Популярная бесплатная служба VPN Hola используется в качестве ботнета

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,389
Симпатии
8,728
Баллы
743
#1
Администрация сервиса торгует пропускной способностью миллионов клиентов.

Как сообщает The Hacker News, популярный бесплатный VPN-сервис Hola использует пропускную способность миллионов своих клиентов, торгуя ей по аналогии с администраторами ботнетов.

proxy.php?image=http%3A%2F%2Fwww.securitylab.ru%2Fupload%2Fiblock%2F73c%2F73caef94b09e94064e9e836906856bb3.jpg&hash=a7265aa586495b6ae796622b71ede951


Вырученные средства компания использует для вполне законных целей и покрывает ими затраты на обеспечение работоспособности всей службы, однако многие независимые аналитики опасаются того, что сомнительная практика может перерасти в тривиальную сдачу «в аренду огромного ботнета».

В настоящий момент Hola используется большей частью для просмотра потоковых медиа с региональными ограничениями. К примеру, многие клиенты используют сервис для просмотра передач телеканала American Netflix, находясь за пределами США, где он не транслируется официально. Чтобы начать работу с Hola достаточно установить обычный плагин для браузера Google Chrome. В настоящий момент приложение в интернет-магазине поискового гиганта насчитывает более 6 миллионов скачиваний.

Для получения прибыли администрация сервиса воспользовалась услугами компании Luminati, которая, в свою очередь, перепродает пропускные способности по своему усмотрению. Эту информацию подтвердил основатель Hola Офер Виленский (Ofer Vilenski).

Источник
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,229
Симпатии
5,834
Баллы
918
#2
VPN-расширение Hola продает пользовательский трафик и содержит уязвимости удаленного выполнения кода

4 дня назад администратор борды 8chan (доска /beast/ которой заблокирована в России) сообщил о DDoS-атаке на сайт, которая выглядела как стократный приток обычных посетителей. Самое большое увеличение нагрузки получил скрипт для постинга post.php (капчи на борде не было); DDoS привел к падению PHP-FPM, под которым выполнялся скрипт. В ходе исследования трафика выяснилось, что для совершения атаки были использованы каналы пользователей с Hola — популярным браузерным расширением для доступа к заблокированным сайтам, пользующееся популярностью как за рубежом, так и в России.

Пользователи расширения, сами того не зная, отдавали свои интернет-каналы дочерней фирме Luminati, которая, по сути, владела более 9 миллионами уникальных выходных нод, за счет расширения и каналов пользователей. Зарабатывают они, судя по всему, очень неплохо: первые 100 гигабайт трафика обходятся клиентам в $20 за гигабайт.

В FAQ проекта не было никаких упоминаний об использовании каналов пользователей, однако в Hola быстро добавили несколько пунктов на этот счет. Теперь, если вы не хотите отдавать свой канал Limunati, вам придется заплатить $5 в месяц.
Архивная версия FAQ
Текущая версия FAQ

После опубликования данной информации администратором 8chan, группа ребят нашла 4 уязвимости в данном расширении:

Чтение произвольных файлов до NULL-байта (/file_read.json)
Раскрытие уникального идентификатора пользователя (/callback.json)
Раскрытие адресов некоторых функций (/procinfo/ps, для последующего обхода ASLR)
Удаленное выполнение кода (/vlc_mv.json и /vlc_start.json)
Повышение привилегий до SYSTEM под Windows
http://
Все версии Hola поднимают JSON REST HTTP-сервер на 127.0.0.1, но с заголовком Access-Control-Allow-Origin: *, что позволяет обращаться к нему с любой страницы в интернете. Windows-версии, которые устанавливают не только расширение в браузер, но и сервис, исполняются от имени SYSTEM.

Одну из уязвимостей удаленного выполнения кода, связанную с отсутствием фильтрации аргументов в строке запуска встроенного видеоплеера VLC, в Hola уже пропатчили, но исследовательская группа уверена, что ее просто спрятали подальше, чтобы эксплоит на сайте исследователей, запускающий калькулятор Windows, перестал работать.

