Misteriosa società di autenticazione mollata dai principali browser: scoperti legami con un appaltatore militare USA

Questa settimana diversi importanti browser web hanno rapidamente interrotto i legami con una misteriosa società di software utilizzata per certificare la sicurezza dei siti web, riporta il Washington Post. Tre settimane fa il quotidiano della capitale americana aveva rivelato le sue connessioni a un appaltatore militare statunitense.

La TrustCor Systems forniva «certificati» ai browser di Mozilla Firefox e Microsoft Edge. Questi certificati garantivano la legittimità dei siti web.

«Le autorità di certificazione hanno ruoli altamente affidabili nell’ecosistema Internet ed è inaccettabile che una CA [certificate authority, ndr] sia strettamente legata, attraverso la proprietà e il funzionamento, a un’azienda impegnata nella distribuzione di malware», ha scritto Kathleen Wilson di Mozilla in una e-mail agli esperti di sicurezza del browser. «Le risposte di TrustCor tramite il loro vicepresidente delle operazioni di CA confermano ulteriormente la base fattuale delle preoccupazioni di Mozilla».

Secondo alcuni registri panamensi della TrustCor, la società ha la stessa lista di funzionari, agenti e ufficiali di Packet Forensics con sede in Arizona, che ha venduto servizi di intercettazione delle comunicazioni al governo degli Stati Uniti per oltre un decennio.

«Uno di quei contratti elencava il “luogo di esecuzione” come Fort Meade, Md., la sede della National Security Agency e del Cyber ​​Command del Pentagono» scrive il WaPo.

«Il caso ha messo sotto i riflettori gli oscuri sistemi di fiducia e controlli che consentono alle persone di fare affidamento su internet per la maggior parte degli scopi. I browser in genere hanno più di un centinaio di autorità approvate per impostazione predefinita, comprese quelle di proprietà del governo e piccole aziende, per attestare senza problemi che i siti web sicuri sono ciò che pretendono di essere».

È emerso inoltre che TrustCor in Canada mette come sede di attività una casella postale ad un negozio UPS.

In un caso precedente che illustra l’importanza di fidarsi delle autorità di livello root – la massima autorità o privilegio concesso a un utente che lavora con un sistema operativo o un altro programma di controllo – , una società di sicurezza controllata dagli Emirati Arabi Uniti, DarkMatter, aveva richiesto nel 2019 di avere un’autorità root di livello superiore: la richiesta seguiva  le rivelazioni secondo cui DarkMatter aveva violato dissidenti e persino alcuni americani , dopo di che Mozilla gli aveva negato il potere di root.