Een van de bekendste mechanismen (of protocollen) om veilige, versleutelde informatie met websites uit te wisselen is het zogenaamde TLS-protocol.


2::Heartbleed
3::DROWN-aanval
1::Zeus

Dit is niet het juiste antwoord. De Heartbleed-fout heeft echter wel te maken met de beveiliging van OpenSSL (een open-sourceprogramma dat een implementatie is van TLS). Het is een programmeerfout die voor het eerst werd gemeld op 7 april 2014 op de website http://heartbleed.com/, waardoor iedereen het geheugen kon uitlezen van systemen die door de kwetsbare versies van de OpenSSL-software beveiligd werden (zodat dit antwoord als deels juist gezien kan worden). Verschillende populaire online-diensten werden door Heartbleed getroffen; zie voor meer informatie de ENISA Flash Note: Heartbleed - A wake-up call op de link: https://www.enisa.europa.eu/publications/flash-notes/flash-note-heartbleed-a-wake-up-call.

Tegenwoordig hebben de meeste sites echter al maatregelen genomen tegen Heartbleed.

 

Het juiste antwoord is de DROWN-aanval. Deze aanval biedt een eventuele luistervink de mogelijkheid om communicatie tussen een gebruiker en een https-website, die beveiligd hoort te zijn, toch te onderscheppen en ontsleutelen, indien de TLS-server van de site het verouderde SSLv2 ondersteunt, een voorloper van TLS. De DROWN aanval is een belangrijk signaal dat verouderde cryptografie gevaarlijk is. Een TLS-server zou geen enkele versie van SSL moeten gebruiken.

Zie voor meer informatie:

https://drownattack.com/

en de volgende info note van ENISA:

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack

 

Dit is het juiste antwoord. Deze aanval biedt een eventuele luistervink de mogelijkheid om communicatie tussen een gebruiker en een https-website, die beveiligd hoort te zijn, toch te onderscheppen en ontsleutelen, indien de TLS-server van de site het verouderde SSLv2 ondersteunt, een voorloper van TLS. De DROWN-aanval is een belangrijk signaal dat het riskant is om verouderde cryptografiesoftware te gebruiken. Een TLS-server zou geen enkele versie van SSL moeten gebruiken.

Zie voor meer informatie:

https://drownattack.com/

en de volgende info note van ENISA:

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack.

 

De Heartbleed-bug heeft echter wel te maken met de beveiliging van OpenSSL (een open-sourceprogramma dat een implementatie is van TLS). Hij werd in 2014 voor het eerst gemeld en trof een groot aantal TLS-servers. Tegenwoordig hebben de meeste sites echter al maatregelen genomen tegen Heartbleed. Zie voor meer informatie de ENISA Flash Note: Heartbleed - A wake-up call op de link https://www.enisa.europa.eu/publications/flash-notes/flash-note-heartbleed-a-wake-up-call.

 

Dit is niet het juiste antwoord. Zeus is bekende malware die vertrouwelijke informatie probeert te stelen van de besmette computer. Zie voor meer informatie de volgende link: https://en.wikipedia.org/wiki/Zeus_(malware)

 

Het juiste antwoord is de DROWN-aanval. Deze aanval biedt een eventuele luistervink de mogelijkheid om communicatie tussen een gebruiker en een https-website, die beveiligd hoort te zijn, toch te onderscheppen en ontsleutelen, indien de TLS-server van de site het verouderde SSLv2 ondersteunt, een voorloper van TLS. De DROWN-aanval is een belangrijk signaal dat het riskant is om verouderde cryptografiesoftware te gebruiken. Een TLS-server zou geen enkele versie van SSL moeten gebruiken.

Zie voor meer informatie:

https://drownattack.com/

en de volgende info note van ENISA:

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack

 


Het wordt veel gebruikt door bijvoorbeeld websites voor e-commerce of online bankieren, om beveiligde communicatie te verzorgen tussen de gebruiker en de computers die de dienst verlenen. TLS is doorgaans aanwezig wanneer u https in plaats van http ziet staan bij een website.

 

In 2016 ontdekten onderzoekers een veiligheidslek in verschillende implementaties van TLS; volgens de onderzoekers was 33% van de TLS-servers die via het internet benaderd konden worden, voor deze aanval vatbaar.

 

Hoe werd deze aanval op TLS genoemd?

We use cookies on our website to support technical features that enhance your user experience.
We also use analytics. To opt-out from analytics, click for more information.

I've read it More information