15 June 2015

Hola и Ваша безопасность

Hola corporate blogInformation Security
В последнее время о продуктах Hola можно прочитать много разного на тему безопасности. От имени компании я попытаюсь ниже отделить правду от домыслов и преувеличений, а в комментариях — ответить на вопросы.

image

Напоминаю, что наши продукты для конечных пользователей позволяют обходить региональные блокировки, установленные как самими веб-сайтами, так и администраторами, провайдерами и государствами.

1. Пользователи Hola составляют сеть обмена трафиком (P2P).

Большинство «анонимных прокси» пропускают трафик пользователя через собственные сервера в нужной стране. Это обычно работает, но многие веб-сервисы блокируют такие сервера по чёрному списку IP-адресов. К тому же, предоставлять такой сервис стоит немалых денег, и поэтому он не может быть (или долгое время оставаться) бесплатным.

Hola работает иначе: в обмен на бесплатный сервис пользователь разрешает нам использовать часть его пропускной способности. Нечто подобное делают и Skype, и многие популярные картографические приложения (например, Waze). Кстати, в 2009 году вокруг Skype возник весьма похожий скандал.

Мы стараемся не создавать пользователям проблем и поэтому пропускаем трафик через пользовательские устройства в фоновом режиме только тогда, когда эти устройства не используются, подключены к зарядному устройству и выходят в интернет через Ethernet или WiFi. В среднем дополнительный трафик от Hola на данный момент составляет около 6 МБ в день — это примерно 15 секунд видео на YouTube. Если же и это для Вас неприемлемо, есть альтернатива — платный аккаунт за $5 в месяц, — и тогда Ваше устройство никогда не будет использовано как узел P2P-сети.

Мы никогда не скрывали свой принцип действия от пользователей (вот так выглядела наша страница FAQ в конце мая этого года), но наша ошибка состояла в том, что мы недостаточно хорошо это объясняли. Теперь мы подробно объяснили это не только на странице FAQ, но и на главной странице.

2. Мы не строим из Ваших устройств ботнет!

Во-первых, как я уже сказал, мы делаем всё возможное, чтобы разъяснить пользователям, на что они соглашаются. Во-вторых, мы принимаем меры для того, чтобы с Вашего IP-адреса не совершалось ничего такого, из-за чего у Вас могут быть неприятности.

Мы продаём право пользоваться P2P-сетью как анонимными прокси-серверам. Этот бизнес называется Luminati. Пользуются этим, например, предприниматели, которые хотят анонимно мониторить цены на сайтах конкурентов. Правилами Luminati строго запрещено использование сервиса для противоправных действий, включая всевозможные DoS-атаки. Перед тем, как предоставить новому клиенту доступ к сервису, мы проводим тщательную процедуру верификации, чтобы убедиться, что мы действительно имеем дело с представителем той компании, от имени которой выступает контактное лицо, и что у него легальные намерения. Кроме того, мы в обязательном порядке сохраняем информацию о клиенте, которая поможет привлечь его к ответственности в случае нарушения правил.

Недавно случился инцидент, когда один из клиентов Luminati злоупотребил доверием и использовал нашу P2P-сеть для атаки на известный веб-сервис. Это произошло потому, что мы недостаточно тщательно проверили этого клиента. Это была наша ошибка!

Обнаружив нарушение, мы отключили его аккаунт, и теперь сотрудничаем со следствием для привлечения виновного к ответственности. Мы усилили обязательную процедуру верификации, которую должен проходить каждый новый клиент, и проверили по ней всех существующих. Кроме того, мы ввели в действие некоторые алгоритмы, которые помогут нам оперативно обращать внимание на подозрительное поведение пользователей.

Мы делаем всё возможное для того, чтобы пресекать любые попытки использовать Ваши устройства для противозаконного и неэтичного поведения.

3. Уязвимости

Недавно была опубликована информация о нескольких уязвимостях в наших продуктах. Мы принимаем такие сообщения всерьёз!

За последние недели мы исправили множество уязвимостей, как описанных хакерами, так и тех, что мы нашли самостоятельно. Большинство исправлений уже в силе. Некоторые глубинные проблемы были немедленно исправлены «наскоро», а сейчас мы работаем над фундаментальной переделкой архитектуры для их «правильного» устранения.

В свете опубликованных проблем с безопасностью мы не только принялись за внутренний пересмотр всего действующего кода, но и привлекли к этому профессиональную компанию по кибер-аудиту.

Скоро мы объявим о запуске новой программы, в рамках которой каждому, кто сообщит нам о новой уязвимости, будет предложено материальное вознаграждение.

Мы стараемся делать для вас хороший продукт. Баги и злоупотребления раздражают нас не меньше, чем вас. Ошибки делают все; мы стараемся быстро признавать свои ошибки и учиться на них. Спасибо за то, что остаётесь с нами и помогаете нам исправлять ошибки!
Tags:holaбезопасностьуязвимостиботнетыp2pпроксиvpnразблокировказлоупотребления
Hubs: Hola corporate blog Information Security
+11
15.7k 25
Comments 11
Ads
Top of the last 24 hours