4 дня назад администратор борды 8chan (доска /beast/ которой заблокирована в России) сообщил о DDoS-атаке на сайт, которая выглядела как стократный приток обычных посетителей. Самое большое увеличение нагрузки получил скрипт для постинга post.php (капчи на борде не было); DDoS привел к падению PHP-FPM, под которым выполнялся скрипт. В ходе исследования трафика выяснилось, что для совершения атаки были использованы каналы пользователей с Hola — популярным браузерным расширением для доступа к заблокированным сайтам, пользующееся популярностью как за рубежом, так и в России.

Пользователи расширения, сами того не зная, отдавали свои интернет-каналы дочерней фирме Luminati, которая, по сути, владела более 9 миллионами уникальных выходных нод, за счет расширения и каналов пользователей. Зарабатывают они, судя по всему, очень неплохо: первые 100 гигабайт трафика обходятся клиентам в $20 за гигабайт.

В FAQ проекта не было никаких упоминаний об использовании каналов пользователей, однако в Hola быстро добавили несколько пунктов на этот счет. Теперь, если вы не хотите отдавать свой канал Limunati, вам придется заплатить $5 в месяц.
Архивная версия FAQ
Текущая версия FAQ

После опубликования данной информации администратором 8chan, группа ребят нашла 4 уязвимости в данном расширении:
  • Чтение произвольных файлов до NULL-байта (/file_read.json)
  • Раскрытие уникального идентификатора пользователя (/callback.json)
  • Раскрытие адресов некоторых функций (/procinfo/ps, для последующего обхода ASLR)
  • Удаленное выполнение кода (/vlc_mv.json и /vlc_start.json)
  • Повышение привилегий до SYSTEM под Windows

Все версии Hola поднимают JSON REST HTTP-сервер на 127.0.0.1, но с заголовком Access-Control-Allow-Origin: *, что позволяет обращаться к нему с любой страницы в интернете. Windows-версии, которые устанавливают не только расширение в браузер, но и сервис, исполняются от имени SYSTEM.

Одну из уязвимостей удаленного выполнения кода, связанную с отсутствием фильтрации аргументов в строке запуска встроенного видеоплеера VLC, в Hola уже пропатчили, но исследовательская группа уверена, что ее просто спрятали подальше, чтобы эксплоит на сайте исследователей, запускающий калькулятор Windows, перестал работать.

На сайте «Adios, Hola!», посвященному уязвимостям в расширении, можно выполнить проверку, являетесь ли вы exit-нодой, можно ли вас идентифицировать, выполнить код от вашего и привилегированного пользователя SYSTEM. Также на сайте содержится подробная инструкция по удалению всего комплекса для Chrome, Firefox, Internet Explorer и Android-версии.

На данный момент расширение Hola удалено из Firefox Addons, но есть в Chrome Web Store, хоть и не находится в поиске. Призываю всех авторов списков ПО для обхода цензуры либо убрать Hola из списка вариантов, либо написать предупреждения о факте использования канала. Свой список, который, к слову, до сих пор пользуется большой популярностью, я обновил.

Данная компания была представлена и на Хабре, но не стала продлевать аккаунт.

UPD: Официальный ответ Hola
TL;DR: Мы — инновационная компания. Skype тоже использовал ваш трафик. Мы продаем Luminati только порядочным клиентам (а не как Tor). Уязвимости есть у всех: Apple iCloud, Snapchat, Skype, Sony, Evernote, Microsoft.

Информация от администратора 8chan
Техническая информация от исследователей
Самый крупный тред на Reddit
Новость на Vice
Новость на TJournal

Комментарии (64)


  1. zhovner
    30.05.2015 22:04
    +16

    Удивляет количество вредоносных расширений для хрома. Вебстор такая же помойка со скамом как и андройд маркет.
    Почему аддоны с такими огромными правами не проходит ручную модерацию и так просто устанавливаются?
    image


    1. ValdikSS Автор
      30.05.2015 22:15
      +8

      Не, сервис ставится только при установке с вебсайта, там расширения для всех браузеров разом. Удаленное выполнение кода возможно только в случае, если установлен exe с сайта.



      Собственно, Google Play помойка еще хуже, чем Chrome Web Store.


    1. dmitrmax
      30.05.2015 22:46
      +3

      Потому что компромиса между свободой и зависимостью от чьего-то решения не существует.

