Among Us: The Hacker | Animation
Det var det som Telesign fick reda på i veckan. En leverantör av röstbaserad autentiseringsprogramvara, företaget utmanade hackare att bryta in på sin StrongWebmail.com webbplats senast i veckan. Priset? US $ 10,000.
På torsdagen hävdade en grupp säkerhetsforskare att ha vunnit tävlingen, vilket utmanade hackare att bryta sig in på webbadresskontot för StrongWebmail CEO Darren Berkovitz och rapportera tillbaka detaljer från hans 26 juni kalenderpost.
[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]
Hackarna, ledd av säkerhetsforskare Lance James och säkerhetsforskare Aviv Raff och Mike Bailey, gav uppgifter från Berkovitz kalender till IDG News Service. I en intervju bekräftade Berkovitz att dessa uppgifter var från hans konto.Berkovitz kunde dock inte bekräfta att hackarna faktiskt hade vunnit priset. Han sa att han skulle behöva checka för att hackarna hade överensstått med tävlingsreglerna och tillade att "om någon gjorde det, så skulle vi sätta ner våra huvuden", säger han.
Tävlingsregler hindrar forskarna från att avslöja hur de utförde sin attack, men de kunde också kompromissa med ett test StrongWebmail-konto som upprättades av IDG News Service. IDG-attacken fungerade inte inledningsvis, men lyckades när säkerhetsprogrammet kallades NoScript inaktiverades i Firefox-webbläsaren, körde på en Windows XP-maskin.
"Vi hittade flera attacker på flera platser som tillåter oss att attackera andra användare," James sa. "Du måste ha ett registrerat konto för att starta attacken."
StrongWebmail använder Telisigns telefonautentiseringssystem för att ge webmailanvändare ett annat säkerhetslager. Istället för att logga in med användarnamn och lösenord måste kunderna också ange en hemlig kod som ringas till dem när de vill logga in på webbplatsen.
Banker har använt dessa telefonbaserade autentiseringsservrar för att hjälpa till att bekämpa cyberkriminella som ofta stjäl användarnamn och lösenord från offer.
Men den här typen av autentisering - kallad tvåfaktorsautentisering - kan motverkas av hackare som använder det som kallas en man-i-mittattack. I den här attacken väntar hackerns program för att användaren legitimt loggar in på webbplatsen och tar sedan över. "De väntar bara på att du loggar in och de kan göra vad de vill", säger James.
James sa att dessa tävlingar kan vara roliga, men de ger inte en realistisk åtgärd av verklig säkerhet eftersom de är besatta av regler. StrongWebmail-tävlingen förbjuder att arbeta med företagets insider, till exempel. "En dålig kille kommer inte bryr sig om regler, säger han."
Webmail-säkerhet har fått stor uppmärksamhet under det gångna året. I september fick en hacker tillgång till Alaska Governor Sarah Palins e-postkonto och publicerade detaljer om henne Berkovitz säger att han hoppas att hans tävling får användare - och webbmailleverantörer som Google och Yahoo - att tänka mer om säkerhet. "Vi hävdar inte att detta är den ultimata ultimata lösningen," sa han. "Men vi försöker uppmärksamma användarnamnet och lösenordsdelen."
För att göra detta har de utnyttjat ett fel i De digitala certifikat som används av webbplatser för att bevisa att de är vem de hävdar vara. Genom att utnyttja kända brister i MD5-hash-algoritmen som används för att skapa några av dessa certifikat, kunde forskarna hacka Verisigns certifikatmyndighet RapidSSL.com och skapa falska digitala certifikat för alla webbplatser på Internet.
Hashes används att skapa ett "fingeravtryck" för ett dokument, ett nummer som är avsett att identifiera ett visst dokument och enkelt beräknas för att verifiera att dokumentet inte har ändrats under transitering. MD5-hackningsalgoritmen är dock felaktig, vilket gör det möjligt att skapa två olika dokument som har samma hashvärde. Så här kan någon skapa ett certifikat för en phishing-webbplats som har samma fingeravtryck som certifikatet för den äkta sajten.
En stam av den rogue AV, som för närvarande heter Total Security 2009 , kommer nu att blockera åtkomst till någonting på din dator tills du betalar för ett serienummer för rogue-programmet. Försök att öppna något kommer istället att dyka upp ett meddelande som hävdar att filen är infekterad och att du ska "aktivera din antivirusprogramvara". Om du betalar $ 79,95 för ett serienummer och aktiverar programmet kan du använda din dator en gång till, enligt ett inlägg från antivirusprogramv
Ransomware som rymmer filer som gisslan har funnits i åratal, men det har varit en relativt liten nisch på den svarta marknaden online. Men där tidigare utpressningsförsök var uppenbara, till och med klumpiga, använder den här nya vridningen ännu ett lager av socialteknik för att dölja lösenbehovet som en antagen säkerhetsåtgärd.
Google stämmer överens av en schweizisk vakthundsbyrå för att ha gjort sig skyldig till att inte vidta lämpliga åtgärder för att skydda privatlivet. Den juridiska striden i Schweiz är bara den senaste i en lång rad privata problem med Google och illustrerar utmaningen att ge så mycket information som möjligt utan att bryta mot privatlivets oro.
Debatten i Schweiz ligger över Googles Street View-bildindexering. Hanspeter Thuer, den schweiziska federala dataskydds- och informationskommissionären (FDPIC) gjorde rekommendationer till Google för att ta itu med oro med Street View-bilder som visar bilkortsskyltar och människors ansikten. Google hävdar att det har tagit steg för att följa dessa rekommendationer, men FDPIC anser inte att Google har gjort tillräckligt.