Mozilla ve Microsoft, ABD’li müteahhit ifşalarının ardından TrustCor’un kök sertifika yetkilisini geri aldı



Yorum

Büyük web tarayıcıları, Washington Post’un bir ABD askeri müteahhitiyle bağlantılarını bildirmesinden üç hafta sonra, web sitelerinin güvenli olduğunu onaylayan gizemli bir yazılım şirketini kullanmayı bırakmak için Çarşamba günü harekete geçti.

Mozilla’nın Firefox’u ve Microsoft’un Edge’i, kullanıcılarının ulaştığı sitelerin meşruiyetine kefil olan TrustCor Systems’ın yeni sertifikalarına güvenmeyi bırakacaklarını söyleyerek, teknoloji uzmanları, dış araştırmacılar ve TrustCor arasında devam eden hiçbir bağı olmadığını söyleyen haftalarca süren çevrimiçi tartışmaları sonlandırdı. ilgilendirmek. Diğer teknoloji şirketlerinin de aynı şeyi yapması bekleniyor.

Mozilla’dan Kathleen Wilson, “Sertifika Yetkililerinin internet ekosisteminde son derece güvenilir rolleri vardır ve bir CA’nın mülkiyeti ve işleyişi yoluyla kötü amaçlı yazılım dağıtımıyla uğraşan bir şirkete yakından bağlı olması kabul edilemez.” mail listesi tarayıcı güvenlik uzmanları için. “Trustcor’un CA operasyonlarından sorumlu Başkan Yardımcısı aracılığıyla verdiği yanıtlar, Mozilla’nın endişelerinin olgusal temelini daha da doğruluyor.”

Hükümet bağları olan gizemli şirket internetin kilit rolünü oynuyor

Post, 8 Kasım’da TrustCor’un Panama kayıt kayıtlarının, bu yıl ABD devlet kurumlarına iletişim dinleme hizmetleri satan Arizona merkezli Packet Forensics’in bir iştiraki olarak tanımlanan bir casus yazılım üreticisi ile aynı memur, ajan ve ortak listesini gösterdiğini bildirdi. on yıldan fazla bir süredir. Bu sözleşmelerden biri, “icra yerinin” Ulusal Güvenlik Teşkilatının ve Pentagon’un Siber Komutanlığının evi olan Fort Meade, Md. olduğunu belirtiyordu.

Dava, insanların çoğu amaç için internete güvenmesine izin veren belirsiz güven ve kontrol sistemlerine yeni bir ışık tuttu. Tarayıcılar genellikle, güvenli web sitelerinin iddia ettikleri gibi olduğunu sorunsuz bir şekilde kanıtlamak için devlete ait olanlar ve küçük şirketler de dahil olmak üzere varsayılan olarak onaylanmış yüzden fazla yetkiliye sahiptir.

Şirket yöneticisi Rachel McPherson e-posta tartışma dizisinde Mozilla’ya TrustCor’un Kanada’da resmi olarak bir UPS Store posta tesliminde bulunan küçük bir ekibi olduğunu söyledi. Şirketin Arizona’da da altyapıya sahip olduğunu kabul etmesine rağmen, oradaki personelin uzaktan çalıştığını söyledi.

McPherson, aynı holding şirketlerinden bazılarının TrustCor ve Packet Forensics’e yatırım yaptığını ancak TrustCor’daki mülkiyetin çalışanlara devredildiğini söyledi. Packet Forensics ayrıca TrustCor ile devam eden bir iş ilişkisi olmadığını söyledi.

Tartışmadaki birkaç teknoloji uzmanı, TrustCor’u yasal ikametgah ve mülkiyet gibi temel konularda kaçamak bulduklarını söylediler; bunun kök sertifika yetkilisinin gücünü kullanan bir şirket için uygun olmadığını söylediler; bu yalnızca güvenli bir https web sitesinin olmadığını iddia etmekle kalmaz bir sahtekar ancak aynısını yapmak için diğer sertifika verenleri vekalet edebilir.

Post raporu, şirketin kurumsal kayıtlarını ilk kez bulan iki araştırmacının, Calgary Üniversitesi’nden Joel Reardon ve Berkeley’deki California Üniversitesi’nden Serge Egelman’ın çalışmasına dayanıyordu. Bu ikisi ve diğerleri, TrustCor’dan MsgSafe.io adlı güvenli bir e-posta teklifi üzerinde de deneyler yaptı. MsgSafe’in kamuya açık iddialarının aksine, sistemi aracılığıyla gönderilen e-postaların uçtan uca şifrelenmediğini ve şirket tarafından okunabileceğini buldular.

