Hat jemand von „Trustcor“ gehört?
Das soll eine Firma mit unlauteren Absichten sein, die sich mittels Browser in so ziemlich jedes System einschleicht. GrapheneOS hat bereits Gegenmaßnahmen ergriffen: https://www.golem.de/news/chrome-safari-firefox-die-mysterioese-firma-die-in-unseren-browsern-steckt-2211-169708.html
1 „Gefällt mir“
Wenn ich ein „Dienst“ wäre, würde ich das auch so machen.
Wie machen sie denn das?
"…Berichte, dass Trustcor auch sein in den Browsern integriertes Root-Zertifikat missbraucht haben sollte, gibt es bisher jedoch nicht. Mit diesen könnten beispielsweise gefälschte Zertifikate für Webseiten ausgestellt und so Machine-in-the-Middle-Angriffe (MITM) durchgeführt werden.
Forscher vermuten laut der Washington Post jedoch, dass die Zertifikate nur gegen hochrangige Ziele und nur für einen sehr kurzen Zeitraum eingesetzt werden. Eine Person, die mit der Arbeit von Packet Forensics vertraut ist, bestätigte, dass die Zertifikate auf diese Weise eingesetzt würden. Packet Forensics greife neben den TLS-Zertifikaten auch auf den E-Mail-Dienst von Trustcor zurück. Beides werden für die Telekommunikationsüberwachung im Auftrag der US-Regierung verwendet. …"
(aus dem oben verlinkten Golem-Beitrag)
So weit ich verstanden habe, werden also mit gefälschten oder manipulierten Root-Zertifikaten MITM-Attacken geritten. Das könnte erklären, wie sie es machen (sich „ins System einschleichen“).
1 „Gefällt mir“
Gefälscht oder manipuliert sind die Root Zertifikate nach meinem Verständnis nicht, sondern sie könnten für MITM Attacken missbraucht werden. Das steht ja auch im von dir zitierten Text von golem.
Danke für den Hinweis. Ja, das stimmt natürlich.
Wenn es so ist, ist es natürlich noch mal einen ganzen, wesentlichen Zacken schlimmer: Eigentlich legitmierte Zertifikate müssen nicht einmal gefälscht oder manipuliert werden, um Angriffe auszuführen - sondern werden einfach dafür missbraucht. Das wäre massiver Betrug und ein weiterer, gewaltiger Vertrauensbruch.
„…Nach der Veröffentlichung des Berichtes gab der Browserhersteller Mozilla Trustcor zwei Wochen Zeit, um zu den Vorwürfen Stellung zu nehmen. …“ (Golem; selber Beitrag)
Ist dazu schon etwas bekannt? (Ich habe auf die Schnelle nichts finden können.)
1 „Gefällt mir“
Vielleicht dem hier folgen: https://infosec.exchange/@JosephMenn - oder hier schauen: https://nitter.1d4.us/josephmenn - da müßte es kommen, wenn sich was ergibt.
1 „Gefällt mir“
Bingo!
(Danke ilu)
„Webbrowser lassen mysteriöses Unternehmen mit Verbindungen zu US-Militärauftragnehmern fallen“
https://www.washingtonpost.com/technology/2022/11/30/trustcor-internet-authority-mozilla/
Dazu Kathleen Wilson (Mozilla):
… Im Einklang mit unserer früheren Kommunikation beabsichtigen wir, die folgenden Maßnahmen zu ergreifen:
Setzen Sie „Distrust for TLS After Date“ und „Distrust for S/MIME After Date“ auf den 30. November 2022 für die drei TrustCor-Root-Zertifikate (TrustCor RootCert CA-1, TrustCor ECA-1, TrustCor RootCert CA-2), die derzeit in Mozillas Root-Store enthalten sind.
Entfernen Sie diese Root-Zertifikate aus Mozillas Root-Speicher, nachdem die bestehenden TLS-Zertifikate der Endteilnehmer abgelaufen sind.
Wenn Beweise gefunden werden, dass die CA Zertifikate missbraucht hat oder die CA Zertifikate rückdatiert, um die Misstrauenseinstellungen zu umgehen, werden wir die Wurzelzertifikate aus Mozillas Root Store in einer beschleunigten Zeitspanne entfernen, ohne zu warten, bis die TLS-Zertifikate der Endteilnehmer abgelaufen sind.
Mozilla wird keine Überkreuzsignierung der bestehenden TrustCor-Root-Zertifikate durch andere Root-CA-Betreiber im Mozilla-Root-Speicher akzeptieren. Wenn TrustCor sich entscheidet, eine untergeordnete CA eines anderen Root-CA-Betreibers in Mozillas Root-Store zu werden, müssen alle Verifizierungen von Domänen- und E-Mail-Adressen und die Ausstellung von Zertifikaten auf den vom Root-CA-Betreiber betriebenen Systemen durchgeführt werden. D.h. die Überprüfung des Besitzes von Domänen und E-Mail-Adressen und die Ausstellung von Zertifikaten darf nicht auf Systemen erfolgen, die von der TrustCor CA betrieben werden.
Mozilla möchte sich bei den Forschern bedanken, die uns und die Community auf dieses Problem aufmerksam gemacht haben, sowie bei den Beiträgen anderer Mitglieder der Community.
https://groups.google.com/a/mozilla.org/g/dev-security-policy/c/oxX69KFvsm4/m/yLohoVqtCgAJ
1 „Gefällt mir“
Nachsatz 5. Dezember:
Heute kam hier das Update dazu rein:
ca-certificates (20211016ubuntu0.20.04.1) focal-security; urgency=medium
- Add Trustcor root certificates to mozilla/blacklist.txt: (LP: #1998785)
- „TrustCor RootCert CA-1“
- „TrustCor RootCert CA-2“
- „TrustCor ECA-1“
– Marc Deslauriers marc.deslauriers@ubuntu.com Mon, 05 Dec 2022 07:22:26 -0500
Damit dürfte die Sache abgeschlossen sein, wenn ich nicht irre.