HÁLÓZATBIZTONSÁGI KÉRDÉSEK A WEB2.0 KÖZÖSSÉG PLATFORMOKON

Hasonló dokumentumok
Hálózatbiztonsági kérdések a Web2.0 közösségi platformokon

Szerzői jogi és adatbiztonsági megoldások közösségi térben Like

A WEB2GRID kutatás-fejlesztési projekt eredményei

Kétcsatornás autentikáció

7. JOGI, ETIKAI SZABÁLYOZÁSI KÉRDÉSEK E106. WEB2GRID Szerzői jogi és adatbiztonsági megoldások közösségi térben Like. WEB2GRID projekt alapjai

Adatkezelési nyilatkozat

Alapfogalmak. Biztonság. Biztonsági támadások Biztonsági célok

Adatkezelési nyilatkozat, szabályzat

Adott egy szervezet, és annak ügyfelei. Nevezzük a szervezetet bank -nak. Az ügyfelek az Interneten keresztül érzékeny információkat, utasításokat

Használati útmutató a Székács Elemér Szakközépiskola WLAN hálózatához

E mail titkosítás az üzleti életben ma már követelmény! Ön szerint ki tudja elolvasni bizalmas leveleinket?

20 éve az informatikában

Felhasználók hitelesítése adatbiztonság szállításkor. Felhasználóknak szeparálása

ELEKTRONIKUS ALÁÍRÁS E-JOG

S, mint secure. Nagy Attila Gábor Wildom Kft.

e-szignó Online e-kézbesítés Végrehajtási Rendszerekhez

Szabó Zoltán PKI termékmenedzser

Az Internet elavult. Gyimesi István fejlesztési vezető Cardinal Számítástechnikai Kft.

felhasználásra kerül(het)nek online tranzakciók igénybevételekor, vagy

Social media Facebook

Személyes adatok védelmi alapelvei

Elektronikus hitelesítés a gyakorlatban

1. számú melléklet. Etikai Kódex. 1. Az el fizet személyes adatai

Titkosítás NetWare környezetben

API tervezése mobil környezetbe. gyakorlat

Az Outlook levelező program beállítása tanúsítványok használatához

GDPR az EU Általános Adatvédelmi Rendelete - minden vállalkozás életét érintő jogszabály -

Gyakorlati vizsgatevékenység B

Tartalom. I. Rész A számítógép megosztása 5. Bevezetés 1. 1 n Saját profilt mindenkinek 7. Biztonsági programok 3 A könyvben használt jelek 4

IP alapú távközlés. Virtuális magánhálózatok (VPN)

Alkalmazotti/partneri regisztráció gyorshivatkozási kártyája

Egy családfaszerkesztő alkalmazás leírása

Kormányzati Elektronikus Aláíró és Aláírás-ellenőrző Szoftver

Felhasználói útmutató

Kormányzati Elektronikus Aláíró és Aláírás-ellenőrző Szoftver

KOMMUNIKÁCIÓ ÉS ADATVÉDELEM. Készítette: Szabó Hangya Csilla

2. munkacsoport 1. fejezet (elektronikus banki szolgáltatások)

Felhasználói útmutató

Elektronikus aláírás és titkosítás beállítása MS Outlook 2010 levelezőben

Internet(?)biztonság(?) Elek Gábor c. r. alezredes vagyonvédelmi előadó

A Magyar Hang a regisztrált látogatók személyes adatait bizalmasan, a hatályos jogszabályi előírásoknak megfelelően kezeli.

SSL elemei. Az SSL illeszkedése az internet protokoll-architektúrájába

(appended picture) hát azért, mert a rendszerek sosem

Általános fiók beállítási útmutató

Dropbox - online fájltárolás és megosztás

Biztonság a glite-ban

A CityPass rendszer Magyar Gazdaságfejlesztési Központ Nemzeti Innovációs Hivatal NetLock Kft. intelligens kártyán alapul

E-Számla Szerver szolgáltatás bemutató és díjszabás

A JGrid rendszer biztonsági architektúrája. Magyaródi Márk Juhász Zoltán Veszprémi Egyetem

Kriptográfiai alapfogalmak

Adatkezelési tájékoztató

WEB2GRID: Desktop Grid a Web 2.0 szolgálatában

Intelligens biztonsági megoldások. Távfelügyelet

A Z E L E K T R O N I K U S A L Á Í R Á S J O G I S Z A B Á L Y O Z Á S A.