McPherson, çeşitli teknoloji uzmanlarının doğru sürümü kullanmadıklarını veya doğru şekilde yapılandırmadıklarını söyledi.

Wilson, Mozilla’nın kararını duyururken, TrustCor ile MsgSafe ve TrustCor ile Panamalı bir casus yazılım şirketi olan Measurement Systems arasındaki yetkililer ve operasyonlardaki geçmiş örtüşmelere atıfta bulundu. önceden rapor edildi Paket Adli Tıp ile bağlantılıdır.

Pentagon yorum talebine yanıt vermedi.

Bazen şüpheli faaliyetlerin açığa çıkmasından sonra, sertifika sürecini daha sorumlu hale getirmek için ara sıra çabalar olmuştur.

2019’da, Birleşik Arap Emirlikleri hükümeti tarafından kontrol edilen ve DarkMatter olarak bilinen bir güvenlik şirketi, daha az bağımsızlığa sahip ara otoriteden üst düzey kök otoriteye yükseltilmek için başvurdu. Takip eden vahiy DarkMatter’ın muhalifleri ve hatta bazı Amerikalıları hacklediğini; Mozilla kök gücünü reddetti.

2015 yılında Google kök yetkiyi geri çekti Çin İnternet Ağı Bilgi Merkezi’nin (CNNIC), bir aracı makamın Google siteleri için sahte sertifikalar vermesine izin vermesinin ardından.

Reardon ve Egelman bu yılın başlarında Packet Forensics’in, yazılım geliştiricilere kullanıcıların telefon numaralarını, e-posta adreslerini ve tam konumlarını kaydetmek ve iletmek için çeşitli uygulamalara kod eklemeleri için ödeme yapan Panamalı Measurement Systems şirketiyle bağlantılı olduğunu keşfettiler. Bu uygulamaların, Müslüman dua uygulamalarının 10 milyon indirilmesi dahil olmak üzere 60 milyondan fazla indirildiğini tahmin ediyorlar.

Ölçüm Sistemlerinin web sitesi, tarihi alan adı kayıtlarına göre Vostrom Holdings tarafından tescil edilmiştir. Virginia eyalet kayıtlarına göre Vostrom, Packet Forensics olarak iş yapmak için 2007’de belgeler sundu.

Araştırmacılar bulgularını paylaştıktan sonra, Google tüm uygulamaları başlattı Play uygulama mağazasından casus koduyla.

Ayrıca, bu kodun bir sürümünün MsgSafe’in bir test sürümüne dahil edildiğini de buldular. McPherson e-posta listesine, bir geliştiricinin bunu yöneticiler tarafından onaylanmadan dahil ettiğini söyledi.

Paket Adli Tıp, ilk kez bir düzine yıl önce gizlilik savunucularının dikkatini çekti.

2010 yılında, araştırmacı Chris Soghoian, Wiretapper’s Ball lakaplı, yalnızca davetlilerin katılabileceği bir endüstri konferansına katıldı ve kolluk kuvvetleri ve istihbarat teşkilatı müşterilerini hedefleyen bir Packet Forensics broşürü aldı.

Broşür, alıcıların tarafların güvenli olduğunu düşündükleri web trafiğini okumasına yardımcı olacak bir donanım parçasıydı. Ama değildi.

Broşürde, “IP iletişimi, şifreli trafiğin istenildiği zaman incelenmesi ihtiyacını belirler” denildi. Wired’da bir rapor. Broşürde, “Kullanıcılar web, e-posta veya VOIP şifrelemesi tarafından sağlanan yanlış bir güvenlik duygusuna kapılırken, soruşturma ekibiniz en iyi kanıtları toplayacak” diye ekledi.

Araştırmacılar, o zamanlar kutunun kullanılmasının en olası yolunun, bir otorite tarafından para karşılığında verilen bir sertifika veya sahtekar bir iletişim sitesinin gerçekliğini garanti edecek bir mahkeme emriyle kullanılması olduğunu düşündüler.

Tüm bir sertifika yetkilisinin kendisinin tehlikeye girebileceği sonucuna varmadılar.

Reardon ve Egelman, Nisan ayında TrustCor ile ilgili araştırmaları konusunda Google, Mozilla ve Apple’ı uyardı. The Post raporunu yayınlayana kadar çok az şey duyduklarını söylediler.


Kaynak : https://www.washingtonpost.com/technology/2022/11/30/trustcor-internet-authority-mozilla/?utm_source=rss&utm_medium=referral&utm_campaign=wp_business-technology

Yorum yapın