Po tygodniach dyskusji Mozilla i Microsoft przestały ufać certyfikatom TrustCor Systems i usunęły firmę ze swoich głównych magazynów certyfikatów.
decyzje po przeprowadzeniu dochodzenia Raport Z The Washington Post na początku tego miesiąca, który pokazał widoczne powiązania TrustCor z dostawcami oprogramowania szpiegującego Packet Forensics, a także innymi firmami powiązanymi z amerykańską społecznością wywiadowczą. Rachel McPherson, wiceprezes ds. operacyjnych TrustCor, odpowiedziała ze złością w liście otwartym, twierdząc, że artykuł został zainicjowany przez stronniczych badaczy bezpieczeństwa i „pełen absurdalnych, fałszywych twierdzeń i stwierdzeń wyrwanych z kontekstu”.
Jednak po przejrzeniu dowodów przeciwko TrustCor, Mozilla i Microsoft zdecydowały się odwołać zaufanie do roota Urząd certyfikacji (CA), co spowoduje, że certyfikaty TrustCor będą bezużyteczne dla przeglądarek internetowych FireFox i Edge, a także innych produktów.
„Nasza ocena jest taka, że obawy dotyczące TrustCor zostały uzasadnione i że ryzyko związane z kontynuacją członkostwa TrustCor w podstawowym programie Mozilli przewyższa korzyści dla użytkowników końcowych” – powiedziała Kathleen Wilson, dyrektor programów w Mozilli, podczas dyskusji organizacji CA. Kolekcja.
„Urzędy certyfikacji pełnią wysoce zaufane role w ekosystemie internetowym i niedopuszczalne jest, aby urząd certyfikacji był tak ściśle powiązany, poprzez własność i działanie, z firmą zajmującą się dystrybucją złośliwego oprogramowania. Odpowiedzi Trustcor za pośrednictwem wiceprezesa CA ds. operacyjnych dowodzą faktycznej podstawy dla Mozilli obawy.”
Przedstawiciele Google i Apple wyrazili wcześniej zaniepokojenie w grupie dyskusyjnej zarzutami i dowodami przeciwko TrustCor. Ale w momencie publikacji żadna z firm nie ogłosiła decyzji dotyczącej pozycji głównej CA.
Główne urzędy certyfikacji mają szerokie uprawnienia w ekosystemie certyfikatów ze względu na swoją własność infrastruktury klucza publicznego (PKI) stanowi podstawę zaszyfrowanego łańcucha zaufania. Są najbardziej zaufanym i krytycznym urzędem certyfikacji (CA) dla firm zajmujących się przeglądarkami. Oprócz tworzenia własnych certyfikatów główne urzędy certyfikacji mogą używać swoich PKI do podpisywania i weryfikowania certyfikatów pośrednich urzędów certyfikacji innych firm znajdujących się dalej w łańcuchu zaufania.
Problem z TrustCor
Znalazłem Washington Post Kilka czerwonych flag W przypadku TrustCor jednym z nich był fakt, że fizycznym adresem firmy uwzględnionym w audycie urzędu certyfikacji był sklep UPS w Toronto. Co ważniejsze, raport cytował dokumenty rejestracyjne firmy z Panamy, gdzie firma ma swoją siedzibę, które łączyły członków zarządu TrustCor, agentów i partnerów — w tym dyrektora generalnego Raymonda Alana Solino — z firmą Packet Forensics.
Packet Forensics Pozornie federalny wykonawca, ale jest 2010 Wired Artykuł Firma ujawniła, że sprzedaje produkty do przechwytywania komunikacji, które mogą ominąć szyfrowanie SSL dla przeglądarek internetowych – ochronę zapewnianą przez urzędy certyfikacji z cyfrowymi certyfikatami. Produkty Packet Forensics wykorzystują oszukańcze referencje, aby popełnić m.in Mężczyzna w środku ataku i kradzież prywatnej komunikacji, raporty Wired.
Na początku tego roku dwóch badaczy bezpieczeństwa — Joel Reardon, profesor z University of Calgary i Serge Eagleman z University of California, Berkeley — Odkryć Złośliwa aktywność w serii aplikacji na Androida zawierających kod zbierania danych i pakiet SDK produkowanych przez panamską firmę Measurement Systems.