      «Создайте систему, которой сможет безопасно пользоваться даже дурак, и только дурак захочет ею пользоваться» (чья-то цитата)


    1. printf
      31.05.2015 09:39

      Они выборочно проходят, кстати. То же расширение Холы периодически флагалось, и потом висело сутки на проверке (видимо, той самой ручной модерации, ведь иначе почему так долго).


      1. DarkByte
        01.06.2015 10:39

        Ручную модерацию проходят расширения, использующие NPAPI. При этом в списке прав доступа появляется строчка «Полный доступ к компьютеру», и это не преувеличение, никакой песочницы для таких расширений нет и их установка сравнима с запуском.ехе, скачанного из интернетов. Ну или если расширение было удалено за нарушение каких-либо правил, то следующее размещение так же будет в ручном режиме.


        1. dmitrmax
          01.06.2015 19:29

          Во-первых, NPAPI уже почти нет. По-дефолту, его заблокировали начиная с 42-й версии (мы ведь говорим про Хром?).

          Во-вторых, а что там можно проверить вручную? Блоб — он и в Африке блоб. Только пристальный взгляд дизассемблера поможет понять всю скорбь или отсутствие онной.

          P.S.: Сейчас в авангарде у Хрома pepper и NaCl, вместо NPAPI


          1. DarkByte
            01.06.2015 21:15

            Действительно, у плагина, который использует NPAPI теперь в каталоге на месте кнопки «Установить» красуется «Не поддерживается» с комментарием «Это приложение не поддерживается на данном компьютере. Причины указаны ниже.
            Для работы приложения необходим плагин NPAPI.». Забавно что гугл не удосужился прислать уведомление о том, что расширение, размещённое в каталоге больше не поддерживается у большинства пользователей магазина. Честно говоря не знаю даже, что они там проверяют, но в моём случае приложение перехватывало весь сетевой трафик и грепало из него нужные данные.


            1. dmitrmax
              01.06.2015 21:25

              Нет, пока ещё поддерживается, если поставить галочку в настройках. Но через полгода выпилят совсем. А предупреждали еще в 36-й версии, кажись, что NPAPI deprecated.


    1. zedalert
      31.05.2015 11:31
      +1

      Ещё какая помойка, недавно по привычке хотел поставить adblock, и ужаснулся от крличества клонов и подделок.


      1. lightman
        31.05.2015 20:04

        Если вы в этом разобрались. не напишите ли статью про то, как выбрать истинно верный Adblock?


        1. gaelpa
          31.05.2015 21:32
          +4

        1. Evengard
          02.06.2015 10:42
          +2

          Единственный кому я доверяю, это AdBlock Plus


    1. lightman
      31.05.2015 20:03

      Почему аддоны с такими огромными правами не проходит ручную модерацию и так просто устанавливаются?

      Потому что для гугловцев вспышки эпидемий преходящи, а доля рынка — постоянна. А описанные вами меры могут поколебать её уверенный рост. Sad but true.


  1. dmitrmax
    30.05.2015 22:52

    В общем-то когда я вижу рекламу сервиса а-ля friGate, всегда возникает вопрос «за чей счет банкет»


    1. ValdikSS Автор
      30.05.2015 22:57
      +7

      А про мое говно что скажете? Банкет за мой счет, материально совершенно не обременяет. Правда, и пользователей 50000, а не 9 миллионов.


      1. naum
        31.05.2015 00:04
        +2

        Твое говно — правильное говно, ибо прозрачно за счет PAC


      1. fshp
        31.05.2015 00:20

        А простовпн тоже соло-проект?


        1. ValdikSS Автор
          31.05.2015 00:38

          Да.


      1. webxaser
        31.05.2015 11:33

        Почему-то 118 ошибка выскакивает.


        1. ValdikSS Автор
          31.05.2015 11:33

          Там с железом сейчас проблемы, завтра все заработает.


          1. stardust_kid
            31.05.2015 11:44

            Хочешь бесплатное тестирование нагрузки — похвали свой ресурс на хабре.


            1. ValdikSS Автор
              31.05.2015 11:47

              Да нет, там действительно проблемы с железом. Сервер просто зависает. Сейчас его не перезагружаю для того, чтобы ребята на площадка проверили и подтвердили. А завтра заработает из-за того, что трафик сбросится на другом сервере.