На сайте «Adios, Hola!», посвященному уязвимостям в расширении, можно выполнить проверку, являетесь ли вы exit-нодой, можно ли вас идентифицировать, выполнить код от вашего и привилегированного пользователя SYSTEM. Также на сайте содержится подробная инструкция по удалению всего комплекса для Chrome, Firefox, Internet Explorer и Android-версии.

На данный момент расширение Hola удалено из Firefox Addons, но есть в Chrome Web Store, хоть и не находится в поиске. Призываю всех авторов списков ПО для обхода цензуры либо убрать Hola из списка вариантов, либо написать предупреждения о факте использования канала. Свой список, который, к слову, до сих пор пользуется большой популярностью, я обновил.

Данная компания была представлена и на Хабре, но не стала продлевать аккаунт.

UPD: Официальный ответ Hola
TL;DR: Мы — инновационная компания. Skype тоже использовал ваш трафик. Мы продаем Luminati только порядочным клиентам (а не как Tor). Уязвимости есть у всех: Apple iCloud, Snapchat, Skype, Sony, Evernote, Microsoft.

Информация от администратора 8chan
Техническая информация от исследователей
Самый крупный тред на Reddit
Новость на Vice
Новость на TJournal

 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,389
Симпатии
8,728
Баллы
743
#3
Уязвимости бесплатного сервиса Hola

Громкий скандал недавно разразился вокруг популярного бесплатного пирингового сервиса Hola, основной целью которого является обеспечение анонимного серфинга.


Помимо выявления ряда уязвимостей, которые непосредственно подвергают пользователей Hola риску, исследователи также обвинили Hola в коммерческом использовании интернет-каналов пользователей без уведомления их об этом должным образом. Появлялось также, по крайней мере, одно сообщение о злоупотреблении возможностями Hola для запуска DDoS-атаки. Эта история служит очередной демонстрацией того, что за «бесплатное» приходится платить.

Здравствуй и прощай
Hola представляет собой бесплатный сервис, который перенаправляет трафик по примеру любой другой p2p-сети, что обеспечивает и анонимный серфинг, и доступ к онлайновым ресурсам, блокированным по каким-либо причинам, — от цензуры до региональных ограничений со стороны медиакомпаний.

Бесплатная и функциональная Hola предлагает отдельный клиент для Windows, плагины для Firefox и Chrome, а также приложения для Android. Неудивительно, что сервис довольно популярен: сайт Hola утверждает, что в мире — 46 миллионов пользователей. Популярность придаёт Hola силу и размах, а также, к сожалению, плодит злоупотребления.

«Решето»
Согласно Threatpost, в конце мая эксперты по безопасности опубликовали весьма критический доклад об Hola, открыв большое количество возможных фатальных уязвимостей, которые подвергают пользователей опасности раскрытия информации, считывания локальных файлов и удаленного выполнения кода.



Исследователи также раскрыли, что Hola ведет и другой бизнес, Luminati, который продает доступ к сети Hola тем, кто готов платить за него до 20 долл. за Гбайт. Основатель Hola Офер Виленски, по существу, подтвердил, что претензии по делу.

«Клиент для Windows Hola Unblocker, аддон к Firefox, расширение Chrome и Android-приложение содержат несколько уязвимостей, которые позволяют дистанционному или местному злоумышленнику добиться исполнения кода и потенциально повысить привилегии на системе пользователя. Дополнительные конструктивные недостатки позволяют отслеживать пользователя Hola в интернете через постоянный ID. Кроме того, так как пользователи Hola — вольно или невольно — выступают в качестве экзит-узлов сети покрытия, каждый из них способен действовать как посредник для других пользователей бесплатной или премиум-сети Hola, или даже её коммерческой службы Luminati, тем самым, ставя под угрозу конфиденциальность и анонимность браузинга и подвергая пользователей дальнейшим атакам,» — сообщили исследователи в своей рекомендации, утверждая, что никакого решения этих проблем не существует, кроме оперативного деинсталлирования программного обеспечения Hola с удалением вручную папки С:\Program Files\Hola.

Эксперты также отметили, что полдюжины из найденных дыр такого размера, что объяснить их нельзя никак иначе кроме как «преступной халатностью».

Некоторые из прочих их выводов об Hola тоже довольно тревожны:

«Hola представляет собой «пиринговую» VPN. Может, звучит это и здорово, но по факту, это означает, что другие люди гуляют по сети через ваше подключение к интернету. Веб-сайт воспринимает всё так, будто это вы его просматриваете. Возможно, это не кажется вам чем-то плохим. Но представьте себе, что кто-нибудь загрузил детскую порнографию через ваше подключение, например. Для всех остальных всё выглядит так, будто это сделано с вашего компьютера, и доказать обратное вы уже не сможете».

Исследование
На самом деле похоже, что изучение безопасности Hola началось после истории с DDoS-атакой, направленной против довольно спорного сервиса сообщений 8chan. По словам основателя 8chan Фредерика Бреннана, нападение шло из сети Luminati/Hola.

Злоумышленник, как утверждает Бреннан, воспользовался сетью Luminati для рассылки за 30 секунд тысяч легитимно выглядящих запросов POST на post.php 8chan, что повлекло стократный рост пикового трафика и сбой PHP-FPM. Законные на вид запросы POST также означали, что отразить такую атаку составит немалого труда.

Нападения, как сообщается, осуществлялись неким BUI, по-видимому, известным спамером. Основатель Hola Офер Виленски заявляет, что после отключения аккаунта BUI у 8Chan больше не было никаких проблем.

Позже сам Виленски сказал, что Luminati проверяет коммерческих клиентов, прежде чем дать им воспользоваться сетью Hola, и что вышеупомянутый BUI просто проскользнул сквозь сеть, что является из ряда вон выходящим случаем. Якобы.

Виленски также признал, что пользователи, скорее всего, не знают о бизнесе Luminati, потому что им нет до него дела. Старый раздел FAQ Hola лишь смутно упоминал о возможности коммерческого использования Hola. Позже FAQ был обновлен с полным объяснением «коммерческих целей», где утверждается, что «Hola — управляемая и контролируемая сеть, таким образом, о всякой незаконной деятельности вроде детской порнографии и прочего будет сообщено властям вместе с реальным IP пользователя».

Исследователи, однако, пообщались с неназванным менеджером по продажам Luminati, который прямо утверждал, что правила в сети не соблюдаются жёстко: «Мы не имеем ни малейшего понятия, что вы делаете на нашей платформе».

Такое положение делает платформу отличной от пресловутых сервисов «пуленепробиваемого хостинга», используемых преступниками. «В действительности она работает как плохо защищённый ботнет», — говорят исследователи. «Добровольный ботнет», — подчёркивает Лоренцо Франчески-Бикьераи, штатный автор Motherboard.

Что касается реакции Hola в целом, то она в лучшем случае вызывает вопросы. Они утверждают, что все делают ошибки, и это верно. Но они признали только две уязвимости, в то время как исследователи утверждают, что обнаружили шесть. Кроме того, эксперты заявили, что дыры до сих пор не заделаны, Hola всего лишь сломала безвредный инструмент для проверки на уязвимости, разработанный исследователями.

Так что обвинение в силе.

За что платишь, то и получаешь
Конечно, эта история оставляет, по крайней мере, кое-какое пространство для некоторых сомнений и дополнительных вопросов. Например, кто эти эксперты, и насколько можно верить их расследованию?

Исследователи предоставили список своих имен/прозвищ и веб-контактов (в Twitter, по большей части), и кажется, что они – те, за кого себя выдают: активные эксперты и тестировщики безопасности.

