Superfish: que es el nombre de una empresa de marketing que, entre otras cosas, produce software llamado Visual Discovery.
Por lo que podemos decir, la afirmación de Superfish a la fama es «búsqueda visual».
Esto parece implicar el análisis de imágenes que vienen en camino, a juego contra una base de datos gigante de las imágenes en la nube, y poniendo en frente de usted un montón de imágenes similares.
Por ejemplo, si usted está buscando en un anuncio de un mueble con cajones, Superfish, pasando por el ejemplo de su propio sitio web, puede ayudarle a encontrar un aparador a juego (aparador).
Usted puede ser capaz de adivinar dónde va esto.
Si instala el software Superfish controlar qué sitios web que visita, y lo que hay en ellos, puede mantener su ojo hacia fuera para los sitios relacionados, todos ellos basados en imágenes en lugar de confiar en las palabras clave anticuados.
Así que, en lugar de vender clics para anunciantes potenciales con base en las palabras que usted lee, Superfish puede vender clics basados en las imágenes que usted ve.
Eso suena bien, asumiendo que usted es consciente de que Visual Discovery fue instalado en su ordenador, y suponiendo que el software realiza un seguimiento de su navegación de una manera que no ponga su privacidad y seguridad en línea en riesgo.
La situación Lenovo
Desafortunadamente, para muchos usuarios de computadoras Lenovo, que no era el caso.
De octubre 2014 a diciembre 2014, Lenovo enviado Superfish en varias de sus portátiles de consumo y alertado hasta febrero y abril de 2015.
… Y resulta que el software no representa realmente un riesgo de seguridad.
Eso es porque Visual Discovery no sólo funciona dentro de su navegador para ver lo que está viendo.
El producto incluye lo que se conoce como un proxy: en otras palabras, un componente que intercepta el tráfico de red fuera de su navegador para que pueda realizar un seguimiento de lo que está haciendo.
Visual Discovery se implementa como lo que se llama un (Layered Service Provider) LSP o un filtro de PMA (Plataforma de filtrado de Windows), y se conecta a la parte del sistema operativo que se ocupa de tráfico de red.
Pros y contras de filtros
LSP y WFPs no son inherentemente malo: de hecho, muchos productos de seguridad, incluyendo Sophos Anti-Virus, utilizan filtros como una manera de mirar hacia fuera para los sitios web que estás visitando.
Eso significa que pueden avisar o bloquear si intenta ir a algún lugar que se sabe que es peligroso, como un sitio web infectado con malware.
La ventaja de un filtro sobre un plugin de navegador es que el procesamiento de un filtro se aplica a todo el software que se conecta a través de él, por lo que no necesita un plugin independiente para cada navegador.
En teoría, esto significa una mejor cobertura con menos a ir mal.
La desventaja de un filtro es que ve el contenido de la red antes de que llegue a su navegador, por lo HTTPS (seguro) páginas web aparecen como un flujo de datos cifrados.
Un complemento del navegador, sin embargo, ve el contenido después de que se ha codificado el navegador para la visualización.
El enfoque Superfish
En lugar de tratar su tráfico HTTPS como sacrosanta, y dejarlo solo por lo que queda de extremo a extremo encriptada todo el camino desde el servidor a su navegador, Superfish utiliza keybridging, también conocido como El hombre en el medio, o MiTM.
El Superfish MiTM funciona más o menos como su nombre indica.
Cuando su navegador se conecta a, digamos, https://example.com/, la conexión se realiza directamente por Visual Discovery.
Su conexión cifrada en realidad termina en el interior del filtro de Superfish.
El filtro se conecta en adelante a https://example.com/ y agarra el contenido en su nombre (por eso este tipo de software se llama un «proxy»), usando una conexión HTTPS propia.
Por supuesto, eso significa que las respuestas HTTPS desde example.comrealmente terminar el interior del filtro, también, por lo que su tráfico es sin cifrar, tanto de salida como de entrada, con el resultado de que Superfish puede leerlo.
Irónicamente, si el filtro fuera a pasar los datos ahora-ya-no cifrados en tu navegador, su navegador no sabría qué hacer con él: que originalmente hizo una conexión HTTPS, por lo que el navegador espera un flujo encriptado.
Para resolver este problema, el filtro vuelve a cifrar los datos, y pasa de nuevo a usted. (Este proceso implica descifrado, con una llave y volver a cifrar con otra, que es donde el nombre proviene de keybridging.)
Su navegador piensa que hizo una conexión cifrada de extremo a extremo, y en cierto sentido lo hizo, excepto que el otro extremo de la conexión no era el servidor example.com – era el filtro Superfish en su propia computadora.
El problema de certificado
En este punto, probablemente estás pensando: «Pero, ¿no ese tipo de interceptación ser obvio? Seguramente que vería una advertencia?»
En teoría, eso es exactamente lo que debe suceder.
Tráfico HTTPS está firmado por un certificado digital que identifica a la empresa propietaria de la página web que se está conectando, y está firmado ese certificado, o avalada, por una autoridad de certificación, cuya identidad es pre-programado en su navegador como «de confianza asesor «.
Por ejemplo, cuando usted visita Naked Security (esto es usar Firefox en OS X 10.10), que se ve algo como esto:
Certificado de Naked Security es propiedad de Sophos; Derecho de Sophos para representar a sí mismo como Naked Security está avalada por GlobalSign; y el derecho de GlobalSign para dar fe de Sophos está avalada por Firefox.
