Trustwave отозвала сертификат, позволяющий мониторить зашифрованной трафик сотрудников частной компании

image

Теги: сертификат

Представители центра сертификации заявили о том, что в будущем подобные сертификаты выдаваться не будут.

Центр сертификации Trustwave недавно выдал частной компании сертификат, позволяющий ей делегировать собственные SSL-сертификаты любому серверу. Таким образом, клиент Trustwave получил возможность следить за зашифрованным трафиком и перехватывать сообщения, которыми сотрудники компании обмениваются с помощью таких служб, как Google и Hotmail. Центр сертификации заявил об отзыве своего сертификата, а также о том, что в будущем подобные сертификаты выдаваться не будут.

Согласно сообщению в официальном блоге Trustwave, сертификат безопасности использовался в системе предотвращения потери данных (data loss prevention, DLP), разработанной для того, чтобы предотвратить утечку конфиденциальной информации компании. DLP система следила за всеми зашифрованными подключениями, работая как «человек посередине» между терминалом пользователя и удаленным сервером, с которым осуществляется подключение. Для корректной работы DLP система должна была иметь возможность выдавать отдельный сертификат для каждого соединения.

При внедрении стандартной системы предотвращения утечки информации администраторы сети создают внутренний корпоративный центр сертификации, сертификаты которого устанавливаются на все компьютеры компании. Слабая сторона данной системы состоит в том, что она не защищает информацию от утечки через личные устройства сотрудников.

В Trustwave подчеркивают, что с компанией, которой был выдан сертификат для DLP системы, было подписано пользовательское соглашение и, как ключ корпоративного центра сертификации, так и сгенерированные им сертификаты, хранились в специально разработанном аппаратном модуле безопасности. Соответственно воспользоваться сертификатом в своих целях было невозможно. Компания-владелец DLP системы приняла решение о смене деятельности и потребность в использовании внутреннего центра сертификации для нее отпала. Сотрудники Trustwave отмечают, что в будущем подобные сертификаты компания выдавать не намерена.

С уведомлением Trustwave можно ознакомиться здесь.


или введите имя

CAPTCHA