Setelah diskusi berminggu-minggu, Mozilla dan Microsoft tidak mempercayai sertifikat TrustCor Systems dan menghapus perusahaan dari penyimpanan sertifikat root mereka.
keputusan setelah penyelidikan Laporan Dari The Washington Post awal bulan ini yang menunjukkan hubungan nyata TrustCor dengan vendor spyware Packet Forensics serta perusahaan lain yang terkait dengan komunitas intelijen AS. Rachel McPherson, wakil presiden operasi TrustCor, menanggapi dengan marah dalam surat terbuka, mengklaim bahwa artikel tersebut didorong oleh peneliti keamanan yang bias dan “penuh dengan klaim konyol, klaim palsu, dan pernyataan di luar konteks”.
Namun, setelah meninjau bukti terhadap TrustCor, Mozilla dan Microsoft memutuskan untuk mencabut kepercayaan pada root otoritas sertifikasi (CA), yang akan membuat sertifikat TrustCor tidak dapat digunakan untuk browser web FireFox dan Edge serta produk lainnya.
“Penilaian kami adalah kekhawatiran tentang TrustCor telah dibuktikan dan risiko melanjutkan keanggotaan TrustCor dalam program inti Mozilla lebih besar daripada manfaatnya bagi pengguna akhir,” kata Kathleen Wilson, direktur program di Mozilla, Rabu di diskusi CA organisasi. Koleksi.
“Certificate Authorities memiliki peran yang sangat dipercaya dalam ekosistem Internet dan tidak dapat diterima jika CA memiliki hubungan yang sangat erat, melalui kepemilikan dan operasi, dengan perusahaan yang terlibat dalam distribusi malware. Tanggapan Trustcor melalui Wakil Presiden Operasional CA membuktikan dasar faktual untuk Mozilla kekhawatiran.”
Perwakilan dari Google dan Apple sebelumnya telah menyatakan keprihatinannya di grup diskusi tentang tuduhan dan bukti terhadap TrustCor. Tetapi pada saat publikasi, tidak ada perusahaan yang mengumumkan keputusan mengenai root standing CA.
Root CA memiliki kekuatan luas dalam ekosistem sertifikat karena kepemilikannya infrastruktur kunci publik (PKI) membentuk dasar untuk rantai kepercayaan terenkripsi. Mereka adalah Otoritas Sertifikat (CA) paling tepercaya dan kritis untuk perusahaan browser. Selain membuat sertifikat mereka sendiri, root CA dapat menggunakan PKI mereka untuk menandatangani dan memvalidasi sertifikat CA perantara pihak ketiga di bawah rantai kepercayaan.
Masalah dengan TrustCor
Menemukan Washington Post Beberapa bendera merah Untuk TrustCor, salah satunya adalah alamat fisik perusahaan yang termasuk dalam audit CA adalah toko UPS di Toronto. Lebih penting lagi, laporan tersebut mengutip dokumen pendaftaran bisnis dari Panama, tempat perusahaan berkantor pusat, yang menghubungkan pejabat, agen, dan mitra perusahaan TrustCor — termasuk CEO Raymond Alan Solino — ke Packet Forensics.
Forensik Paket Seolah-olah Kontraktor Federal, Tapi Ini Kabel 2010 Artikel Perusahaan mengungkapkan bahwa mereka menjual produk intersepsi komunikasi yang dapat mem-bypass enkripsi SSL untuk browser web – perlindungan yang diberikan oleh CA dengan sertifikat digital. Produk Packet Forensics menggunakan kesaksian palsu untuk melakukan a Pria di tengah serangan dan pencurian komunikasi pribadi, laporan Wired.
Awal tahun ini, dua peneliti keamanan — Joel Reardon, seorang profesor di University of Calgary, dan Serge Eagleman dari University of California, Berkeley — Menemukan Aktivitas berbahaya dalam serangkaian aplikasi Android yang berisi kode pengumpulan data dan SDK yang diproduksi oleh Sistem Pengukuran perusahaan Panama.
