Hackers reivindicam prêmio de US $ 10.000 por invadir StrongWebmail

Isso é o que a Telesign descobriu esta semana. Um provedor de software de autenticação baseado em voz, a empresa desafiou hackers a invadir seu site StrongWebmail.com na semana passada. O prêmio? Na quinta-feira, um grupo de pesquisadores de segurança afirmou ter vencido o concurso, que desafiou hackers a invadir a conta de email na web do StrongWebmail, CEO Darren Berkovitz, e relatar detalhes de sua entrada no calendário de 26 de junho.

[Leia mais: Como remover malware do seu PC Windows]

Os hackers, liderados pelo cientista chefe da Secure Science, Lance James, e os pesquisadores de segurança Aviv Raff e Mike Bailey, forneceram detalhes do calendário de Berkovitz para o IDG News Service. Em uma entrevista, Berkovitz confirmou que os detalhes eram de sua conta.

No entanto, Berkovitz não pôde confirmar que os hackers haviam realmente ganho o prêmio. Ele disse que precisaria checar se os hackers haviam cumprido as regras do concurso, acrescentando que "se alguém fizer isso, vamos colocar a cabeça para baixo", disse ele.

As regras do concurso impedem que os pesquisadores divulgando como eles realizaram seu ataque, mas eles também foram capazes de comprometer uma conta StrongWebmail teste criada pelo IDG News Service. O ataque IDG não funcionou inicialmente, mas teve sucesso quando o software de segurança chamado NoScript foi desativado no navegador Firefox, executado em uma máquina com Windows XP.

"Encontramos vários ataques entre sites que nos permitem atacar outros usuários", James disse. "Você tem que ter uma conta registrada para lançar o ataque."

StrongWebmail usa o sistema de autenticação telefônica da Telisign para dar aos usuários de webmail outra camada de segurança. Em vez de fazer login com um nome de usuário e senha, os clientes também devem inserir um código secreto que seja telefonado para eles sempre que desejarem efetuar login no site.

Os bancos usam esses servidores de autenticação baseados em telefone para ajudar a combater criminosos cibernéticos roubar nomes de usuários e senhas de vítimas.

Mas esse tipo de autenticação - chamada de autenticação de dois fatores - pode ser frustrada por hackers usando o que é conhecido como um ataque man-in-the-middle. Nesse ataque, o software do hacker espera que o usuário faça logon legítimo no site e assuma o controle. "Eles apenas esperam que você faça o login e eles podem fazer o que quiserem", disse James.

James disse que essas disputas podem ser divertidas, mas não fornecem uma medida real de segurança real porque estão sobrecarregadas regras. O concurso StrongWebmail proíbe trabalhar com um insider da empresa, por exemplo. "Um bandido não se importará com as regras", disse ele.

A segurança do Webmail ganhou muita atenção no ano passado. Em setembro, um hacker conseguiu acesso à conta de e-mail da governadora do Alasca Sarah Palin e publicou detalhes dela. Correspondência na Internet Um estudante universitário chamado David Kernell foi acusado naquele incidente

Qualquer que seja o resultado do concurso, Berkovitz diz esperar que seu concurso leve os usuários - e provedores de webmail como Google e Yahoo - a pensar mais em segurança. "Não estamos afirmando que esta é a solução final e definitiva", disse ele, "mas estamos tentando chamar a atenção para a porção de nome de usuário e senha".