      1. Vindicar
        31.05.2015 11:50

        О, так это ваше? Я пользуюсь, правда осторожничаю — парсю список IP из PAC-файла и формирую свой PAC, указывающий на приватный прокси.

        Жаль только некоторые сайты периодически выпадают из списка заблокированных (блокировка на моем провайдере никогда не меняется). Может, конечно, CloudFlare виноват.


      1. dmitrmax
        31.05.2015 17:50

        Инициатива похвальная, но что Вы будете делать, когда юзеров станет в 10 раз больше? А если ваш сервис начнут ддосить? Сколько вы готовы будете вкладывать, чтобы анонимус мог в том числе беспрепятственно смотреть порно с запрещенных сайтов?


        1. ValdikSS Автор
          31.05.2015 17:52

          Буду наращивать серверы. Ддосить-то кому нужно? Порно меня немного беспокоит своим трафиком, но, думаю, это поправимо.


          1. Goodkat
            31.05.2015 21:00

            Можно урезать скорость самым ретивым, как только нагрузка начнёт подбираться к потолку.


          1. dmitrmax
            01.06.2015 21:22

            > Ддосить-то кому нужно?

            Ну давайте пофантазируем, что Вы привлекли 5 000 000 пользователей. А условная «хола» или «фрайгейт» испитывают к вам лычный неприязн, и заказывают ДДОС на оба ваших дома.


        1. Lobey
          01.06.2015 01:48

          От ддоса есть решения (не буду показывать пальцем), долларов от 100 в месяц. Да, не бесплатно, но посильно, особенно, есть сайт предназначен для получения прибыли. Иногда эту защиту обеспечивает и сам хостер.


          1. dmitrmax
            01.06.2015 21:18

            Решения есть почти от всего. Речь только шла о том, что ValdikSS делает это, похоже, на голом энтузиазме, вкладывая свои деньги и не получая никакого профита. Но пока это 50000 пользователей — это одно. Другое дело, когда в 10 раз больше. Стоимость масштабирования системы не линейна.


      1. lightman
        31.05.2015 20:08

        Спасибо огромное за ваш сервис и за простоту его использования! Кстати вас ещё не подвергли остракизму за него?


      1. Sauron
        01.06.2015 17:10
        +1

        Вы «фанат»-одиночка (без обид, в хорошем смысле), явно имеющий другой источник дохода.

        А это — коммерческая компания. Цель компании — заработать денег и выдать людям зарплату. Иначе они не могли бы уделять этому 8 часов в день и т.п.


    1. Anton-K
      31.05.2015 00:52

      Надо сказать, что frigate хотя бы честно пишет, что отсылает историю браузера на свои сервера.
      Но с другой стороны, сколько пользователей это прочитали перед установкой?

      «We may collect results of your browsing preferences and habits, we collect information regarding your use of Our addon including URLs and Statistical Information of extensions you may be browsing while Our addon is installed. Our addon continuously and automatically transfers such information to our systems and is being collected in an aggregated manner.
      While we would never collect any personal Information submitted to such extensions, note that we may save aggregated Browsing History.»


  1. ValdikSS Автор
    30.05.2015 23:02
    +5

    Кстати, Hola описывала принципы работы еще летом 2014, но только здесь, на хабре. Ясно написано, что используются каналы пользователей, как обходится NAT, и что можно задавать конкретную группу пиров через какой-то дебаг-метод.
    habrahabr.ru/company/hola/blog/227189


  1. ripatti
    30.05.2015 23:06
    -5

    То то я не мог понять чего Hola в последнее время так долго стартует, думал она при каждом запуске один биткойн считает.


  1. naum
    31.05.2015 00:03
    +12

    Секунду, все действительно полагали, что Frigate/Hola/etc. не будут рано или поздно монетизироваться через пользовательский трафик? Откуда удивление у IT-сектора?


    1. Speakus
      01.06.2015 17:47
      -1

      Frigate монетизируется советником — что лично я часто нахожу очень даже полезным (выбираю товар — а мне советник тут же говорит где нашел такой же товар дешевле). А метод описанный в статье вызывает скорее негодование, чем удивление. И если вам кажется такое нормальным (чему удивляться) — то многим так не кажется…


      1. naum
        02.06.2015 10:40
        -1

        Он монетизируется трафиком, это главное. А советник/граббер/фишер — не важно.


