JE DEDIE CECI A ELTÉcrire Â, Ê, Î, Ô, Û, Ä, Ë, Ï, Ö, Ü, À, Æ, æ, Ç, É, !
これは、Telesignが今週見つけたものです。音声ベースの認証ソフトウェアのプロバイダである同社は、先週末にStrongWebmail.com Webサイトに侵入するハッカーに挑戦した。賞金?
木曜日に、セキュリティ研究者のグループが、ストロングメールCEOのダレン・バルコビッツのウェブメールアカウントに侵入し、彼の6月26日のカレンダーエントリから詳細を報告するハッカーに挑戦したというコンテストで勝利したと主張した。
[940] Secure ScienceチーフサイエンティストのLance Jamesとセキュリティ研究者Aviv RaffとMike Baileyが率いるハッカーたちは、BerkovitzのカレンダーからIDG News Serviceに詳細を提供しました。しかし、Berkovitzはハッカーが実際に賞を受賞したことを確認できませんでした。彼は、ハッカーたちがコンテストのルールを守っていることを確認するためにチェックする必要があると述べ、「もし誰かがそれをしたら、私たちは頭を下げていくだろう」と話した。彼らがどのように攻撃を行ったのかを明らかにしたが、IDG News Serviceが設定したStrongWebmailアカウントのテストを妥協することもできた。 IDG攻撃は当初は機能しませんでしたが、Windows XPマシンで実行されているFirefoxブラウザでNoScriptというセキュリティソフトウェアが無効になった時に成功しました。 "915:"他のユーザーを攻撃する複数のクロスサイト攻撃がある "前記。 StronWebmailは、Telisignの電話認証システムを使用して、Webmailユーザーに別のセキュリティ層を提供しています。
銀行はこれらの電話ベースの認証サーバーを使用して、頻繁に発生するサイバー犯罪者との戦いを支援しています被害者からのユーザー名とパスワードを盗みます。しかし、この種の認証(2要素認証と呼ばれます)は、ハッカーがミッドインザ攻撃と呼ばれるものを使用して阻止することができます。この攻撃では、ハッカーのソフトウェアは、ユーザーが合法的にWebサイトにログインしてから引き継ぐのを待ちます。ジェームスは、「これらのコンテストは楽しいかもしれないが、実際のセキュリティの現実的な尺度は提供していない」と語った。ルールStrongWebmailコンテストは、たとえば、社内インサイダーとの共同作業を禁じています。 9月にハッカーがアラスカ州知事のサラ・ペイリンの電子メールアカウントにアクセスし、彼女の詳細を公開した。 Berkovitz氏はコンテストの成果がどんなものであれ、ユーザーやGoogleやYahooなどのウェブメールプロバイダがセキュリティについてもっと考えようとしていることを彼は望んでいると語る。 「これは究極の究極の解決策ではないと主張しているが、ユーザー名とパスワードの部分に注意を向けようとしている」と述べた。