En af de mest berømte mekanismer (protokoller) til at skabe sikker og krypteret kommunikation med websteder er den såkaldte TLS.


2::Heartbleed
3::DROWN-angrebet
1::Zeus

Det er ikke det rigtige svar. Heartbleed-programfejlen vedrører sikkerhed i OpenSSL (et open source-værktøj, der implementerer TLS). Det er en programmeringsfejl, der første gang blev bekendtgjort den 7. april 2014 på webstedet

http://heartbleed.com/, og som gør det muligt for alle at læse hukommelsen i de systemer, der er beskyttet af de sårbare versioner af OpenSSL-softwaren (og derfor kan dette svar betragtes som delvist korrekt). Flere populære internettjenester blev berørt af Heartbleed; se for flere oplysninger også ENISA Flash Note: Heartbleed - A wake-up call her: https://www.enisa.europa.eu/publications/flash-notes/flash-note-heartbleed-a-wake-up-call.

I dag har webstederne generelt løst problemet med Heartbleed.

 

Det rigtige svar er DROWN-angrebet. Dette angreb gør det muligt for aflytningsudstyr at opfange og dekryptere kommunikation mellem en bruger og et https-websted, som formodes at være sikkert, hvis den TLS-server, webstedet anvender, understøtter den forældede SSLv2, som er en forløber for TLS. DROWN-angrebet er en stærk påmindelse om, at forældet kryptografi er farligt. Ingen TLS-server bør anvende nogen version af SSL.

Se for flere oplysninger:

https://drownattack.com/

samt ENISA-informationsnoten:

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack

 

Det er det rigtige svar. DROWN-angrebet gør det muligt for aflytningsudstyr at opfange og dekryptere kommunikation mellem en bruger og et https-websted, som formodes at være sikkert, hvis den TLS-server, webstedet anvender, understøtter den forældede SSLv2, som er en forløber for TLS. DROWN-angrebet er en stærk påmindelse om, at forældet kryptografi er farligt. Ingen TLS-server bør anvende nogen version af SSL.

Se for flere oplysninger:

https://drownattack.com/

samt ENISA-informationsnoten:

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack.

 

Det bør bemærkes, at Heartbleed-programfejlen vedrører sikkerhed i OpenSSL (et open source-værktøj, der implementerer TLS). Den blev første gang bekendtgjort i 2014 og berørte et stort antal TLS-servere. I dag har webstederne generelt løst problemet med denne programfejl. Se for yderligere oplysninger ENISA Flash Note: Heartbleed - A wake-up call her:

https://www.enisa.europa.eu/publications/flash-notes/flash-note-heartbleed-a-wake-up-call

 

Det er ikke det rigtige svar. Zeus er en kendt skadelig software, der forsøger at stjæle fortrolige oplysninger fra den angrebne computer. Yderligere oplysninger findes her: https://en.wikipedia.org/wiki/Zeus_(malware)

 

Det rigtige svar er DROWN-angrebet. Dette angreb gør det muligt for aflytningsudstyr at opfange og dekryptere kommunikation mellem en bruger og et https-websted, som formodes at være sikkert, hvis den TLS-server, webstedet anvender, understøtter den forældede SSLv2, som er en forløber for TLS. DROWN-angrebet er en stærk påmindelse om, at forældet kryptografi er farligt. Ingen TLS-server bør anvende nogen version af SSL.

Se for flere oplysninger:

https://drownattack.com/

samt ENISA-informationsnoten:

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack



Den anvendes typisk f.eks. på e-handelswebsteder eller til netbanker for at sikre sikker kommunikation mellem brugeren og tjenestecomputerne. TLS er normalt til stede, når du ser https i stedet for http på et websted. 

I 2016 fandt forskere en sikkerhedsbrist i flere implementeringer af TLS; ifølge forskerne var 33 % af de af internettets TLS-servere, som kan nås, sårbare over for dette angreb. 

Hvad kaldte man dette angreb i TLS?