Mozilla e Microsoft descartam Trustcor como CA raiz

Após semanas de discussões, a Mozilla e a Microsoft removeram a confiança dos certificados da TrustCor Systems e removeram a empresa de seus respectivos armazenamentos de certificados raiz.

Decisões seguem investigação relatório do Washington Post no início deste mês, que mostrou os aparentes laços da TrustCor com o provedor de spyware Packet Forensics, bem como outras empresas com laços com a comunidade de inteligência dos EUA. Rachel McPherson, vice-presidente de operações da TrustCor, respondeu com raiva em uma carta aberta, dizendo que o artigo foi escrito por pesquisadores de segurança tendenciosos e “cheio de alegações falsas e ridículas e declarações fora de contexto”.

No entanto, depois de analisar as evidências contra o TrustCor, a Mozilla e a Microsoft decidiram revogar a confiança do root. Autoridade de Certificação (CA), que tornará os certificados da TrustCor inutilizáveis ​​para os navegadores FireFox e Edge e outros produtos.

“Nossa avaliação é que as preocupações sobre o TrustCor foram fundamentadas e que os riscos da associação contínua do TrustCor no programa raiz da Mozilla superam os benefícios para os usuários finais”, disse Kathleen Wilson, gerente de programa da Mozilla, durante a discussão da CA da organização. banda.

“As autoridades de certificação têm funções altamente confiáveis ​​no ecossistema da Internet e é inaceitável que uma autoridade de certificação esteja intimamente ligada, por propriedade e operação, a uma empresa envolvida na distribuição de malware. da Trustcor, por meio de seu vice-presidente de operações de autoridade de certificação, confirma ainda a base factual das preocupações da Mozilla.”

Representantes do Google e da Apple expressaram preocupação anteriormente no grupo de discussão sobre as alegações e evidências contra o TrustCor. Mas até o momento, nenhuma das empresas havia anunciado uma decisão sobre o status da CA raiz.

CAs raiz exercem um poder considerável no ecossistema de certificados porque seus infraestrutura de chave pública (PKI) forma a base da cadeia criptográfica de confiança. Eles são as autoridades de certificação mais confiáveis ​​e críticas para empresas de navegação. Além de emitir seus próprios certificados, as CAs raiz podem usar sua PKI para assinar e validar certificados de CAs intermediárias de terceiros na cadeia de confiança.

O problema com o TrustCor

O Washington Post descobriu várias bandeiras vermelhas para a TrustCor, uma delas sendo que o endereço físico da empresa listado em uma auditoria da CA era uma loja da UPS em Toronto. Mais importante ainda, o relatório cita documentos de registro corporativo do Panamá, onde a empresa está sediada, que ligavam diretores, agentes e parceiros da TrustCor – incluindo o CEO Raymond Alan Saulino – à Packet Forensics.

A Packet Forensics é aparentemente uma empreiteira do governo federal, mas um 2010 Wired artigo revelou que a empresa vende produtos de interceptação de comunicação que podem essencialmente ignorar a criptografia SSL dos navegadores da web – a mesma proteção fornecida pelos certificados digitais da CA. Os produtos Packet Forensics usaram certificados falsos para cometer um homem no meio do ataque e roubar comunicações privadas, de acordo com o relatório da Wired.

No início deste ano, dois pesquisadores de segurança — Joel Reardon, professor da Universidade de Calgary, e Serge Egelman, da Universidade da Califórnia em Berkeley — descoberto atividade maliciosa em uma série de aplicativos Android contendo código de coleta de dados e um SDK produzido pela empresa panamenha Measurement Systems.

De acordo com um Wall Street Journal relatório em abril, em pesquisa de Reardon e Egelman, registros corporativos e de domínio da web ligaram a Measurement Systems à Vostrom Holdings, uma empreiteira de defesa dos EUA com sede em Virginia Beach. O Journal também informou que a Packet Forensics é uma subsidiária da Vostrom Holdings.

No início deste mês, o The Washington Post relatou mais bandeiras vermelhas além da trilha de papel ligando o TrustCor ao Packet Forensics. Reardon e Egelman descobriram que o produto de e-mail da TrustCor, MsgSafe, que afirma fornecer “e-mail criptografado de ponta a ponta”, não possui essa criptografia. Em vez disso, continha o mesmo SDK de sistemas de medição malicioso encontrado em aplicativos Android.

Embora não haja evidências de que a TrustCor emitiu certificados incorretamente ou abusou de sua autoridade de certificação, pesquisadores e outros profissionais de segurança de computadores expressaram profunda preocupação no grupo de notícias Mozilla CA sobre os aparentes laços comerciais e técnicos da TrustCor com fornecedores de spyware.

Em uma série de postagens no grupo de notícias, McPherson criticou Reardon e Egelman, acusando-os de “jogar falsas alegações”, enquanto alertava sobre uma possível ação legal por repetir tais alegações. Ela argumentou que os laços com prestadores de serviços de defesa e fornecedores de spyware eram uma combinação de erros de registro e um aparente esforço de maus atores para criar domínios e entidades semelhantes, possivelmente por empresas rivais.

McPherson também negou veementemente que a TrustCor estivesse associada a Packet Forensics ou Measurement Systems, embora ela parecesse evitar perguntas diretas sobre a Vostrom Holdings. No entanto, após repetidos pedidos da Mozilla, Google e Apple, McPherson pareceu conceder várias das principais alegações contra a TrustCor. Isso incluía que a TrustCor e a Measurement Systems compartilhavam liderança, controle operacional e integrações técnicas e que a versão Android beta do MsgSafe continha uma versão não ofuscada do SDK malicioso da Measurement Systems.

Embora nenhum abuso de certificado direto tenha sido encontrado na TrustCor, Wilson explicou que as preocupações sobre os Sistemas de Medição e o produto de mensagens da TrustCor eram suficientes para justificar uma ação.

“Normalmente, a Mozilla não avaliaria diretamente os benefícios dos outros produtos do proprietário da CA ao determinar se uma CA deve ser membro de nosso programa raiz”, disse ela no grupo de discussão. “No entanto, a Trustcor declaração de valor quantificado depende fortemente do valor do MsgSafe, que sofreu vários comportamentos problemáticos que minam a proposição de valor do MsgSafe e, portanto, prejudicam os supostos benefícios para a TrustCor CA por ser um membro do nosso programa raiz.”

McPherson pareceu aceitar a decisão. “Embora estejamos incrivelmente desapontados com esta decisão, não vamos desperdiçar o tempo de ninguém com uma resposta de remoção neste momento”, escreveu ela durante o bate-papo em grupo.

A TechTarget Editorial fez várias tentativas de contato com a TrustCor e a McPherson, mas a empresa não respondeu.

Mozilla anunciou uma data de desafio de 30 de novembro para certificados raiz TrustCor. McPherson disse que a Microsoft, que não participou da discussão do Mozilla Group, tomou uma decisão semelhante e definiu retroativamente sua data de desconfiança para 1º de novembro, o que afeta os certificados emitidos durante o mês.

A TechTarget Editorial entrou em contato com o Google e a Apple para comentar, mas não recebeu uma resposta até o momento.