Een van de bekendste mechanismen (of protocollen) om veilige, versleutelde informatie met websites uit te wisselen is het zogenaamde TLS-protocol.


2::Heartbleed
3::DROWN-aanval
1::Zeus

Dit is niet het juiste antwoord. De Heartbleed-fout heeft echter wel te maken met de beveiliging van OpenSSL (een open-sourceprogramma dat een implementatie is van TLS). Het is een programmeerfout die voor het eerst werd gemeld op 7 april 2014 op de website http://heartbleed.com/, waardoor iedereen het geheugen kon uitlezen van systemen die door de kwetsbare versies van de OpenSSL-software beveiligd werden (zodat dit antwoord als deels juist gezien kan worden). Verschillende populaire online-diensten werden door Heartbleed getroffen; zie voor meer informatie de ENISA Flash Note: Heartbleed - A wake-up call op de link: https://www.enisa.europa.eu/publications/flash-notes/flash-note-heartbleed-a-wake-up-call.

Tegenwoordig hebben de meeste sites echter al maatregelen genomen tegen Heartbleed.

 

Het juiste antwoord is de DROWN-aanval. Deze aanval biedt een eventuele luistervink de mogelijkheid om communicatie tussen een gebruiker en een https-website, die beveiligd hoort te zijn, toch te onderscheppen en ontsleutelen, indien de TLS-server van de site het verouderde SSLv2 ondersteunt, een voorloper van TLS. De DROWN aanval is een belangrijk signaal dat verouderde cryptografie gevaarlijk is. Een TLS-server zou geen enkele versie van SSL moeten gebruiken.

Zie voor meer informatie:

https://drownattack.com/

en de volgende info note van ENISA:

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack

 

Dit is het juiste antwoord. Deze aanval biedt een eventuele luistervink de mogelijkheid om communicatie tussen een gebruiker en een https-website, die beveiligd hoort te zijn, toch te onderscheppen en ontsleutelen, indien de TLS-server van de site het verouderde SSLv2 ondersteunt, een voorloper van TLS. De DROWN-aanval is een belangrijk signaal dat het riskant is om verouderde cryptografiesoftware te gebruiken. Een TLS-server zou geen enkele versie van SSL moeten gebruiken.

Zie voor meer informatie:

https://drownattack.com/

en de volgende info note van ENISA:

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack.

 

De Heartbleed-bug heeft echter wel te maken met de beveiliging van OpenSSL (een open-sourceprogramma dat een implementatie is van TLS). Hij werd in 2014 voor het eerst gemeld en trof een groot aantal TLS-servers. Tegenwoordig hebben de meeste sites echter al maatregelen genomen tegen Heartbleed. Zie voor meer informatie de ENISA Flash Note: Heartbleed - A wake-up call op de link https://www.enisa.europa.eu/publications/flash-notes/flash-note-heartbleed-a-wake-up-call.

 

Dit is niet het juiste antwoord. Zeus is bekende malware die vertrouwelijke informatie probeert te stelen van de besmette computer. Zie voor meer informatie de volgende link: https://en.wikipedia.org/wiki/Zeus_(malware)

 

Het juiste antwoord is de DROWN-aanval. Deze aanval biedt een eventuele luistervink de mogelijkheid om communicatie tussen een gebruiker en een https-website, die beveiligd hoort te zijn, toch te onderscheppen en ontsleutelen, indien de TLS-server van de site het verouderde SSLv2 ondersteunt, een voorloper van TLS. De DROWN-aanval is een belangrijk signaal dat het riskant is om verouderde cryptografiesoftware te gebruiken. Een TLS-server zou geen enkele versie van SSL moeten gebruiken.

Zie voor meer informatie:

https://drownattack.com/

en de volgende info note van ENISA:

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack

 


Het wordt veel gebruikt door bijvoorbeeld websites voor e-commerce of online bankieren, om beveiligde communicatie te verzorgen tussen de gebruiker en de computers die de dienst verlenen. TLS is doorgaans aanwezig wanneer u https in plaats van http ziet staan bij een website.

 

In 2016 ontdekten onderzoekers een veiligheidslek in verschillende implementaties van TLS; volgens de onderzoekers was 33% van de TLS-servers die via het internet benaderd konden worden, voor deze aanval vatbaar.

 

Hoe werd deze aanval op TLS genoemd?