Популярная бесплатная служба VPN Hola используется в качестве ботнета

Тема в разделе "Новости информационной безопасности", создана пользователем Severnyj, 31 май 2015.

  1. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.597
    Администрация сервиса торгует пропускной способностью миллионов клиентов.

    Как сообщает The Hacker News, популярный бесплатный VPN-сервис Hola использует пропускную способность миллионов своих клиентов, торгуя ей по аналогии с администраторами ботнетов.

    [​IMG]

    Вырученные средства компания использует для вполне законных целей и покрывает ими затраты на обеспечение работоспособности всей службы, однако многие независимые аналитики опасаются того, что сомнительная практика может перерасти в тривиальную сдачу «в аренду огромного ботнета».

    В настоящий момент Hola используется большей частью для просмотра потоковых медиа с региональными ограничениями. К примеру, многие клиенты используют сервис для просмотра передач телеканала American Netflix, находясь за пределами США, где он не транслируется официально. Чтобы начать работу с Hola достаточно установить обычный плагин для браузера Google Chrome. В настоящий момент приложение в интернет-магазине поискового гиганта насчитывает более 6 миллионов скачиваний.

    Для получения прибыли администрация сервиса воспользовалась услугами компании Luminati, которая, в свою очередь, перепродает пропускные способности по своему усмотрению. Эту информацию подтвердил основатель Hola Офер Виленский (Ofer Vilenski).

    Источник
     
    akok, Kиpилл, orderman и ещё 1-му нравится это.
  2. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    VPN-расширение Hola продает пользовательский трафик и содержит уязвимости удаленного выполнения кода

    4 дня назад администратор борды 8chan (доска /beast/ которой заблокирована в России) сообщил о DDoS-атаке на сайт, которая выглядела как стократный приток обычных посетителей. Самое большое увеличение нагрузки получил скрипт для постинга post.php (капчи на борде не было); DDoS привел к падению PHP-FPM, под которым выполнялся скрипт. В ходе исследования трафика выяснилось, что для совершения атаки были использованы каналы пользователей с Hola — популярным браузерным расширением для доступа к заблокированным сайтам, пользующееся популярностью как за рубежом, так и в России.

    Пользователи расширения, сами того не зная, отдавали свои интернет-каналы дочерней фирме Luminati, которая, по сути, владела более 9 миллионами уникальных выходных нод, за счет расширения и каналов пользователей. Зарабатывают они, судя по всему, очень неплохо: первые 100 гигабайт трафика обходятся клиентам в $20 за гигабайт.

    В FAQ проекта не было никаких упоминаний об использовании каналов пользователей, однако в Hola быстро добавили несколько пунктов на этот счет. Теперь, если вы не хотите отдавать свой канал Limunati, вам придется заплатить $5 в месяц.
    Архивная версия FAQ
    Текущая версия FAQ

    После опубликования данной информации администратором 8chan, группа ребят нашла 4 уязвимости в данном расширении:

    Чтение произвольных файлов до NULL-байта (/file_read.json)
    Раскрытие уникального идентификатора пользователя (/callback.json)
    Раскрытие адресов некоторых функций (/procinfo/ps, для последующего обхода ASLR)
    Удаленное выполнение кода (/vlc_mv.json и /vlc_start.json)
    Повышение привилегий до SYSTEM под Windows

    Все версии Hola поднимают JSON REST HTTP-сервер на 127.0.0.1, но с заголовком Access-Control-Allow-Origin: *, что позволяет обращаться к нему с любой страницы в интернете. Windows-версии, которые устанавливают не только расширение в браузер, но и сервис, исполняются от имени SYSTEM.

    Одну из уязвимостей удаленного выполнения кода, связанную с отсутствием фильтрации аргументов в строке запуска встроенного видеоплеера VLC, в Hola уже пропатчили, но исследовательская группа уверена, что ее просто спрятали подальше, чтобы эксплоит на сайте исследователей, запускающий калькулятор Windows, перестал работать.

    На сайте «Adios, Hola!», посвященному уязвимостям в расширении, можно выполнить проверку, являетесь ли вы exit-нодой, можно ли вас идентифицировать, выполнить код от вашего и привилегированного пользователя SYSTEM. Также на сайте содержится подробная инструкция по удалению всего комплекса для Chrome, Firefox, Internet Explorer и Android-версии.

