Mozilla окончательно забанила шпионскую компанию DarkMatter

Вчера Mozilla окончательно отказала DarkMatter во включении корневого сертификата в хранилище Root Store. Кроме того, в блоклист OneCRL ^[1] занесены промежуточные сертификаты QuoVadis, выданные удостоверяющим центром DarkMatter. Эту компанию западные СМИ обвиняют в продаже услуг наблюдения и взлома репрессивным режимам на Ближнем Востоке и в прочих аморальных действиях.

Несмотря на отсутствие доказательств некорректной деятельности компании, после четырёхмесячной дискуссии Mozilla вчера приняла решение ^[2] исключить промежуточные сертификаты QuoVadis из хранилища Firefox, а УЦ DarkMatter окончательно отказать.

Некоторые считают, что это опасный прецедент. Конечно, фирма DarkMatter никому не нравится, но отказывать в доверии на основании нескольких статей в СМИ — это уже как-то слишком. Руководство DarkMatter открыто общалось в Google Groups ^[3] и уверяло, что не занимается ничем аморальным и они не делали ничего такого, что написали журналисты. Но под влиянием общественного мнения Mozilla решила иначе. И в этом тоже есть определённый резон: если бы она оставила DarkMatter среди доверенных удостоверяющих центров, то рисковала бы потерять доверие пользователей к своему доверенному хранилищу.

Предыстория

Напомним предысторию конфликта. DarkMatter ^[4] — это не простая компания, а разработчик «шпионского» программного обеспечения из ОАЭ. Ранее она была замечена в покупке 0day-эксплоитов. В принципе, само по себе это не преступление. Многие компании занимаются созданием хакерского инструментария с использованием 0day. Они продают эти программы, например, правоохранительным органам для взлома телефонов (криминалистическая экспертиза) или скрытой установки троянов (оперативное наблюдение). Но общепринятые правила таковы, что хакерские фирмы сотрудничают только с демократическими правительствами, то есть стоят «на стороне добра».

Страсти накалились в феврале 2019 года, когда вышло расследование Reuters ^[5], что DarkMatter продавала софт репрессивным режимам на Ближнем Востоке. В статье также подробно рассказывается о хакерских операциях, организованных DarkMatter против правозащитников, журналистов и иностранных правительств, которые DarkMatter проводила по приказу властей ОАЭ.

Кроме Reuters, на эту тему за последние годы написали ещё ^[6] четыре ^[7] независимых ^[8] источника ^[9].

Mozilla мгновенно оказалась под давлением. Доверенное корневое хранилище сертификатов Mozilla используется в том числе некоторыми дистрибутивами Linux. Многие боялись, что попав в Mozilla Root Store, компания DarkMatter начнёт выдавать TLS-сертификаты, которые могут использоваться для перехвата интернет-трафика пользователей. Такие случаи уже были в странах с репрессивными режимами, хотя DarkMatter заявляет, что никогда не участвовала в подобных операциях. Хотя сейчас проблема могла затронуть только определённые Linux-системы, но именно Linux работает на серверах облачных провайдеров и разворачивается в дата-центрах. В обсуждении ситуации на Google Groups ^[3] представители DarkMatter заверяли, что никогда не собираются делать ничего подобного.

В то же время сертификаты DarkMatter подверглись пристальному рассмотрению. И быстро обнаружилась странность: для последовательных номеров сертификатов использовались случайные числа из 63-битного пространства вместо 64-битного, как положено по спецификации. Это нарушает требования CA/B Forum по минимальной энтропии (64 бита). Таким образом, у Mozilla появились формальные основания отказать «шпионам» во включении в доверенное хранилище сертификатов. Впрочем, вскоре выяснилось, что подобное нарушение допустила не только DarkMatter, но с десяток удостоверяющих центров, в том числе GoDaddy, Apple и Google. Причина в том, что все пострадавшие УЦ использовали популярное open source PKI-решение EJBCA с неправильными настройками. В результате состоялся массовый отзыв ^[10] сертификатов от ведущих центров. Таким образом, DarkMatter помогла обнаружить серьёзную криптографическую уязвимость, хотя сама оказалась пострадавшей.

