Peretas Klaim Hadiah $ 10.000 untuk Melanggar Into StrongWebmail

Peretas cinta sebuah tantangan. Dan lebih dari itu, mereka mencintai uang tunai.

Itulah yang diketahui Telesign minggu ini. Sebagai penyedia perangkat lunak otentikasi berbasis suara, perusahaan itu menantang para peretas untuk masuk ke situs web StrongWebmail.com pada akhir pekan lalu. Hadiah? US $ 10.000.

Pada hari Kamis, sekelompok peneliti keamanan mengklaim telah memenangkan kontes, yang menantang peretas untuk masuk ke akun surat Web dari CEO StrongWebmail Darren Berkovitz dan melaporkan kembali rincian dari entri kalender 26 Juni.

[Bacaan lebih lanjut: Bagaimana cara menghapus malware dari PC Windows Anda]

Para peretas, yang dipimpin oleh Kepala Ilmu Pengetahuan Aman Lance James dan peneliti keamanan Aviv Raff dan Mike Bailey, memberikan rincian dari kalender Berkovitz ke IDG News Service. Dalam sebuah wawancara, Berkovitz mengkonfirmasi rincian itu berasal dari akunnya.

Namun, Berkovitz tidak dapat memastikan bahwa peretas benar-benar memenangkan hadiah. Dia mengatakan dia akan perlu memeriksa untuk mengkonfirmasi bahwa para peretas telah mematuhi aturan kontes, menambahkan, "jika seseorang melakukannya, kita akan meletakkan kepala kita," katanya.

Aturan kontes mencegah para peneliti dari mengungkapkan bagaimana mereka melakukan serangan mereka, tetapi mereka juga dapat mengkompromikan akun uji StrongWebmail yang disiapkan oleh IDG News Service. Serangan IDG tidak bekerja pada awalnya, tetapi berhasil ketika perangkat lunak keamanan yang disebut NoScript dinonaktifkan pada peramban Firefox, yang berjalan pada mesin Windows XP.

"Kami menemukan beberapa serangan lintas-situs yang memungkinkan kami menyerang pengguna lain," James kata. "Anda harus memiliki akun yang terdaftar untuk meluncurkan serangan."

StrongWebmail menggunakan sistem otentikasi telepon Telisign untuk memberi pengguna webmail lapisan keamanan lain. Daripada masuk dengan nama pengguna dan kata sandi, pelanggan juga harus memasukkan kode rahasia yang dapat dihubungi kapan pun mereka ingin masuk ke situs.

Bank telah menggunakan server otentikasi berbasis telepon ini untuk membantu memerangi penjahat dunia maya yang sering mencuri nama pengguna dan kata sandi dari korban.

Tapi otentikasi semacam ini - yang disebut otentikasi dua faktor - dapat digagalkan oleh peretas menggunakan apa yang dikenal sebagai serangan man-in-the-middle. Dalam serangan ini, peretas perangkat lunak menunggu pengguna untuk masuk ke situs Web secara sah dan kemudian mengambil alih. "Mereka hanya menunggu Anda masuk dan mereka dapat melakukan apa pun yang mereka inginkan," kata James.

James mengatakan bahwa kontes ini mungkin menyenangkan, tetapi mereka tidak memberikan ukuran yang realistis dari keamanan nyata karena mereka terbebani dengan aturan. Kontes StrongWebmail melarang bekerja dengan orang dalam perusahaan, misalnya. "Orang jahat tidak akan perduli dengan peraturan, katanya.

Keamanan webmail telah mendapat banyak perhatian selama setahun terakhir. Pada bulan September, seorang peretas mendapatkan akses ke akun email Alaska Gubernur Sarah Palin dan mempublikasikan detailnya. korespondensi di Internet Seorang mahasiswa bernama David Kernell telah dituntut dalam insiden itu.

Apa pun hasil kontes, Berkovitz mengatakan ia berharap kontesnya mendapatkan pengguna - dan penyedia email web seperti Google dan Yahoo - berpikir lebih banyak tentang keamanan. "Kami tidak mengklaim bahwa ini adalah solusi pamungkas," katanya. "Tapi kami mencoba untuk menarik perhatian pada bagian nama pengguna dan kata sandi."