Blue Coat Proxy SG es solo un proxy. No incluye malware.
Lo que hace Blue Coat's Proxy SG y otras soluciones similares es un ataque MITM al tráfico encriptado. Descifra el tráfico entrante, hace lo que está configurado para hacer con la información descifrada y luego cifra los datos nuevamente antes de reenviarlos. Esto es bastante simple. (Lo sé, yo con otros escribí un proxy MITM hace unos diez años).
Una vez que tenga el proxy MITM, debe colocarse en la ubicación correcta. Hay evidencia de productos de Blue Coat en redes públicas: enlace
Una vez que tenga el proxy MITM en el lugar correcto, lo que se requiere para realizar un ataque MITM es un certificado confiable. Los navegadores confían en un gran número de certificados raíz. También confían en los certificados de CA intermedios firmados por estos certificados raíz. Por lo tanto, esto es una cuestión de adquirir dicho certificado y cargarlo en un dispositivo de monitoreo. Cualquier certificado de CA que sea de confianza para los navegadores hará. Cuanto mayor sea el número de CA confiables para el navegador, menor será la seguridad. (El hecho de que Blue Coat venda o no el dispositivo de monitoreo es irrelevante aquí).
Se pueden comprar certificados. También se pueden obtener de un CA roto. (Busque las historias de hackeo de Comodo y DigiNotar). Además, de acuerdo con la EFF, 54 estados controlan la CA en la que confían los navegadores: enlace
Es posible que encuentre relevantes estos enlaces:
(El dispositivo MITM en el que se cargó el certificado en el primer caso puede o no ser de Blue Coat. Esto no se conoce).
Además, los usuarios tienden a ignorar las advertencias de seguridad. No se requiere un certificado de confianza si se puede predecir que la víctima ignorará el aviso de seguridad: enlace
Otra posibilidad es explotar una vulnerabilidad o sobornar a un interno para que adquiera la clave privada del servidor.
Se han desarrollado contramedidas para bloquear estos ataques, como el refinamiento del certificado (Chrome hace esto para algunos dominios grandes) y el Certificado
Transparencia: enlace
El proyecto Perspectivas diseñado como un sistema en el que un mayor número de terceros de confianza se traduce en una mejor seguridad. (Compare con el modelo PKI en el que cuanto mayor sea el número de terceros de confianza, menor será la seguridad).
El malware utilizado para comprometer la computadora de un objetivo es una amenaza completamente diferente. SSL / TLS no ofrece ninguna protección a la víctima en este caso. Esto es lo que hizo la NSA para atacar a los usuarios de Tor.