Uma história verdadeiramente detetive se desenrolou nos últimos meses em torno do
DarkMatter , que
se candidatou para incluir sua autoridade de certificação no armazenamento confiável de certificados raiz da Mozilla. O fato é que essa não é uma empresa simples, mas uma desenvolvedora de software "spyware" dos Emirados Árabes Unidos. Ela já foi
vista comprando explorações de 0 dia . Em princípio, isso não é um crime em si. Muitas empresas, incluindo as russas, estão desenvolvendo ferramentas de hackers usando o dia 0. Eles vendem esses programas, por exemplo, a órgãos policiais para invadir telefones (conhecimento forense) ou para a instalação oculta de cavalos de Troia (vigilância operacional). Mas as regras geralmente aceitas são tais que as empresas de hackers cooperam apenas com governos democráticos, ou seja, ficam "do lado do bem".
As paixões aumentaram em fevereiro de 2019, quando saiu uma
investigação da Reuters de que a DarkMatter estava vendendo software para regimes repressivos no Oriente Médio.
A Mozilla ficou instantaneamente
sob pressão .
O armazenamento confiável de certificados raiz da Mozilla também é usado por algumas distribuições do Linux. Muitos temiam que, uma vez no Mozilla Root Store, o DarkMatter passasse a emitir certificados TLS, que podem ser usados para interceptar o tráfego da Internet dos usuários. Tais casos já ocorreram em países com regimes repressivos, embora o DarkMatter afirme nunca ter participado de tais operações. Embora agora o problema possa afetar apenas alguns sistemas Linux, é o Linux que roda nos servidores dos provedores de nuvem e é implantado nos datacenters. Ao
discutir a situação nos Grupos do Google , os representantes do DarkMatter garantiram que nunca fariam algo assim.
Ao mesmo tempo, os certificados DarkMatter foram examinados. E uma estranheza foi rapidamente descoberta: para números de certificado seqüenciais, números aleatórios do espaço de 63 bits foram usados em vez de 64 bits, como deveria, de acordo com a especificação. Isso viola os requisitos mínimos de entropia do CA / B Forum (64 bits). Portanto, a Mozilla tinha motivos formais para recusar a inclusão de "espiões" no repositório de certificados confiável.
No entanto, descobriu-se que tal violação foi cometida não apenas pelo DarkMatter, mas com uma dúzia de centros de certificação, incluindo GoDaddy, Apple e Google. O motivo é que todas as CAs afetadas usaram a popular solução EJBCA PKI de código aberto com as configurações incorretas.
A recuperação em massa dos principais centros já começou. O procedimento levou muito tempo (até 30 dias) devido ao grande número de certificados. Eles tiveram que violar o RFC5280, que obriga a revogar certificados inválidos dentro de cinco dias. Como resultado, de acordo com algumas estimativas, vários milhões de peças foram retiradas.
Foi assim que a empresa de espionagem DarkMatter fez um bom trabalho: ajudou a detectar uma séria vulnerabilidade criptográfica. Mas ela mesma estava machucada. De fato, as alegações de uma investigação da Reuters não têm base séria: talvez seja apenas a especulação de um jornalista. No entanto, seu pedido de inclusão no armazenamento raiz confiável da Mozilla já foi rejeitado, motivo pelo qual os representantes da empresa estão
sinceramente indignados . E alguns concordam com eles.
“Uma situação estranha. Por um lado, uma negação da aplicação do DarkMatter com base nesses artigos na imprensa abrirá um precedente para recusar a consciência óbvia de um membro da indústria com base apenas em rumores e sem evidências ”, escreve Nadim Kobeissi, um especialista em segurança conhecido. "Por outro lado, ao decidir agir de boa fé, de forma transparente e com evidências factuais, estamos na realidade arriscando um risco de longo prazo de minar a confiança do público no processo de incorporação de CAs".
Parece-me realmente que ambas as decisões serão prejudiciais. No primeiro caso, isso parecerá discriminatório (e até um pouco xenófobo) ... e no segundo, haverá uma séria nuvem de incerteza sobre a segurança do diretório raiz da CA como um todo. E eu nem sei como alguém pode, pelo menos um dia, dissipá-lo.
Como observador externo, sinceramente não sei o que fazer o Mozilla no momento ...
De fato, eu gostaria que fossem publicadas evidências sérias contra o DarkMatter (se houver). Eles ajudariam a Mozilla a assumir uma forte posição defensiva ".
Segundo especialistas da indústria SSL / PKI, a repentina revogação de certificados também demonstra o importante papel da automação no gerenciamento de certificados da empresa. Afinal, de fato, você pode revogar um certificado a qualquer momento devido a um evento tão crítico.
É bom se for um certificado em um servidor, mas o problema se torna sério se você tiver centenas de certificados em dispositivos IoT revogados instantaneamente. E se são milhares de dispositivos, dezenas de milhares? Para resolver esse problema, a GlobalSign firmou um contrato de parceria tecnológica com a
Xage Security . Ele implementará o sistema de gerenciamento automático de certificados da
IoT Identity Platform , capaz de emitir 3000 certificados por segundo.
Junte-se hoje a desenvolvedores, inovadores no campo da Internet e gerencie vários
dispositivos IoT baseados em PKI com as soluções GlobalSign .
Precisa de mais informações? Estamos sempre felizes em aconselhá-lo por telefone +7 499-678-2210.