Internetbank-EFER csatlakozás bemutatása. Bali János, Lomniczi Rudolf

Szilipet programok telepítése Hálózatos (kliens/szerver) telepítés Windows 7 operációs rendszer alatt

Adatkezelési tájékoztató

ECDL Információ és kommunikáció

Adatkezelési tájékoztató

OE-NIK 2010/11 ősz OE-NIK ősz

ADATKEZELÉSI TÁJÉKOZTATÓ

IT BIZTONSÁGTECHNIKA. Tanúsítványok. Nagy-Löki Balázs MCP, MCSA, MCSE, MCTS, MCITP. Készítette:

3 A hálózati kamera beállítása LAN hálózaton keresztül

SZÓBELI ÉRETTSÉGI TÉMAKÖRÖK

Az autorizáció részletes leírása

Számítástechnikai kommunikációs lehetőségek a QB-Pharma rendszerrel. Előadó: Bagi Zoltán Quadro Byte Kft. ügyvezető

Kincskereső Könyvelő Klub. Moodle felhasználói kézikönyv

Adatkezelési tájékoztató

Sulidoc Iskolai dokumentum megosztó Dokumentáció

Felhasználói kézikönyv

Új generációs közösségi WEB szolgáltatások és alkalmazások támogatása GRID platformmal

TÁJÉKOZTATÓ a MicroSigner alapú alkalmazás használatáról

ADATMENTÉSSEL KAPCSOLATOS 7 LEGNAGYOBB HIBA

Adatkezelési tájékoztató

ELEKTRONIKUS ALÁÍRÁS ISMERTETŐ

Adatbázis kezelő szoftverek biztonsága. Vasi Sándor G-3S

Tagi nyilatkozat elektronikus aláírás folyamata MicroSigner alkalmazás használatával

Ha összejön Like...

GPRS Remote. GPRS alapú android applikáció távvezérléshez. Kezelési útmutató

Oktatás. WiFi hálózati kapcsolat beállítása Windows XP és Windows 7-es számítógépeken. SZTE Egyetemi Számítóközpont

Petőfi Irodalmi Múzeum. megújuló rendszere technológiaváltás

SSL VPN KAPCSOLAT TELEPÍTÉSI ÚTMUTATÓ

A Békés Megyei Könyvtár Elektronikus Könyvtárának kialakítása

ADATVÉDELMI NYILATKOZAT 1, BEVEZETŐ

ÜGYFÉLKAPU AZONOSÍTÁSI SZOLGÁLTATÁS

HITELES MÁSOLATKÉSZÍTÉSI REND

Szolgáltatási csomagok I-SZERVIZ Kft. érvényes szeptember 1-től

SportinvazioClub felhasználói kézikönyv v

Gyakorlati vizsgatevékenység A

HIK-CONNECT szolgáltatás beállítása

Szőr Péter ( )

Gyakorlati útmutató az online jogi továbbképzéshez

AZ ELEKTRONIKUS INFORMÁCIÓS, ÉS ÉRTÉKESÍTÉSI RENDSZER (WEBÁRUHÁZ) HASZNÁLATA július 1-től visszavonásig érvényes

A számítási felhő világa

Új Nemzedék Központ. EFOP pályázatok online beszámoló felülete. Felhasználói útmutató

Vízcenter. Mobil alkalmazás

TANÚSÍTVÁNY. tanúsítja, hogy az. InfoScope Kft. által kifejlesztett. Attribútum tanúsítványok érvényességét ellenőrző SDK InfoSigno AC SDK v1.0.0.