Menurut The Wall Street Journal Laporan April lalu, dalam penelitian oleh Reardon dan Eagleman, catatan perusahaan dan domain web menghubungkan Sistem Pengukuran ke Vostrom Holdings, kontraktor pertahanan AS yang berbasis di Virginia Beach. Majalah tersebut juga melaporkan bahwa Packet Forensics adalah anak perusahaan dari Vostrom Holdings.
Awal bulan ini, The Washington Post melaporkan lebih banyak bendera merah dari jejak kertas yang menghubungkan TrustCor ke Packet Forensics. Reardon dan Eagleman menemukan bahwa produk email TrustCor, MsgSafe, yang mengklaim menyediakan “email terenkripsi end-to-end”, tidak mengandung enkripsi semacam itu. Sebaliknya, itu berisi SDK berbahaya yang sama dari sistem pembandingan yang terdeteksi di aplikasi Android.
Meskipun tidak ada bukti bahwa TrustCor salah mengeluarkan sertifikat atau menyalahgunakan otoritas CA-nya, peneliti dan profesional keamanan informasi lainnya dalam grup diskusi Mozilla CA menyatakan keprihatinan yang mendalam tentang hubungan institusional dan teknis TrustCor yang nyata dengan vendor spyware.
Dalam serangkaian posting ke grup diskusi, McPherson mengkritik Reardon dan Eagleman, menuduh mereka “mengirim tuduhan palsu” sementara juga memperingatkan kemungkinan tindakan hukum untuk mengulangi tuduhan tersebut. Dikatakan kontak dengan kontraktor pertahanan dan vendor spyware adalah kombinasi dari kesalahan registri dan upaya nyata oleh aktor jahat untuk membuat domain dan entitas serupa, mungkin oleh perusahaan pesaing.
McPherson juga membantah keras bahwa TrustCor dikaitkan dengan Forensik Paket atau Sistem Pengukuran, meskipun dia tampaknya menghindari pertanyaan langsung mengenai Vostrom Holdings. Namun, setelah permintaan berulang kali dari Mozilla, Google, dan Apple, McPherson tampaknya telah mengesampingkan banyak klaim inti terhadap TrustCor. Alat-alat itu termasuk keterlibatan TrustCor dan Sistem Pengukuran dengan eksekutif, kontrol operasional dan integrasi teknis, dan bahwa versi beta Android dari MsgSafe berisi versi yang disamarkan dari SDK Sistem Pengukuran berbahaya.
Meskipun tidak ada penyalahgunaan sertifikat yang ditemukan langsung di TrustCor, Wilson menjelaskan bahwa kekhawatiran tentang sistem pengukuran dan produk email TrustCor sudah cukup untuk menjamin tindakan.
“Biasanya, Mozilla tidak akan secara langsung mengevaluasi kegunaan produk lain bagi pemilik CA saat mempertimbangkan apakah CA harus menjadi anggota program root kami,” katanya dalam grup diskusi. Namun, Trustcor’s pernyataan nilai kuantitatif Itu sangat bergantung pada nilai MsgSafe, yang telah menderita dari sejumlah perilaku bermasalah yang merusak proposisi nilai MsgSafe, dan dengan demikian merusak manfaat yang diakui TrustCor CA menjadi anggota program root kami. “
McPherson tampaknya setuju dengan keputusan tersebut. “Meskipun kami sangat kecewa dengan keputusan ini, kami tidak akan menyia-nyiakan waktu untuk menanggapi pemecatan saat ini,” tulisnya dalam diskusi kelompok.
Editorial TechTarget berulang kali mencoba menghubungi TrustCor dan McPherson, tetapi perusahaan tidak menanggapi.
Mozilla telah mengumumkan tanggal ketidakpercayaan 30 November untuk sertifikat root TrustCor. MacPherson mengatakan Microsoft, yang tidak terlibat dalam diskusi Grup Mozilla, mencapai keputusan serupa dan secara surut menetapkan tanggal ketidakpercayaan menjadi 1 November, yang memengaruhi sertifikat yang dikeluarkan selama bulan tersebut.
Editorial TechTarget telah menghubungi Google dan Apple untuk memberikan komentar tetapi tidak menerima tanggapan pada waktu pers.
“Pop culture ninja. Social media enthusiast. Typical problem solver. Coffee practitioner. Fall in love. Travel enthusiast.”
