Hacker'lar StrongWebmail'e Girmek İçin 10,000 $ Ödül Kazandılar

Hackers love meydan okuma. Ve bundan daha fazlası, parayı seviyorlar.

Bu hafta Telesign'ın bulduğu şey buydu. Ses tabanlı bir kimlik doğrulama yazılımı sağlayıcısı olan şirket, bilgisayar korsanlarının geçen haftanın sonundaki StrongWebmail.com Web sitesine girmesine meydan okudu. Ödül? Perşembe günü, bir grup güvenlik araştırmacısı yarışmayı kazanmaya karar verdiler ve bu da hackerların StrongWebmail CEO'su Darren Berkovitz'in Web posta hesabına girmesine ve 26 Haziran takvim girişinden ayrıntıları geri bildirmesine neden oldu.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Güvenli Bilim Baş Bilim Adamı Lance James ve güvenlik araştırmacıları Aviv Raff ve Mike Bailey liderliğindeki bilgisayar korsanları, Berkovitz'in takviminden IDG Haber Servisi'ne kadar olan detayları verdi. Bir röportajda, Berkovitz bu ayrıntıların onun hesabından geldiğini doğruladı.

Ancak Berkovitz, hackerların ödülü kazandığını doğrulayamadı. Korsanların yarışma kurallarına uyduklarını doğrulamak için kontrol etmesi gerektiğini belirterek, "eğer birileri yaptıysa, başımızı aşağıya koyacağız" diye ekledi.

Yarışma kuralları araştırmacıların Saldırılarını nasıl gerçekleştirdiklerini açıklamakla birlikte, IDG News Service tarafından kurulan bir test StrongWebmail hesabından da ödün verebildiler. IDG saldırısı başlangıçta işe yaramadı, ancak bir Windows XP makinesinde çalışan Firefox tarayıcısında NoScript adlı güvenlik yazılımı devre dışı bırakıldığında başarılı oldu.

"Diğer kullanıcılara saldırmamıza olanak tanıyan çok sayıda siteler arası saldırı tespit ettik." dedim. "Saldırıyı başlatmak için kayıtlı bir hesabınız olmalı."

StrongWebmail, webmail kullanıcılarına başka bir güvenlik katmanı vermek için Telisign'ın telefon doğrulama sistemini kullanıyor. Bir kullanıcı adı ve parola ile giriş yapmak yerine, müşterilerin siteye giriş yapmak istedikleri zaman onlara telefon ettikleri bir gizli kod girmeleri gerekir.

Bankalar, sık sık karşılaşılan siber suçlulara karşı savaşmak için bu telefon tabanlı kimlik doğrulama sunucularını kullanıyorlar. Kurbanların kullanıcı adlarını ve şifrelerini çalın.

Fakat bu tür bir kimlik doğrulaması - iki faktörlü kimlik doğrulaması denir - korsanlar tarafından ortadaki adam olarak bilinen şeyi kullanarak engellenebilir. Bu saldırıda, hacker yazılımı, kullanıcının meşru bir şekilde Web sitesine giriş yapmasını ve ardından devralmayı beklemektedir. "Giriş yapmak ve onlar istediğimizi yapabiliriz için Onlar sadece beklemek," James

James bu yarışmalar eğlenceli olabileceğini söyledi. Belirtmekle birlikte, söz konusu olur, çünkü onlar gerçek bir güvenlik gerçekçi ölçüsünü vermeyin kurallar. StrongWebmail yarışması, örneğin şirket içi bir şirketle çalışmayı yasaklar. "Bir kötü adam kuralları umurumda olmaz söyledi.

Webmail güvenlik geçen yıl ilgi çok aldı. Eylül ayında bir hacker Alaska Valisi Sarah Palin e-posta hesabına erişim kazandı ve ayrıntılarını yayınladı onu İnternette yazışmalar David Kernell adında bir kolej öğrencisi bu olayda suçlandı.

Yarışma sonuçları ne olursa olsun Berkovitz, yarışmasının kullanıcılara ve Google ile Yahoo gibi web posta sağlayıcılarının daha fazla güvenlik düşünmesini umduğunu söyledi. "Bunun nihai ve nihai çözüm olduğunu iddia etmiyoruz" dedi. "Ama kullanıcı adı ve şifre bölümüne dikkat çekmeye çalışıyoruz."