Хакеры любят соревноваться. А еще больше они любят деньги. Именно это выяснила для себя на этой неделе компания Telesign, ранее объявившая награду в 10 000 долларов тому хакеру, который сумеет взломать сайт принадлежащей ей почтовой службы StrongWebmail.com.
Вчера группа исследователей заявила о том, что выиграла соревнование, сообщив об успешном взломе почтового аккаунта главы StrongWebmail Даррена Берковица и предоставив подробности о списке его дел, запланированных им в календаре на 26 июня. Команда хакеров, ведомых старшим научным сотрудником Secure Science Лэнсом Джеймсом и экспертами Авивом Раффом и Майком Бейли, предоставила детали календаря Берковица новостной службе IDG News Service. В своем интервью тот вынужден был признать, что предоставленная информация действительно получена с его аккаунта. Впрочем, он пока не подтвердил, что хакерам удалось выиграть состязание, сообщив о необходимости проверить, насколько проведенная атака соответствовала правилам соревнования. В случае, если все окажется в рамках правил, Берковиц обещал понурить голову. Требования соревнования обязуют его участников не разглашать метод взлома, однако экспертам удалось также взломать и тестовый аккаунт StrongWebmail, заведенный для этих целей представителями IDG News Service. Сначала метод нападения не сработал, однако после отключения в браузере Firefox плагина NoScript машина под управлением Windows XP поддалась атаке. Telesign использует для своего почтового сервиса систему двухфакторной авторизации, аналогичную той, которую применяют многие банки. Помимо ввода имени пользователя и пароля, клиенту при авторизации необходимо также вводить и одноразовый пароль, присылаемый ему в SMS-сообщении. Как выясняется, такой метод на поверку оказывается неэффективным против атак "man-in-the middle", поскольку злоумышленники просто ждут, когда жертва пройдет процедуру авторизации, а потом делают все, что хотят.
|
