Хакеры претендуют на премию в $ 10 000 за прорыв в StrongWebmail

Хакеры любят вызов. И более того, они любят деньги.

Это то, что Teleisign узнал на этой неделе. Поставщик программного обеспечения для аутентификации на основе голоса, компания бросила вызов хакерам, чтобы прорваться на свой веб-сайт StrongWebmail.com в конце прошлой недели. Приз? 10 000 долл. США.

В четверг группа исследователей безопасности заявила, что выиграла конкурс, в результате которого хакеры бросили вызов учетной записи веб-почты генерального директора StrongWebmail Даррена Берковица и сообщили подробности из своей записи календаря 26 июня.

[Подробнее: Как удалить вредоносное ПО с вашего ПК с Windows]

Хакеры во главе с научным руководителем Secure Science Лэнсом Джеймсом и исследователями безопасности Авивом Раффом и Майком Бэйли предоставили подробную информацию из календаря Берковица в службу новостей IDG. В интервью Берковитц подтвердил, что эти данные были из его учетной записи.

Однако Берковиц не смог подтвердить, что хакеры действительно выиграли приз. Он сказал, что ему нужно будет проверить, чтобы хакеры соблюдали правила конкурса, добавив: «Если бы кто-то это сделал, мы как бы опустили голову», сказал он.

Правила конкурса предотвращают раскрыв, как они совершили свою атаку, но они также смогли скомпрометировать тестовую учетную запись StrongWebmail, созданную службой новостей IDG. Атака IDG не работала изначально, но сработала, когда в браузере Firefox было отключено программное обеспечение безопасности NoScript, которое запускается на компьютере под управлением Windows XP.

«Мы обнаружили несколько атак с несколькими сайтами, которые позволяют нам атаковать других пользователей», Джеймс сказал. «У вас должна быть зарегистрированная учетная запись для запуска атаки».

StrongWebmail использует систему проверки подлинности телефона Telisign, чтобы дать пользователям веб-почты другой уровень безопасности. Вместо входа в систему с именем пользователя и паролем клиенты также должны вводить секретный код, который им звонит, когда он хочет войти на сайт.

Банки использовали эти серверы аутентификации на основе телефона, чтобы помочь бороться с киберпреступниками, которые часто украсть имена пользователей и пароли от жертв.

Но такая аутентификация, называемая двухфакторной аутентификацией, может быть сорвана хакерами, используя так называемую «среднюю атаку». В этой атаке программное обеспечение хакера ожидает, что пользователь сможет законно войти в веб-сайт и затем возьмет верх. «Они просто ждут, когда вы войдете в систему, и они смогут делать все, что захотят», сказал Джеймс.

Джеймс сказал, что эти соревнования могут быть забавными, но они не обеспечивают реалистичного измерения реальной безопасности, поскольку они обременены правила. Например, конкурс StrongWebmail запрещает работать с инсайдером компании. «Плохой парень не заботится о правилах, - сказал он.

В течение прошедшего года безопасность Webmail привлекла много внимания. В сентябре хакер получил доступ к учетной записи электронной почты губернатора Аласки Сары Пэйлин и опубликовал подробные сведения о ней переписка в Интернете. В этом инциденте был обвинен студент колледжа по имени Дэвид Кернелл.

Независимо от результатов конкурса Берковиц говорит, что он надеется, что его конкурс получит пользователей - и поставщики веб-почты, такие как Google и Yahoo, больше думают о безопасности. «Мы не утверждаем, что это окончательное окончательное решение, - сказал он, - но мы пытаемся привлечь внимание к части имени пользователя и пароля».