Yksi tunnetuimmista käytännöistä suojatun ja salatun viestintäyhteyden luomiseksi verkkosivustoihin on ns. TLS-protokolla (Transport Layer Security).


2::Heartbleed
3::Drown-hyökkäys
1::Zeus

Tämä ei ole oikea vastaus. Heartbleed-virhe liittyy kuitenkin OpenSSL:n turvallisuuteen. (OpenSSL on avoimen lähdekoodin työkalu TLS-protokollan toteutukseen.) Kyseessä on ohjelmointivirhe, josta ilmoitettiin ensimmäisen kerran 7. huhtikuuta 2014

http://heartbleed.com/-verkkosivustolla. Virheen takia kuka tahansa pystyi lukemaan OpenSSL-ohjelman haavoittuvien versioiden muistia (tämä vastaus pitää siis osin paikkansa). Heartbleed saastutti useat suositut verkkopalvelut. Lisätietoa saa myös ENISA Flash Note -tiedotteesta Heartbleed - A wake-up call osoitteessa https://www.enisa.europa.eu/publications/flash-notes/flash-note-heartbleed-a-wake-up-call.

Nykyään Heartbleed-virhe on korjattu useimmilla sivustoilla.

 

Oikea vastaus on Drown-hyökkäys. Drown-hyökkäyksen avulla salakuuntelija voi kaapata käyttäjän ja turvallisena pidetyn, https-suojatun verkkosivuston välisen yhteyden ja purkaa sen salauksen. Tämä on mahdollista, jos sivuston käyttämä TLS-protokollalla suojattu palvelin tukee vanhentunutta SSLv2-protokollaa (TLS:ää edeltänyt versio). Drown-hyökkäys muistuttaa painokkaasti vanhentuneen salaustekniikan käyttöön liittyvistä vaaroista. TLS-protokollalla suojatuilla palvelimilla ei pitäisi käyttää lainkaan SSL-versioita.

Lisätietoa saa sivustolta

https://drownattack.com/

ja ENISAn tiedotteesta

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack

 

Tämä on oikea vastaus. Drown-hyökkäyksen avulla salakuuntelija voi kaapata käyttäjän ja turvallisena pidetyn, https-suojatun verkkosivuston välisen yhteyden ja purkaa sen salauksen. Tämä on mahdollista, jos sivuston käyttämä TLS-protokollalla suojattu palvelin tukee vanhentunutta SSLv2-protokollaa (TLS:ää edeltänyt versio). Drown-hyökkäys muistuttaa painokkaasti vanhentuneen salaustekniikan käyttöön liittyvistä vaaroista. TLS-protokollalla suojatuilla palvelimilla ei pitäisi käyttää lainkaan SSL-versioita.

Lisätietoa saa sivustolta

https://drownattack.com/

ja ENISAn tiedotteesta

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack.

 

Huomaa myös, että Heartbleed-virhe liittyy OpenSSL:n turvallisuuteen. (OpenSSL on avoimen lähdekoodin työkalu TLS-protokollan toteutukseen.) Virheestä ilmoitettiin ensimmäisen kerran vuonna 2014, ja se saastutti huomattavan määrän TLS-protokollalla suojattuja palvelimia. Nykyään tämä virhe on korjattu useimmilla sivustoilla. Ks. lisätietoa ENISAn Flash Note -tiedotteesta Heartbleed - A wake-up call osoitteessa

https://www.enisa.europa.eu/publications/flash-notes/flash-note-heartbleed-a-wake-up-call

 

Tämä ei ole oikea vastaus. Zeus on tunnettu haittaohjelma, jonka tarkoituksena on varastaa luottamuksellisia tietoja saastuneelta tietokoneelta. Ks. lisätietoja: https://en.wikipedia.org/wiki/Zeus_(malware)

 

Oikea vastaus on Drown-hyökkäys. Drown-hyökkäyksen avulla salakuuntelija voi kaapata käyttäjän ja turvallisena pidetyn, https-suojatun verkkosivuston välisen yhteyden ja purkaa sen salauksen. Tämä on mahdollista, jos sivuston käyttämä TLS-protokollalla suojattu palvelin tukee vanhentunutta SSLv2-protokollaa (TLS:ää edeltävä versio). Drown-hyökkäys muistuttaa painokkaasti vanhentuneen salaustekniikan käyttöön liittyvistä vaaroista. TLS-protokollalla suojatuilla palvelimilla ei pitäisi käyttää lainkaan SSL-versioita.

Lisätietoa saa sivustolta

https://drownattack.com/

ja ENISAn tiedotteesta

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack



Sitä käytetään yleisesti verkkokauppasivustoilla tai verkkopankeissa turvallisen viestintäyhteyden muodostamiseksi käyttäjän ja palvelimien välillä. Verkkosivustolla käytetty protokolla ilmenee verkko-osoitteesta, joka TLS:n tapauksessa on yleensä aina https-alkuinen (ei http). 

Vuonna 2016 tutkijat löysivät turvallisuuspuutteen useista TLS-protokollan toteutuksista. Heidän mukaansa tämä puute altisti 33 prosenttia TLS-protokollaa käyttävistä internetpalvelimista hyökkäyksille. 

Minkä niminen oli tämä TLS-protokollaan kohdistuva hyökkäys?