Jeden z nejproslulejších mechanizmů (protokolu) k vytvoření bezpečné a šifrované komunikace s internetovými stránkami je tak zvaná bezpečnost transportní vrstvy – Transport Layer Security – TLS.


2::Škodlivý software Heartbleed
3::Útok Drown
1::Zeus

Není to správná odpověď. Bug heartbleed se však týká bezpečnosti otevřené zabezpečovací soketové vrstvy OpenSSL (secure socket layer). Je to chyba programování ohlášená po prvé dne 7. dubna 2014 na internetové stránce

http://heartbleed.com/, která každému umožňuje číst paměť systémů chráněných zranitelnými verzemi softwaru OpenSSL (takže tuto odpověď lze považovat za částečně správnou). Škodlivým softwarem Heartbleed bylo postiženo několik populárních služeb on-line; více informací viz také v bleskové zprávě ENISA: „Heartbleed – buzení telefonem“ na: https://www.enisa.europa.eu/publications/flash-notes/flash-note-heartbleed-a-wake-up-call.

V současné době však stránky do značné míry řešili Heartbleed.

 

Správná odpověď je útok Drown. Tento útok umožňuje zachytit odposlech a dešifrovat komunikaci mezi uživatelem a internetovou stránkou https, o které se předpokládá, že je bezpečná, v případě, že server TLS použitý stránkou podporuje zastaralý SSLv2, což je předchůdce TLS. Útok DROWN je naléhavé připomenutí, že zastaralé šifrování je nebezpečné. Žádný server TLS by neměl používat nějakou verzi SSL.

Více informací viz na:

https://drownattack.com/

a také v informační zprávě ENISA:

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack

 

Je to správná odpověď. Útok Drown umožňuje zachytit odposlech a dešifrovat komunikaci mezi uživatelem a internetovou stránkou https, o které se předpokládá, že je bezpečná, v případě že server TLS použitý stránkou podporuje zastaralý SSLv2, což je předchůdce TLS. Útok DROWN je naléhavé připomenutí, že zastaralé šifrování je nebezpečné. Žádný server TLS by neměl používat nějakou verzi SSL.

Více informací viz na:

https://drownattack.com/

a také v informační zprávě ENISA:

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack.

 

Vezměte rovněž v úvahu, že bug Heartbleed se týká bezpečnosti otevřené zabezpečovací soketové vrstvy OpenSSL (nástroj otevřeného zdroje používající TLS). Po prvé byl ohlášen v roce 2014 a postihl velký počet serverů TLS. V současné době stránky ve velkém měřítku řešily tohoto bugu. Více informací viz blesková zpráva ENISA: „Heartbleed – buzení telefonem“ na:

https://www.enisa.europa.eu/publications/flash-notes/flash-note-heartbleed-a-wake-up-call.

 

Není to správná odpověď. Zeus je známý škodlivý software, který se snaží ukrást důvěrné údaje z ohroženého počítače. Více informací viz na https://www.enisa.europa.eu/topics/national-csirt-network/glossary/phishing-spear-phishing https://en.wikipedia.org/wiki/Zeus_(malware)

 

Správná odpověď je útok Drown. Tento útok umožňuje zachytit odposlech a dešifrovat komunikaci mezi uživatelem a internetovou stránkou https, o které se předpokládá, že je bezpečná, v případě, že server TLS použitý stránkou podporuje zastaralý SSLv2, což je předchůdce TLS. Útok DROWN je naléhavé připomenutí, že zastaralé šifrování je nebezpečné. Žádný server TLS by neměl používat nějakou verzi SSL.

Více informací viz na:

https://drownattack.com/

a také v informační zprávě ENISA:

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack



Obecně se používá například na internetových stránkách elektronického obchodování e-commerce nebo v bankovnictví on-line, aby se umožnila bezpečná komunikace mezi uživatelem a počítači služeb. Protokol TLS je obecně přítomen vždy, když na internetové stránce vidíte https namísto http.

Výzkumní pracovníci zjistili v roce 2016 zranitelnost bezpečnosti v několika případech uplatňování TLS; podle výzkumných pracovníků bylo 33 % dosažitelných internetových serverů TLS zranitelných těmito útoky. 

Jaký je název, který byl přidělen tomuto útoku v TLS?