Ένας από τους γνωστότερους μηχανισμούς (πρωτόκολλα) για τη δημιουργία ασφαλούς και κρυπτογραφημένης επικοινωνίας με ιστότοπους είναι το πρωτόκολλο ασφάλειας επιπέδου μεταφοράς, το αποκαλούμενο TLS.


2::Heartbleed
3::Επίθεση Drown
1::Zeus

Λάθος απάντηση. Ωστόσο, το σφάλμα Heartbleed σχετίζεται με την ασφάλεια του OpenSSL (ένα εργαλείο ανοιχτού κώδικα που εφαρμόζει το TLS). Πρόκειται για ένα σφάλμα προγραμματισμού, το οποίο ανακοινώθηκε για πρώτη φορά στις 7 Απριλίου 2014 στον ιστότοπο

http://heartbleed.com/ και επέτρεπε σε οποιονδήποτε να διαβάσει τη μνήμη των συστημάτων που προστατεύονται από τις ευπαθείς εκδόσεις του λογισμικού OpenSSL (και, ως εκ τούτου, αυτή η απάντηση μπορεί να θεωρηθεί εν μέρει σωστή). Πολλές δημοφιλείς διαδικτυακές υπηρεσίες επλήγησαν από το σφάλμα Heartbleed· για περισσότερες πληροφορίες, βλέπε επίσης το έκτακτο σημείωμα του ENISA για την ενημέρωση σχετικά με το σφάλμα Heartbleed στην ακόλουθη διεύθυνση: https://www.enisa.europa.eu/publications/flash-notes/flash-note-heartbleed-a-wake-up-call.

Ωστόσο, σήμερα, οι ιστότοποι έχουν αντιμετωπίσει το σφάλμα Heartbleed σε μεγάλο βαθμό.

 

Η σωστή απάντηση είναι η επίθεση Drown. Αυτού του είδους η επίθεση επιτρέπει σε ένα λογισμικό υποκλοπής να καταγράφει και να αποκρυπτογραφεί την επικοινωνία μεταξύ ενός χρήστη και ενός ιστότοπου https που υποτίθεται ότι είναι ασφαλής, σε περίπτωση που ο διακομιστής TLS που χρησιμοποιεί ο ιστότοπος υποστηρίζει το παρωχημένο πρωτόκολλο SSLv2, το οποίο αποτελεί πρόδρομο του TLS. Η επίθεση DROWN αποτελεί μια ισχυρή υπενθύμιση των κινδύνων που ενέχουν οι παρωχημένες μέθοδοι κρυπτογράφησης. Κανένας διακομιστής TLS δεν θα πρέπει να χρησιμοποιεί οποιαδήποτε έκδοση SSL.

Για περισσότερες πληροφορίες, βλέπε:

https://drownattack.com/

καθώς και το ενημερωτικό σημείωμα του ENISA:

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack

 

Αυτή είναι η σωστή απάντηση. Η επίθεση Drown επιτρέπει σε ένα λογισμικό υποκλοπής να καταγράφει και να αποκρυπτογραφεί την επικοινωνία μεταξύ ενός χρήστη και ενός ιστότοπου https που υποτίθεται ότι είναι ασφαλής, σε περίπτωση που ο διακομιστής TLS που χρησιμοποιεί ο ιστότοπος υποστηρίζει το παρωχημένο πρωτόκολλο SSLv2, το οποίο αποτελεί πρόδρομο του TLS. Η επίθεση DROWN αποτελεί μια ισχυρή υπενθύμιση των κινδύνων που ενέχουν οι παρωχημένες μέθοδοι κρυπτογράφησης. Κανένας διακομιστής TLS δεν θα πρέπει να χρησιμοποιεί οποιαδήποτε έκδοση SSL.

Για περισσότερες πληροφορίες, βλέπε:

https://drownattack.com/

καθώς και το ενημερωτικό σημείωμα του ENISA:

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack.

 

Επισημαίνεται ακόμη ότι το σφάλμα Heartbleed σχετίζεται με την ασφάλεια του OpenSSL (ένα εργαλείο ανοιχτού κώδικα που εφαρμόζει το TLS). Ανακοινώθηκε για πρώτη φορά το 2014 και έπληξε μεγάλο αριθμό διακομιστών TLS. Σήμερα, οι ιστότοποι έχουν αντιμετωπίσει το εν λόγω σφάλμα σε μεγάλο βαθμό. Για περισσότερες πληροφορίες, βλέπε επίσης το έκτακτο σημείωμα του ENISA για την ενημέρωση σχετικά με το σφάλμα Heartbleed στην ακόλουθη διεύθυνση:

https://www.enisa.europa.eu/publications/flash-notes/flash-note-heartbleed-a-wake-up-call

 

Λάθος απάντηση. Το Zeus είναι ένα γνωστό κακόβουλο λογισμικό που προσπαθεί να υποκλέψει εμπιστευτικές πληροφορίες από τον μολυσμένο υπολογιστή. Για περισσότερες πληροφορίες, βλέπε την ακόλουθη διεύθυνση: https://en.wikipedia.org/wiki/Zeus_(malware)

 

Η σωστή απάντηση είναι η επίθεση Drown. Αυτού του είδους η επίθεση επιτρέπει σε ένα λογισμικό υποκλοπής να καταγράφει και να αποκρυπτογραφεί την επικοινωνία μεταξύ ενός χρήστη και ενός ιστότοπου https που υποτίθεται ότι είναι ασφαλής, σε περίπτωση που ο διακομιστής TLS που χρησιμοποιεί ο ιστότοπος υποστηρίζει το παρωχημένο πρωτόκολλο SSLv2, που αποτελεί πρόδρομο του TLS. Η επίθεση DROWN αποτελεί μια ισχυρή υπενθύμιση των κινδύνων που ενέχουν οι παρωχημένες μέθοδοι κρυπτογράφησης. Κανένας διακομιστής TLS δεν θα πρέπει να χρησιμοποιεί οποιαδήποτε έκδοση SSL.

Για περισσότερες πληροφορίες, βλέπε:

https://drownattack.com/

καθώς και το ενημερωτικό σημείωμα του ENISA:

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack



Χρησιμοποιείται συνήθως, για παράδειγμα, σε ιστότοπους ηλεκτρονικού εμπορίου ή ηλεκτρονικής τραπεζικής μέσω διαδικτύου, προκειμένου να καθιστά δυνατή την ασφαλή επικοινωνία μεταξύ του χρήστη και των υπολογιστών της υπηρεσίας. Γενικά, όταν στη διεύθυνση ενός ιστότοπου βλέπετε «https» αντί «http», αυτό αποτελεί ένδειξη της παρουσίας του TLS. 

Το 2016 εντοπίστηκε από ερευνητές ένα κενό ασφάλειας σε διάφορες περιπτώσεις εφαρμογής του TLS· σύμφωνα με τους ερευνητές, το 33 % των προσβάσιμων διακομιστών TLS ήταν ευάλωτοι στην εν λόγω επίθεση. 

Ποια είναι η ονομασία που δόθηκε στη συγκεκριμένη επίθεση στο TLS;