        1. Speakus
          02.06.2015 19:08
          +1

          Какая-то обобщенная формулировка у Вас. Дык и yandex.ru монетизируется трафиком. А кто не монетизируется трафиком то? А способ монетизации трафиком как раз важно.


  1. valeron
    31.05.2015 09:39
    -2

    Поделюсь своим негативным опытом с сабжем.
    Мне, как крымчанину, иметь VPN прописано доктором.
    Изучал, выбирал, поставил на андроид в том числе и холу.
    И как-то поначалу внимания не обращал, а потом несколько раз столкнулся с тем что мой Note 3, полностью заряженный ночью, во второй половине дня разряжался в ноль. Хотя обычно 2 дня держит уверенно.

    Грешил поначалу на шагомер, еще какие-то сервисы, но потом вспомнил что есть статистика в настройках по использованию батареи.
    В уверенном топе была Hola, причем жрала батарею как хорошая игра.
    Сносить эту сволочь из процессов не помогало, стартовала снова, и не брезговала даже трафиком с 3g/edge.

    Удалил её к херам и больше таких проблем ни разу не было.


  1. printf
    31.05.2015 09:45
    +5

    Пользователи расширения, сами того не зная, отдавали свои интернет-каналы
    Справедливости ради, пользователям это самое расширение настойчиво предлагает оплатить премиум-аккаунт и не отдавать никому свои интернет-каналы. Цена вопроса несколько долларов.

    Вот уязвимости это жопа.


  1. cy-ernado
    31.05.2015 10:24
    -1

    Единственное, что делает Hola, если его устанавливать только как расширение к браузеру (что делает большинство) — использует канал пользователя. Что было известно давно, разве нет? Сервер на loopback он поднимает, если юзер скачал с сайта исполняемый файл.

    То есть — уязвимости в расширениях для браузера — нет, кроме той, что by design.

    Можно по аналогии сделать сайт «Adios, tor!», красным цветом на весь экран выводить, что вы можете использоваться, как exit-node, весь«vulnerable» и писать «You are vulnerable. You should uninstall Tor right now!».


  1. webxaser
    31.05.2015 11:41
    +2

    А про ZenMate ничего такого не известно, кстати?
    Если все подобные расширения ждёт такая же судьба, то скоро на Chrome OS будет нечем воспользоваться.


    1. globik
      31.05.2015 16:51

      Знакомые не парились, но моя здоровая паранойя заставила поднять приватный анонимный HTTP-проксик на своем сервере (хотел SOCKS, но хром не поддерживает авторизацию для него). В хроме использую расширение Proxy SwitchyOmega для автоматического включения прокси только на указанных сайтах.


  1. Semenych
    31.05.2015 12:17
    +7

    В общем если вы получаете что-то за бесплатно, значит товар вы.
    С бесплатными продуктами еще как-то можно мириться если вы понимаете как именно поставщик получает деньги (Гугл, FireFox, etc)
    Но если не понятно лучше ну его нафиг.


    1. norlin
      31.05.2015 13:18
      +1

      К слову, а как Firefox зарабатывает? Насколько я знаю, он продаёт «дефолтные» места для поисковиков и т.п. А со стороны пользователей что-то берётся (данные/статистика/траффик/что-то ещё)?


      1. isden
        31.05.2015 16:13

        Вот тут немного написано:

        en.wikipedia.org/wiki/Mozilla_Corporation


    1. powerman
      02.06.2015 13:28

      Безусловно, но с одним важным уточнением: даже если вы платите, это ещё не гарантирует что вы перестаёте быть продуктом — компании, которые практикуют и платные и бесплатные аккаунты зачастую платным пользователям просто дают дополнительные фичи но не перестают использовать их самих так же, как и бесплатных.


  1. norlin
    31.05.2015 16:37
    +1

    Справедливости ради, на этом «адьёс» сайте, как минимум частично, враньё.


  1. lightman
    31.05.2015 19:59

    Подтверждаю.

    В феврале-марте 2015 года я столкнулся с тем, что мой лимитированный трафик на работе стал очень быстро утекать. В логах посещаемых веб-сайтов среди обычных известных мне обнаружил странную запись 127.0.0.1:1723 (порт может быть неточным, пишу по памяти), которая и съедала весь трафик. Остальные сайты в статистике внешние, а единственно этот — локальный IP! Загуглив по порту, узнал что он числится за Hola.

