A meno che il malware Superfish non sia stato installato sul tuo sistema (che potrebbe essere se hai acquistato una macchina Lenovo), non devi preoccuparti. Questo attacco ha funzionato perché il segreto rivelato era necessario per il malware per dirottare i dati; non fa parte del modo in cui i certificati legittimi sono autenticati.
Aiuta a capire le relazioni tra un certificato, una chiave pubblica e una chiave privata. Una chiave privata è un numero segreto utilizzato per firmare i messaggi con le firme digitali (o per crittografare il traffico web) e ha una chiave pubblica corrispondente che può essere utilizzata per verificare tali firme. Un certificato è un documento pubblico che contiene una chiave pubblica; i proprietari dei siti Web inseriscono le loro chiavi pubbliche sui certificati e li inviano alle società denominate Autorità di certificazione (CA) che li firmano digitalmente per dimostrare che i loro certificati sono autentici. Le firme digitali assicurano che il documento non sia stato modificato, assicurandoti che la chiave pubblica che contiene sia la chiave autentica del sito che stai visitando.
Le CA sono aziende che tutti accettano di affidarsi solo ai certificati firmati da fonti legittime. Hanno anche una coppia di chiavi privata e pubblica. Mantengono la chiave privata molto segreta, bloccata in un dispositivo crittografico sicuro chiamato HSM (Hardware Security Module) e limitano l'accesso ad esso in modo che possa essere utilizzato solo per firmare il certificato di un cliente quando il cliente genera una nuova chiave. Ma per essere utili, tutti sul web devono conoscere le loro chiavi pubbliche. Quindi queste CA mettono la propria chiave pubblica su un certificato speciale e firmano con la propria chiave privata ("autofirmazione"). Quindi inviano questi "certificati radice" autofirmati ai venditori di browser e ai fornitori di sistemi operativi, che li includono con i loro prodotti. Una vera CA non manderebbe mai e poi mai le proprie chiavi private!
I certificati radice dell'autorità attendibile sono i documenti che convalidano tutti i certificati di tutte le connessioni effettuate dal computer. Pertanto, il tuo computer deve fidarsi di loro. Questo malware sta installando un certificato inaffidabile in una posizione di massima affidabilità, compromettendo la sicurezza della macchina consentendo a chiunque conosca questa chiave di falsificare un certificato per qualsiasi sito, nascondendo le prove della sua manomissione.
Il malware abusa della sua posizione generando false chiavi pubbliche e private per ogni sito che visiti; dopo averlo collegato, inserisce il suo carico utile nella pagina del sito web. Affinché il tuo browser si fidi di queste false chiavi e non ti dia avvertenze, il malware genera un certificato contraffatto che induce il tuo browser a credere che le chiavi siano legittime. Ma come ogni certificato, la contraffazione deve essere firmata da una CA attendibile. Per firmare, il malware ha bisogno di una chiave pubblica e privata, proprio come una vera CA. Poiché la fasulla CA sta forgiando questi certificati direttamente nel tuo computer, anche la chiave privata deve essere all'interno del tuo computer. È impossibile mantenere tali cose segrete dal proprietario del computer, ma hanno provato prendendo alcuni passi rudimentali per nasconderlo. Il blog che hai collegato descrive come ha scoperto il segreto.
Nessuna autorità di certificazione legittima consentirebbe mai la divulgazione della propria chiave privata, tanto meno di inviarla a un gruppo di proprietari di computer casuali. C'è stato un caso in cui un'autorità di certificazione ha fatto trapelare la sua chiave segreta; la loro reputazione è stata rovinata e sono andati in bancarotta in un mese. Dato che il tuo computer non contiene le chiavi private delle legittime autorità di certificazione, non c'è alcun segreto per l'attacco di un hacker.