Jednym z najbardziej znanych mechanizmów (protokołów) służących zapewnieniu bezpiecznej i zaszyfrowanej komunikacji ze stronami internetowymi jest tak zwany TLS.


2::Heartbleed
3::Atak DROWN
1::Zeus

Nie jest to prawidłowa odpowiedź. Heartbleed dotyczy jednak bezpieczeństwa oprogramowania OpenSSL (które jest zestawem narzędzi do otwartej implementacji TLS). Heartbleed (ang. krwawiące serce) to błąd kodu ogłoszony po raz pierwszy 7 kwietnia 2014 r. na stronie

http://heartbleed.com/. Umożliwia on każdemu odczytanie pamięci systemów chronionych za pomocą zawierających lukę wersji oprogramowania OpenSSL (a zatem odpowiedź ta może zostać uznana za połowicznie prawidłową). W jego wyniku ucierpiało kilka popularnych serwisów internetowych; dalsze informacje znajdziesz w komunikacie ENISA: Heartbleed – A wake-up call dostępnym tutaj:https://www.enisa.europa.eu/publications/flash-notes/flash-note-heartbleed-a-wake-up-call.

Od tego czasu większość stron uporała się jednak z problemem Heartbleed.

 

Poprawna odpowiedź to atak Drown . Atak umożliwia szpiegującemu przechwycenie i odszyfrowanie komunikacji między użytkownikiem a teoretycznie bezpieczną stroną https, w przypadku gdy serwer TLS używany przez stronę obsługuje przestarzały protokół SSLv2, który jest poprzednikiem TLS. Atak DROWN jest bolesną nauczką, że przestarzałe szyfrowanie jest niebezpieczne. Serwer TLS powinien korzystać z dowolnej wersji SSL.

Dalsze informacje zobacz:

https://drownattack.com/

a także nota informacyjna ENISA:

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack

 

To poprawna odpowiedź. Atak DROWN umożliwia szpiegującemu przechwycenie i odszyfrowanie komunikacji między użytkownikiem a teoretycznie bezpieczną stroną https, w przypadku gdy serwer TLS używany przez stronę obsługuje przestarzały protokół SSLv2, który jest poprzednikiem TLS. Atak DROWN jest bolesną nauczką, że przestarzałe szyfrowanie jest niebezpieczne. Serwer TLS powinien korzystać z dowolnej wersji SSL.

Dalsze informacje zobacz:

https://drownattack.com/

a także nota informacyjna ENISA:

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack.

 

Zauważ przy tym, że błąd Heartbleed wiąże się z bezpieczeństwem OpenSSL (który jest zestawem narzędzi umożliwiających otwartą implementację TLS). Został on po raz pierwszy ogłoszony w 2014 r. i zagroził wielu serwerom TLS. Od tego czasu większość stron uporała się z tym błędem. Dalsze informacje znajdziesz w komunikacie ENISA:Heartbleed – A wake-up call dostępnym tutaj:

https://www.enisa.europa.eu/publications/flash-notes/flash-note-heartbleed-a-wake-up-call

 

Nie jest to prawidłowa odpowiedź. Zeus jest znanym złośliwym oprogramowaniem, które jest wykorzystywane do kradzieży informacji poufnych z zainfekowanego komputera. Dalsze informacje znajdziesz tutaj:https://en.wikipedia.org/wiki/Zeus_(malware)

 

Poprawna odpowiedź to atak DROWN. Umożliwia on szpiegującemu przechwycenie i odszyfrowanie komunikacji między użytkownikiem a teoretycznie bezpieczną stroną https, w przypadku gdy serwer TLS używany przez stronę obsługuje przestarzały protokół SSLv2, który jest poprzednikiem TLS. Atak DROWN jest bolesną nauczką, że przestarzałe szyfrowanie jest niebezpieczne. Serwer TLS powinien korzystać z dowolnej wersji SSL.

Dalsze informacje zobacz:

https://drownattack.com/

a także nota informacyjna ENISA:

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack

 


Jest on np. powszechnie stosowany przez sklepy internetowe oraz w bankowości elektronicznej, aby zapewnić bezpieczną komunikację między użytkownikiem a komputerami serwisu. Zasadniczo TLS jest obecny za każdym razem, gdy w adresie witryny widnieje https zamiast http.

 

W 2016 roku naukowcy odkryli lukę bezpieczeństwa w kilku implementacjach TLS; według nich na atak wynikający z tej luki narażonych było 33% serwerów zabezpieczonych protokołem TLS dostępnych za pośrednictwem internetu.

 

Jaką nazwą określono ten błąd TLS?