6. Некоторые УЦ уже участвовали в слежке


Наиболее мощный эффект от атак с созданием сертификатов по принуждению состоит в том, что он не требует кооперации с дружественным УЦ. Хотя никакая корпорация в конечном итоге не сможет отклонить сотрудничество по действительному судебному ордеру, существуют фирмы, которые имеют выгоду от взаимоотношений с властями в обмен на осуществление слежки и гораздо менее вероятно, что они будут бороться за то, чтобы те приходили к ним только с такими ордерами.

Мы считаем, что само по себе ценно пролить свет на чрезвычайно близкие отношения, которые уже связывают множество компаний, имеющие УЦ-отделы, с властями и в частности, их регулярную кооперацию и вовлечение в другие виды слежки.

6.1 VeriSign


Сертификаты VeriSign используются более чем миллионом вэбсерверов по всему миру, больше чем от какого-либо другого УЦ. Компания утверждает, что 40 крупнейших банков и свыше 95% компаний списка Fortune-500 выбирают сертификаты или от них, или от их дочерних предприятий [25]. То есть среди всех УЦ, пользователи вероятно больше всего будут распознавать брэнднэйм VeriSign и возможно даже ассоциировать его с безопасными электронными транзакциями.

Мало кто из пользователей, слышавших о Verisign, знал, что компания вовлечена также и в другие сферы бизнеса, помимо продаж SSL-сертификатов высокого уровня. Частичное отношение к этому обсуждению имеет отдел бизнеса VeriSign, который используется во многих больших телекоммуникационных компаниях, которые соглашаются на аутсорсинг своих потребностей в слежке и удовлетворении требований со стороны властей. Маркетинговые материалы VeriSign описывают их аутсорсинговую помощь в коммуникациях в отношении акта об охране правопорядка (CALEA), некоторые детали этого продукта показаны на рис. 2,
также раскрывается, что кабельный гигант Cox Communications и лидер VOIP Vonage относятся к многим, кто удовлетворяет такого рода запросы со стороны корпоративных пользователей.


Figure 2: The process flow used by the VeriSign Security Office in handling outsourced subpoena requests\r\n (88 Кб)
Рис. 2: Движение потоков в офисе безопасности VeriSign в отношении обращения с аутсорсинговыми запросами по ордеру (по данным маркетинговых материалов компании) [24]


В 2004 году New York Times раскрыла сведения об отделе слежки этой компании:

Все издержки, которые они несут, в конечном итоге перекладываются на пользователей, сказал Том Киршоу, вице-президент VoIP-сервиса VeriSign, который помогает в установлении слежки для телефонных компаний, предоставляющих звонки через Интернет.

Для того чтобы сделать прослушивание возможным, компании телефонной интернет-связи должны закупить оборудование и программное обеспечение, также как и нанять техников или заключить контракт с Verisign или одним из их конкурентов. Цена исчисляется миллионами долларов и зависит от размера интернет-телефонной компании и от количества запросов со стороны властей [28]


У нас нет свидетельств, указывающих на то, что подразделение УЦ VeriSign когда-либо было принуждаемо американскими властями для выпуска сертификата в целях использования разведывательными агентствами. Также у нас нет и свидетельств того, что VeriSign когда-либо нарушало какие-либо законы или некорректным образом раскрывало приватные данные пользователей для государственных агентств.

Тем не менее, VeriSign, крупнейший провайдер SSL-сертификатов в мире, включая множество зарубежных банков, компаний и правительств стран, не имеющих дружественных отношений с США, также зарабатывает значительные суммы денег на оказании помощи по раскрытию приватных данных американских пользователей для сил охраны правопорядка США и разведывательных агентств. Уже сам по себе этот факт даёт некоторым зарубежным организациям хороший повод задуматься в выборе своего УЦ.

6.2 Etisalat


Etisalat — это национальный телекоммуникационный сервис-провайдер Объединённых Арабских Эмиратов, который обслуживает 17 стран Азии, Среднего Востока и Африки. Кроме того, что он является тринадцатым в мире оператором по величине мобильных сетей, эта компания также является промежуточным УЦ (доверяемым браузерами через сертификат, выданный корневым УЦ GTE CyberTrust).

В июле 2009 года около 100000 пользователей смартфонов Блэкберри из ОАЭ среди абонентов Etisalat получили обязательный "увеличивающий производительность патч" от поставщика услуг сотовой связи. Патч привлёк внимание прессы тем, что некоторые пользователи жаловались, что он разряжал батареи их телефонов и снижал производительность [29]. После того как исследователи изучили код, они выяснили, что он в действительности содержит программы для слежки, которые мониторят исходящие сообщения электронной почты и посылают скрытые копии на центральный сервер [30]. В то время как Etisalat и SS8, компания, основанная в США, которая создавала и продавала прослушивающее ПО, отказались от комментариев в дискуссиях по этому вопросу, RIM (которая является производителем Blackberry) подтвердила, что это ПО использовалось для скрытого мониторинга пользователей и быстро выпустила патч для удаления этого шпионского ПО. [31].

Опять же, как и в случае VeriSign, у нас нет доказательств, подтверждающих, что Etisalat когда-либо выпускала неверный сертификат по запросу властей. Аналогично, у нас нет доказательств, подтверждающих, что Etisalat нарушала законы ОАЭ. Вполне вероятно, что эта компания была вынуждена внедрить следящее ПО своим пользователям по запросу уполномоченных органов ОАЭ.

Тем не менее, сотни миллионов людей по всему миру, большинство из которых никогда не слышало про Etisalat, сами того не зная, зависят от компании, которая предумышленно внедряла шпионское ПО клиентам, которые платили им деньги за то, чтобы их коммуникации были безопасны.

Назад[link1] | Оглавление[link2] | Дальше[link3]

Ссылки
[link1] https://www.pgpru.com/biblioteka/statji/certifiedlies/evidence

[link2] https://www.pgpru.com/biblioteka/statji/certifiedlies

[link3] https://www.pgpru.com/biblioteka/statji/certifiedlies/protectingusers