Perusahaan yang memverifikasi situs web aman di browser Anda bekerja untuk pemerintah AS

Perusahaan yang memverifikasi situs web aman di browser Anda bekerja untuk pemerintah AS

Sebuah perusahaan yang memiliki beberapa peramban web utama bergantung pada pemeriksaan apakah situs web yang aman memiliki tautan ke badan intelijen dan penegak hukum AS, penelitian baru menunjukkan.

Pameran kepengarangan Washington Post (terbuka di tab baru) (TWP) (paywall), yang menarik kesimpulan dari dokumentasi, catatan, dan wawancara dengan peneliti keamanan.

Catatan TrustCor Systems Panama mengungkapkan bahwa mereka berbagi staf dengan pengembang spyware yang sebelumnya diidentifikasi memiliki hubungan dengan Packet Forensics yang berbasis di Arizona, yang sebelumnya diungkapkan oleh catatan publik telah menjual “layanan intersepsi komunikasi” ke agen AS “selama lebih dari satu dekade. “

Infrastruktur sertifikat root

Google Chrome, Apple Safari, seharusnya browser aman Mozilla Firefox dan beberapa lainnya memungkinkan TrustCor untuk menandatangani sertifikat root untuk situs web yang dianggap aman dan sah, mengarahkan pengguna ke mereka alih-alih palsu yang berpotensi meyakinkan.

TrustCor menyatakan bahwa ia tidak pernah bekerja sama dengan permintaan informasi pemerintah atau memantau pengguna atas nama pihak ketiga. Namun, Pentagon menolak berkomentar, dan Mozilla menuntut tanggapan dari TrustCor sambil mengancam akan mencabut kekuatannya.

Pengungkapan TrustCor adalah mimpi buruk PR untuk browser seperti Firefox yang mengiklankan dirinya sebagai alat privasi, tetapi produknya sendiri tidak lagi dianggap aman bagi pengguna akhir.

MsgSafe, penyedia email dari TrustCor, yang mengaku menawarkan enkripsi end-to-end, dikutuk oleh pakar keamanan yang berbicara kepada TWP, mengklaim bahwa versi awal perangkat lunak tersebut berisi spyware yang dikembangkan oleh perusahaan yang berafiliasi dengan Packet Forensics.

Seorang ahli yang mengetahui pekerjaan Packet Forensics dengan jelas menegaskan bahwa perusahaan tersebut menggunakan proses sertifikasi TrustCor dan MsgSafe untuk mencegat komunikasi dan “membantu pemerintah AS menangkap tersangka teroris”.

Ia juga mengklaim bahwa produk dan layanan TrustCor hanya digunakan untuk mencari “sasaran tinggi” ini dan tidak ada laporan tentang sertifikat root yang digunakan untuk menjamin situs web palsu untuk tujuan seperti pengumpulan data.

Namun, keraguan yang ditabur oleh pengungkapan tersebut dapat merusak reputasi browser web yang terlibat, karena tidak ada cara untuk mengetahui apakah strategi TrustCor akan berubah.

Author: Lawrence Carter