    На данный момент расширение Hola удалено из Firefox Addons, но есть в Chrome Web Store, хоть и не находится в поиске. Призываю всех авторов списков ПО для обхода цензуры либо убрать Hola из списка вариантов, либо написать предупреждения о факте использования канала. Свой список, который, к слову, до сих пор пользуется большой популярностью, я обновил.

    Данная компания была представлена и на Хабре, но не стала продлевать аккаунт.

    UPD: Официальный ответ Hola
    TL;DR: Мы — инновационная компания. Skype тоже использовал ваш трафик. Мы продаем Luminati только порядочным клиентам (а не как Tor). Уязвимости есть у всех: Apple iCloud, Snapchat, Skype, Sony, Evernote, Microsoft.

    Информация от администратора 8chan
    Техническая информация от исследователей
    Самый крупный тред на Reddit
    Новость на Vice
    Новость на TJournal

     
    akok, DllPok, Kиpилл и 3 другим нравится это.
  3. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.597
    Уязвимости бесплатного сервиса Hola

    Громкий скандал недавно разразился вокруг популярного бесплатного пирингового сервиса Hola, основной целью которого является обеспечение анонимного серфинга.


    Помимо выявления ряда уязвимостей, которые непосредственно подвергают пользователей Hola риску, исследователи также обвинили Hola в коммерческом использовании интернет-каналов пользователей без уведомления их об этом должным образом. Появлялось также, по крайней мере, одно сообщение о злоупотреблении возможностями Hola для запуска DDoS-атаки. Эта история служит очередной демонстрацией того, что за «бесплатное» приходится платить.

    Здравствуй и прощай
    Hola представляет собой бесплатный сервис, который перенаправляет трафик по примеру любой другой p2p-сети, что обеспечивает и анонимный серфинг, и доступ к онлайновым ресурсам, блокированным по каким-либо причинам, — от цензуры до региональных ограничений со стороны медиакомпаний.

    Бесплатная и функциональная Hola предлагает отдельный клиент для Windows, плагины для Firefox и Chrome, а также приложения для Android. Неудивительно, что сервис довольно популярен: сайт Hola утверждает, что в мире — 46 миллионов пользователей. Популярность придаёт Hola силу и размах, а также, к сожалению, плодит злоупотребления.

    «Решето»
    Согласно Threatpost, в конце мая эксперты по безопасности опубликовали весьма критический доклад об Hola, открыв большое количество возможных фатальных уязвимостей, которые подвергают пользователей опасности раскрытия информации, считывания локальных файлов и удаленного выполнения кода.

    11nhn.jpg

    Исследователи также раскрыли, что Hola ведет и другой бизнес, Luminati, который продает доступ к сети Hola тем, кто готов платить за него до 20 долл. за Гбайт. Основатель Hola Офер Виленски, по существу, подтвердил, что претензии по делу.

    «Клиент для Windows Hola Unblocker, аддон к Firefox, расширение Chrome и Android-приложение содержат несколько уязвимостей, которые позволяют дистанционному или местному злоумышленнику добиться исполнения кода и потенциально повысить привилегии на системе пользователя. Дополнительные конструктивные недостатки позволяют отслеживать пользователя Hola в интернете через постоянный ID. Кроме того, так как пользователи Hola — вольно или невольно — выступают в качестве экзит-узлов сети покрытия, каждый из них способен действовать как посредник для других пользователей бесплатной или премиум-сети Hola, или даже её коммерческой службы Luminati, тем самым, ставя под угрозу конфиденциальность и анонимность браузинга и подвергая пользователей дальнейшим атакам,» — сообщили исследователи в своей рекомендации, утверждая, что никакого решения этих проблем не существует, кроме оперативного деинсталлирования программного обеспечения Hola с удалением вручную папки С:\Program Files\Hola.

    Эксперты также отметили, что полдюжины из найденных дыр такого размера, что объяснить их нельзя никак иначе кроме как «преступной халатностью».

    Некоторые из прочих их выводов об Hola тоже довольно тревожны:

    «Hola представляет собой «пиринговую» VPN. Может, звучит это и здорово, но по факту, это означает, что другие люди гуляют по сети через ваше подключение к интернету. Веб-сайт воспринимает всё так, будто это вы его просматриваете. Возможно, это не кажется вам чем-то плохим. Но представьте себе, что кто-нибудь загрузил детскую порнографию через ваше подключение, например. Для всех остальных всё выглядит так, будто это сделано с вашего компьютера, и доказать обратное вы уже не сможете».

