustCor Root CA μετά την έκθεση των εργολάβων των ΗΠΑ

Τα μεγάλα προγράμματα περιήγησης ιστού κινήθηκαν την Τετάρτη για να σταματήσουν να χρησιμοποιούν την εταιρεία λογισμικού μυστηρίου της οποίας οι πιστοποιημένοι ιστότοποι ήταν ασφαλείς, τρεις εβδομάδες αφότου η Washington Post ανέφερε τους δεσμούς της με έναν στρατιωτικό εργολάβο των ΗΠΑ.

Ο Mozilla Firefox και ο Microsoft Edge δήλωσαν ότι θα σταματήσουν να εμπιστεύονται τις νέες πιστοποιήσεις της TrustCor Systems που εγγυώνται τη νομιμότητα των τοποθεσιών που επισκέπτονται οι χρήστες τους, περιορίζοντας εβδομάδες διαδικτύου μεταξύ των ειδικών τεχνολογίας τους, τρίτων ερευνητών και της TrustCor, η οποία ισχυρίστηκε ότι δεν υπήρχε συνεχιζόμενη σύνδεση με την υπόθεση. Το παράδειγμά τους αναμένεται να ακολουθήσουν και άλλες εταιρείες τεχνολογίας.

“Οι αρχές έκδοσης πιστοποιητικών έχουν πολύ αξιόπιστους ρόλους στο οικοσύστημα του Διαδικτύου και είναι απαράδεκτο μια ΑΠ να συνδέεται στενά, λόγω ιδιοκτησίας και λειτουργίας, με μια εταιρεία διανομής κακόβουλου λογισμικού”, έγραψε η Kathleen Wilson της Mozilla στη λίστα αλληλογραφίας Browser Security Experts. “Οι απαντήσεις της Trustcor μέσω του Αντιπροέδρου της CA Operations υποστηρίζουν περαιτέρω την πραγματική βάση για τις ανησυχίες της Mozilla.”

Η Mail ανέφερε στις 8 Νοεμβρίου, τα δεδομένα εγγραφής της TrustCor του Παναμά έδειξαν τον ίδιο αριθμό αξιωματικών, πρακτόρων και συνεργατών με έναν προγραμματιστή spyware που προσδιορίστηκε νωρίτερα φέτος ως θυγατρική της Packet Forensics με έδρα την Αριζόνα, η οποία έχει πουλήσει υπηρεσίες παρακολούθησης επικοινωνιών σε κυβερνητικές υπηρεσίες των ΗΠΑ για περισσότερο από μια δεκαετία. Ένα από αυτά τα συμβόλαια απαριθμούσε το Fort Meade του Μέριλαντ, όπου βρίσκεται η Υπηρεσία Εθνικής Ασφάλειας και η Διοίκηση Cyber ​​​​του Πενταγώνου ως «τόπος εκτέλεσης».

Η υπόθεση έριξε νέο φως στα σκοτεινά συστήματα εμπιστοσύνης και ελέγχου που επιτρέπουν στους ανθρώπους να βασίζονται στο Διαδίκτυο για τους περισσότερους σκοπούς. Τα προγράμματα περιήγησης συνήθως διαθέτουν πάνω από εκατό εγκεκριμένους φορείς από προεπιλογή, συμπεριλαμβανομένων κυβερνητικών και μικρών επιχειρήσεων, που επιβεβαιώνουν απρόσκοπτα ότι οι ασφαλείς ιστότοποι είναι αυτό που ισχυρίζονται ότι είναι.

Η TrustCor έχει μικρό προσωπικό στον Καναδά, όπου έχει επίσημα την έδρα της στο UPS Store, είπε στο Mozilla το στέλεχος της εταιρείας Rachel McPherson σε ένα νήμα συζήτησης μέσω email. Είπε ότι οι εργαζόμενοι εκεί εργάζονται εξ αποστάσεως, αν και αναγνώρισε ότι η εταιρεία έχει επίσης υποδομή στην Αριζόνα.