Według The Wall Street Journal Raport W kwietniu ubiegłego roku, w badaniach przeprowadzonych przez Reardona i Eaglemana, dane firmowe i domena internetowa powiązały Measurement Systems z Vostrom Holdings, amerykańskim wykonawcą branży obronnej z siedzibą w Virginia Beach. Magazyn poinformował również, że Packet Forensics jest spółką zależną Vostrom Holdings.
Wcześniej w tym miesiącu The Washington Post poinformował o kolejnych czerwonych flagach z papierowego szlaku łączącego TrustCor z Packet Forensics. Reardon i Eagleman stwierdzili, że produkt pocztowy TrustCor, MsgSafe, który twierdzi, że zapewnia „szyfrowaną pocztę e-mail od końca do końca”, nie zawierał takiego szyfrowania. Zamiast tego zawierał ten sam złośliwy zestaw SDK systemów do testów porównawczych wykryty w aplikacjach na Androida.
Chociaż nie było dowodów na to, że TrustCor fałszował certyfikaty lub nadużywał uprawnień urzędu certyfikacji, badacze i inni specjaliści ds.
W serii postów na grupie dyskusyjnej McPherson skrytykował Reardona i Eaglemana, oskarżając ich o „wysyłanie fałszywych zarzutów”, jednocześnie ostrzegając przed możliwymi działaniami prawnymi w przypadku powtórzenia takich zarzutów. Mówi się, że kontakty z wykonawcami obronnymi i dostawcami oprogramowania szpiegującego były kombinacją błędów w rejestrze i widocznym wysiłkiem złych aktorów w celu stworzenia podobnych domen i podmiotów, prawdopodobnie przez konkurencyjne firmy.
McPherson również zdecydowanie zaprzeczyła, jakoby TrustCor była powiązana z Packet Forensics lub Measurement Systems, chociaż wydawała się unikać bezpośrednich zapytań dotyczących Vostrom Holdings. Jednak po wielokrotnych prośbach ze strony Mozilli, Google i Apple McPherson zrzekł się wielu podstawowych roszczeń wobec TrustCor. Narzędzia te obejmowały współpracę TrustCor i Measurement Systems z kadrą kierowniczą, kontrolę operacyjną i integrację techniczną, a wersja beta MsgSafe na Androida zawierała zaciemnioną wersję złośliwego zestawu SDK systemów pomiarowych.
Chociaż bezpośrednio w TrustCor nie stwierdzono nadużycia certyfikatu, Wilson wyjaśnił, że obawy dotyczące systemów pomiarowych i produktów pocztowych TrustCor były wystarczające, aby uzasadnić podjęcie działań.
„Zwykle Mozilla nie ocenia bezpośrednio przydatności innych produktów dla właściciela urzędu certyfikacji, gdy zastanawia się, czy urząd certyfikacji powinien być członkiem naszego programu głównego” — powiedziała w grupie dyskusyjnej. Jednak Trustcor Zestawienie wartości ilościowych Opiera się w dużej mierze na wartości MsgSafe, która ucierpiała z powodu wielu problematycznych zachowań, które podważają propozycję wartości MsgSafe, a tym samym podważają rzekome korzyści wynikające z przynależności TrustCor CA do naszego programu głównego. „
Wydawało się, że McPherson zgadza się z tą decyzją. „Chociaż jesteśmy głęboko rozczarowani tą decyzją, w tej chwili nie będziemy tracić czasu na odpowiadanie na usunięcie” – napisała w dyskusji grupowej.
Redakcja TechTarget wielokrotnie próbowała skontaktować się z TrustCor i McPherson, ale firma nie odpowiadała.
Mozilla ogłosiła datę utraty zaufania 30 listopada dla certyfikatów głównych TrustCor. MacPherson powiedział, że Microsoft, który nie był zaangażowany w dyskusję w grupie Mozilla, podjął podobną decyzję i z mocą wsteczną ustalił datę braku zaufania na 1 listopada, wpływając na certyfikaty wydane w ciągu miesiąca.
Redakcja TechTarget skontaktowała się z Google i Apple w celu uzyskania komentarza, ale nie otrzymała odpowiedzi w czasie prasy.
„Zła entuzjasta podróży. Irytująco skromny ćpun internetu. Nieprzepraszający alkoholiczek”.