Superfish: que es el nombre de una empresa
de marketing que, entre otras cosas, produce software llamado Visual
Discovery.
Por
lo que podemos decir, la afirmación de Superfish a la fama es "búsqueda
visual".
Esto
parece implicar el análisis de imágenes que vienen en camino, a juego contra
una base de datos gigante de las imágenes en la nube, y poniendo en frente de
usted un montón de imágenes similares.
Por ejemplo, si usted está
buscando en un anuncio de un mueble con cajones, Superfish, pasando por el
ejemplo de su propio sitio web, puede ayudarle a encontrar un aparador a juego
(aparador).
Usted
puede ser capaz de adivinar dónde va esto.
Si
instala el software Superfish controlar qué sitios web que visita, y lo que hay
en ellos, puede mantener su ojo hacia fuera para los sitios relacionados, todos
ellos basados en imágenes en lugar de confiar en las palabras clave
anticuados.
Así que, en lugar de vender
clics para anunciantes potenciales con base en las palabras que usted lee,
Superfish puede vender clics basados en las imágenes que usted ve.
Eso
suena bien, asumiendo que usted es consciente de que Visual Discovery fue
instalado en su ordenador, y suponiendo que el software realiza un seguimiento
de su navegación de una manera que no ponga su privacidad y seguridad en línea
en riesgo.
La situación Lenovo
Desafortunadamente,
para muchos usuarios de computadoras Lenovo, que no era el caso.
De
octubre 2014 a diciembre 2014, Lenovo enviado Superfish en varias de sus
portátiles de consumo y alertado hasta
febrero y abril de 2015.
...
Y resulta que el software no representa realmente un riesgo de seguridad.
Eso
es porque Visual Discovery no sólo funciona dentro de su navegador para ver lo
que está viendo.
El
producto incluye lo que se conoce como un proxy: en otras palabras, un componente que
intercepta el tráfico de red fuera de su navegador para que pueda realizar un
seguimiento de lo que está haciendo.
Visual
Discovery se implementa como lo que se llama un (Layered Service Provider) LSP
o un filtro de PMA (Plataforma de filtrado de Windows), y se conecta a la parte
del sistema operativo que se ocupa de tráfico de red.
Pros y contras de filtros
LSP
y WFPs no son inherentemente malo: de hecho, muchos productos de seguridad,
incluyendo Sophos Anti-Virus, utilizan filtros como una manera de mirar hacia
fuera para los sitios web que estás visitando.
Eso
significa que pueden avisar o bloquear si intenta ir a algún lugar que se sabe
que es peligroso, como un sitio web infectado con malware.
La
ventaja de un filtro sobre un plugin de navegador es que el procesamiento de un
filtro se aplica a todo el software que se conecta a través de él, por lo que
no necesita un plugin independiente para cada navegador.
En
teoría, esto significa una mejor cobertura con menos a ir mal.
La
desventaja de un filtro es que ve el contenido de la red antes de que llegue a
su navegador, por lo HTTPS (seguro) páginas web aparecen como un flujo de datos
cifrados.
Un
complemento del navegador, sin embargo, ve el contenido después de que se ha
codificado el navegador para la visualización.
El enfoque Superfish
En
lugar de tratar su tráfico HTTPS como sacrosanta, y dejarlo solo por lo que
queda de extremo a extremo encriptada todo el camino desde el servidor a su
navegador, Superfish utiliza keybridging, también conocido como El
hombre en el medio, o
MiTM.
El
Superfish MiTM funciona más o menos como su nombre indica.
Cuando
su navegador se conecta a, digamos, https://example.com/, la conexión se realiza directamente por
Visual Discovery.
Su
conexión cifrada en realidad termina en el interior del filtro de Superfish.
El
filtro se conecta en adelante a https://example.com/ y agarra el contenido en su nombre (por eso
este tipo de software se llama un "proxy"), usando una conexión HTTPS
propia.
Por
supuesto, eso significa que las respuestas HTTPS desde example.comrealmente terminar el interior del filtro,
también, por lo que su tráfico es sin cifrar, tanto de salida como de entrada,
con el resultado de que Superfish puede leerlo.
Irónicamente,
si el filtro fuera a pasar los datos ahora-ya-no cifrados en tu navegador, su
navegador no sabría qué hacer con él: que originalmente hizo una conexión
HTTPS, por lo que el navegador espera un flujo encriptado.
Para
resolver este problema, el filtro vuelve a cifrar los datos, y pasa de nuevo a
usted. (Este proceso implica descifrado, con una llave y volver a cifrar con
otra, que es donde el nombre proviene de keybridging.)
Su
navegador piensa que hizo una conexión cifrada de extremo a extremo, y en
cierto sentido lo hizo, excepto que el otro extremo de la conexión no era el
servidor example.com - era el filtro Superfish en su propia
computadora.
El problema de certificado
En
este punto, probablemente estás pensando: "Pero, ¿no ese tipo de
interceptación ser obvio? Seguramente que vería una advertencia?"
En
teoría, eso es exactamente lo que debe suceder.
Tráfico
HTTPS está firmado por un certificado digital que identifica a la empresa
propietaria de la página web que se está conectando, y está firmado ese certificado,
o avalada, por una autoridad de certificación, cuya identidad es pre-programado
en su navegador como "de confianza asesor ".
Por
ejemplo, cuando usted visita Naked Security (esto es usar Firefox en OS X
10.10), que se ve algo como esto:
Certificado de Naked Security
es propiedad de Sophos; Derecho de Sophos para representar a sí mismo como
Naked Security está avalada por GlobalSign; y el derecho de GlobalSign para dar
fe de Sophos está avalada por Firefox.