Si usted visita un sitio en donde no es la cadena de confianza en el certificado en buenas condiciones, por ejemplo, porque se le ha forzado a través de un impostor MiTM, que se suele ver un aviso de alerta, tal vez así:
La solución Superfish
Si usted navega a Naked Security en un equipo Windows con Superfish Visual Discovery instalado, usted no recibe una advertencia.
Eso probablemente te hace pensar que tiene activado el cifrado confiable de extremo a extremo con nuestro sitio:
Pero si hace clic en el candado HTTPS para profundizar en los detalles del certificado (esto es usar IE 11 en Windows 8.1) va a ver algo muy inusual:
Como vimos anteriormente, el certificado oficial Naked Security de Sophos está firmado por GlobalSign, por acuerdo explícito entre las dos compañías.
Entonces, ¿quién autorizó Superfish para firmar por Sophos también?
¿Por qué no un aviso pop-up?
La respuesta es que, en el momento de la instalación, el software Superfish avala por sí mismo a Windows por erigirse como autoridad de certificación de confianza.
Ahora puede crear certificados falsos para cualquier sitio que le gusta, en cualquier momento, y luego firmar unilateralmente estos certificados para que sean de confianza, también:
Así que todo el tráfico hacia y desde Naked Security, o Outlook.com, o su banco, pasa a través de la capa de MiTM Superfish, donde se descifra temporalmente y volver a cifrar.
Por supuesto, que el contenido descifrado termina dentro de su navegador de todos modos, pero tenerlo en abierto en más lugares que es estrictamente necesario es un riesgo innecesario.
Y, por supuesto, tienes que confiar en Superfish no hacer nada malo con que los datos descifrados, ya sea por accidente o por diseño.
Únicamente por esta razón, le recomendamos que desinstale el software Superfish si lo encuentras en tu ordenador:
Lenovo obviamente está de acuerdo, ya que ha dejado de usar Superfish, prometido nunca comprobar la validez de instalarlo de nuevo , y publicado sus propias instrucciones de eliminación .
Pero hay algo peor
Como usted probablemente ya se dio cuenta, por Superfish presentar el certificado falso Naked Security que ves arriba, tenía que generar y firmar dicho certificado automáticamente, en tiempo real, cuando intentó por vez primera para visitar nuestro sitio.
(Obviamente hay ninguna manera de que Superfish podría predecir todos los sitios que usted puede ser que utilice, por lo que no se puede tener certificados falsos ya instalados con antelación.)
En términos criptográficos, el software tiene que llevar una copia de la clave privada de firma Superfish, a pesar de que se supone que las claves privadas que se mantiene como privado y seguro.
Y lo hace, ya que encontrarás si te gusta todo en la memoria del software Superfish ejecutando:
Afortunadamente, la clave privada está en sí encriptada o protegida por contraseña.
De lo contrario, cualquier ladrón que descargó una copia del mismo sería de inmediato ser capaz de utilizarlo para firmar sus propios certificados falsos.
Estos serían automáticamente confiar en el equipo, porque Superfish registrado en sí con Windows como una autoridad de certificación raíz de confianza.
Descifrando la tecla
Lamentablemente, para Superfish de usar que la propia clave privada en tiempo real, la contraseña necesita ser almacenada en alguna parte.
Y es: está enterrado en el software Visual Discovery.
De hecho, es el nombre de la empresa de la que Superfish licencia del módulo de software MiTM, todo en minúsculas:
El texto de la contraseña aparece sin cifrar en la memoria cuando Visual Discovery está en ejecución, que es como varios investigadores de seguridad SSL recuperados y la verificaron.
→ Cuando intenta descifrar una clave criptográfica, que por lo general comienza con una lista de los más probables contraseñas, en lo que se conoce como un ataque de diccionario. Puede utilizar un diccionario tradicional para una colección de palabras de uso cotidiano, o una lista que se asocia obviamente con el objetivo que estamos tratando de romper, como el texto en memoria del proceso LSP aquí.
Tenga en cuenta que la clave privada del Superfish se puede utilizar para algo más que la firma de certificados HTTPS.
También se puede utilizar para la firma de código, que es donde dar fe de un programa (o incluso un controlador de dispositivo que se ejecuta dentro del propio sistema operativo) de la misma manera que los certificados HTTPS avalan sitios web.
Eso significa que el certificado Superfish podría ser objeto de abuso por los ciberdelincuentes no sólo de engañarlo para que confiar en un sitio web falso, sino también de engañarlo para que confiar en cualquier software que se descarga de la misma.
La línea de fondo
El software de Superfish representa un riesgo de seguridad.
Usted debe mirar para ver si está instalado en su equipo y quitarlo si está allí.
Ir a Panel de control | Programas | Programas y características.
Haga clic derecho y seleccione Desinstalar para deshacerse de él.
Entonces usted debe eliminar el certificado de autoridad de certificación raíz de confianza que se ha instalado, por lo que nadie más puede abusar de ella más adelante.
NOTA: Por favor, descargue y ejecute la herramienta de eliminación de Superfish ejecutable para asegurar la eliminación completa de Superfish y certificados para todos los principales navegadores.
Seguir las instrucciones a través del link que a continuación les indico.
http://support.lenovo.com/us/en/product_security/superfish_uninstall
Saludos, nos veremos pronto..
