Az úgynevezett TLS a weboldalakkal folytatott biztonságos és titkosított kommunikációt lehetővé tevő egyik legismertebb mechanizmus (protokoll).


2::Heartbleed
3::DROWN-támadás
1::Zeus

Nem ez a helyes válasz. A Heartbleed nevű biztonsági hibának az OpenSSL (egy nyílt forráskódú, a TLS-t implementáló szoftverprogram) biztonságosságához van köze. Ez egy programozási hiba, amelyet először 2014. április 7-én jelentettek be a

http://heartbleed.com/ weboldalon, és amely lehetővé teszi, hogy bárki elolvassa az OpenSSL szoftverprogram sérülékeny verzió által védett rendszerek memóriáját (így a válasz részben helyesnek tekinthető). A Heartbleed számos népszerű online szolgáltatást érintett. További információkért lásd az ENISA gyorshírét: Heartbleed – A wake-up call [Heartbleed – figyelmeztető jelzés], mely itt érhető el:https://www.enisa.europa.eu/publications/flash-notes/flash-note-heartbleed-a-wake-up-call.

Mára azonban a weboldalak nagy része sikerrel kezelte a Heartbleedet.

 

A helyes válasz a DROWN-támadás. E támadás lehetővé teszi egy lehallgató számára, hogy rögzítse és visszafejtse egy felhasználó és a https honlap közötti kommunikációt (amely elvileg pedig biztonságos), abban az esetben, ha a webhely által használt TLS-szerver az elavult SSLv2-protokollt, a TLS elődjét támogatja. A DROWN-támadás határozott figyelmeztetés az elavult kriptográfia veszélyeire. Egyetlen TLS-szervernek sem kellene az SSL bármely változatát alkalmaznia.

További információkért lásd:

https://drownattack.com/

valamint az ENISA tájékoztatóját:

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack

 

Ez a helyes válasz. Egy DROWN-támadás lehetővé teszi egy lehallgató számára, hogy rögzítse és visszafejtse egy felhasználó és a https honlap közötti kommunikációt (amely elvileg pedig biztonságos), abban az esetben, ha a webhely által használt TLS-szerver az elavult SSLv2-protokollt, a TLS elődjét támogatja. A DROWN-támadás határozott figyelmeztetés az elavult kriptográfia veszélyeire. Egyetlen TLS-szervernek sem kellene az SSL bármely változatát alkalmaznia.

További információkért lásd:

https://drownattack.com/

valamint az ENISA tájékoztatóját:

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack.

 

Megjegyzendő, hogy a Heartbleed nevű biztonsági hibának az OpenSSL (egy nyílt forráskódú, a TLS-t implementáló szoftverprogram) biztonságosságához van köze. Először 2014-ben került bejelentésre és nagyszámú TLS-szerver érintett volt benne. Mára azonban a weboldalak nagy része sikerrel kezelte ezt a biztonsági hibát. További információkért lásd az ENISA gyorshírét: Heartbleed – A wake-up call [Heartbleed – figyelmeztető jelzés], mely itt érhető el:

https://www.enisa.europa.eu/publications/flash-notes/flash-note-heartbleed-a-wake-up-call

 

Nem ez a helyes válasz. A Zeus egy ismert rosszindulatú program (malware), amely megpróbál bizalmas információkat ellopni a fertőzött számítógépről. További információkért lásd: https://en.wikipedia.org/wiki/Zeus_(malware)

 

A helyes válasz a DROWN-támadás. E támadás lehetővé teszi egy lehallgató számára, hogy rögzítse és visszafejtse egy felhasználó és a https honlap közötti kommunikációt (amely elvileg pedig biztonságos), abban az esetben, ha a webhely által használt TLS-szerver az elavult SSLv2-protokollt, a TLS elődjét támogatja. A DROWN-támadás határozott figyelmeztetés az elavult kriptográfia veszélyeire. Egyetlen TLS-szervernek sem kellene az SSL bármely változatát alkalmaznia.

További információkért lásd:

https://drownattack.com/

valamint az ENISA tájékoztatóját:

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack



Gyakran használják ezt például az e-kereskedelemmel foglalkozó weboldalak vagy internetbankok, lehetővé téve a felhasználó és a kiszolgáló számítógépek közötti biztonságos kommunikációt. A TLS általában jelen van, amikor csak a http helyett megjelenik a https egy weboldal URL-jében.

2016-ban kutatók találtak egy biztonsági rést a TLS számos implementációjánál. A kutatók szerint az interneten elérhető TLS-szerverek 33%-a ki volt téve ilyen támadásnak. 

Milyen nevet adtak ennek a TLS-ben lezajlott támadásnak?