    Снёс нахрен это дополнение из Firefox, всё прекратилось.

    И что характерно, Hola работал даже в отключённом (переключатель в самом аддоне) состоянии.


  1. justaguest
    31.05.2015 21:26

    Доска /beast/ просто отсутствует в списке на главной — я только что пробовал, если зайти на любую одну, и заменить имя доски на beast, то она великолепно грузится.


    1. ValdikSS Автор
      31.05.2015 21:27

      Там огромное количество досок, т.к. свою доску может создать любой человек, а на главной высвечиваются только топовые.


  1. norlin
    01.06.2015 16:05

    Официальный ответ Холы на всё это, можно добавить в пост: hola.org/blog/the-recent-events-on-the-hola-network


    1. ValdikSS Автор
      01.06.2015 16:14
      +1

      TL;DR: Мы — инновационная компания. Skype тоже использовал ваш трафик. Мы продаем Luminati только порядочным клиентам (а не как Tor). Уязвимости есть у всех: Apple iCloud, Snapchat, Skype, Sony, Evernote, Microsoft.


      1. norlin
        01.06.2015 16:17
        +1

        Честно говоря, я не очень понимаю суть претензий к Холе, учитывая, что это p2p-сервис.
        Собственно, ответ и есть для не-специалистов, чтобы объяснить положение вещей, т.к. IT-специалисты и так понимают, что p2p предполагает использование траффика для других юзеров.


        1. ValdikSS Автор
          01.06.2015 16:20

          Ну, вы правы в какой-то степени, т.к. в EULA у них было обозначено, наверное, с самого создания компании, что через компьютер пользователя могут прогонять трафик, но об этом не было упоминания в FAQ, не было пометки, что дает Hola Premium, и не было написано, что трафик продается даже в том случае, если расширение просто отключено, а не удалено.


          1. norlin
            01.06.2015 16:39

            Ну, теперь FAQ обновили, добавили огромные плашки на главную страничку + на страничку, на которую попадает юзер после установки, главные уязвимости пофиксили.

            Вообще, обычно, когда находят уязвимости, сначала пишут разработчикам, а уж если они не реагируют — публикуют. А тут эти ребята сразу такую шумиху подняли, аж напрашиваются всякие теории заговора :)


  1. sashkin
    01.06.2015 20:41

    Гм. На фоне всего этого кажется я начал понимать, почему у меня последние 2 месяца уже раза 3-4 не желал открываться google.com ссылаясь на то, что на их сервера с моего адреса (у меня реальный ip наружу) идет какой-то нехороший трафик, поэтому мне надо ввести капчу. Никогда в жизни подобного не видел до этого. Сказать что я был удивлён – ничего не сказать. А ведь я примерно уже 2-3 месяца как начал юзать hola чтобы слушать spotify. Совпадение?


    1. sashkin
      01.06.2015 20:48

      кстати вот, только написал, открыл новую вкладку в хроме, а адресной (!) строке вбил поиск и…

      ...снова капча


    1. isden
      02.06.2015 10:28

      Подозреваю, что и у спотифай рыльце в пушку. У меня сабжа нет и никогда не было (но годик пользовался спотифай), а подобные проблемы с гуглом были. IP, как и у вас, реальный и наружу. А я еще удивлялся, что за хрень такая.


      1. sashkin
        02.06.2015 11:59

        В спотифае я использую сугубо веб-плеер. Поэтому не очень представляю как через обычную страницу можно проксировать какой-либо трафик.


        1. isden
          02.06.2015 12:03

          А, ясно. Я клиент использовал.


    1. Lexxtor
      02.06.2015 11:22

      Если Hola делает из компа exit-ноду, то можно ли чужой трафик перехватывать или он зашифрован?


      1. powerman
        02.06.2015 13:32

        В P2P потенциально может быть зашифрован только промежуточный трафик между узлами. А exit-нода, по определению, передаёт наружу чужой трафик абсолютно открыто, так что он будет зашифрован только если такова природа этого трафика (напр. https).


    1. norlin
      02.06.2015 13:40

      Hola активизируется на отдельные сайты, а не на весь браузер. То есть, если вы используете Холу для доступа к Spotify, то на Гугл вы будете заходить со своего ip, без всяких прокси.

      upd: понял, что мой коммент не противоречит вашему, так что проехали. :)