В последнее время о продуктах Hola можно прочитать много разного на тему безопасности. От имени компании я попытаюсь ниже отделить правду от домыслов и преувеличений, а в комментариях — ответить на вопросы.
Напоминаю, что наши продукты для конечных пользователей позволяют обходить региональные блокировки, установленные как самими веб-сайтами, так и администраторами, провайдерами и государствами.
1. Пользователи Hola составляют сеть обмена трафиком (P2P).
Большинство «анонимных прокси» пропускают трафик пользователя через собственные сервера в нужной стране. Это обычно работает, но многие веб-сервисы блокируют такие сервера по чёрному списку IP-адресов. К тому же, предоставлять такой сервис стоит немалых денег, и поэтому он не может быть (или долгое время оставаться) бесплатным.
Hola работает иначе: в обмен на бесплатный сервис пользователь разрешает нам использовать часть его пропускной способности. Нечто подобное делают и Skype, и многие популярные картографические приложения (например, Waze). Кстати, в 2009 году вокруг Skype возник весьма похожий скандал.
Мы стараемся не создавать пользователям проблем и поэтому пропускаем трафик через пользовательские устройства в фоновом режиме только тогда, когда эти устройства не используются, подключены к зарядному устройству и выходят в интернет через Ethernet или WiFi. В среднем дополнительный трафик от Hola на данный момент составляет около 6 МБ в день — это примерно 15 секунд видео на YouTube. Если же и это для Вас неприемлемо, есть альтернатива — платный аккаунт за $5 в месяц, — и тогда Ваше устройство никогда не будет использовано как узел P2P-сети.
Мы никогда не скрывали свой принцип действия от пользователей (вот так выглядела наша страница FAQ в конце мая этого года), но наша ошибка состояла в том, что мы недостаточно хорошо это объясняли. Теперь мы подробно объяснили это не только на странице FAQ, но и на главной странице.
2. Мы не строим из Ваших устройств ботнет!
Во-первых, как я уже сказал, мы делаем всё возможное, чтобы разъяснить пользователям, на что они соглашаются. Во-вторых, мы принимаем меры для того, чтобы с Вашего IP-адреса не совершалось ничего такого, из-за чего у Вас могут быть неприятности.
Мы продаём право пользоваться P2P-сетью как анонимными прокси-серверам. Этот бизнес называется Luminati. Пользуются этим, например, предприниматели, которые хотят анонимно мониторить цены на сайтах конкурентов. Правилами Luminati строго запрещено использование сервиса для противоправных действий, включая всевозможные DoS-атаки. Перед тем, как предоставить новому клиенту доступ к сервису, мы проводим тщательную процедуру верификации, чтобы убедиться, что мы действительно имеем дело с представителем той компании, от имени которой выступает контактное лицо, и что у него легальные намерения. Кроме того, мы в обязательном порядке сохраняем информацию о клиенте, которая поможет привлечь его к ответственности в случае нарушения правил.
Недавно случился инцидент, когда один из клиентов Luminati злоупотребил доверием и использовал нашу P2P-сеть для атаки на известный веб-сервис. Это произошло потому, что мы недостаточно тщательно проверили этого клиента. Это была наша ошибка!
Обнаружив нарушение, мы отключили его аккаунт, и теперь сотрудничаем со следствием для привлечения виновного к ответственности. Мы усилили обязательную процедуру верификации, которую должен проходить каждый новый клиент, и проверили по ней всех существующих. Кроме того, мы ввели в действие некоторые алгоритмы, которые помогут нам оперативно обращать внимание на подозрительное поведение пользователей.
Мы делаем всё возможное для того, чтобы пресекать любые попытки использовать Ваши устройства для противозаконного и неэтичного поведения.
3. Уязвимости
Недавно была опубликована информация о нескольких уязвимостях в наших продуктах. Мы принимаем такие сообщения всерьёз!
За последние недели мы исправили множество уязвимостей, как описанных хакерами, так и тех, что мы нашли самостоятельно. Большинство исправлений уже в силе. Некоторые глубинные проблемы были немедленно исправлены «наскоро», а сейчас мы работаем над фундаментальной переделкой архитектуры для их «правильного» устранения.
В свете опубликованных проблем с безопасностью мы не только принялись за внутренний пересмотр всего действующего кода, но и привлекли к этому профессиональную компанию по кибер-аудиту.
Скоро мы объявим о запуске новой программы, в рамках которой каждому, кто сообщит нам о новой уязвимости, будет предложено материальное вознаграждение.
Мы стараемся делать для вас хороший продукт. Баги и злоупотребления раздражают нас не меньше, чем вас. Ошибки делают все; мы стараемся быстро признавать свои ошибки и учиться на них. Спасибо за то, что остаётесь с нами и помогаете нам исправлять ошибки!
Напоминаю, что наши продукты для конечных пользователей позволяют обходить региональные блокировки, установленные как самими веб-сайтами, так и администраторами, провайдерами и государствами.
1. Пользователи Hola составляют сеть обмена трафиком (P2P).
Большинство «анонимных прокси» пропускают трафик пользователя через собственные сервера в нужной стране. Это обычно работает, но многие веб-сервисы блокируют такие сервера по чёрному списку IP-адресов. К тому же, предоставлять такой сервис стоит немалых денег, и поэтому он не может быть (или долгое время оставаться) бесплатным.
Hola работает иначе: в обмен на бесплатный сервис пользователь разрешает нам использовать часть его пропускной способности. Нечто подобное делают и Skype, и многие популярные картографические приложения (например, Waze). Кстати, в 2009 году вокруг Skype возник весьма похожий скандал.
Мы стараемся не создавать пользователям проблем и поэтому пропускаем трафик через пользовательские устройства в фоновом режиме только тогда, когда эти устройства не используются, подключены к зарядному устройству и выходят в интернет через Ethernet или WiFi. В среднем дополнительный трафик от Hola на данный момент составляет около 6 МБ в день — это примерно 15 секунд видео на YouTube. Если же и это для Вас неприемлемо, есть альтернатива — платный аккаунт за $5 в месяц, — и тогда Ваше устройство никогда не будет использовано как узел P2P-сети.
Мы никогда не скрывали свой принцип действия от пользователей (вот так выглядела наша страница FAQ в конце мая этого года), но наша ошибка состояла в том, что мы недостаточно хорошо это объясняли. Теперь мы подробно объяснили это не только на странице FAQ, но и на главной странице.
2. Мы не строим из Ваших устройств ботнет!
Во-первых, как я уже сказал, мы делаем всё возможное, чтобы разъяснить пользователям, на что они соглашаются. Во-вторых, мы принимаем меры для того, чтобы с Вашего IP-адреса не совершалось ничего такого, из-за чего у Вас могут быть неприятности.
Мы продаём право пользоваться P2P-сетью как анонимными прокси-серверам. Этот бизнес называется Luminati. Пользуются этим, например, предприниматели, которые хотят анонимно мониторить цены на сайтах конкурентов. Правилами Luminati строго запрещено использование сервиса для противоправных действий, включая всевозможные DoS-атаки. Перед тем, как предоставить новому клиенту доступ к сервису, мы проводим тщательную процедуру верификации, чтобы убедиться, что мы действительно имеем дело с представителем той компании, от имени которой выступает контактное лицо, и что у него легальные намерения. Кроме того, мы в обязательном порядке сохраняем информацию о клиенте, которая поможет привлечь его к ответственности в случае нарушения правил.
Недавно случился инцидент, когда один из клиентов Luminati злоупотребил доверием и использовал нашу P2P-сеть для атаки на известный веб-сервис. Это произошло потому, что мы недостаточно тщательно проверили этого клиента. Это была наша ошибка!
Обнаружив нарушение, мы отключили его аккаунт, и теперь сотрудничаем со следствием для привлечения виновного к ответственности. Мы усилили обязательную процедуру верификации, которую должен проходить каждый новый клиент, и проверили по ней всех существующих. Кроме того, мы ввели в действие некоторые алгоритмы, которые помогут нам оперативно обращать внимание на подозрительное поведение пользователей.
