UPDATE, 05/29/2015, 02:43 p.m. ET: Dopo aver analizzato la app di Hola, un gruppo di ricercatori dice di aver trovato prove per le quali la app non sta solamente sfruttando i suoi utenti, ma li rende anche vulnerabili ad hacking e tracciamenti.Sabato scorso, un noto spammer che si fa chiamare "Bui" ha caricato oltre mille post spazzatura su un paio di board di 8chan, la famosa imageboard online anonima.L'ha fatto solo "per dare fastidio" e "per divertimento," ha detto Bui a Motherboard. Ma ha finito per bloccare il sito per alcuni minuti, con quello che è stato una sorta di attacco DoS fatto di 1,474 post senza senso, a quanto dice l'amministrazione di 8chan.Questo incidente apparentemente senza valore ha fatto venire a galla il fatto che milioni di utenti di un noto servizio VPN gratuito chiamato Hola sono venduti come exit node in un network privato, cosa che espone le loro connessioni e indirizzi IP ad essere potenzialmente sfruttati per attività illegali o abusive.L'attacco di Bui è stato reso possibile da un service a pagamento chiamato Luminati, che, fino a poco tempo fa, era descritto dai suoi creatori come una versione "più ampia, più veloce e più anonima" del software per l'anonimato Tor, con "milioni" di exit node.Quello che l'approssimativo sito di Luminati non dice è da dove arrivino questi node. A quanto pare, i node sono in realtà gli utenti inconsapevoli del service VPN Hola, una app usata da milioni di persone, per lo più per schivare i blocchi della geolocalizzazione e, per esempio, guardare Netflix all'estero. Luminati è proprietà di Hola Networks.In pratica, se sei un utente con la versione gratuita di Hola, la tua connessione può essere venduta come exit node attraverso Luminati. In altre parole, la tua connessione internet può essere acquistata e usata tramite Luminati, così che tu e gli altri utenti di Hola siete trasformati in un node di quello che potrebbe essere descritto come un botnet volontario."Il 100 percento degli utenti è consapevole di trovarsi su un network peer-to-peer e di che cosa significhi questa cosa?" mi ha detto per telefono. "La risposta è no. Non perché noi nascondiamo la cosa e cerchiamo di non fargliela vedere—glielo diciamo—ma perché alla maggior parte di loro non interessa, vogliono un service buono, che funziona bene e non dà noie."
Forse ha ragione, molti utenti probabilmente non sanno come funziona davvero Hola."Cosa?? Orribile!" mi ha detto un'utente di Hola in chat quando le ho chiesto se fosse consapevole del fatto che Hola permette ad altri di usare la sua connessione quando è inattiva, e che la sua connessione può essere venduta tramite un service a parte. "Non ne avevo idea. […] Che cazzo, lo cancello SUBITO."Quando diventano un exit node per un network tipo Tor, gli utenti di Hola sono esposti agli stessi rischi a cui sono esposti gli operatori degli exit node di Tor. La loro connessione può essere sfruttata da qualcun altro, per traffico di pedo-pornografia o per il download di materiale illegale, tanto per fare degli esempi. Per le autorità il responsabile di quelle azioni diventerebbe l'innocente utente di Hola, dal momento che quell'indirizzo IP sarebbe associato a lui/lei."Se funziona come lo spiegano, usarlo è una pessima idea," ha detto a Motherboard Raphael Vint, un ricercatore nel campo della sicurezza. "Perché finisci per risultare responsabile per quello che altri utenti del service stanno facendo."
Pubblicità
Pubblicità
Questa cosa non si è saputa finché 8chan non ha rivelato che erano stati usati proprio Luminati e Hola per seppellire di spam il sito e mandarlo in tilt. Neppure gli stessi creatori di Hola avevano mai dichiarato apertamente la cosa, prima di questa settimana."Possiamo far usare [Hola] gratuitamente perché ogni utente è anche un exit node per altri utenti," ha detto Ofer Vilenski, co-fondatore di Hola, a Motherboard mercoledì.La mancanza di trasparenza su come Hola venda la connessione dei suoi utenti era palese anche sul sito.Se sei un utente con la versione gratuita di Hola, la tua connessione può essere venduta come exit node attraverso Luminati.
La sezione FAQ sul sito di Hola non faceva riferimenti a Luminati fino a mercoledì, secondo diverse pagine archiviate della FAQ. La pagina è stata aggiornata dopo che l'accusa fatta da 8chan ha riscosso attenzione su Reddit e Twitter, e dopo che ho contattato Hola per chiarire se le accuse fossero vere o no.Vilenski ha detto che la spiegazione "era in realtà già lì, ma in un'altra forma," e ha indicato la vecchia FAQ, dove si diceva: "Se siete interessati ad utilizzare Hola per scopi commerciali contattateci all'indirizzo business@hola.org per un preventivo."Eppure, Vilenski stesso ha ammesso che è probabile che la maggior parte degli utenti non fossero a conoscenza della cosa."Possiamo far usare [Hola] gratuitamente perché ogni utente è anche un exit node per altri utenti."
Pubblicità
Pubblicità
Infatti, nel caso degli exit node di Tor, lo stesso Tor Project mette in guardia sull'eseguire un exit node da casa propria, dati i rischi legali. Come Motherboard ha già segnalato, gli operatori Tor rischiano irruzioni da parte della polizia e anche la galera se i loro node finiscono coinvolti in attività illegali.Con Hola e Luminati, milioni di utenti (Vilenski dice che Hola è stato installato 46 milioni di volte) sono diventati exit node, con tutta probabilità senza neanche saperlo.Vilenski mi ha detto che non permettono ai clienti di Luminati di intraprendere attività illegali, e che l'account di Bui è stato sospeso dopo l'incidente con 8chan."Le persone non devono abusare del nostro network, è una cosa che prendiamo molto seriamente," ha detto, aggiungendo che sarebbe "stupido" usare il network per attività criminali. (Vale la pena dire che la vecchia sezione FAQ non avvertiva che Hola è un network "gestito e supervisionato" e quindi una pessima scelta per i criminali che stiano cercando di nascondere la propria identità.)Eppure, quando un altro ricercatore ha fatto finta di essere un potenziale cliente, un rappresentante di Luminati gli ha detto "ti offriamo semplicemente una piattaforma proxy, decidi tu che cosa farci," e "non abbiamo idea di che cosa fai sulla tua piattaforma," secondo le chat log fornite dal ricercatore, che desidera rimanere anonimo, a Motherboard.Allo stesso tempo, il sito di Luminati al momento non descrive più il servizio come "il più grande network di anonimato del mondo," come faceva fino a martedì. Ora è un "VPN network" e le parole "anonimo" o "anonimato" sono scomparse dal sito."Il sottotesto è che stanno cercando di capire come gestire un business redditizio," ha detto a Motherboard Adam Fisk, il fondatore di Lantern, che è un'app che permette alle persone di diventare proxy per utenti che vivono in paesi in cui internet è censurato. "E di base stanno vendendo i loro stessi utenti per capirlo."Vinot, l'esperto in sicurezza, ha descritto la cosa come "un modello di business interessante.""Onestamente," ha concluso, "un trucco di questo livello è arte.""Se funziona proprio così, usarlo è una pessima idea."