Viens no pazīstamākajiem mehānismiem (protokoliem), ko izmanto drošu un šifrētu sakaru izveidei ar tīmekļa vietnēm, ir tā saucamais TLS.


2::Heartbleed
3::Drown uzbrukums
1::Zeus

Šī nav pareizā atbilde. Tomēr Heartbleed programmēšanas kļūdai ir saistība ar OpenSSL (atvērtā pirmkoda rīku, kas īsteno TLS). Šī programmēšanas kļūda, kas pirmo reizi tika paziņota 2014. gada 7. aprīlī tīmekļa vietnē

http://heartbleed.com/, ļauj ikvienam izlasīt ar OpenSSL ievainojamajām versijām aizsargāto sistēmu atmiņu (tādējādi šo atbildi var uzskatīt par daļēji pareizu). Vairākus populārus tiešsaistes pakalpojumu sniedzējus bija skārusi Heartbleed kļūda; plašāka informācija ir atrodama arī Eiropas Savienības Tīklu un informācijas drošības aģentūras (ENISA) ziņojumā: Heartbleed - A wake-up call šeit: https://www.enisa.europa.eu/publications/flash-notes/flash-note-heartbleed-a-wake-up-call.

Tomēr šodien tīmekļa vietnes kopumā ir atrisinājušas Heartbleed problēmu.

 

Pareizā atbilde ir Drown uzbrukums. Šis uzbrukums ļauj datu pārtvērējam pārtvert un atšifrēt sakarus, kas notiek starp lietotāju un par drošu uzskatīto https tīmekļa vietni, ja TLS serveris, ko izmanto tīmekļa vietne, atbalsta novecojušo SSLv2, kas ir TLS priekšgājējs. DROWN uzbrukums ir spēcīgs atgādinājums, ka novecojusi kriptogrāfija ir bīstama. TLS serveriem nevajadzētu izmantot nevienu SSL versiju.

Plašāka informācija sniegta:

https://drownattack.com/ ,

kā arī ENISA informatīvajā paziņojumā:

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack.

 

Šī ir pareizā atbilde. Drown uzbrukums ļauj datu pārtvērējam pārtvert un atšifrēt sakarus, kas notiek starp lietotāju un par drošu uzskatīto https tīmekļa vietni, ja TLS serveris, ko izmanto tīmekļa vietne, atbalsta novecojušo SSLv2, kas ir TLS priekšgājējs. DROWN uzbrukums ir spēcīgs atgādinājums, ka novecojusi kriptogrāfija ir bīstama. TLS serveriem nevajadzētu izmantot nevienu SSL versiju.

Plašāka informācija sniegta:

https://drownattack.com/ ,

kā arī ENISA informatīvajā paziņojumā:

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack.

 

Jāatzīmē arī tas, ka Heartbleed programmēšanas kļūdai ir saistība ar OpenSSL (atvērtā pirmkoda rīku, kas īsteno TLS). Pirmo reizi tā tika paziņota 2014. gadā un bija skārusi lielu skaitu TLS serveru. Šodien tīmekļa vietnes pārsvarā ir novērsušas šo kļūdu. Plašāka informācija ir atrodama Eiropas Savienības Tīklu un informācijas drošības aģentūras (ENISA) ziņojumā: Heartbleed - A wake-up call šeit:

https://www.enisa.europa.eu/publications/flash-notes/flash-note-heartbleed-a-wake-up-call

 

Šī nav pareizā atbilde. Zeus ir labi zināma ļaunprogrammatūra, kas cenšas nozagt konfidenciālu informāciju no inficētā datora. Sīkāka informācija ir pieejama šeit: https://en.wikipedia.org/wiki/Zeus_(malware).

 

Pareizā atbilde ir Drown uzbrukums. Šis uzbrukums ļauj datu pārtvērējam pārtvert un atšifrēt sakarus, kas notiek starp lietotāju un par drošu uzskatīto https tīmekļa vietni, ja TLS serveris, ko izmanto tīmekļa vietne, atbalsta novecojušo SSLv2, kas ir TLS priekšgājējs. DROWN uzbrukums ir spēcīgs atgādinājums, ka novecojusi kriptogrāfija ir bīstama. TLS serveriem nevajadzētu izmantot nevienu SSL versiju.

Plašāka informācija sniegta:

https://drownattack.com/ ,

kā arī ENISA informatīvajā paziņojumā:

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack.

 


To parasti izmanto, piemēram, e-komercijas tīmekļa vietnes vai internetbankas, lai nodrošinātu drošus sakarus starp lietotāja un pakalpojumu sniedzēja datoriem. Ja tīmekļa vietnes adresē jūs redzat https, nevis http, tas nozīmē, ka kopumā ir izmantots TLS.

 

2016. gadā pētnieki vairākās vietās, kur izmantots TLS, konstatēja drošības ievainojamību; saskaņā ar pētnieku datiem 33 % internetā sasniedzamo TLS serveru bija neaizsargāti pret šo uzbrukumu.

 

Kāds nosaukums ir dots šim TLS serveru uzbrukumam?