Hacker beanspruchen $ 10.000 Preis für StrongWebmail

Hacker lieben eine Herausforderung. Und mehr als das, sie lieben Bargeld.

Das hat Telesign in dieser Woche herausgefunden. Als Anbieter von sprachbasierter Authentifizierungssoftware hat das Unternehmen Ende letzter Woche Hacker herausgefordert, die Website StrongWebmail.com zu öffnen. Der Preis? 10.000 US-Dollar.

Am Donnerstag behauptete eine Gruppe von Sicherheitsforschern, den Wettbewerb gewonnen zu haben, der Hacker herausforderte, in den Webmail-Account von StrongWebmail-CEO Darren Berkovitz einzubrechen und Details aus seinem Kalendereintrag vom 26. Juni zu melden.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Die Hacker, angeführt von dem Sicherheitswissenschaftler Lance James und den Sicherheitsforschern Aviv Raff und Mike Bailey, übermittelten IDG News Service Einzelheiten aus Berkovitz 'Kalender. In einem Interview bestätigt Berkovitz, dass diese Details von seinem Konto stammen.

Berkovitz konnte jedoch nicht bestätigen, dass die Hacker tatsächlich den Preis gewonnen hatten. Er sagte, er müsste überprüfen, ob die Hacker sich an die Wettbewerbsregeln gehalten hätten, und fügte hinzu: "Wenn jemand es getan hat, werden wir den Kopf senken", sagte er.

Wettbewerbsregeln verhindern die Forscher Sie enthüllten jedoch, wie sie ihren Angriff durchgeführt hatten, aber sie waren auch in der Lage, einen vom IDG News Service eingerichteten Test-StrongWebmail-Account zu kompromittieren. Der IDG-Angriff funktionierte zunächst nicht, war aber erfolgreich, als die Sicherheitssoftware NoScript im Firefox-Browser auf einem Windows XP-Computer deaktiviert wurde.

"Wir haben mehrere Cross-Site-Angriffe gefunden, mit denen wir andere Benutzer angreifen können", James sagte. "Sie müssen über ein registriertes Konto verfügen, um den Angriff starten zu können."

StrongWebmail verwendet Telisigns Telefonauthentifizierungssystem, um Webmail-Benutzern eine weitere Sicherheitsebene zu bieten. Anstatt sich mit einem Benutzernamen und einem Passwort anzumelden, müssen Kunden auch einen geheimen Code eingeben, der sie anmeldet, wenn sie sich auf der Website anmelden wollen.

Banken verwenden diese telefonbasierten Authentifizierungsserver, um gegen Cyberkriminelle vorzugehen stehlen Benutzernamen und Passwörter von Opfern.

Aber diese Art der Authentifizierung - Zwei-Faktor-Authentifizierung genannt - kann von Hackern mit einem so genannten Man-in-the-Middle-Angriff verhindert werden. Bei diesem Angriff wartet die Software des Hackers darauf, dass sich der Benutzer rechtmäßig bei der Website anmeldet und dann übernimmt. "Sie warten nur darauf, dass du dich einloggst und sie können machen, was sie wollen", sagte James.

James sagte, dass diese Wettbewerbe Spaß machen könnten, aber sie bieten kein realistisches Maß an echter Sicherheit, weil sie damit belastet sind Regeln. Der StrongWebmail-Wettbewerb verbietet beispielsweise die Zusammenarbeit mit einem Unternehmensinsider. "Ein schlechter Kerl wird sich nicht um Regeln kümmern", sagte er.

Webmail-Sicherheit hat im vergangenen Jahr viel Aufmerksamkeit bekommen. Im September hat ein Hacker Zugriff auf den E-Mail-Account von Alaska-Gouverneurin Sarah Palin erhalten und Einzelheiten von ihr veröffentlicht Korrespondenz im Internet: Ein Student namens David Kernell wurde in diesem Vorfall angeklagt.

Unabhängig vom Ausgang des Wettbewerbs hofft Berkovitz, dass sein Wettbewerb Nutzer - und Webmail-Anbieter wie Google und Yahoo - dazu bringt, mehr über Sicherheit nachzudenken. "Wir behaupten nicht, dass dies die ultimative, ultimative Lösung ist", sagte er. "Aber wir versuchen, auf den Benutzernamen und das Passwort aufmerksam zu machen."