Hakkerit vaativat 10 000 dollarin palkinnon Breaking Into StrongWebmailista

Hakkerit rakastavat haaste. Ja enemmän, he rakastavat rahaa.

Telesign sai selville tällä viikolla. Äänipohjaisen todennusohjelmiston tarjoaja, yritys haastoi hakkerit murtautumaan StrongWebmail.com -sivustolle viime viikon lopulla. Palkinto? 10 000 dollaria.

Torstaina tietoturva-tutkijoiden ryhmä väitti voittaneen kilpailun, joka haastoi hakkereita rikkomaan StrongWebmailin toimitusjohtaja Darren Berkovitzin verkkoviestintätiliä ja raportoimaan yksityiskohdat kalenterimerkintään 26. kesäkuuta.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Secure Science -sihteeri Lance Jamesin johtajat ja tietoturva-avustajat Aviv Raff ja Mike Bailey toimittivat hakkerit tiedot Berkovitzin kalenterista IDG News Serviceille. Haastattelussa Berkovitz vahvisti, että nämä yksityiskohdat olivat hänen tilinsä.

Berkovitz ei kuitenkaan voinut vahvistaa, että hakkerit olivat todella voittaneet palkinnon. Hän sanoi, että hänen on tarkistettava, että hakkerit ovat noudattaneet kilpailusääntöjä ja että "jos joku teki sen, niin me laitamme päämme alas", hän sanoi.

Kilpailusäännöt estävät tutkijoita paljastaen kuinka he suorittivat hyökkäyksensä, mutta he kykenivät myös kompromissiin IDG News Service -palveluun perustetun StrongWebmail-tilille. IDG-hyökkäys ei toiminut alunperin, mutta se onnistui, kun Firefox-selainohjelmassa on poistettu käytöstä NoScript-suojausohjelmisto.

"Löysimme useita sivustojen välisiä hyökkäyksiä, joiden avulla voimme hyökätä muita käyttäjiä," James sanoi. "Sinulla täytyy olla rekisteröitynyt tili käynnistää hyökkäys."

StrongWebmail käyttää Telisignin puhelinvaltuutusjärjestelmää antamaan webmail-käyttäjille toisen turvallisuustason. Sen sijaan, että kirjaudut sisään käyttäjätunnuksella ja salasanalla, asiakkaiden on annettava salainen koodi, joka saa heidät soittamaan aina, kun he haluavat kirjautua sisään sivustoon.

Pankit ovat käyttäneet näitä puhelinpohjaisia ​​todentamispalvelimia auttaakseen torjumaan tietokonerikollisia, jotka usein varastaa käyttäjätunnuksia ja salasanoja uhreilta.

Mutta tällainen todentaminen - nimeltään kaksitekijäinen todentaminen - voi estää hakkereita käyttäen mitä tunnetaan mies-keskellä hyökkäys. Hyökkäyksessä hakkeriohjelmisto odottaa käyttäjää kirjautumaan oikein verkkosivustolle ja siirtyy sitten takaisin. "He vain odottavat sinua kirjautumaan sisään ja he voivat tehdä mitä he haluavat", James sanoi.

James sanoi, että nämä kilpailut saattavat olla hauskoja, mutta ne eivät tarjoa realistista mittaa todellista turvallisuutta, koska heitä rasittavat sääntöjä. StrongWebmail-kilpailu kieltää esimerkiksi yrityksen sisäpiirin kanssa työskentelyä. "Huono kaveri ei välitä säännöistä, hän sanoi.

Webmailin turvallisuus on saanut paljon huomiota viime vuonna. Syyskuussa hakkeri pääsi tutustumaan Alaskan kuvernööri Sarah Palinin sähköpostitiliin ja julkaisi tiedot hänen kirjeenvaihdossa Internetissä. [

] Kilpailun lopputuloksesta riippumatta Berkovitz sanoo toivovansa, että hänen kilpailunsa saa käyttäjiä - ja webmail-palveluntarjoajat kuten Google ja Yahoo - ajattelevat enemmän turvallisuudesta. "Emme väitä, että tämä on perimmäinen ratkaisu," hän sanoi. "Mutta yritämme kiinnittää huomiota käyttäjätunnukseen ja salasanaan."