Vienas iš žinomiausių mechanizmų (protokolų) saugiam ir šifruotam ryšiui su svetainėmis sukurti yra vadinamasis TLS protokolas.


2::„Heartbleed“
3::„Drown“ ataka
1::„Zeus“

Tai nėra teisingas atsakymas. Tačiau klaida „Heartbleed“ yra susijusi su protokolu „OpenSSL“ (atviroji priemonė, kuria įgyvendinamas TLS protokolas). Tai programavimo klaida, apie kurią pirmą kartą pranešta 2014 m. balandžio 7 d. svetainėje

http://heartbleed.com/ ir dėl kurios bet kas gali perskaityti sistemų, apsaugotų pažeidžiama atvirojo SSL protokolo programinės įrangos versija, atmintį (todėl šis atsakymas gali būti laikomas iš dalies teisingu). „Heartbleed“ paveikė kelias populiarias internetines paslaugas; daugiau informacijos rasite ENISA trumpajame pranešime „Heartbleed“. Įspėjimas“ adresu: https://www.enisa.europa.eu/publications/flash-notes/flash-note-heartbleed-a-wake-up-call

Tačiau šiuo metu svetainės iš esmės jau išsprendė „Heartbleed“ problemą.

 

Teisingas atsakymas yra „Drown“ ataka. Ši ataka leidžia neteisėto informacijos perėmimo programai užfiksuoti ir iššifruoti vartotojo ir „https“ svetainės ryšį, kuris šiaip turėtų būti saugus, jei svetainės naudojamas TLS protokolo serveris palaiko nebenaudojamą SSLv2 protokolą, kuris yra TLS protokolo pirmtakas.  DROWN ataka yra tvirtas priminimas, kad pasenęs šifravimas yra pavojingas. Jokiame TLS protokolo serveryje neturėtų būti naudojamas jokios versijos SSL protokolas.

Daugiau informacijos rasite adresu:

 https://drownattack.com/

ir ENISA informaciniame pranešime:

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack.

 

Tai teisingas atsakymas. „Drown“ ataka leidžia neteisėto informacijos perėmimo programai užfiksuoti ir iššifruoti vartotojo ir „https“ svetainės ryšį, kuris turėtų būti saugus, tuo atveju, jei svetainės naudojamas TLS protokolo serveris palaiko nebenaudojamą SSLv2 protokolą, kuris yra TLS protokolo pirmtakas.  DROWN ataka yra tvirtas priminimas, kad pasenęs šifravimas yra pavojingas. Jokiame TLS protokolo serveryje neturėtų būti naudojamas jokios versijos SSL protokolas.

Daugiau informacijos rasite adresu: 

https://drownattack.com/

ir ENISA informaciniame pranešime:

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack.

 

Taip pat atkreipkite dėmesį, kad su protokolu „OpenSSL“ (atviroji priemonė, kuria įgyvendinamas TLS protokolas) yra susijusi ir klaida „Heartbleed“.  Apie šią klaidą pirmą kartą pranešta 2014 m., ji paveikė daugybę TLS protokolo serverių. Šiuo metu svetainės iš esmės jau išsprendė šios klaidos problemą. Daugiau informacijos rasite ENISA trumpajame pranešime „Heartbleed“. Įspėjimas“ adresu:

https://www.enisa.europa.eu/publications/flash-notes/flash-note-heartbleed-a-wake-up-call.

 

Tai nėra teisingas atsakymas.  „Zeus“ yra žinoma kenkimo programinė įranga, bandanti pavogti iš užkrėstų kompiuterių neskelbtiną informaciją.   Daugiau informacijos rasite adresu: https://en.wikipedia.org/wiki/Zeus_(malware).

 

Teisingas atsakymas yra „Drown“ ataka. Ši ataka leidžia neteisėto informacijos perėmimo programai užfiksuoti ir iššifruoti vartotojo ir „https“ svetainės ryšį, kuris šiaip turėtų būti saugus, jei svetainės naudojamas TLS protokolo serveris palaiko nebenaudojamą SSLv2 protokolą, kuris yra TLS protokolo pirmtakas.  DROWN ataka yra tvirtas priminimas, kad pasenęs šifravimas yra pavojingas. Jokiame TLS protokolo serveryje neturėtų būti naudojamas jokios versijos SSL protokolas.

Daugiau informacijos rasite adresu:

 https://drownattack.com/

ir ENISA informaciniame pranešime:

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack.

 


Jis paprastai naudojamas, pavyzdžiui, el. prekybos svetainėse arba elektroninėje bankininkystėje, saugiam ryšiui tarp vartotojo ir paslaugos kompiuterių užtikrinti. TLS protokolas paprastai naudojamas visur, kur tik adrese matote „https“ vietoj „http“.

 

2016 m. tyrėjai keliuose TLS protokolo įgyvendinimo variantuose aptiko saugumo pažeidžiamumą; pasak tyrėjų, dėl šios atakos galėjo tapti pažeidžiami 33 % internetu pasiekiamų TLS protokolo serverių.

 

Kaip buvo pavadintos šios TLS protokolo atakos?