PC Développeur : Quelle configuration faut il ?
Une société de messagerie Web sécurisée qui a mis au défi les pirates informatiques de s'introduire dans le système de messagerie Web de l'entreprise paie un prix de 10 000 USD, quelques jours après le lancement du concours.
Une équipe de hackers gérée pour pirater le compte de messagerie Web du PDG de StrongWebmail, Darren Berkovitz, en utilisant ce qu'on appelle une attaque XSS (cross-site scripting), a confirmé lundi l'entreprise. "Ils l'ont fait en utilisant un script XSS qui a profité d'une vulnérabilité dans le programme webmail backend", a déclaré StrongWebmail dans un communiqué.
StrongWebmail a lancé le concours à la fin du mois de mai pour promouvoir la technologie d'identification vocale vendu par sa société mère, Telesign. Les pirates ont reçu l'adresse e-mail et le mot de passe de Berkovitz et ont été mis au défi d'entrer dans le compte. La compagnie a pensé que cela serait difficile parce que StrongWebmail exige un mot de passe spécial qui est téléphoné à l'utilisateur avant que l'e-mail soit accessible.
Secure Science Chief Scientist Lance James et ses collègues hackers Aviv Raff et Mike Bailey ont toutefois trouvé une porte dérobée dans une faille commune sur le Web, affirmant qu'ils avaient gagné le concours jeudi dernier. La déclaration de StrongWebmail a confirmé qu'ils avaient effectivement piraté le compte de courrier électronique de Berkovitz.
Dans le script inter-site, l'attaquant profite d'un bug sur le serveur Web pour exécuter un script Web malveillant dans le navigateur de la victime. Les hackers ont trouvé la faille du Web en une minute, a déclaré James, puis ont passé environ six heures à perfectionner leur attaque. Pas beaucoup de travail pour un paiement de 10 000 $.
StrongWebmail a déclaré qu'il n'était «pas dissuadé» par la conclusion rapide du concours et lancerait une nouvelle compétition une fois ce bug corrigé. "Nous ne nous reposerons pas tant que nous n'aurons pas créé l'e-mail le plus sécurisé au monde", a déclaré l'entreprise.
Le bug utilisé par les pirates était en fait le logiciel de messagerie Web Rackspace utilisé pour alimenter StrongWebmail. Système d'authentification Telesign que StrongWebmail a été créé pour promouvoir, Berkovitz a déclaré dans une interview par e-mail.
Le montant du prix et les règles du prochain concours doivent encore être déterminés, at-il ajouté. "Nous allons essayer de faire en sorte que le prochain concours porte sur la violation de la partie protégée par TeleSign", a-t-il déclaré. "L'e-mail que nous avons sous licence provient évidemment d'un fournisseur important et fiable, mais nous ne pouvons pas faire grand-chose pour nous assurer qu'ils n'ont pas de trous de leur côté."
Dans un e-mail envoyé à James et vu par le service de nouvelles d'IDG, la compagnie l'a complimenté sur ses qualifications de piratage. "Vous et votre équipe êtes assez impressionnants - quels sont vos tarifs de conseil?" les états de courrier électronique.
Le PDG de VMware a présenté mardi des changements pour l'entreprise, notamment un gel des recrutements et des plans pour des divisions de produits distinctes. Après avoir été nommé PDG de VMware, Paul Maritz a annoncé des changements au sein de l'entreprise, conçus pour l'aider à traverser la tourmente économique tout en passant d'une jeune entreprise à forte croissance à une société de logiciels mature.
Selon Maritz, un gel de l'embauche - ou «pause d'embauche» - a débuté au troisième trimestre et durera probablement jusqu'en 2009. Il divisera également VMware en unités commerciales distinctes pour gérer différents domaines de développement de produits et nommer de nouveaux cadres supérieurs.
Le PDG de RealNetworks, Rob Glaser, quitte le gouvernement fédéral tribunal à San Francisco mardi après avoir témoigné. Son entreprise est poursuivie par des sociétés cinématographiques qui prétendent que son logiciel RealDVD pourrait être utilisé pour contourner la protection contre la copie de DVD.Le PDG de RealNetworks Rob Glaser a pris position mardi dans la bataille juridique de son entreprise contre l'industrie cinématographique.
Le PDG de Real a fait valoir que RealDVD n'était "absolument pas" conçu pour faciliter la copie de masse généralisée des DVD. "Nous étions tous deux en train de concevoir notre produit et de commercialiser notre produit pour un usage légitime", a-t-il déclaré. "S'ils ne voulaient pas être des utilisateurs légitimes, il y avait tellement d'autres alternatives qu'ils pouvaient utiliser et notre produit serait un produit de qualité inférieure."
Peu de temps après que les régulateurs européens ont ouvert une enquête antitrust sur l'acquisition de Sun Microsystems par Oracle, le PDG de SAP, Léo Apotheker, a écrit au PDG d'Oracle, Larry Ellison, pour lui demander de discuter de la fusion. Selon un éditorial du Wall Street Journal publié jeudi,
, Le porte-parole de SAP, James Dever, a confirmé qu'Apotheker avait écrit à Ellison "cherchant un dialogue", mais a refusé de fournir une copie de la lettre.