Мы делаем всё возможное для того, чтобы пресекать любые попытки использовать Ваши устройства для противозаконного и неэтичного поведения.
3. Уязвимости
Недавно была опубликована информация о нескольких уязвимостях в наших продуктах. Мы принимаем такие сообщения всерьёз!
За последние недели мы исправили множество уязвимостей, как описанных хакерами, так и тех, что мы нашли самостоятельно. Большинство исправлений уже в силе. Некоторые глубинные проблемы были немедленно исправлены «наскоро», а сейчас мы работаем над фундаментальной переделкой архитектуры для их «правильного» устранения.
В свете опубликованных проблем с безопасностью мы не только принялись за внутренний пересмотр всего действующего кода, но и привлекли к этому профессиональную компанию по кибер-аудиту.
Скоро мы объявим о запуске новой программы, в рамках которой каждому, кто сообщит нам о новой уязвимости, будет предложено материальное вознаграждение.
Мы стараемся делать для вас хороший продукт. Баги и злоупотребления раздражают нас не меньше, чем вас. Ошибки делают все; мы стараемся быстро признавать свои ошибки и учиться на них. Спасибо за то, что остаётесь с нами и помогаете нам исправлять ошибки!
Комментарии (11)
tyderh
15.06.2015 22:26Так вы уже исправили уязвимости или (как на момент публикации оригинала того, что вы перевели) только сломали их тестер на adios-hola.org?
feldgendler Автор
15.06.2015 23:05+2Мы не ломали специально тестер, как они утверждают.
Я проконсультируюсь с коллегами, чтобы выяснить, для всех ли упомянутых на adios-hola.org/advisory.txt проблем уже вышли исправления в публичных релизах, и отвечу на Ваш вопрос.
feldgendler Автор
17.06.2015 14:27Я проверил этот вопрос и с уверенностью утверждаю, что на данный момент (к сожалению, ничего не могу сказать о моменте публикации апдейта на adios-hola.org) мы исправили все описанные ими уязвимости и выпустили обновления ко всем нашим продуктам.
В каждом случае исправление было фундаментальным, а не направленным на то, чтобы «сломать тестер».
Если и теперь в новейших версиях есть уязвимости, то мы очень хотели бы о них узнать. Скоро объявим вознаграждение за такие сообщения.
bo883
16.06.2015 21:58Отказался от вас(печаль) по причине отсутствие результата. (Что немецию выбрал, что штаты — разницы нету, показывает вы из России )
feldgendler Автор
17.06.2015 14:23Если хотите, можно поотлаживать на Вашем компьютере с помощью remote desktop. Буду рад возможности выявить и устранить проблему.
EndUser
Казахтелеком заблокировал. Техподдержка Hola ничего внятного не говорит. Так что FoxyProxy наше всё.
feldgendler Автор
Если среди пользователей этого провайдера найдётся кто-то технически грамотный, кто согласился бы помочь нам поисследовать эту проблему, то постараемся исправить.
EndUser
Я этому товарищу (из Израиля) дал TeamViewer на свой комп — это ведь максимальная квалификация, которая вам доступна, верно?
Но товарищ ограничился тем, что снёс мне все плагины из Firefox и Chrome. Связь восстановилась на полсуток и обратно заглохла.
feldgendler Автор
А кто это был? Я могу или выяснить, на чём там дело остановилось, или попытаться заново разобраться сам.
EndUser
Это было с полгода или год назад. Не могу восстановить диалог, да и он представился не подробнее, чем skype:hola.support
Собственно, я пользовал Hola только недели две от узнавания до блокировки. До этого и после этого FoxyProxy.
Если я вас верно понял, то я могу предоставить вам свой компьютер в среду — авралю…
Если неверно, то извините.
feldgendler Автор
Увы, сейчас невозможно определить, кто из моих коллег тогда пользовался этим общим аккаунтом. Примите мои извинения!
С Вашей помощью я постараюсь выяснить, в чём беда — продолжим общение личными сообщениями. Спасибо!