Meedia: interneti turvalisuse eest vastutab USA luurega seotud ettevõte
USA leht The Washington Post tõi välja, et üks turvasertifikaate väljastav ettevõte TrustCor võib olla seotud USA luure- ning korrakaitseorganitega. Sarnaseid juhtumeid on varem tulnud välja Araabia Ühendemiraatides ning Hiinas.
The Washington Post tuvastas, et üks oluline veebilehtede turvalisuse eest vastutav tehnoloogiaettevõte võib olla seotud USA luureagentuuride ning korrakaitseorganitega.
Leht tugines oma loo tegemisel julgeolekuanalüütikutele, dokumentidele ning intervjuudele.
Google veebilehitseja Chrome, Apple'i Safari ning Mozilla Firefox tuginevad TrustCor Systems veebilehtede sertifitseerimisele.
Sertifikaadiga kinnitatakse veebilehitsejale, et külastatav veebileht on päris.
Leht toob välja, et ettevõtte Panama registreering näitab, et sellel on samad töötajad ning koostööpartnerid kui Arizonas paikneval luuretegevusega tegeleval ettevõttel Packet Forensicsil.
Packet Forensicsi puhul on avalikud hankedokumendid ja ettevõtte enda dokumendid näidanud, et ettevõte on viimase kümnendi jooksul müünud kommunikatsioonitehnoloogiat USA valitsusasutustele.
TrustCor väidab, et pakub krüpteerimisteenust, mida kõrvalised isikud ei saa pealt kuulata (end-to end encryption). The Washington Postiga suhelnud eksperdid on samas leidnud tõendeid, mis selle väite kahtluse alla seavad.
Packet Forensics advokaadi Karhryn Temeli sõnul ei ole nende ettevõttel TrustCor ettevõttega ärisuhteid. Samas tõi leht välja, et advokaat ei soostunud kinnitama kas sellised ärisuhted võisid eksisteerida varem.
Praegu veel ei ole teateid, et TrustCor sertifikaate ei oleks eesmärgipäraselt kasutatud. Sarnastest juhtumitest on aga varem olnud teateid Hiinas ja Araabia Ühendemiraatides.
Samas tõid analüütikud välja, et juhul kui kasutatakse võltssertifikaate (millest jääb mulje, et võltsveebileht on tegelikult õige veebileht), siis tehakse seda väga lühikese ajaperioodi jooksul kõrge väärtusega sihtmärgi eksitamiseks, kinnitas lehele üks Packet Forensics töö sisuga kursis olev isik.
Ühe eksperdi sõnul on hirmutav, et selliste sertifikaatide eest hoolitseb ettevõte, mille usaldusväärsus on kaheldav.
TrustCor ettevõtte veebilehel on ära toodud ainult kahe mehe nimed, kes on ettevõtte asutajad. Kuigi veebilehel seda ei mainita, siis suri üks neist mitu kuud tagasi ja LinkedIn profiili kohaselt lahkus teine asutaja ettevõttest 2019. aastal.
Mozilla tunnistas The Washington Posti loo ilmumise ajal 169 juursertifikaati, millest kolm on TrustCor omad.
Google ei kommenteerinud lehele esitatud väiteid. Mozilla teatas, et vastab peale analüüsiga tutvumist.
Toimetaja: Allan Aksiim
Allikas: The Washington Post