Si
usted visita un sitio en donde no es la cadena de confianza en el certificado
en buenas condiciones, por ejemplo, porque se le ha forzado a través de un
impostor MiTM, que se suele ver un aviso de alerta, tal vez así:
La solución Superfish
Si
usted navega a Naked Security en un equipo Windows con Superfish Visual
Discovery instalado, usted no recibe una advertencia.
Eso
probablemente te hace pensar que tiene activado el cifrado confiable de extremo
a extremo con nuestro sitio:
Pero si hace clic en el candado
HTTPS para profundizar en los detalles del certificado (esto es usar IE 11 en
Windows 8.1) va a ver algo muy inusual:
Como vimos anteriormente, el
certificado oficial Naked Security de Sophos está firmado por GlobalSign, por
acuerdo explícito entre las dos compañías.
Entonces,
¿quién autorizó Superfish para firmar por Sophos también?
¿Por
qué no un aviso pop-up?
La
respuesta es que, en el momento de la instalación, el software Superfish avala
por sí mismo a Windows por erigirse como autoridad de
certificación de confianza.
Ahora
puede crear certificados falsos para cualquier sitio que le gusta, en cualquier
momento, y luego firmar unilateralmente estos certificados para que sean de
confianza, también:
Así que todo el tráfico hacia y
desde Naked Security, o Outlook.com, o su banco, pasa a través de la capa de
MiTM Superfish, donde se descifra temporalmente y volver a cifrar.
Por
supuesto, que el contenido descifrado termina dentro de su navegador de todos
modos, pero tenerlo en abierto en más lugares que es estrictamente necesario es
un riesgo innecesario.
Y,
por supuesto, tienes que confiar en Superfish no hacer nada malo con que los
datos descifrados, ya sea por accidente o por diseño.
Únicamente
por esta razón, le recomendamos que desinstale el software Superfish si lo
encuentras en tu ordenador:
Lenovo obviamente está de acuerdo, ya que ha dejado de usar
Superfish, prometido nunca comprobar la validez de instalarlo de nuevo , y publicado sus propias instrucciones de eliminación .
Pero hay algo peor
Como
usted probablemente ya se dio cuenta, por Superfish presentar el certificado
falso Naked Security que ves arriba, tenía que generar y firmar dicho
certificado automáticamente, en tiempo real, cuando intentó por vez primera
para visitar nuestro sitio.
(Obviamente
hay ninguna manera de que Superfish podría predecir todos los sitios que usted
puede ser que utilice, por lo que no se puede tener certificados falsos ya
instalados con antelación.)
En
términos criptográficos, el software tiene que llevar una copia de la clave
privada de firma Superfish, a pesar de que se supone que las claves privadas
que se mantiene como privado y seguro.
Y
lo hace, ya que encontrarás si te gusta todo en la memoria del software
Superfish ejecutando:
Afortunadamente, la clave
privada está en sí encriptada o protegida por contraseña.
De
lo contrario, cualquier ladrón que descargó una copia del mismo sería de
inmediato ser capaz de utilizarlo para firmar sus propios certificados falsos.
Estos
serían automáticamente confiar en el equipo, porque Superfish registrado en sí
con Windows como una autoridad de certificación raíz de confianza.
Descifrando la tecla
Lamentablemente,
para Superfish de usar que la propia clave privada en tiempo real, la
contraseña necesita ser almacenada en alguna parte.
Y
es: está enterrado en el software Visual Discovery.
De
hecho, es el nombre de la empresa de la que Superfish licencia del módulo de
software MiTM, todo en minúsculas:
El texto de la contraseña aparece sin cifrar en la memoria
cuando Visual Discovery está en ejecución, que es como varios investigadores de
seguridad SSL recuperados y
la verificaron.
→ Cuando
intenta descifrar una clave criptográfica, que por lo general comienza con una
lista de los más probables contraseñas, en lo que se conoce como un ataque
de diccionario. Puede
utilizar un diccionario tradicional para una colección de palabras de uso
cotidiano, o una lista que se asocia obviamente con el objetivo que estamos
tratando de romper, como el texto en memoria del proceso LSP aquí.
Tenga
en cuenta que la clave privada del Superfish se puede utilizar para algo más
que la firma de certificados HTTPS.
También
se puede utilizar para la firma de código, que es donde dar fe de un programa (o
incluso un controlador de dispositivo que se ejecuta dentro del propio sistema
operativo) de la misma manera que los certificados HTTPS avalan sitios web.
Eso
significa que el certificado Superfish podría ser objeto de abuso por los
ciberdelincuentes no sólo de engañarlo para que confiar en un sitio web
falso, sino
también de
engañarlo para que
confiar en cualquier software que se descarga de la misma.
La línea de fondo
El
software de Superfish representa un riesgo de seguridad.
Usted
debe mirar para ver si está instalado en su equipo y quitarlo si está allí.
Ir a Panel de control | Programas | Programas y características.
Haga
clic derecho y seleccione Desinstalar para deshacerse de él.
Entonces
usted debe eliminar el certificado de autoridad de certificación raíz de
confianza que se ha instalado, por lo que nadie más puede abusar de ella más
adelante.
NOTA: Por favor, descargue y ejecute la herramienta de eliminación de Superfish ejecutable para asegurar la eliminación completa de Superfish y certificados para todos los principales navegadores.
Seguir las instrucciones a través del link que a continuación les indico.
http://support.lenovo.com/us/en/product_security/superfish_uninstall
Saludos, nos veremos pronto..
No hay comentarios.:
Publicar un comentario