    Исследование
    На самом деле похоже, что изучение безопасности Hola началось после истории с DDoS-атакой, направленной против довольно спорного сервиса сообщений 8chan. По словам основателя 8chan Фредерика Бреннана, нападение шло из сети Luminati/Hola.

    Злоумышленник, как утверждает Бреннан, воспользовался сетью Luminati для рассылки за 30 секунд тысяч легитимно выглядящих запросов POST на post.php 8chan, что повлекло стократный рост пикового трафика и сбой PHP-FPM. Законные на вид запросы POST также означали, что отразить такую атаку составит немалого труда.

    Нападения, как сообщается, осуществлялись неким BUI, по-видимому, известным спамером. Основатель Hola Офер Виленски заявляет, что после отключения аккаунта BUI у 8Chan больше не было никаких проблем.

    Позже сам Виленски сказал, что Luminati проверяет коммерческих клиентов, прежде чем дать им воспользоваться сетью Hola, и что вышеупомянутый BUI просто проскользнул сквозь сеть, что является из ряда вон выходящим случаем. Якобы.

    Виленски также признал, что пользователи, скорее всего, не знают о бизнесе Luminati, потому что им нет до него дела. Старый раздел FAQ Hola лишь смутно упоминал о возможности коммерческого использования Hola. Позже FAQ был обновлен с полным объяснением «коммерческих целей», где утверждается, что «Hola — управляемая и контролируемая сеть, таким образом, о всякой незаконной деятельности вроде детской порнографии и прочего будет сообщено властям вместе с реальным IP пользователя».

    Исследователи, однако, пообщались с неназванным менеджером по продажам Luminati, который прямо утверждал, что правила в сети не соблюдаются жёстко: «Мы не имеем ни малейшего понятия, что вы делаете на нашей платформе».

    Такое положение делает платформу отличной от пресловутых сервисов «пуленепробиваемого хостинга», используемых преступниками. «В действительности она работает как плохо защищённый ботнет», — говорят исследователи. «Добровольный ботнет», — подчёркивает Лоренцо Франчески-Бикьераи, штатный автор Motherboard.

    Что касается реакции Hola в целом, то она в лучшем случае вызывает вопросы. Они утверждают, что все делают ошибки, и это верно. Но они признали только две уязвимости, в то время как исследователи утверждают, что обнаружили шесть. Кроме того, эксперты заявили, что дыры до сих пор не заделаны, Hola всего лишь сломала безвредный инструмент для проверки на уязвимости, разработанный исследователями.

    Так что обвинение в силе.

    За что платишь, то и получаешь
    Конечно, эта история оставляет, по крайней мере, кое-какое пространство для некоторых сомнений и дополнительных вопросов. Например, кто эти эксперты, и насколько можно верить их расследованию?

    Исследователи предоставили список своих имен/прозвищ и веб-контактов (в Twitter, по большей части), и кажется, что они – те, за кого себя выдают: активные эксперты и тестировщики безопасности.

    Насколько обоснованы их претензии? Они представили технические рекомендации и видео, демонстрирующее, как их показательный эксплойт запускает калькулятор в Windows. Насколько это убедительно? Вам судить. В настоящее время в медиа появляется много сообщений о проблеме Hola, и в самой Hola — по крайней мере, частично — признали проблемы, хотя, похоже, что они предпочитают сохранять их в тайне. Тем не менее, компания заявила, что наймёт начальника службы безопасности в ближайшие недели, чтобы повысить уровень безопасности.

    Основной вопрос здесь, опять же, в реальной цене бесплатных предложений. Позиция Hola в этом отношении почти честная: хотите бесплатные услуги? У вас есть что-то, что пригодится нам — ваши незадействованные или почти незадействованные ресурсы. Если не хотите, чтобы мы ими пользовались, у нас есть для вас платный вариант.

    Так что, в сущности, ниточки-то тянутся, и, вероятно, их даже больше, чем кто-либо рассчитывал.

    И это совсем не редкость для всяческих «бесплатностей».

    Источник
     
    Последнее редактирование модератором: 23 июн 2015
    orderman и Kиpилл нравится это.
  4. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.220
    Симпатии:
    4.978

Поделиться этой страницей