Един от най-известните механизми (протоколи) за създаване на защитена и криптирана комуникация с уебсайтове е т.нар. TLS протокол.


2::Heartbleed
3::Атака „Drown“ („удавяне“)
1::Зевс

Това не е правилният отговор. Системната грешка „Heartbleed“ обаче е свързана със сигурността на OpenSSL (инструмент с отворен код, който служи за внедряване на протокола TLS). Това е грешка в програмирането, която за пръв път е съобщена на 7 април 2014 г. на уебсайта

http://heartbleed.com/, като тя позволява на всеки да чете паметта на системите, защитени с уязвимите версии на софтуера OpenSSL (затова този отговор може отчасти да се счита за правилен). Няколко популярни онлайн услуги бяха засегнати от Heartbleed; повече информация можете да намерите също така в кратката бележка на Агенцията на Европейския съюз за мрежова и информационна сигурност (ENISA): „Heartbleed — A wake-up call“ („Heartbleed — предупредителен сигнал“) на следния адрес: https://www.enisa.europa.eu/publications/flash-notes/flash-note-heartbleed-a-wake-up-call.

Понастоящем обаче сайтовете до голяма степен са се справили с Heartbleed.

 

Правилният отговор е атака „Drown“ („удавяне“). Тази атака дава възможност на „подслушвач“ да улови и декриптира комуникация между потребител и уебсайт, използващ протокола „https“, който се предполага, че е защитен, при случаите, в които използваният от сайта TLS сървър поддържа остарелия протокол SSLv2, който е предшественик на протокола TLS. Атаката „DROWN“ е силно напомняне, че морално остарялата криптография е опасна. Нито един TLS сървър не бива да използва която и да е версия на протокола SSL.

Допълнителна информация можете да намерите на следния адрес:

https://drownattack.com/

както и в следната информационна бележка на Агенцията на Европейския съюз за мрежова и информационна сигурност (ENISA):

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack

 

Това е правилният отговор. Атаката „Drown“ дава възможност на „подслушвач“ да улови и декриптира комуникация между потребител и уебсайт, използващ протокола „https“, който се предполага, че е защитен, при случаите, в които използваният от сайта TLS сървър поддържа остарелия протокол SSLv2, който е предшественик на протокола TLS. Атаката „DROWN“ е силно напомняне, че морално остарялата криптография е опасна. Нито един TLS сървър не бива да използва която и да е версия на протокола SSL.

Допълнителна информация можете да намерите на следния адрес:

https://drownattack.com/

както и в следната информационна бележка на Агенцията на Европейския съюз за мрежова и информационна сигурност (ENISA):

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack.

 

Имайте предвид също така, че системната грешка „Heartbleed“ е свързана със сигурността на OpenSSL (инструмент с отворен код, който служи за внедряване на протокола TLS). Тя е съобщена за пръв път през 2014 г. и засегна голям брой TLS сървъри. Днес сайтовете до голяма степен са се справили с тази системна грешка. Допълнителна информация можете да намерите в кратката бележка на Агенцията на Европейския съюз за мрежова и информационна сигурност (ENISA): „Heartbleed — A wake-up call“ („Heartbleed — предупредителен сигнал“) на следния адрес:

https://www.enisa.europa.eu/publications/flash-notes/flash-note-heartbleed-a-wake-up-call

 

Това не е правилният отговор. „Зевс“ е известен зловреден софтуер, който се опитва да краде поверителна информация от компрометирания компютър. Допълнителна информация можете да намерите на следния адрес: https://en.wikipedia.org/wiki/Zeus_(malware)

 

Правилният отговор е атака „Drown“ („удавяне“) Тази атака дава възможност на „подслушвач“ да улови и декриптира комуникация между потребител и уебсайт, използващ протокола „https“, който се предполага, че е защитен, при случаите, в които използваният от сайта TLS сървър поддържа остарелия протокол SSLv2, който е предшественик на протокола TLS. Атаката „DROWN“ е силно напомняне, че морално остарялата криптография е опасна. Нито един TLS сървър не бива да използва която и да е версия на протокола SSL.

Допълнителна информация можете да намерите на следния адрес:

https://drownattack.com/

както и в следната информационна бележка на Агенцията на Европейския съюз за мрежова и информационна сигурност (ENISA):

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack



Той се използва обичайно в уебсайтовете за електронна търговия или онлайн банкиране например, за да осигури защитена комуникация между потребителя и компютрите на услугата. Протоколът TLS по принцип присъства всеки път когато в даден уебсайт видите „https“ вместо „http“. 

През 2016 г. изследователи откриха уязвимост в защитата в няколко внедрявания на протокола TLS; според изследователите 33% от достижимите TLS сървъри в интернет са уязвими на тази атака.

Какво е наименованието, дадено на тази атака в протокола TLS?