Ο ΜακΦέρσον είπε ότι ορισμένες από τις ίδιες εταιρείες συμμετοχών είχαν επενδύσει στην TrustCor και την Packet Forensics, αλλά η ιδιοκτησία της TrustCor είχε μεταβιβαστεί στους υπαλλήλους. Η Packet Forensics είπε επίσης ότι δεν είχε συνεχή επιχειρηματική σχέση με την TrustCor.

Αρκετοί τεχνολόγοι που συμμετείχαν στη συζήτηση είπαν ότι η TrustCor αποφεύγει βασικά ζητήματα όπως η νομική κατοικία και η ιδιοκτησία, τα οποία θεωρούν ότι είναι ακατάλληλα για μια εταιρεία που κατέχει τις εξουσίες μιας CA root, η οποία όχι μόνο διασφαλίζει ότι ένας ασφαλής ιστότοπος https δεν είναι απατεώνας, αλλά μπορεί να διατάξει άλλους εκδότες πιστοποιητικών να κάνουν το ίδιο.

Η έκθεση Post βασίστηκε στην εργασία δύο ερευνητών που εντόπισαν για πρώτη φορά τα εταιρικά αρχεία της εταιρείας, του Joel Reardon από το Πανεπιστήμιο του Calgary και του Serge Egelman από το University of California, Berkeley. Αυτοί οι δύο και άλλοι πειραματίστηκαν επίσης με το ασφαλές email της TrustCor MsgSafe.io. Αποδείχθηκε ότι σε αντίθεση με τους δημόσιους ισχυρισμούς της MsgSafe, τα μηνύματα ηλεκτρονικού ταχυδρομείου που αποστέλλονταν μέσω του συστήματός της δεν ήταν κρυπτογραφημένα από άκρο σε άκρο και μπορούσαν να διαβαστούν από την εταιρεία.

Ο ΜακΦέρσον είπε ότι διάφοροι ειδικοί της τεχνολογίας δεν χρησιμοποιούσαν τη σωστή έκδοση ή δεν τη διαμόρφωσαν σωστά.

Ανακοινώνοντας την απόφαση της Mozilla, ο Wilson ανέφερε προηγούμενες επικαλύψεις σε αξιωματικούς και επιχειρήσεις μεταξύ TrustCor και MsgSafe, και μεταξύ TrustCor και Measurement Systems, μιας Παναμάς εταιρείας spyware με προηγουμένως αναφερθείσες σχέσεις με την Packet Forensics.

Το Πεντάγωνο δεν απάντησε σε αίτημα για σχολιασμό.

Έχουν καταβληθεί περιστασιακές προσπάθειες για να γίνει πιο υπεύθυνη η διαδικασία πιστοποίησης, μερικές φορές μετά την αποκάλυψη ύποπτης δραστηριότητας.

Το 2019, μια εταιρεία ασφαλείας που ελέγχεται από την κυβέρνηση των ΗΑΕ, παλαιότερα γνωστή ως DarkMatter, υπέβαλε αίτηση για προαγωγή σε μια αρχή ρίζας ανώτατου επιπέδου από μια ενδιάμεση αρχή με λιγότερη ανεξαρτησία. Ακολούθησαν αποκαλύψεις ότι το DarkMatter είχε χακάρει αντιφρονούντες και ακόμη και ορισμένους Αμερικανούς. Η Mozilla του αρνήθηκε τα δικαιώματα root.

Η Google το 2015 ανακάλεσε τα δικαιώματα ρίζας του Κέντρου Πληροφοριών Διαδικτύου της Κίνας (CNNIC), αφού επέτρεψε σε μια ενδιάμεση αρχή να εκδίδει πλαστά πιστοποιητικά για ιστότοπους της Google.