Taninform KIR kapcsolat

Réti Kornél, Microsec Zrt. 1

Hiteles Elektronikus Postafiók

Átírás:

HÁLÓZATBIZTONSÁGI KÉRDÉSEK A WEB2.0 KÖZÖSSÉG PLATFORMOKON Szabó Áron, aron.szabo@egroup.hu Antal Zsolt, zsolt.antal@egroup.hu Garami Gábor, gabor.garami@egroup.hu 1. Bevezetés A Web2.0 világban a közösségre építő oldalak, szolgáltatások pont ezen jellegükből fakadóan rengeteg adatot tárolhatnak, a közösség számára többnyire nyilvánosan. Az esetleges érzékeny adatok védelme itt sokkal összetettebb, mint a hagyományos (pl. fórumozó portálos) esetekben, ahol a biztonsági követelmények kimerülnek egy jelszó-kezelési szabályzatban. A Web2.0 esetében egy-egy felhasználóról való adatgyűjtéshez nem is feltétlenül az adott személynek kell hibát elkövetnie, pl. árulkodó fényképet feltöltenie, bőven elegendő, ha ismerősei tesznek fel kompromittáló felvételeket róla. Nem kell sokat gondolkodnunk a big brother veszélyein, bőven elég, ha az elmúlt fél év híreiből szemezgetve elemezzük a helyzeteket, megvizsgáljuk, hogy milyen védekezés nyújthat megoldást a különböző esetekben. 2. Támadások és védekezések A Web2.0 szolgáltatások igénybe vételéhez nem kell más most sem, mint korábban más esetekben: e-mail cím vagy felhasználói név és jelszó. Miért is csodálkozunk, ha esetleg valaki illetéktelen lép be a mi nevünkben és rendezgeti át a profilunkat mondjuk a Facebookon? Nem feltétlenül kell a szerver jelszó-állományát megszerezni és jelszót törni, hiszen első körben lehet próbálkozni az adott felhasználó becenevével (nickname) vagy születési dátumával, mint jelszóval a belépésnél. A jelszavak könnyen ottmaradhatnak a számítógépen valamelyik cookie állományban, ha épp nem lépünk ki a rendszerből, de a jelszóemlékeztető is megőriz mindent, ha esetleg bekattintottuk. Még ha óvatosak vagyunk és SSL/TLS csatornán keresztül lépünk be mondjuk a munkahelyünkön kedvenc közösségi oldalunkra, akkor sem tudhatjuk, hogy valamelyik vicces kedvű kollégánk épp nem figyeli-e a hálózati forgalmat és ékelődik be a kommunikáció folyamába (pl. Cain&Abel vagy ettercap alkalmazásával) és nem szerzi meg a HTTPS protokollon átküldött jelszavunkat. Mit lehet akkor tenni?! Az erős hitelesítés, ahol legalább két, egymástól független megoldás szükséges a hozzáférés engedélyezéséhez alapulhat a jelszón (tudás alapú), de párosulnia kell mellé valami másnak is, pl. mobiltelefon SIM kártyának, állományban, esetleg chipkártyán tárolt kriptográfiai kulcsnak (birtok alapú). A magasabb fokú biztonságot igénylő oldalaknál, jellemzően a netbanki szolgáltatásoknál már alapvető követelmény a beléptetésnél és tranzakció jóváhagyásánál a felhasználó SIM kártyájára (mobiltelefonjára) érkező, egyszeri jelszót tartalmazó SMS. Gyakran használnak azonban távoli hozzáféréshez is kriptográfiai

