La società che controlla i siti Web sicuri nel tuo browser lavora per il governo degli Stati Uniti.

La società che controlla i siti Web sicuri nel tuo browser lavora per il governo degli Stati Uniti.

Secondo una nuova ricerca, una società di cui si fidano molti dei principali browser Web per verificare la sicurezza dei siti Web ha legami con le agenzie di intelligence e le forze dell'ordine statunitensi.

Una denuncia del Washington Post (si apre in una nuova scheda) (TWP) (paywall), che trae le sue conclusioni da documenti, registrazioni e interviste con ricercatori di sicurezza.

I documenti di registrazione panamensi di TrustCor Systems rivelano che condivide il personale con uno sviluppatore di spyware precedentemente identificato come collegato alla società Packet Forensics con sede in Arizona, i cui registri pubblici avevano precedentemente rivelato la vendita di "servizi di intercettazione delle comunicazioni" ad agenzie statunitensi "per più di un decennio" ." "

Infrastruttura del certificato radice

Google Chrome, Apple Safari, Firefox, il presunto browser sicuro di Mozilla e molti altri consentono a TrustCor di firmare certificati di root per siti Web che ritiene sicuri e legittimi, indirizzando gli utenti verso di essi, piuttosto che falsi potenzialmente convincenti.

TrustCor sostiene di non aver mai collaborato con richieste governative di informazioni o monitorato utenti per conto di terzi. Tuttavia, il Pentagono si rifiuta di commentare e Mozilla chiede risposte a TrustCor minacciando di ritirare la sua autorità.

Le rivelazioni su TrustCor rappresentano un incubo per le pubbliche relazioni per browser come Firefox, che si promuovono come strumenti per la privacy, ma i loro stessi prodotti non possono più essere considerati sicuri per i loro utenti finali.

MsgSafe, un provider di posta elettronica TrustCor che afferma di offrire la crittografia end-to-end, è stato smascherato da esperti di sicurezza che hanno parlato con TWP, sostenendo che una versione precedente del software conteneva spyware sviluppato da una società collegata a Packet Forensics.

Un esperto che ha familiarità con il lavoro di Packet Forensics ha confermato esplicitamente di aver utilizzato il processo di certificazione di TrustCor e MsgSafe per intercettare le comunicazioni e "aiutare il governo degli Stati Uniti a catturare sospetti terroristi".

Ha inoltre affermato che i prodotti e i servizi di TrustCor sono stati utilizzati solo per trovare questi "obiettivi di alto profilo" e che nessun certificato radice è stato utilizzato per proteggere i siti Web impostori per alcuno scopo, come la raccolta di dati.

Tuttavia, il dubbio suscitato dalle rivelazioni potrebbe danneggiare la reputazione dei browser web coinvolti, poiché non c'è modo di sapere se la strategia di TrustCor cambierà.