Una empresa que varios importantes navegadores web confiar para verificar que los sitios web seguros y protegidos tengan enlaces a las agencias de inteligencia y las fuerzas del orden de EE. UU., afirma una nueva investigación.
Una exposición de la El Correo de Washington (se abre en una pestaña nueva) (TWP) (paywall), que extrae sus conclusiones de la documentación, registros y entrevistas con investigadores de seguridad.
Los registros de registro panameños de TrustCor Systems revelan que comparte personal con un desarrollador de spyware previamente identificado como vinculado a la empresa de Arizona Packet Forensics, cuyos registros públicos han revelado previamente que ha vendido «servicios de interceptación de comunicaciones» a agencias estadounidenses «durante más de una década». ”
Infraestructura de certificado raíz
Google Chrome, Apple Safari, Mozilla supuestamente navegador seguro Firefox, y varios otros, permiten a TrustCor firmar certificados raíz para sitios web que considera seguros y legítimos, dirigiendo a los usuarios a ellos, en lugar de falsificaciones potencialmente convincentes.
TrustCor sostiene que nunca ha cooperado con las solicitudes de información del gobierno ni monitoreado a los usuarios en nombre de un tercero. Sin embargo, el Pentágono se niega a comentar y Mozilla exige respuestas de TrustCor mientras amenaza con quitarle su autoridad.
Las revelaciones que rodean a TrustCor representan una pesadilla de relaciones públicas para los navegadores como Firefox, que se comercializan a sí mismos como herramientas de privacidadpero sus propios productos ya no pueden considerarse seguros para sus usuarios finales.
MsgSafe, un proveedor de correo electrónico de TrustCor que pretende ofrecer encriptación de extremo a extremo, ha sido denunciado por expertos en seguridad hablando con TWP, alegando que una versión anterior del software contenía spyware desarrollado por una empresa vinculada a Packet Forensics.
Un experto familiarizado con el trabajo de Packet Forensics confirmó explícitamente que había utilizado el proceso de certificación de TrustCor y MsgSafe para interceptar comunicaciones y «ayudar al gobierno de EE. UU. a capturar a presuntos terroristas».
También afirmó que los productos y servicios de TrustCor solo se estaban utilizando para buscar estos «objetivos de alto perfil», y no ha habido informes de certificados raíz que se hayan utilizado para garantizar sitios web impostores con fines como la recopilación de datos.
Sin embargo, la duda sembrada por las revelaciones puede dañar la reputación de los navegadores web involucrados, ya que no hay forma de saber si la estrategia de TrustCor cambiará.