На самом деле обвинения в расследовании Reuters не имеют конкретных доказательств: возможно, это просто домыслы. Однако заявку DarkMatter на включение в доверенное корневое хранилище Mozilla отклонили, чем представители фирмы оказались искренне возмущены. И некоторые независимые эксперты были согласны, что отклонять заявку на основании журналистской статьи не совсем правильно. С тех пор велась дискуссия по этому вопросу.

«Странная ситуация. С одной стороны, отказ в заявке DarkMatter на основании этих статей в прессе создаст прецедент отказа в очевидной добросовестности члена индустрии на основании только слухов и без доказательств, — писал ^[11] известный специалист по безопасности Надим Кобейсси. — С другой стороны, решив действовать добросовестно, прозрачно и на фактических доказательствах, мы в реальности рискуем долгосрочно подорвать доверие общественности к процессу включения УЦ. Мне действительно кажется, что оба решения нанесут ущерб. В первом случае это будет выглядеть дискриминационным (и даже немного ксенофобным)… а во втором возникнет серьёзное облако неопределённости над безопасностью корневого каталога УЦ в целом. И я даже не знаю, как кто-то может хотя бы когда-нибудь рассеять его. Как сторонний наблюдатель, я искренне не знаю, что делать Mozilla в данный момент».

В качестве последнего усилия, чтобы сохранить промежуточные сертификаты в Firefox, DarkMatter попыталась выделить бизнес центра сертификации (ЦС) в качестве отдельной компании DigitalTrust. Руководители доказывали, что их бизнес в качестве удостоверяющего центра не связан с бизнесом хакерского подразделения, деятельность которого расследуют журналисты.

Но этот шаг был запоздалым, и инженеры Mozilla не купились на его. Они приводят довод, что у DarkMatter и новой компании один и тот же генеральный директор Аль Баннай (Al Bannai).

Окончательное решение

Однако 9 июля 2019 года Уэйн Тайер, менеджер программ Центра сертификации в Mozilla, сделал официальное объявление, что DarkMatter будет окончательно отказано во включении корневого сертификата в хранилище.

Кроме того, принято решение об удалении из хранилища промежуточных сертификатов QuoVadis, которая действовала в интересах DarkMatter. Как только это будет сделано в будущем обновлении Firefox, все веб-сайты, использующие сертификаты TLS, полученные от DarkMatter, начнут показывать в Firefox полностраничные ошибки HTTPS, предупреждая и блокируя доступ пользователей к содержимому сайтов.

Уэйн Тайер поблагодарил представителей DarkMatter за открытую публичную дискуссию по этому вопросу. «Как я уже говорил ранее в этой теме, каждое решении о недоверии имеет существенный элемент субъективности, — написал Тайер. — Можно утверждать, что мы обсуждаем здесь другой вид субъективности, но он всё ещё означает, что решение принимается на основе коллективной оценки всей информации, доступной в наличии, а не какого-то чёткого списка».

Другими словами, хотя доказательств виновности и нет, но здесь не суд. Презумпция невиновности не действует.

Как уже было сказано, за несколько лет про некорректную деятельность компании DarkMatter высказались несколько СМИ. Последней стала новая статья про DarkMatter ^[9] на сайте журналистских расследований The Intercept. Может быть, она стала последней каплей. Теперь вердикт вынесен.

Уэйн Тайер процитировал Манифест Mozilla, который гласит: «Безопасность и конфиденциальность людей в интернете являются основополагающими принципами и не должны рассматриваться как необязательные». А также процитировал правила Root Store: «Мы определяем, сертификаты
каких центров сертификации включать в Mozilla Root Store на основе рисков такого включения к типичным потребителям наших продуктов».

Автор: alizar

Источник ^[12]