Hakerzy żądają nagrody o wartości 10.000 USD za włamanie do StrongWebmail

Hakerzy kochają wyzwanie. Co więcej, uwielbiają gotówkę.

Tego dowiedział się Telesign w tym tygodniu. Dostawca oprogramowania do uwierzytelniania głosowego, firma rzuciła wyzwanie hakerom, aby włamali się na stronę StrongWebmail.com pod koniec zeszłego tygodnia. Nagroda? 10.000 USD.

W czwartek grupa badaczy bezpieczeństwa twierdziła, że ​​wygrała konkurs, co zmusiło hakerów do włamania się na konto poczty internetowej dyrektora generalnego StrongWebmail, Darrena Berkovitza, i odesłanie szczegółów z jego wpisu z kalendarza 26 czerwca.

[Dalsza lektura: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Hakerzy pod kierunkiem Secure Science Chief Scientist Lance James i analityków bezpieczeństwa Aviv Raff i Mike Bailey przekazali szczegóły z kalendarza Berkovitz do IDG News Service. W wywiadzie Berkovitz potwierdził, że te informacje pochodzą z jego konta.

Jednak Berkovitz nie mógł potwierdzić, że hakerzy faktycznie wygrali nagrodę. Powiedział, że będzie musiał sprawdzić, czy hakerzy przestrzegali reguł konkursu, dodając: "gdyby ktoś to zrobił, trochę byśmy położyli głowy" - powiedział.

Zasady konkursu uniemożliwiają naukowcom ujawniając, w jaki sposób przeprowadzili atak, ale mogli także narazić na szwank testowe konto StrongWebmail skonfigurowane przez IDG News Service. Atak IDG nie działał początkowo, ale udało się, gdy oprogramowanie bezpieczeństwa o nazwie NoScript zostało wyłączone w przeglądarce Firefox działającej na komputerze z systemem Windows XP.

"Znaleźliśmy wiele ataków typu cross-site, które pozwalają nam atakować innych użytkowników," James powiedziany. "Musisz mieć zarejestrowane konto, aby rozpocząć atak."

StrongWebmail używa systemu uwierzytelniania telefonu Telisign, aby dać użytkownikom poczty internetowej kolejną warstwę zabezpieczeń. Zamiast logować się przy użyciu nazwy użytkownika i hasła, klienci muszą również wprowadzić tajny kod, który zostanie do nich telefonowany za każdym razem, gdy chce się zalogować na stronę.

Banki używają tych telefonicznych serwerów uwierzytelniających, aby pomóc w walce z cyberprzestępcami, którzy często kraść nazwy użytkowników i hasła od ofiar.

Ale tego typu uwierzytelnianie - zwane uwierzytelnianiem dwuskładnikowym - może zostać udaremnione przez hakerów używających tego, co jest znane jako atak typu "człowiek w środku". W tym ataku oprogramowanie hakera czeka na legalne zalogowanie się użytkownika do witryny sieci Web, a następnie przejęcie. "Oni po prostu czekają, aż się zalogujesz i będą mogli robić, co tylko zechcą" - powiedział James.

James powiedział, że te konkursy mogą być zabawne, ale nie dają realistycznej miary prawdziwego bezpieczeństwa, ponieważ są one obciążone zasady. Konkurs StrongWebmail nie zezwala na przykład na pracę z osobą z wewnątrz firmy. "Zły człowiek nie będzie dbał o zasady, powiedział.

Ochrona poczty internetowej zyskała wiele uwagi w zeszłym roku.W wrześniu haker uzyskał dostęp do konta e-mail Gubernatora Alaski Sarah Palin i opublikował szczegóły jej korespondencja w Internecie W tym incydencie oskarżono studenta o nazwisku David Kernell.

Niezależnie od wyniku konkursu, Berkovitz mówi, że ma nadzieję, że jego konkurs dostanie użytkowników - i dostawców poczty internetowej, takich jak Google i Yahoo - myślących bardziej o bezpieczeństwie. "Nie twierdzimy, że jest to najlepsze, ostateczne rozwiązanie", powiedział, "ale staramy się zwrócić uwagę na część nazwy użytkownika i hasła."