Mga Hacker Mag-claim ng $ 10,000 Prize para sa Breaking Into StrongWebmail

Iyan ang nasumpungan ni Telesign sa linggong ito. Isang provider ng software ng pagpapatunay na nakabatay sa boses, hinamon ng kumpanya ang mga hacker upang masira ang Web site ng StrongWebmail.com noong huling linggo. Ang premyo? Sa Huwebes, isang pangkat ng mga mananaliksik sa seguridad ang nag-claim na nanalo sa paligsahan, na hinamon ang mga hacker na pumasok sa Web mail account ng StrongWebmail CEO Darren Berkovitz at mag-ulat ng mga detalye mula sa kanyang entry sa kalendaryo sa Hunyo 26.

[Ang karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Ang mga hacker, na pinangungunahan ng Secure Science Chief Scientist na si Lance James at mga mananaliksik ng seguridad na si Aviv Raff at Mike Bailey, ay nagbigay ng mga detalye mula sa Kalendaryo ng Berkovitz sa IDG News Service. Sa isang interbyu, kinumpirma ni Berkovitz na ang mga detalye ay mula sa kanyang account.

Gayunpaman, hindi nakumpirma ni Berkovitz na talagang nanalo ang mga hacker ng premyo. Sinabi niya na kailangan niyang suriin upang kumpirmahin na ang mga hacker ay sumunod sa mga panuntunan sa paligsahan, at idinagdag, "kung ang isang tao ay ginawa ito, kami ay uri ng ilagay ang aming mga ulo pababa," sinabi niya.

Contest patakaran maiwasan ang mga mananaliksik mula sa sa pagsisiwalat kung paano nila ginanap ang kanilang pag-atake, ngunit nakompromiso rin ang isang test ng StrongWebmail account na itinatag ng IDG News Service. Ang IDG atake ay hindi gumagana sa simula, ngunit nagtagumpay kapag ang software ng seguridad na tinatawag na NoScript ay hindi pinagana sa browser ng Firefox, na tumatakbo sa isang makina ng Windows XP.

"Nakakita kami ng maraming pag-atake sa cross-site na nagbibigay-daan sa amin sa pag-atake sa iba pang mga gumagamit," James sinabi. "Kailangan mong magkaroon ng isang rehistradong account upang ilunsad ang pag-atake."

Gumagamit ng StrongWebmail ang sistema ng pagpapatunay ng telepono ng Telisign upang bigyan ang mga gumagamit ng webmail ng isa pang layer ng seguridad. Sa halip na mag-log in gamit ang isang username at password, ang mga kostumer ay dapat ring magpasok ng isang lihim na code na tinatawagan sa kanila tuwing gusto nilang mag-log in sa site.

Ang mga bangko ay gumagamit ng mga server ng mga authentication na nakabatay sa telepono upang makatulong sa paglaban sa mga cybercriminal na madalas nakawin ang mga username at password mula sa mga biktima.

Ngunit ang ganitong uri ng pagpapatunay - na tinatawag na dalawang-factor na pagpapatunay - ay maaaring mapigilan ng mga hacker gamit ang kung ano ang kilala bilang isang tao-sa-gitna atake. Sa pag-atake na ito, ang software ng hacker ay naghihintay para sa gumagamit na mag-log in sa Web site at pagkatapos ay tatagal. "Maghintay sila para sa iyo na mag-log in at maaari nilang gawin ang anumang nais nila," sabi ni James.

James sinabi na ang mga paligsahan ay maaaring maging masaya, ngunit hindi sila nagbibigay ng isang makatotohanang sukatan ng tunay na seguridad dahil sila ay nababalutan ng panuntunan. Ipinagbabawal ng paligsahan ng StrongWebmail ang pagtatrabaho sa isang tagaloob ng kumpanya, halimbawa. "Ang isang masamang tao ay hindi nagmamalasakit sa mga alituntunin, sinabi niya.

Ang seguridad sa webmail ay nakakuha ng maraming pansin sa nakalipas na taon. Noong Setyembre ang isang hacker ay nakakuha ng access sa e-mail account ng Alaska Gobernador Sarah Palin at inilathala ang mga detalye niya Ang isang mag-aaral sa kolehiyo na nagngangalang David Kernell ay sinisingil sa pangyayaring iyon.

Anuman ang kinalabasan ng paligsahan, sinabi ni Berkovitz na inaasahan niya na ang kanyang paligsahan ay makakakuha ng mga gumagamit - at mga webmail provider tulad ng Google at Yahoo - higit na nag-iisip tungkol sa seguridad. "Hindi namin inaangkin na ito ang panghuli, panghuli solusyon," sabi niya. "Ngunit sinusubukan naming dalhin ang pansin sa bahagi ng username at password."