Bezpieczeństwo w sieci

Certyfikatorzy stron www powiązani z wywiadem? Giganci przeglądarek nie chcą mieć z tym nic wspólnego

Patryk Koncewicz
0

Wystawiają certyfikaty bezpieczeństwa, tworząc jednocześnie oprogramowanie szpiegowskie? Mozilla i Microsoft nie ufają już swojemu kontrahentowi.

Mozilla i Microsoft niespodziewanie zrywają współpracę z tajemniczą firmą, wystawiającą certyfikaty bezpieczeństwa stron Internetowych. Dziennikarze odkryli bowiem, że podmiot jest w podejrzany sposób powiązany z amerykańskim wywiadem i wojskiem, oraz firmą dostarczają… oprogramowanie szpiegujące.

Szemrane interesy i konszachty z grubymi rybami

Przeglądarki mają nawet do kilkudziesięciu certyfikatów jakości i bezpieczeństwa od podmiotów rządowych oraz prywatnych. Jedną z firm, zajmującą się wystawianiem certyfikatów zaufania jest TrustCor Systems, o którym zrobiło się głośno po artykule w The Washington Post. Na jaw wyszły dziwne szczegóły szerokiej siatki kontrahentów, w tym podmiotów na najwyższym szczeblu państwowym USA.

Źródło: Depositphotos

Dokumenty rejestracyjne oddziału TrustCor w Panamie okazały się bliźniacze – pod względem personelu agentów i partnerów – z firmą odpowiedzialną za tworzenie oprogramowania szpiegowskiego, powiązaną z Packet Forensics (amerykański gigant w zakresie ochrony sieci), która dostarczała usługi przechwytywania komunikacji agencjom rządowym. Jednym z miejsc wykonania umowy był Fort Meade, czyli siedziba Agencji Bezpieczeństwa Narodowego (NSA) i Dowództwa Cybernetycznego Pentagonu.

Dalej było tylko ciekawiej. Siedziba TrustCor mieści się w punkcie odbioru przesyłek UPS. Przedstawiciel firmy tłumaczył w korespondencji, że na miejscu nikogo nie zastano, bo praca odbywa się w stu procentach zdalnie. Wszystkie te odkrycia sprawiły, że Mozilla i Microsoft zawinęły się zanim sprawa stała się na dobre kontrowersyjna. Oba podmioty korzystały bowiem z certyfikacji TrustCor do środy, kiedy to zarówno Firefox jak i Edge wypowiedziały współpracę.

Zabezpieczenia TrustCor podważają wartość certyfikatów

Przeglądarkowi giganci ogłosili, że TrustCor nie jest już dla nich wiarygodnym kontrahentem. Trudno im się dziwić. Firma, która zajmuje się oceną bezpieczeństwa, sama powinna być przejrzysta jak łza.

„Urzędy certyfikacji pełnią wysoce zaufane role w ekosystemie internetowym i niedopuszczalne jest, aby urząd certyfikacji był ściśle powiązany, poprzez własność i działanie, z firmą zajmującą się dystrybucją złośliwego oprogramowania” – Kathleen Wilson, Mozilla

Cień podejrzeń na TrustCor rzucili po raz pierwszy naukowcy Joel Reardon z University of Calgary i Serge Egelman z University of California w Berkeley. Zbadali rzekomo bezpieczną i szyfrowaną pocztę MsgSafe.io należącą do TrustCor, która wbrew oświadczeniom firmy wcale taka szyfrowana nie była, bo jej pracownicy mieli dostęp do korespondencji. Rachel McPherson – dyrektorka firmy – stwierdziła , że wynikało to zapewne ze złej konfiguracji ze strony użytkownika.

Źródło: Depositphotos

Mowa więc o firmie podejmującej decyzję o tym, która ze stron zostanie uznana za bezpieczną, przy czym sama nie pozostaje ani bezpieczna, ani wiarygodna. W związku z obawami, że certyfikaty mogły być przyznawane w szemrany sposób, Firefox i Egde – po kilkudniowych konsultacjach z ekspertami od cyberbezpieczeństwa – nie będą więcej opierać się na specjalistach z TrustCor. Przewiduje się, że inne marki technologiczne także pójdą tym śladem.

Stock image form Depositphotos

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu