Компания
55,04
рейтинг
15 июня 2015 в 20:10

Разработка → Hola и Ваша безопасность

В последнее время о продуктах Hola можно прочитать много разного на тему безопасности. От имени компании я попытаюсь ниже отделить правду от домыслов и преувеличений, а в комментариях — ответить на вопросы.

image

Напоминаю, что наши продукты для конечных пользователей позволяют обходить региональные блокировки, установленные как самими веб-сайтами, так и администраторами, провайдерами и государствами.

1. Пользователи Hola составляют сеть обмена трафиком (P2P).

Большинство «анонимных прокси» пропускают трафик пользователя через собственные сервера в нужной стране. Это обычно работает, но многие веб-сервисы блокируют такие сервера по чёрному списку IP-адресов. К тому же, предоставлять такой сервис стоит немалых денег, и поэтому он не может быть (или долгое время оставаться) бесплатным.

Hola работает иначе: в обмен на бесплатный сервис пользователь разрешает нам использовать часть его пропускной способности. Нечто подобное делают и Skype, и многие популярные картографические приложения (например, Waze). Кстати, в 2009 году вокруг Skype возник весьма похожий скандал.

Мы стараемся не создавать пользователям проблем и поэтому пропускаем трафик через пользовательские устройства в фоновом режиме только тогда, когда эти устройства не используются, подключены к зарядному устройству и выходят в интернет через Ethernet или WiFi. В среднем дополнительный трафик от Hola на данный момент составляет около 6 МБ в день — это примерно 15 секунд видео на YouTube. Если же и это для Вас неприемлемо, есть альтернатива — платный аккаунт за $5 в месяц, — и тогда Ваше устройство никогда не будет использовано как узел P2P-сети.

Мы никогда не скрывали свой принцип действия от пользователей (вот так выглядела наша страница FAQ в конце мая этого года), но наша ошибка состояла в том, что мы недостаточно хорошо это объясняли. Теперь мы подробно объяснили это не только на странице FAQ, но и на главной странице.

2. Мы не строим из Ваших устройств ботнет!

Во-первых, как я уже сказал, мы делаем всё возможное, чтобы разъяснить пользователям, на что они соглашаются. Во-вторых, мы принимаем меры для того, чтобы с Вашего IP-адреса не совершалось ничего такого, из-за чего у Вас могут быть неприятности.

Мы продаём право пользоваться P2P-сетью как анонимными прокси-серверам. Этот бизнес называется Luminati. Пользуются этим, например, предприниматели, которые хотят анонимно мониторить цены на сайтах конкурентов. Правилами Luminati строго запрещено использование сервиса для противоправных действий, включая всевозможные DoS-атаки. Перед тем, как предоставить новому клиенту доступ к сервису, мы проводим тщательную процедуру верификации, чтобы убедиться, что мы действительно имеем дело с представителем той компании, от имени которой выступает контактное лицо, и что у него легальные намерения. Кроме того, мы в обязательном порядке сохраняем информацию о клиенте, которая поможет привлечь его к ответственности в случае нарушения правил.

Недавно случился инцидент, когда один из клиентов Luminati злоупотребил доверием и использовал нашу P2P-сеть для атаки на известный веб-сервис. Это произошло потому, что мы недостаточно тщательно проверили этого клиента. Это была наша ошибка!

Обнаружив нарушение, мы отключили его аккаунт, и теперь сотрудничаем со следствием для привлечения виновного к ответственности. Мы усилили обязательную процедуру верификации, которую должен проходить каждый новый клиент, и проверили по ней всех существующих. Кроме того, мы ввели в действие некоторые алгоритмы, которые помогут нам оперативно обращать внимание на подозрительное поведение пользователей.

Мы делаем всё возможное для того, чтобы пресекать любые попытки использовать Ваши устройства для противозаконного и неэтичного поведения.

3. Уязвимости

Недавно была опубликована информация о нескольких уязвимостях в наших продуктах. Мы принимаем такие сообщения всерьёз!

За последние недели мы исправили множество уязвимостей, как описанных хакерами, так и тех, что мы нашли самостоятельно. Большинство исправлений уже в силе. Некоторые глубинные проблемы были немедленно исправлены «наскоро», а сейчас мы работаем над фундаментальной переделкой архитектуры для их «правильного» устранения.

В свете опубликованных проблем с безопасностью мы не только принялись за внутренний пересмотр всего действующего кода, но и привлекли к этому профессиональную компанию по кибер-аудиту.

Скоро мы объявим о запуске новой программы, в рамках которой каждому, кто сообщит нам о новой уязвимости, будет предложено материальное вознаграждение.

Мы стараемся делать для вас хороший продукт. Баги и злоупотребления раздражают нас не меньше, чем вас. Ошибки делают все; мы стараемся быстро признавать свои ошибки и учиться на них. Спасибо за то, что остаётесь с нами и помогаете нам исправлять ошибки!
Автор: @feldgendler
Hola
рейтинг 55,04

Комментарии (11)

  • 0
    Казахтелеком заблокировал. Техподдержка Hola ничего внятного не говорит. Так что FoxyProxy наше всё.
    • 0
      Если среди пользователей этого провайдера найдётся кто-то технически грамотный, кто согласился бы помочь нам поисследовать эту проблему, то постараемся исправить.
      • +1
        Я этому товарищу (из Израиля) дал TeamViewer на свой комп — это ведь максимальная квалификация, которая вам доступна, верно?

        Но товарищ ограничился тем, что снёс мне все плагины из Firefox и Chrome. Связь восстановилась на полсуток и обратно заглохла.
        • 0
          А кто это был? Я могу или выяснить, на чём там дело остановилось, или попытаться заново разобраться сам.
          • 0
            Это было с полгода или год назад. Не могу восстановить диалог, да и он представился не подробнее, чем skype:hola.support
            Собственно, я пользовал Hola только недели две от узнавания до блокировки. До этого и после этого FoxyProxy.
            Если я вас верно понял, то я могу предоставить вам свой компьютер в среду — авралю…
            Если неверно, то извините.
            • 0
              Увы, сейчас невозможно определить, кто из моих коллег тогда пользовался этим общим аккаунтом. Примите мои извинения!

              С Вашей помощью я постараюсь выяснить, в чём беда — продолжим общение личными сообщениями. Спасибо!
  • 0
    Так вы уже исправили уязвимости или (как на момент публикации оригинала того, что вы перевели) только сломали их тестер на adios-hola.org?
    • +2
      Мы не ломали специально тестер, как они утверждают.

      Я проконсультируюсь с коллегами, чтобы выяснить, для всех ли упомянутых на adios-hola.org/advisory.txt проблем уже вышли исправления в публичных релизах, и отвечу на Ваш вопрос.
    • 0
      Я проверил этот вопрос и с уверенностью утверждаю, что на данный момент (к сожалению, ничего не могу сказать о моменте публикации апдейта на adios-hola.org) мы исправили все описанные ими уязвимости и выпустили обновления ко всем нашим продуктам.

      В каждом случае исправление было фундаментальным, а не направленным на то, чтобы «сломать тестер».

      Если и теперь в новейших версиях есть уязвимости, то мы очень хотели бы о них узнать. Скоро объявим вознаграждение за такие сообщения.
  • 0
    Отказался от вас(печаль) по причине отсутствие результата. (Что немецию выбрал, что штаты — разницы нету, показывает вы из России )
    • 0
      Если хотите, можно поотлаживать на Вашем компьютере с помощью remote desktop. Буду рад возможности выявить и устранить проблему.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка