Üks kõige tuntumaid mehhanisme (protokolle) loomaks turvalist ja krüptitud teabevahetust veebisaitidega on nn TLS.


2::Heartbleed
3::DROWN-rünne
1::Zeus

See ei ole õige vastus. Samas on Heartbleedi programmiviga seotud OpenSSL-i turvalisusega (TLS-i rakendav avatud lähtekoodiga vahend). Tegemist on programmeerimisveaga, millest teatati esmakordselt 7. aprillil 2014 veebisaidil

http://heartbleed.com/, võimaldades kõigil juurde pääseda nende süsteemide mälule, mida kaitsevad OpenSSL-i tarkvara haavatavad versioonid (ning seega võib selle vastuse lugeda osaliselt õigeks). Heartbleed kahjustas mitmeid populaarseid internetipõhiseid teenuseid; lisateabe saamiseks vt ENISA kiirteade: Heartbleed – äratussignaal siit: https://www.enisa.europa.eu/publications/flash-notes/flash-note-heartbleed-a-wake-up-call.

Praeguseks aga on veebisaidid Heartbleediga laialdaselt tegelenud.

 

Õige vastus on DROWN-rünne. See rünne võimaldab jälitajal hõivata ja krüpteerida kasutaja ja https-i veebisaidi vaheline teabevahetus, mis peaks olema turvaline, eeldusel, et veebisaidil kasutatav TLS-i server toetab vananenud SSLv2 versiooni ehk TLS-i eelkäijat. DROWN-rünne on tõsine meeldetuletus selle kohta, et vananenud krüptograafia on ohtlik. Üheski TLS serveris ei tohi kasutada ühtegi SSL-i versiooni.

Lisateavet saate järgmiselt veebisaidilt:

https://drownattack.com/

samuti ENISA teatis:

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack

 

See on õige vastus. DROWN-rünne võimaldab jälitajal hõivata ja krüpteerida kasutaja ja https-i veebisaidi vaheline teabevahetus, mis peaks olema turvaline, eeldusel, et veebisaidil kasutatav TLS-i server toetab vananenud SSLv2 versiooni ehk TLS-i eelkäijat. DROWN-rünne on tõsine meeldetuletus selle kohta, et vananenud krüptograafia on ohtlik. Üheski TLS serveris ei tohi kasutada ühtegi SSL-i versiooni.

Lisateavet saate järgmiselt veebisaidilt:

https://drownattack.com/

samuti ENISA teatis:

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack.

 

Pange tähele ka seda, et Heartbleedi programmiviga on seotud OpenSSL-i turvalisusega (TLS-i rakendav avatud lähtekoodiga vahend). Sellest teatati esmakordselt 2014. aastal ning see kahjustas suurel hulgal TLS servereid. Praeguseks on veebisaidid selle programmiveaga laialdaselt tegelenud. Lisateabe saamiseks vt ENISA kiirteade: Heartbleed – äratussignaal siit:

https://www.enisa.europa.eu/publications/flash-notes/flash-note-heartbleed-a-wake-up-call

 

See ei ole õige vastus. Zeus on tuntud pahavara, millega üritatakse nakatatud arvutist varastada konfidentsiaalset teavet. Lisateavet leiate: https://en.wikipedia.org/wiki/Zeus_(malware)

 

Õige vastus on DROWN-rünne. See rünne võimaldab jälitajal hõivata ja krüpteerida kasutaja ja https-i veebisaidi vaheline teabevahetus, mis peaks olema turvaline, eeldusel, et veebisaidil kasutatav TLS-i server toetab vananenud SSLv2 versiooni ehk TLS-i eelkäijat. DROWN-rünne on tõsine meeldetuletus selle kohta, et vananenud krüptograafia on ohtlik. Üheski TLS serveris ei tohi kasutada ühtegi SSL-i versiooni.

Lisateavet saate järgmiselt veebisaidilt:

https://drownattack.com/

samuti ENISA teatis:

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack



Seda kasutatakse laialdaselt näiteks e-kaubanduse veebisaitidel või internetipõhises panganduses, võimaldamaks turvalist teabevahetust kasutaja ja teenindusarvutite vahel. TLS on üldjuhul olemas, kui näete veebisaidil, et „http“ asemel on kirjas „https“.

Aastal 2016 leiti uuringute käigus turvaauke mitmes TLS-i rakendusalas; uuringu kohaselt oli 33 % internetis juurdepääsetavatest TLS-i serveritest selle ründe suhtes haavatavad. 

Kuidas nimetatakse seda TLS-is toimunud rünnet?