Hackerii pretind un premiu de 10.000 $ pentru ruperea in StrongWebmail

Asta Telesign a aflat săptămâna asta. Un furnizor de software de autentificare bazat pe voce, compania a provocat hackerii să intre în site-ul Web StrongWebmail.com la sfârșitul săptămânii trecute. Premiul? 10.000 de dolari.

Joi, un grup de cercetători de securitate au susținut că au câștigat concursul, care a provocat hackerii să intre în contul de poștă electronică al CEO-ului StrongWebmail Darren Berkovitz și să raporteze detalii din intrarea din calendarul din 26 iunie. [Read more: Cum să eliminați malware-ul de pe PC-ul dvs. de Windows]

Hackerii, condus de Șeful Securității Științifice Lance James și cercetătorii de securitate Aviv Raff și Mike Bailey, au oferit detalii din calendarul Berkovitz către IDG News Service. Într-un interviu, Berkovitz a confirmat că aceste detalii erau din contul său.

Cu toate acestea, Berkovitz nu a putut confirma faptul că hackerii au câștigat de fapt premiul. El a spus că va trebui să verifice pentru a confirma că hackerii au respectat regulile concursului, adăugând că "dacă cineva a făcut-o, ne vom pune capul în jos", a spus el. dezvăluind modul în care au efectuat atacul, dar și ei au putut să compromită un cont de testare StrongWebmail stabilit de Serviciul de știri IDG. Atacul IDG nu a funcționat inițial, dar a reușit când software-ul de securitate numit NoScript a fost dezactivat în browser-ul Firefox, rulând pe o mașină Windows XP.

"Am descoperit mai multe atacuri transversale care ne permit să atacăm alți utilizatori", James a spus. "Trebuie să aveți un cont înregistrat pentru a lansa atacul."

StrongWebmail utilizează sistemul de autentificare telefonic al Telisign pentru a oferi utilizatorilor webmail un alt nivel de securitate. În loc să se conecteze cu un nume de utilizator și o parolă, clienții trebuie să introducă și un cod secret care le primește telefon ori de câte ori doresc să se conecteze la site.

Băncile folosesc aceste servere de autentificare bazate pe telefon pentru a ajuta la combaterea criminalilor cibernetici care fură numele de utilizator și parolele victimelor.

Dar acest tip de autentificare - numită autentificare cu două factori - poate fi contracarată de hackeri care folosesc ceea ce este cunoscut sub numele de atacator de mijloc. În acest atac, software-ul hackerilor așteaptă ca utilizatorul să se autentifice în mod legitim pe site-ul Web și apoi să preia. "Ei doar asteapta sa te inregistrezi si pot face tot ce vor", a spus James.

James a spus ca aceste concursuri ar putea fi distractiv, dar nu ofera o masura realista a securitatii reale, deoarece sunt grevate reguli. Concurența StrongWebmail interzice, de exemplu, lucrul cu o companie din interior. "Un răufăcător nu-i pasă de reguli, a spus el.

Securitatea Webmail a atras o atenție deosebită în ultimul an. În septembrie, un hacker a obținut acces la contul de e-mail al Guvernatorului Alaska Sarah Palin și a publicat detalii despre ea corespondență pe Internet Un student de colegiu numit David Kernell a fost acuzat în acel incident.

Berkovitz spune că speră că concursul său îi va face pe utilizatori - și pe furnizorii de servicii de webmail precum Google și Yahoo - să se gândească mai mult la securitate. "Noi nu pretindem că aceasta este soluția finală, ultimă", a spus el, "dar încercăm să atragem atenția asupra porțiunii de nume de utilizator și parolă."