Washington Post 3 hafta önce, bugün TrustCor Systems isimli firmasının casus yazılımla bağlantılı bir ABD askeri müteahhitiyle bağları olduğunu yazdı. TrustCor Systems, internet altyapısında kilit bir konum olan bir kök sertifika yetkilisi. Ancak şirketle ilgili ayrıntılar, nerede olduğu ve kimlerle çalıştığı konusunda soru işaretleri uyandırdı.
Washington Post 8 Kasım’da TrustCor’un Panama kayıtlarının, bu yıl ABD devlet kurumlarına iletişim dinleme hizmetleri satan Arizona merkezli Packet Forensics’in bir iştiraki olarak tanımlanan bir casus yazılım üreticisi ile aynı memur, ajan ve ortak listesini gösterdiğini bildirdi. Haberin kaynağı, şirketin kurumsal kayıtlarını ilk kez bulan iki araştırmacının, Calgary Üniversitesi’nden Joel Reardon ve Berkeley’deki California Üniversitesi’nden Serge Egelman’ın çalışmasına dayanıyordu.
Arkasından tarayıcı firmaları ile Trustcor arasında haftalarca süren tartışmalar yapıldı. Sonunda bugün Washington Post büyük tarayıcılarının bu firmayla çalışmayı bırakacağını yazdı. Habere göre, Mozilla’nın Firefox’u ve Microsoft’un Edge’i, kullanıcılarının ulaştığı sitelerin meşruiyetine kefil olan TrustCor Systems’ın yeni sertifikalarına güvenmeyi bırakacaklarını açıkladılar.
Mozilla’dan Kathleen Wilson durumu şöyle açıkladı :
“Sertifika Yetkililerinin internet ekosisteminde son derece güvenilir rolleri vardır ve bir CA’nın mülkiyeti ve işleyişi yoluyla kötü amaçlı yazılım dağıtımıyla uğraşan bir şirkete yakından bağlı olması kabul edilemez.”
Olay, istihbarat örgütlerinin insanların internet kullanımına sızmayı ne kadar çok istediğinin başka bir işareti gibi. Tarayıcılar genellikle, kullanıcıların web sitelerine güvenli ulaştırdığını göstermek için güvenlik sertifikaları ile işbirliği yaparlar.
TrustCor’un Kanada’da küçük bir kadrosu var. Şirketin Arizona’da da altyapısı olmasına rağmen, resmi olarak bir UPS Store posta teslimi ile haberleşiyor. Teknoloji uzmanları, TrustCor’un yasal ikametgah ve mülkiyet gibi temel konularda kaçamak davranmasının, kök sertifika yetkilisinin gücünü kullanan bir şirket için uygun olmadığını düşünüyorlar.
Kök sertifikaların devletler tarafından ele geçirilme çabalarının ilki bu değil.
