Gli hacker chiedono $ 10.000 per aver infranto la sicurezza di StrongWebmail

Gli hacker amano una sfida. E soprattutto, amano i soldi.

Questo è ciò che Telesign ha scoperto questa settimana. Un fornitore di software di autenticazione vocale, la società ha sfidato gli hacker a penetrare nel suo sito Web StrongWebmail.com alla fine della scorsa settimana. Il premio? US $ 10.000.

Giovedì, un gruppo di ricercatori della sicurezza ha affermato di aver vinto il concorso, che ha sfidato gli hacker a penetrare nell'account di posta elettronica del CEO di StrongWebmail Darren Berkovitz e a riferire i dettagli della sua voce del 26 giugno.

[Ulteriori informazioni: Come rimuovere il malware dal PC Windows]

Gli hacker, guidati da Lance James, scienziato capo della sicurezza scientifica, e dai ricercatori di sicurezza Aviv Raff e Mike Bailey, hanno fornito dettagli dal calendario di Berkovitz a IDG News Service. In un'intervista, Berkovitz ha confermato che tali dettagli provenivano dal suo account.

Tuttavia, Berkovitz non ha potuto confermare che gli hacker avevano effettivamente vinto il premio. Ha detto che avrebbe bisogno di controllare per confermare che gli hacker avevano rispettato le regole del concorso, aggiungendo, "se qualcuno lo facesse, avremo una specie di testa bassa", ha detto.

Le regole del concorso impediscono ai ricercatori di rivelando come hanno eseguito il loro attacco, ma sono stati anche in grado di compromettere un account StrongWebmail di test impostato da IDG News Service. L'attacco IDG non ha funzionato inizialmente, ma è riuscito quando il software di sicurezza denominato NoScript è stato disabilitato nel browser Firefox, eseguito su un computer Windows XP.

"Abbiamo rilevato più attacchi cross-site che ci permettono di attaccare altri utenti," James disse. "Devi avere un account registrato per lanciare l'attacco."

StrongWebmail utilizza il sistema di autenticazione telefonica di Telisign per fornire agli utenti della webmail un ulteriore livello di sicurezza. Invece di accedere con un nome utente e una password, i clienti devono anche inserire un codice segreto che viene loro telefonato ogni volta che vogliono accedere al sito.

Le banche hanno utilizzato questi server di autenticazione basati su telefono per combattere i criminali informatici che spesso rubare nomi utente e password dalle vittime.

Ma questo tipo di autenticazione, chiamata autenticazione a due fattori, può essere vanificata dagli hacker che usano ciò che è noto come attacco man-in-the-middle. In questo attacco, il software dell'hacker attende che l'utente possa accedere legittimamente al sito Web e quindi subentrare. "Aspettano solo che tu acceda e loro possono fare tutto ciò che vogliono", ha detto James.

James ha detto che questi concorsi potrebbero essere divertenti, ma non forniscono una misura realistica di sicurezza reale perché sono ingombri di regole. Il concorso StrongWebmail proibisce di lavorare con un membro della società, per esempio. "Un cattivo non si preoccuperà delle regole", ha detto.

La sicurezza della Webmail ha ottenuto molta attenzione nell'ultimo anno: a settembre un hacker ha ottenuto l'accesso all'account e-mail del governatore dell'Alaska Sarah Palin e ha pubblicato i dettagli di lei corrispondenza su Internet. Uno studente universitario di nome David Kernell è stato accusato in quell'incidente.

Qualunque sia il risultato del concorso, Berkovitz dice che spera che il suo concorso porti gli utenti - e provider di webmail come Google e Yahoo - a pensare di più sulla sicurezza. "Non stiamo affermando che questa è la soluzione definitiva e definitiva", ha affermato, "ma stiamo cercando di attirare l'attenzione sulla porzione di nome utente e password."