Насколько обоснованы их претензии? Они представили технические рекомендации и видео, демонстрирующее, как их показательный эксплойт запускает калькулятор в Windows. Насколько это убедительно? Вам судить. В настоящее время в медиа появляется много сообщений о проблеме Hola, и в самой Hola — по крайней мере, частично — признали проблемы, хотя, похоже, что они предпочитают сохранять их в тайне. Тем не менее, компания заявила, что наймёт начальника службы безопасности в ближайшие недели, чтобы повысить уровень безопасности.

Основной вопрос здесь, опять же, в реальной цене бесплатных предложений. Позиция Hola в этом отношении почти честная: хотите бесплатные услуги? У вас есть что-то, что пригодится нам — ваши незадействованные или почти незадействованные ресурсы. Если не хотите, чтобы мы ими пользовались, у нас есть для вас платный вариант.

Так что, в сущности, ниточки-то тянутся, и, вероятно, их даже больше, чем кто-либо рассчитывал.

И это совсем не редкость для всяческих «бесплатностей».

Источник
 
Последнее редактирование модератором:

Кирилл

Команда форума
Администратор
Сообщения
13,511
Симпатии
5,988
Баллы
843
#4
Жесть...
 

akok

Команда форума
Администратор
Сообщения
15,479
Симпатии
12,574
Баллы
2,203
#5
Популярный VPN-плагин для Chrome и Android под названием Hola, которым пользуется более 50 млн человек по всему миру, был скомпрометирован. Целью атаки являются пользователи MyEtherWallet — одного из крупнейших горячих онлайн-кошельков для держателей эфира. Атака длилась примерно пять часов и за это время Hola собирал информацию о кошельках пользователей MEW с целью последующей кражи криптовалюты.

В единственной рекомендации, поступившей от администрации кошелька, советуется завести новый кошелек MEW и перевести туда свои средства в случае, если вы являетесь пользователем Hola и совершали действия в MyEtherWallet в последние 24 часа.
Это уже вторая атака на пользователей MyEtherWallet за последние четыре месяца. Этой весной хакерам удалось взломать DNS-сервер, который использовался MyEtherWallet, что позволило перенаправлять пользователей на фишинговый сайт с питерским IP-адресом. Тогда было украдено не менее 215 ETH. Считается, что за обеими этими атаками стоят одни и те же люди.

Стоит отметить, что VPN-плагин Hola ранее был скомпрометирован еще в 2015 году. Тогда пользователи Hola были вовлечены в проведение массированных DDoS-атак.

Основная причина привлекательности Hola для злоумышленников — это популярность плагина вкупе с использованием одноранговой архитектуры peer-to-peer для установления соединения. Также играет роль и крайне небрежная разработка, которая привела к наличию целого ряда уязвимостей и лазеек для злоумышленников. Кроме этого администрация Hola была замечена в крайне небрежном отношении в случае предоставления платного доступа к сети. В 2015 году разработчики заявляли, что «устранили уязвимость за несколько часов после репорта», однако группа исследователей, которая и указала на проблему, была с этим категорически несогласна:

Они говорят, что устранили уязвимость за несколько часов, но мы знаем, что это ложь. Разработчики просто сломали наш метод проверки, а сами сообщили, что уязвимость устранена. Кроме это, дыр было не две, как они сообщают, а шесть.​

В конфликте 2015 года фигурировала не просто кража персональных данных через плагин. Тогда разработчиков обвиняли в преступной халатности, продаже доступа к сети сомнительным лицам и даже в предоставлении возможности исполнять код на стороне пользователя без его ведома.

В отличие от пользователей Tor, которые чаще всего осознают, что они делают и какие доступы предоставляют, работающий «из коробки» плагин обрел популярность среди рядовых пользователей, которые могут даже не до конца понимать, как работает эта «волшебная кнопка» в Chrome — для них важен лишь конечный эффект в виде доступности заблокированных ресурсов и условной анонимности.

habr.com
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,229
Симпатии
5,834
Баллы
918
#6

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,229
Симпатии
5,834
Баллы
918
#7
Последнее редактирование:
Сверху Снизу