Wystawiają certyfikaty bezpieczeństwa, tworząc jednocześnie oprogramowanie szpiegowskie? Mozilla i Microsoft nie ufają już swojemu kontrahentowi.
Bezpieczeństwo w sieci
Certyfikatorzy stron www powiązani z wywiadem? Giganci przeglądarek nie chcą mieć z tym nic wspólnego
Mozilla i Microsoft niespodziewanie zrywają współpracę z tajemniczą firmą, wystawiającą certyfikaty bezpieczeństwa stron Internetowych. Dziennikarze odkryli bowiem, że podmiot jest w podejrzany sposób powiązany z amerykańskim wywiadem i wojskiem, oraz firmą dostarczają… oprogramowanie szpiegujące.
To cię zainteresuje Firefox wprowadza funkcje, które Edge miał już lata temuApple Pay w Chrome, Edge i Firefox. Apple otwiera się na inne przeglądarki
Szemrane interesy i konszachty z grubymi rybami
Przeglądarki mają nawet do kilkudziesięciu certyfikatów jakości i bezpieczeństwa od podmiotów rządowych oraz prywatnych. Jedną z firm, zajmującą się wystawianiem certyfikatów zaufania jest TrustCor Systems, o którym zrobiło się głośno po artykule w The Washington Post. Na jaw wyszły dziwne szczegóły szerokiej siatki kontrahentów, w tym podmiotów na najwyższym szczeblu państwowym USA.
Dokumenty rejestracyjne oddziału TrustCor w Panamie okazały się bliźniacze – pod względem personelu agentów i partnerów – z firmą odpowiedzialną za tworzenie oprogramowania szpiegowskiego, powiązaną z Packet Forensics (amerykański gigant w zakresie ochrony sieci), która dostarczała usługi przechwytywania komunikacji agencjom rządowym. Jednym z miejsc wykonania umowy był Fort Meade, czyli siedziba Agencji Bezpieczeństwa Narodowego (NSA) i Dowództwa Cybernetycznego Pentagonu.
Dalej było tylko ciekawiej. Siedziba TrustCor mieści się w punkcie odbioru przesyłek UPS. Przedstawiciel firmy tłumaczył w korespondencji, że na miejscu nikogo nie zastano, bo praca odbywa się w stu procentach zdalnie. Wszystkie te odkrycia sprawiły, że Mozilla i Microsoft zawinęły się zanim sprawa stała się na dobre kontrowersyjna. Oba podmioty korzystały bowiem z certyfikacji TrustCor do środy, kiedy to zarówno Firefox jak i Edge wypowiedziały współpracę.
Czytaj dalej poniżej
Zabezpieczenia TrustCor podważają wartość certyfikatów
Przeglądarkowi giganci ogłosili, że TrustCor nie jest już dla nich wiarygodnym kontrahentem. Trudno im się dziwić. Firma, która zajmuje się oceną bezpieczeństwa, sama powinna być przejrzysta jak łza.
„Urzędy certyfikacji pełnią wysoce zaufane role w ekosystemie internetowym i niedopuszczalne jest, aby urząd certyfikacji był ściśle powiązany, poprzez własność i działanie, z firmą zajmującą się dystrybucją złośliwego oprogramowania” – Kathleen Wilson, Mozilla
Cień podejrzeń na TrustCor rzucili po raz pierwszy naukowcy Joel Reardon z University of Calgary i Serge Egelman z University of California w Berkeley. Zbadali rzekomo bezpieczną i szyfrowaną pocztę MsgSafe.io należącą do TrustCor, która wbrew oświadczeniom firmy wcale taka szyfrowana nie była, bo jej pracownicy mieli dostęp do korespondencji. Rachel McPherson – dyrektorka firmy – stwierdziła , że wynikało to zapewne ze złej konfiguracji ze strony użytkownika.
Mowa więc o firmie podejmującej decyzję o tym, która ze stron zostanie uznana za bezpieczną, przy czym sama nie pozostaje ani bezpieczna, ani wiarygodna. W związku z obawami, że certyfikaty mogły być przyznawane w szemrany sposób, Firefox i Egde – po kilkudniowych konsultacjach z ekspertami od cyberbezpieczeństwa – nie będą więcej opierać się na specjalistach z TrustCor. Przewiduje się, że inne marki technologiczne także pójdą tym śladem.
Stock image form Depositphotos
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
