Поневіряння сервісу Hola, або Знову про безкоштовний сир

Наша взаимовыгодная связь https://banwar.org/

Гучний скандал недавно вибухнув навколо популярного безкоштовного пирингового сервісу Hola, основною метою якого є забезпечення анонімного серфінгу. Крім виявлення ряду вразливостей, які безпосередньо піддають користувачів Hola ризику, дослідники також звинуватили Hola в комерційному використанні інтернет-каналів користувачів без повідомлення їх про це належним чином. З'являлося також, принаймні, одне повідомлення про зловживання можливостями Hola для запуску DDoS-атаки. Ця історія служить черговою демонстрацією того, що за «безкоштовне» доводиться платити.

Здрастуй і прощай

Hola є безкоштовний сервіс, який перенаправляє трафік за прикладом будь-який інший p2p-мережі, що забезпечує і анонімний серфінг, і доступ до онлайнових ресурсів, блокованим з яких-небудь причин, - від цензури до регіональних обмежень з боку медіакомпаній.

Безкоштовна і функціональна Hola пропонує окремий клієнт для Windows, плагіни для Firefox і Chrome, а також додатки для Android. Не дивно, що сервіс досить популярний: сайт Hola стверджує, що в світі - 46 мільйонів користувачів. Популярність надає Hola силу і розмах, а також, на жаль, плодить зловживання.

«Решето»

згідно Threatpost , В кінці травня експерти з безпеки опублікували вельми критичну доповідь про Hola, відкривши велику кількість можливих фатальних вразливостей, які піддають користувачів небезпеки розкриття інформації, зчитування локальних файлів і віддаленого виконання коду.

Дослідники також розкрили, що Hola веде і інший бізнес, Luminati, який продає доступ до мережі Hola тим, хто готовий платити за нього до $ 20 за Гбайт. Засновник Hola Офер Віленський, по суті, підтвердив , Що претензії по справі.

«Клієнт для Windows Hola Unblocker, аддон до Firefox, розширення Chrome і Android-додаток містять декілька вразливостей, які дозволяють дистанційного або місцевого зловмисникові домогтися виконання коду і потенційно підвищити привілеї на системі користувача. Додаткові конструктивні недоліки дозволяють відслідковувати користувача Hola в інтернеті через постійний ID. Крім того, так як користувачі Hola - вільно чи мимоволі - виступають в якості екзит-вузлів мережі покриття, кожен з них здатний діяти як посередник для інших користувачів безкоштовної або преміум-мережі Hola, або навіть її комерційної служби Luminati, тим самим, ставлячи під загрозу конфіденційність і анонімність браузинга і піддаючи користувачів подальшим атакам, "- повідомили дослідники в своїй рекомендації , Стверджуючи, що ніякого рішення цих проблем не існує, крім оперативного деінсталлірованія програмного забезпечення Hola з видаленням вручну папки С: Program FilesHola.

Експерти також відзначили, що півдюжини з знайдених дірок такого розміру, що пояснити їх не можна ніяк інакше крім як «злочинною недбалістю».

Деякі з інших їхніх висновків про Hola теж досить тривожні:

«Hola є« пірингову »VPN. Може, звучить це і здорово, але по факту, це означає, що інші люди гуляють по мережі через ваше підключення до інтернету. Веб-сайт сприймає все так, ніби це ви його переглядаєте. Можливо, це не здається вам чимось поганим. Але уявіть собі, що хто-небудь завантажив дитячу порнографію через ваше підключення, наприклад. Для всіх інших все виглядає так, ніби це зроблено з вашого комп'ютера, і довести зворотне ви вже не зможете ».

дослідження

Насправді схоже, що вивчення безпеки Hola почалося після історії з DDoS-атакою, спрямованої проти досить спірного сервісу повідомлень 8chan. За словами засновника 8chan Фредеріка Бреннана, напад йшло з мережі Luminati / Hola .

Зловмисник, як стверджує Бреннан, скористався мережею Luminati для розсилки за 30 секунд тисяч легітимно виглядають запитів POST на post.php 8chan, що спричинило стократний зростання пікового трафіку і збій PHP-FPM. Законні на вигляд запити POST також означали, що відобразити таку атаку складе чималої праці.

Напади, як повідомляється, здійснювалися таким собі BUI, мабуть, відомим спамером. Засновник Hola Офер Віленський заявляє, що після відключення аккаунта BUI у 8 Chan більше не було ніяких проблем.

Пізніше сам Віленський сказав, що Luminati перевіряє комерційних клієнтів, перш ніж дати їм скористатися мережею Hola, і що вищезгаданий BUI просто прослизнув крізь мережу, що є незвичайним випадком. Нібито.

Віленський також визнав, що користувачі, швидше за все, не знають про бізнес Luminati, тому що їм немає до нього справи. Старий розділ FAQ Hola лише смутно згадував про можливість комерційного використання Hola. Пізніше FAQ був оновлений з повним поясненням «комерційних цілей», де стверджується, що «Hola - керована і контрольована мережа, таким чином, про всяку незаконну діяльність на зразок дитячої порнографії та іншого буде повідомлено владі разом з реальним IP користувача«.

Дослідники, проте, поспілкувалися з неназваним менеджером зі збуту Luminati , Який прямо стверджував, що правила в мережі не дотримуються жорстко: «Ми не маємо ні найменшого поняття, що ви робите на нашій платформі«.

Такий стан робить платформу відмінною від горезвісних сервісів «куленепробивного хостингу», використовуваних злочинцями. «Насправді вона працює як погано захищений ботнет», - кажуть дослідники. «Добровільна ботнет», - підкреслює Лоренцо Франчески-Бікьераі, штатний автор Motherboard.

Що стосується реакції Hola в цілому, то вона в кращому випадку викликає питання. вони стверджують , Все роблять помилки, і це вірно. Але вони визнали тільки дві уразливості, в той час як дослідники стверджують, що виявили шість. Крім того, експерти заявили, що діри досі не закладені, Hola всього лише зламала нешкідливий інструмент для перевірки на уразливості, розроблений дослідниками.

Так що звинувачення в силі.

За що платиш, то і отримуєш

Звичайно, ця історія залишає, по крайней мере, деяке простір для деяких сумнівів і додаткових питань. Наприклад, хто ці експерти, і наскільки можна вірити їх розслідування?

Дослідники надали список своїх імен / прізвиськ і веб-контактів (в Twitter, здебільшого), і здається, що вони - ті, за кого себе видають: активні експерти і тестувальники безпеки.

Наскільки обгрунтовані їх претензії? вони представили технічні рекомендації і відео , Яке демонструє, як їх показовий експлойт запускає калькулятор в Windows. Наскільки це переконливо? Вам судити. В даний час в медіа з'являється багато повідомлень про проблему Hola, і в самій Hola - по крайней мере, частково - визнали проблеми, хоча, схоже, що вони вважають за краще зберігати їх в таємниці. Тим не менш, компанія заявила, що найме начальник служби безпеки в найближчі тижні, щоб підвищити рівень безпеки.

Основне питання тут, знову ж таки, в реальній ціні безкоштовних пропозицій. Позиція Hola в цьому відношенні майже чесна: хочете безкоштовні послуги? У вас є щось, що стане в нагоді нам - ваші незадіяні або майже незадіяні ресурси. Якщо не хочете, щоб ми ними користувалися, у нас є для вас платний варіант.

Так що, по суті, ниточки-то тягнуться, і, ймовірно, їх навіть більше, ніж будь-хто розраховував.

І це зовсім не рідкість для усіляких «безкоштовно».