Громкий скандал недавно разразился вокруг популярного бесплатного пирингового сервиса Hola, основной целью которого является обеспечение анонимного серфинга. Помимо выявления ряда уязвимостей, которые непосредственно подвергают пользователей Hola риску, исследователи также обвинили Hola в коммерческом использовании интернет-каналов пользователей без уведомления их об этом должным образом. Появлялось также, по крайней мере, одно сообщение о злоупотреблении возможностями Hola для запуска DDoS-атаки. Эта история служит очередной демонстрацией того, что за «бесплатное» приходится платить.
Здравствуй и прощай
Hola представляет собой бесплатный сервис, который перенаправляет трафик по примеру любой другой p2p-сети, что обеспечивает и анонимный серфинг, и доступ к онлайновым ресурсам, блокированным по каким-либо причинам, — от цензуры до региональных ограничений со стороны медиакомпаний.
Злоключения сервиса #Hola, или Опять про бесплатный сыр. #бизнесбезугроз
Tweet
Бесплатная и функциональная Hola предлагает отдельный клиент для Windows, плагины для Firefox и Chrome, а также приложения для Android. Неудивительно, что сервис довольно популярен: сайт Hola утверждает, что в мире — 46 миллионов пользователей. Популярность придаёт Hola силу и размах, а также, к сожалению, плодит злоупотребления.
«Решето»
Согласно Threatpost, в конце мая эксперты по безопасности опубликовали весьма критический доклад об Hola, открыв большое количество возможных фатальных уязвимостей, которые подвергают пользователей опасности раскрытия информации, считывания локальных файлов и удаленного выполнения кода.
Исследователи также раскрыли, что Hola ведет и другой бизнес, Luminati, который продает доступ к сети Hola тем, кто готов платить за него до $20 за Гбайт. Основатель Hola Офер Виленски, по существу, подтвердил, что претензии по делу.
«Клиент для Windows Hola Unblocker, аддон к Firefox, расширение Chrome и Android-приложение содержат несколько уязвимостей, которые позволяют дистанционному или местному злоумышленнику добиться исполнения кода и потенциально повысить привилегии на системе пользователя. Дополнительные конструктивные недостатки позволяют отслеживать пользователя Hola в интернете через постоянный ID. Кроме того, так как пользователи Hola — вольно или невольно — выступают в качестве экзит-узлов сети покрытия, каждый из них способен действовать как посредник для других пользователей бесплатной или премиум-сети Hola, или даже её коммерческой службы Luminati, тем самым, ставя под угрозу конфиденциальность и анонимность браузинга и подвергая пользователей дальнейшим атакам,» — сообщили исследователи в своей рекомендации, утверждая, что никакого решения этих проблем не существует, кроме оперативного деинсталлирования программного обеспечения Hola с удалением вручную папки С:Program FilesHola.
Эксперты также отметили, что полдюжины из найденных дыр такого размера, что объяснить их нельзя никак иначе кроме как «преступной халатностью».
Некоторые из прочих их выводов об Hola тоже довольно тревожны:
«Hola представляет собой «пиринговую» VPN. Может, звучит это и здорово, но по факту, это означает, что другие люди гуляют по сети через ваше подключение к интернету. Веб-сайт воспринимает всё так, будто это вы его просматриваете. Возможно, это не кажется вам чем-то плохим. Но представьте себе, что кто-нибудь загрузил детскую порнографию через ваше подключение, например. Для всех остальных всё выглядит так, будто это сделано с вашего компьютера, и доказать обратное вы уже не сможете».
Исследование
На самом деле похоже, что изучение безопасности Hola началось после истории с DDoS-атакой, направленной против довольно спорного сервиса сообщений 8chan. По словам основателя 8chan Фредерика Бреннана, нападение шло из сети Luminati/Hola.
#Hola — своеобразный #ботнет, который может использоваться в дурных целях, говорят эксперты. #бизнесбезугроз
Tweet
Злоумышленник, как утверждает Бреннан, воспользовался сетью Luminati для рассылки за 30 секунд тысяч легитимно выглядящих запросов POST на post.php 8chan, что повлекло стократный рост пикового трафика и сбой PHP-FPM. Законные на вид запросы POST также означали, что отразить такую атаку составит немалого труда.
Нападения, как сообщается, осуществлялись неким BUI, по-видимому, известным спамером. Основатель Hola Офер Виленски заявляет, что после отключения аккаунта BUI у 8Chan больше не было никаких проблем.
Позже сам Виленски сказал, что Luminati проверяет коммерческих клиентов, прежде чем дать им воспользоваться сетью Hola, и что вышеупомянутый BUI просто проскользнул сквозь сеть, что является из ряда вон выходящим случаем. Якобы.
Виленски также признал, что пользователи, скорее всего, не знают о бизнесе Luminati, потому что им нет до него дела. Старый раздел FAQ Hola лишь смутно упоминал о возможности коммерческого использования Hola. Позже FAQ был обновлен с полным объяснением «коммерческих целей», где утверждается, что «Hola — управляемая и контролируемая сеть, таким образом, о всякой незаконной деятельности вроде детской порнографии и прочего будет сообщено властям вместе с реальным IP пользователя«.
Исследователи, однако, пообщались с неназванным менеджером по продажам Luminati, который прямо утверждал, что правила в сети не соблюдаются жёстко: «Мы не имеем ни малейшего понятия, что вы делаете на нашей платформе«.
Такое положение делает платформу отличной от пресловутых сервисов «пуленепробиваемого хостинга», используемых преступниками. «В действительности она работает как плохо защищённый ботнет», — говорят исследователи. «Добровольный ботнет», — подчёркивает Лоренцо Франчески-Бикьераи, штатный автор Motherboard.
Что касается реакции Hola в целом, то она в лучшем случае вызывает вопросы. Они утверждают, все делают ошибки, и это верно. Но они признали только две уязвимости, в то время как исследователи утверждают, что обнаружили шесть. Кроме того, эксперты заявили, что дыры до сих пор не заделаны, Hola всего лишь сломала безвредный инструмент для проверки на уязвимости, разработанный исследователями.
Так что обвинение в силе.
За что платишь, то и получаешь
Конечно, эта история оставляет, по крайней мере, кое-какое пространство для некоторых сомнений и дополнительных вопросов. Например, кто эти эксперты, и насколько можно верить их расследованию?
Исследователи предоставили список своих имен/прозвищ и веб-контактов (в Twitter, по большей части), и кажется, что они – те, за кого себя выдают: активные эксперты и тестировщики безопасности.
Насколько обоснованы их претензии? Они представили технические рекомендации и видео, демонстрирующее, как их показательный эксплойт запускает калькулятор в Windows. Насколько это убедительно? Вам судить. В настоящее время в медиа появляется много сообщений о проблеме Hola, и в самой Hola — по крайней мере, частично — признали проблемы, хотя, похоже, что они предпочитают сохранять их в тайне. Тем не менее, компания заявила, что наймёт начальник службы безопасности в ближайшие недели, чтобы повысить уровень безопасности.
Основной вопрос здесь, опять же, в реальной цене бесплатных предложений. Позиция Hola в этом отношении почти честная: хотите бесплатные услуги? У вас есть что-то, что пригодится нам — ваши незадействованные или почти незадействованные ресурсы. Если не хотите, чтобы мы ими пользовались, у нас есть для вас платный вариант.
Так что, в сущности, ниточки-то тянутся, и, вероятно, их даже больше, чем кто-либо рассчитывал.
И это совсем не редкость для всяческих «бесплатностей».