Polityka i prawo
Firma z ZEA nie może być strażnikiem bezpieczeństwa internetu
Firma DarkMatter ze Zjednoczonych Emiratów Arabskich nie może stać się jednym z tzw. strażników bezpieczeństwa Internetu ze względu na doniesienia o jej udziale w działaniach cyberszpiegowskich sponsorowanych przez rząd - zdecydowała Fundacja Mozilla.
Mozilla powołuje się na doniesienia agencji Reutera o możliwych związkach firmy DarkMatter z rządowym programem cyberoperacji znanej jako Project Raven, realizowanej w imieniu agencji wywiadu ZEA. W skład jednostki zadaniowanej w projekcie wchodzili według Reutera m.in. byli funkcjonariusze służb wywiadowczych USA, odpowiedzialni za prowadzenie ofensywnych działań w cyberprzestrzeni na zlecenie ZEA.
Firma DarkMatter miała być podmiotem odpowiedzialnym w programie Mozilli za rolę "strażnika bezpieczeństwa Internetu", upoważnionym również do wydawania certyfikatów bezpieczeństwa dla stron internetowych, które chcą być domyślnie rozpoznawalne przez przeglądarkę Firefox jako bezpieczne.
W styczniu agencja Reutera informowała, że operacje realizowane w ramach projektu Raven obejmowały m.in. włamywanie się na konta internetowe aktywistów działających na rzecz ochrony praw człowieka, dziennikarzy oraz przedstawicieli państw uznawanych przez ZEA za adwersarzy. Firma DarkMatter odcięła się od podejrzeń o uczestnictwo w ofensywnych działaniach w cyberprzestrzeni, tłumacząc, iż doniesienia na ten temat były zbudowane "na podstawie fałszywych, zniesławiających i bezpodstawnych twierdzeń".
Dyrektor ds. inżynierii Mozilli Selena Deckelmann ocenia jednak, że doniesienia agencji Reutera oraz innych mediów, takich jak dziennik "New York Times" i serwis dziennikarstwa śledczego The Intercept, stanowią dla fundacji przesłankę na rzecz ostrożności względem firmy DarkMatter, która mogłaby wykorzystać Firefoksa do celów szpiegowskich. "Obdarzenie DarkMatter zaufaniem i lekceważenie wiarygodnych dowodów mogłoby narazić bezpieczeństwo internetu oraz jego użytkowników" - oceniła Deckelmann.
Rola "strażnika bezpieczeństwa Internetu" według Mozilli polegałaby m.in. na wydawaniu certyfikatów potwierdzających bezpieczeństwo stron internetowych. Certyfikaty tego rodzaju muszą być wydawane przez zewnętrzną organizację, która bierze aktywny udział w zabezpieczeniu połączenia pomiędzy daną witryną a jej użytkownikami, gwarantując jednocześnie, że ruch w danej domenie nie może być w żaden sposób przejęty bądź podejrzany. Organizacje wyznaczone do roli podmiotów wydających certyfikaty tego rodzaju muszą ubiegać się o taką możliwość u producentów przeglądarek internetowych, takich jak Mozilla czy Microsoft.
Mozilla uznaje certyfikaty bezpieczeństwa wydawane m.in. przez takie podmioty jak Turkiye Bilimsel ve Teknolojik Arastirma Kurumu - TUBITAK, Chunghwa Telecom i Guang Dong Certificate Authority.
Reuters pisze, że gdyby rolę tę pełniła organizacja zajmująca się działaniami szpiegowskimi, certyfikaty mogłyby być przyznawane fałszywym witrynom podszywającym się np. pod banki bądź usługi poczty elektronicznej, co z kolei ułatwiałoby działanie hakerów chcących przechwycić dane użytkowników.
Źródło: PAP
Haertle: Każdego da się zhakować
Materiał sponsorowany