Blue Coat Proxy SG è solo un proxy. Non include malware.
Quello che Blue Coat's Proxy SG e altre soluzioni simili fanno è un attacco MITM al traffico crittografato. Decrittografa il traffico in entrata, qualsiasi cosa sia configurata per fare con le informazioni decrittografate e quindi crittografa nuovamente i dati prima di inoltrarli. Questo è piuttosto semplice. (Lo so, io con altri ho scritto un proxy MITM circa dieci anni fa.)
Una volta ottenuto il proxy MITM, deve essere posizionato nella giusta posizione. Esistono prove dei prodotti Blue Coat nelle reti pubbliche: link
Una volta che il proxy MITM è nel posto giusto, ciò che è necessario per eseguire un attacco MITM è un certificato attendibile. I browser si fidano di un gran numero di certificati radice. Si fidano inoltre dei certificati CA intermedi firmati da questi certificati radice. Pertanto, si tratta di acquisire tale certificato e caricarlo in un dispositivo di monitoraggio. Lo farà qualsiasi certificato CA di cui si fidano i browser. Maggiore è il numero di CA attendibili dal browser, minore è la sicurezza. (Se il dispositivo di monitoraggio è venduto da Blue Coat o no è irrilevante qui.)
I certificati possono essere acquistati. Possono anche essere ottenuti da una CA rotta. (Cerca le storie di hack Comodo e DigiNotar). Inoltre, secondo l'EFF, 54 Stati controllano CA che sono attendibili dai browser: link
Potresti trovare questi link pertinenti:
(Il dispositivo MITM in cui il certificato è stato caricato nel primo caso potrebbe o non potrebbe essere di Blue Coat. Questo non è noto.)
Inoltre, gli utenti tendono a ignorare gli avvisi di sicurezza. Non è richiesto un certificato attendibile se è possibile prevedere che la vittima ignorerà la richiesta di sicurezza: link
Un'altra possibilità è sfruttare una vulnerabilità o corrompere un insider per acquisire la chiave privata del server.
Sono state sviluppate contromisure per bloccare questi attacchi, come il pining del certificato (Chrome lo fa per alcuni grandi domini) e il Certificato
Trasparenza: link
Il progetto Perspectives progettato come sistema in cui un numero maggiore di terze parti fidate si traduce in una maggiore sicurezza. (Confrontati con il modello PKI in cui maggiore è il numero di terze parti fidate, minore è il livello di sicurezza.)
I malware usati per compromettere il computer di un bersaglio sono una minaccia completamente diversa. SSL / TLS non offre alcuna protezione alla vittima in questo caso. Questo è ciò che l'NSA ha fatto per attaccare gli utenti di Tor.