Οι Reardon και Egelman ανακάλυψαν νωρίτερα αυτό το έτος ότι η Packet Forensics ήταν συνδεδεμένη με μια εταιρεία του Παναμά, την Measurement Systems, η οποία πλήρωνε προγραμματιστές λογισμικού να ενσωματώσουν κώδικα σε διάφορες εφαρμογές για να καταγράφουν και να μεταδίδουν αριθμούς τηλεφώνου, διευθύνσεις email και ακριβείς τοποθεσίες των χρηστών. Εκτίμησαν ότι αυτές οι εφαρμογές έχουν ληφθεί περισσότερες από 60 εκατομμύρια φορές, συμπεριλαμβανομένων 10 εκατομμυρίων εφαρμογών μουσουλμανικής προσευχής.

Ο ιστότοπος Measurement Systems είναι εγγεγραμμένος στη Vostrom Holdings σύμφωνα με ιστορικά αρχεία ονομάτων τομέα. Ο Vostrom υπέβαλε αίτηση το 2007 για να λειτουργήσει ως Packet Forensics, σύμφωνα με τα αρχεία της πολιτείας της Βιρτζίνια.

Αφού οι ερευνητές κοινοποίησαν τα ευρήματά τους, η Google κυκλοφόρησε όλες τις εφαρμογές κατασκοπευτικού κώδικα από το κατάστημα εφαρμογών Play.

Ανακάλυψαν επίσης ότι μια έκδοση αυτού του κώδικα περιλαμβανόταν σε μια δοκιμαστική έκδοση του MsgSafe. Ο McPherson είπε στη λίστα email ότι ο προγραμματιστής το είχε συμπεριλάβει χωρίς να λάβει έγκριση από τη διαχείριση.

Το Packet Forensics τράβηξε για πρώτη φορά την προσοχή των υποστηρικτών της ιδιωτικής ζωής πριν από αρκετά χρόνια.

Το 2010, ο ερευνητής Chris Soghoian παρακολούθησε ένα βιομηχανικό συνέδριο που ονομάζεται Bug Ball και έλαβε ένα φυλλάδιο Packet Forensics που απευθύνεται σε πελάτες επιβολής του νόμου και υπηρεσιών πληροφοριών.

Το φυλλάδιο αφορούσε τον εξοπλισμό που υποτίθεται ότι θα βοηθούσε τους αγοραστές να διαβάσουν την κίνηση στο Διαδίκτυο που οι ιστότοποι πίστευαν ότι ήταν ασφαλείς. Αλλά δεν ήταν.

«Η επικοινωνία IP υπαγορεύει την ανάγκη εξέτασης της κρυπτογραφημένης κίνησης κατά βούληση», αναφέρει το φυλλάδιο της αναφοράς στο Wired. «Το ερευνητικό σας προσωπικό θα συγκεντρώσει τα καλύτερα αποδεικτικά στοιχεία, ενώ οι χρήστες παρασύρονται στην ψευδή αίσθηση ασφάλειας που παρέχεται από κρυπτογράφηση ιστού, email ή VOIP», προστίθεται στο φυλλάδιο.

Οι ερευνητές πίστευαν τότε ότι η πιο πιθανή χρήση του κουτιού ήταν ένα πιστοποιητικό που είχε εκδοθεί από την αρχή για χρήματα ή δικαστική εντολή, το οποίο θα εγγυόταν την αυθεντικότητα της σελίδας επικοινωνίας του απατεώνα.

Δεν κατέληξαν στο συμπέρασμα ότι ολόκληρη η ΑΠ θα μπορούσε να διακυβευτεί.

Οι Reardon και Egelman ειδοποίησαν την Google, τη Mozilla και την Apple σχετικά με την έρευνά τους στο TrustCor τον Απρίλιο. Είπαν ότι είχαν ακούσει ελάχιστα μέχρι που η The Post δημοσίευσε την έκθεσή της.

LEAVE A REPLY

Please enter your comment!
Please enter your name here