Al parecer, no ha cambiado mucho en 10 años. Hace diez años -casi el mismo día- hice una presentación en la Conferencia RSA 2005 en San Francisco sobre una pieza de publicidad/malware que realizaba ataques Man-in-the-Middle (MitM) en las conexiones SSL de sus víctimas. La semana pasada, se descubrió que un gran número de portátiles Lenovo habían sido enviados con software de una empresa llamada Superfish que hace exactamente lo mismo.
Los paralelismos son inquietantemente similares:
- Ambos formaban parte de software , que supuestamente tenía usos legítimos
- Los representantes de ambas empresas afirmaron que su sitio software no tenía carácter malintencionado.
- Ambos llegaron a las máquinas empaquetados con otros productos. software
- El éxito de ambos dependía de la colocación de un nuevo certificado raíz en el almacén de certificados raíz de confianza de la máquina
- En ambos casos, este nuevo certificado raíz era considerablemente menos seguro que las raíces legítimas de confianza del sistema
¿Está Superfish recopilando los números de las tarjetas de crédito, las contraseñas y otros datos confidenciales de todo el mundo? Probablemente no. Pero lo importante es que a través de esta conexión, podrían hacerlo. Peor aún, abre la posibilidad de que otros también puedan hacerlo: Dado que el certificado que se añade al almacén de la raíz de confianza tiene una clave demasiado pequeña para los estándares actuales (1024 bits), cualquiera capaz de factorizar esta clave más pequeña podría llevar a cabo sus propios ataques MitM, utilizando el certificado raíz de Superfish. También podrían utilizar una raíz comprometida para realizar otros ataques, como firmar código o documentos fraudulentos.
Al igual que en 2005, los certificados raíz en los que confían sus sistemas son una parte fundamental de su postura de seguridad. Hay muchas razones legítimas para añadir nuevos certificados raíz a un almacén raíz de confianza. Pero depositar la confianza en un nuevo certificado raíz es algo importante, y es una decisión que deben tomar los propietarios de la máquina. Sin embargo, al parecer, al igual que en 2005, estos almacenes raíz de confianza siguen sin recibir la atención y la concienciación que merecen.
ACTUALIZACIÓN:
Al parecer, la clave privada de la raíz de Superfish también formaba parte de la distribución y ha sido descifrada. No era necesario que Superfish incluyera la clave privada en su software para realizar su ataque man-in-the-middle, pero aparentemente lo hicieron.
Esto significa que cualquiera que sepa lo que hace puede utilizar la raíz de Superfish para firmar código, documentos, correos electrónicos o incluso crear su propio ataque man-in-the-middle más malicioso SSL . Si tienes la raíz Superfish en tu sistema, deshazte de ella cuanto antes.
