Hackere hævder $ 10.000-prisen for at bryde ind i StrongWebmail

Det er det, Telesign fandt ud af denne uge. En udbyder af stemmebaseret autentificeringssoftware, udfordrede virksomheden hackere til at bryde ind på sin StrongWebmail.com-website sent i sidste uge. Prisen? US $ 10.000.

På torsdag hævdede en gruppe sikkerhedsforskere at have vundet konkurrencen, der udfordrede hackere til at bryde ind på webadressen til StrongWebmail CEO Darren Berkovitz og rapportere tilbage detaljer fra sin 26. juni kalenderpost.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Hackerne, ledet af sikker videnskabsforsker Lance James og sikkerhedsforskere Aviv Raff og Mike Bailey, leverede detaljer fra Berkovitz kalender til IDG News Service. I et interview bekræftede Berkovitz, at disse detaljer var fra hans konto.

Berkovitz kunne dog ikke bekræfte, at hackerne rent faktisk havde vundet prisen. Han sagde, at han skulle kontrollere, at hackerne havde overholdt konkurrencereglerne og tilføjede: "Hvis nogen gjorde det, vil vi godt sætte hovedet ned," sagde han.

Konkurrencereglerne forhindrer forskerne fra at afslører hvordan de udførte deres angreb, men de kunne også gå på kompromis med en test StrongWebmail-konto oprettet af IDG News Service. IDG-angrebet fungerede ikke i første omgang, men lykkedes, da sikkerhedssoftware, der hedder NoScript, blev deaktiveret i Firefox-browseren, der kørte på en Windows XP-maskine.

"Vi fandt flere overfald på tværs af websteder, der tillader os at angribe andre brugere" James sagde. "Du skal have en registreret konto for at starte angrebet."

StrongWebmail bruger Telisigns telefonautentificeringssystem til at give webmail-brugere et andet sikkerhedsniveau. I stedet for at logge ind med et brugernavn og kodeord skal kunderne også indtaste en hemmelig kode, der bliver ringet til dem, når de vil logge ind på webstedet.

Banker har brugt disse telefonbaserede godkendelsesservere til at hjælpe med at bekæmpe cyberkriminelle, som ofte stjæle brugernavne og adgangskoder fra ofre.

Men denne type autentificering - kaldet tofaktorautentificering - kan modvirkes af hackere ved at bruge det såkaldte "man-in-middle attack". I dette angreb venter hackers software, at brugeren lovligt logger ind på hjemmesiden og derefter overtager. "De venter bare på, at du logger ind, og de kan gøre, hvad de vil," sagde James.

James sagde, at disse konkurrencer kunne være sjove, men de giver ikke en realistisk måling af reel sikkerhed, fordi de er besat af regler. StrongWebmail-konkurrencen forbyder at arbejde med en insider for eksempel. "En dårlig fyr vil ikke bekymre sig om regler, sagde han."

Webmail sikkerhed har fået stor opmærksomhed i løbet af det sidste år. I september fik en hacker adgang til Alaska Governor Sarah Palins e-mail-konto og offentliggjorde detaljer om hende korrespondance på internettet. En universitetsstuderende ved navn David Kernell er blevet anklaget for denne hændelse.

Uanset hvad konkurrencen er, siger Berkovitz, at han håber, at hans konkurrence får brugere - og webmailudbydere som Google og Yahoo - tænker mere om sikkerhed. "Vi hævder ikke, at dette er den ultimative ultimative løsning," sagde han. "Men vi forsøger at gøre opmærksom på brugernavnet og adgangskoden."