Хакеры любят соревноваться. А еще больше они любят деньги. Именно это
выяснила для себя на этой неделе компания Telesign, ранее объявившая награду в
10 000 долларов тому хакеру, который сумеет взломать сайт принадлежащей ей
почтовой службы StrongWebmail.com.
Вчера группа исследователей заявила о том, что выиграла соревнование, сообщив
об успешном взломе почтового аккаунта главы StrongWebmail Даррена Берковица и
предоставив подробности о списке его дел, запланированных им в календаре на 26
июня.
Команда хакеров, ведомых старшим научным сотрудником Secure Science Лэнсом
Джеймсом и экспертами Авивом Раффом и Майком Бейли, предоставила детали
календаря Берковица новостной службе IDG News Service. В своем интервью тот
вынужден был признать, что предоставленная информация действительно получена с
его аккаунта. Впрочем, он пока не подтвердил, что хакерам удалось выиграть
состязание, сообщив о необходимости проверить, насколько проведенная атака
соответствовала правилам соревнования. В случае, если все окажется в рамках
правил, Берковиц обещал понурить голову.
Требования соревнования обязуют его участников не разглашать метод взлома,
однако экспертам удалось также взломать и тестовый аккаунт StrongWebmail,
заведенный для этих целей представителями IDG News Service. Сначала метод
нападения не сработал, однако после отключения в браузере Firefox плагина
NoScript машина под управлением Windows XP поддалась атаке.
Telesign использует для своего почтового сервиса систему двухфакторной
авторизации, аналогичную той, которую применяют многие банки. Помимо ввода имени
пользователя и пароля, клиенту при авторизации необходимо также вводить и
одноразовый пароль, присылаемый ему в SMS-сообщении.
Как выясняется, такой метод на поверку оказывается неэффективным против атак
"man-in-the middle", поскольку злоумышленники просто ждут, когда жертва пройдет
процедуру авторизации, а потом делают все, что хотят.
