Hackers Claim $ 10,000 Prize for Breaking Into StrongWebmail

Hacker cinta satu cabaran. Dan lebih daripada itu, mereka suka wang tunai.

Itulah yang ditemui oleh Telesign minggu ini. Penyedia perisian pengesahan berasaskan suara, syarikat itu mencabar penggodam untuk memasuki laman web StrongWebmail.com lewat minggu lalu. Hadiah? Pada hari Khamis, sekumpulan penyelidik keselamatan mendakwa telah memenangi peraduan ini, yang mencabar penggodam untuk memasuki akaun mel Web Ketua Pegawai Eksekutif StrongWebmail Darren Berkovitz dan melaporkan kembali butir-butirnya dari kemasukan kalendar 26 Jun.

[Pembacaan lanjut: Bagaimana untuk membuang malware dari PC Windows Anda]

Penggodam, yang diketuai oleh Ketua Sains Saintifik Sains Lance Lance dan penyelidik keselamatan Aviv Raff dan Mike Bailey, memberikan butiran dari kalendar Berkovitz ke IDG News Service. Dalam satu temubual, Berkovitz mengesahkan butiran tersebut dari akaunnya.

Namun, Berkovitz tidak dapat mengesahkan bahawa para penggodam sebenarnya telah memenangi hadiah tersebut. Beliau berkata beliau perlu menyemak untuk mengesahkan bahawa penggodam telah mematuhi peraturan peraduan, sambil menambah, "jika seseorang melakukannya, kami akan meletakkan kepala kami," katanya.

Peraturan peraduan menghalang penyelidik dari mendedahkan bagaimana mereka melakukan serangan mereka, tetapi mereka juga dapat berkompromi dengan akaun ujian StrongWebmail yang disediakan oleh IDG News Service. Serangan IDG tidak berfungsi pada mulanya, tetapi berjaya apabila perisian keselamatan yang dipanggil NoScript dinyahdayakan pada pelayar Firefox, berjalan pada mesin Windows XP.

"Kami mendapati pelbagai serangan silang tapak yang membolehkan kami menyerang pengguna lain," James kata. "Anda perlu mempunyai akaun berdaftar untuk melancarkan serangan."

StrongWebmail menggunakan sistem pengesahan telefon Telisign untuk memberikan pengguna webmail satu lapisan keselamatan. Daripada log masuk dengan nama pengguna dan kata laluan, pelanggan juga mesti memasukkan kod rahsia yang akan menelefon mereka apabila mereka mahu masuk ke laman web tersebut.

Bank telah menggunakan pelayan pengesahan berasaskan telefon untuk membantu memerangi penjenayah siber yang sering mencuri nama pengguna dan kata laluan daripada mangsa.

Tetapi pengesahan seperti ini - dipanggil dua faktor pengesahan - boleh digagalkan oleh penggodam menggunakan apa yang dikenali sebagai serangan di tengah-tengah. Dalam serangan ini, perisian penggodam menunggu pengguna untuk log masuk dengan sah di laman web dan kemudian mengambil alih. "Mereka hanya menunggu awak untuk log masuk dan mereka boleh melakukan apa sahaja yang mereka mahu," kata James.

James berkata bahawa pertandingan ini mungkin menyeronokkan, tetapi mereka tidak memberikan ukuran yang realistik tentang keselamatan sebenar kerana mereka dibebani dengan peraturan. Peraduan StrongWebmail melarang bekerja dengan orang dalam syarikat, contohnya. "Orang jahat tidak peduli dengan peraturan, katanya.

Keselamatan webmail mendapat banyak perhatian sepanjang tahun lalu. Pada bulan September seorang penggodam mendapat akses ke akaun e-mel Gabenor Alaska Sarah Palin dan menerbitkan butirannya

Apa pun hasil pertandingan itu, Berkovitz berkata beliau berharap peraduannya mendapat pengguna - dan penyedia perkhidmatan web seperti Google dan Yahoo - berfikir lebih lanjut mengenai keselamatan. "Kami tidak mendakwa bahawa ini adalah penyelesaian muktamad," katanya. "Tetapi kami cuba memberi perhatian kepada nama pengguna dan kata laluan."