Superfish vs. Corporate MITM

Lo que hace a Superfish y productos similares (todos aquí mencionados como "Superfish"), diferente de MitM corporativo es que Superfish está haciendo el MitM en la máquina cliente. Corporate MitM se realiza en un servidor o dispositivo separado.

Esto es importante porque el sistema que realiza el MitM debe tener la clave privada de una CA raíz de confianza para que funcione. (Estrictamente hablando, no es necesario que la CA raíz sea confiable. Pero el usuario verá banderas rojas si no lo es).

Para Superfish, eso significa que la clave debe estar en el dispositivo cliente, una que no está bien mantenida y en general es muy vulnerable a los ataques.

Para las MitM corporativas, la clave está en el servidor de monitoreo, generalmente mantenido por personal experimentado que realiza el mantenimiento regular y no hace nada (por ejemplo: navegación web, descarga de software adicional, apertura de documentos, etc.) que expondría el sistema a riesgos innecesarios.

Sin embargo, todos los servidores proxy SSL (corporativo o de otro tipo) aún deben implementarse con cuidado para tener en cuenta el hecho de que están eliminando la capacidad del cliente para validar automáticamente el certificado del sistema remoto. Particularmente esto significa:

1. El proxy SSL debe validar correctamente los certificados de los sistemas remotos y advertir adecuadamente al usuario o interrumpir la conexión por completo cuando algo está mal. Como mencionó Charles Duffy en los comentarios, la validación correcta de los certificados también requiere que el proxy no confíe en su propia CA incorporada.
2. Idealmente, el proxy SSL también debería hacer alguna verificación de integridad contra certificados de referencia históricos o agregados a la comunidad. Esto se implementa en algunas extensiones de navegador web y, en circunstancias normales, el usuario puede realizarlo manualmente para ayudar a detectar el uso fraudulento de CAs raíz de confianza. Dado que el proxy SSL elimina la capacidad del usuario para hacer esto por sí mismo, o para usar efectivamente una extensión de navegador para este propósito, sería mejor si el proxy pudiera hacer su propia verificación para compensar. (Aunque dudo que esté disponible en la mayoría de los productos MitM corporativos).

Otra cosa de la que debe tener cuidado, ya que mencionó que un proveedor externo le proporcionó este servicio, es que el proxy SSL puede ver todo el tráfico de sus usuarios como si no estuviera encriptado. (Ese es el propósito de un proxy SSL). Esto significa que los datos que de otro modo querría tener protegidos de los espectadores de terceros serán totalmente visibles para el proveedor en caso de que decidan abusar de su confianza.

La principal diferencia entre Superfish y un proxy corporativo es cómo se genera el nuevo certificado SSL.

En el caso de Superfish, el certificado de CA y la clave privada se encuentra en el equipo cliente, y el software genera un nuevo certificado SSL con una clave que tiene en sí mismo. El tráfico se intercepta localmente, se genera un nuevo certificado en el cliente y se envía al navegador. Cualquier persona que tenga acceso a herramientas de depuración puede extraer el certificado y la clave, ya que ambos están en la computadora cliente.

En el caso del Proxy corporativo, el certificado de CA se instalará en cada computadora cliente, pero la clave privada reside en el servidor proxy. Si el servidor tiene una protección adecuada, la clave no se verá comprometida. El tráfico se intercepta en el servidor proxy y se envía con un nuevo certificado al cliente. No es posible extraer la clave privada en el cliente, porque la clave está solo en el servidor.

mientras que las otras respuestas son correctas sobre los detalles de la implementación, el problema de seguridad en juego es de autorización.

En el caso de Superfish y productos relacionados, el propietario del sistema normalmente no quiere que Superfish pueda leer todas las cosas que se envían y reciben a través de HTTPS. En la computadora de su hogar, es probable que no desee que Superfish tenga los detalles de su tarjeta de crédito, información de salud en línea, etc. En una corporación, por lo general, no quiere que Superfish pueda supervisar todo lo que tiene acceso para fines comerciales, como cuando acceder a clientes corporativos de correo electrónico web o al buscar algo para un secreto comercial. Además, Superfish hace todo esto de manera subrepticia, ya que se instala antes de que obtenga la computadora y no se le advierte que está en su lugar, por lo que no tiene la oportunidad de autorizar o rechazar su uso.

Con un MitM corporativo, la empresa es la propietaria del sistema, no el usuario final, ni Superfish. La empresa, en un intento por mejorar la seguridad, configura un servidor proxy que está autorizado y cuyos riesgos y valores han sido aceptados.

No es que la idea básica de un proxy sea necesariamente mala. Es que un proxy no autorizado que permite que compañías / individuos no autorizados accedan a tus cosas es malo.