kulcsokat (jobb esetben biztonságos hordozó eszközön tárolva), amelyekkel pl. SSL/TLS csatornán VPN-en keresztül, vagy SSH protokollon beléphetnek pl. a rendszergazdák a szerverekre. Az megalakulása óta kriptográfiai megoldásokkal foglalkozik, ennek kapcsán készítette el saját felhasználó hitelesítési protokollokat megvalósító termékét, az id Server-t, amely az egyszerű jelszavaktól kezdve, az SMS-ben érkező egyszeri jelszavakon át a grafikus jelszavas és a szabványos HOTP (IETF RFC 4226) protokollig többféle megoldást is támogat. Szintén ezek közé tartozik a PKI (X.509 tanúsítvány) technológiát használó modul is, amelynél a challenge-response során az elektronikus aláírást létrehozó és ellenőrző termék, az SDX funkciói kerülnek meghívásra. A SDX különálló alkalmazásként is használható dokumentumok kriptográfiai védelmére. Jogos lehet a kérdés, hogy kell-e ilyen szintű biztonság? Minden védelmi megoldás bevezetésénél figyelembe kell venni többek közt a védendő adat értékét, és a sikeres támadással járó kár mértékét is. A banki szférában még manapság is azt mondják, hogy jobban megéri megmaradni a hagyományos, másolható, csalásra alkalmas mágnescsíkos bankkártyáknál, és kifizetni a károkat, mint átváltani chipkártyás bankkártyákra. Vajon a Web2.0 világban melyik éri meg jobban? Fizetni a rendszergazdákat, akik rengeteg emberórát áldoznak arra, hogy töröljenek nem szalonképes adatokat, helyreállítsanak profilokat, vagy egy egyszeri költséggel áttérnek pl. tanúsítványalapú hitelesítésre, amellyel nagymértékben lehet csökkenteni az illetéktelen belépések számát? 2010-02-25 A januárban, egy brisbane-i iskolai késelésben meghalt 12 éves Elliott Fletcher oldalát azonban valakik feltörték, és sértő megjegyzésekkel, kompromittáló többek között gyermekpornográfiával és állatokkal való fajtalankodásról készült képekkel mocskolták be. Ugyanez történt Bundabergben a hét elején brutálisan meggyilkolt 8 éves kislány, Trinity Bates oldalával is. /forrás: [1]/ 2009-10-30 711,2 millió dolláros kártérítés megfizetésére kötelezte a kaliforniai bíróság a világ legnagyobb spammerét, az amerikai Sanford Wallace-t, akit még februárban perelt be a Facebook. [...] Néhány éve a közösségi oldalakat vette célba, leghíresebb húzása az volt, amikor egy programmal tízezerszámra generált kamu MySpace-felhasználókat, akiknek a nevében spammel szórta meg az egész közösségi hálózatot. /forrás: [2]/ Természetesen a rendszerbe beléptetés nem minden. A sikeres hitelesítés után a jogosultságok szabályozása többnyire a felhasználóra marad, ahol alapértelmezett esetben a legtöbb elemnél mindenki lát mindent. Ha bizalmas információt akarunk megosztani valakivel, valakikkel, akkor be kell állítani, hogy az adott beszélgetés, fórumbejegyzés, kép pontosan kik számára lehet hozzáférhető. A másik lehetőség az, hogy teljesen el kell felejtenünk a tartalom közösségi oldalon történő megosztását, és más módon kell elküldenünk az érzékeny adatokat a címzettnek. Bárhogy is döntünk, ismét segítségül hívhatjuk a kriptográfiát. Létezik is Facebook-ra olyan speciális modul, amely kulcspárokat oszt ki a felhasználóknak, akik egymással szeretnének kommunikálni (pl. PGP-hez hasonlóan), és azok segítségével lehet a rejtjelezés használata révén beállítani a hozzáférési jogosultságokat. Az SDX nevű termékcsaládjába tartozó SDX Encrypt képes különálló alkalmazásként, vagy akár webes felületbe integráltan is végrehajtani a rejtjelezési és megfejtési feladatokat. A hybrid rejtjelezés során egy szimmetrikus kulccsal történik a dokumentumok, adatok kódolása, ezt a szimmetrikus kulcsot pedig a címzett nyilvános kulcsát használva küldi el a feladó.

2009-09-23 Még ha az ember nem közöl is magáról árulkodó információt, egyszerűen a barátok listájának közzététele kényes dolgokat árulhat el róla, vagy téves következtetések levonására késztethet másokat mondta Kevin Bankston, az EFF szabadságjogi szervezet jogásza a Boston Globe-nak. Nyilvánvaló, hogy ha az ember barátai bizonyos vallási, politikai vagy nemi csoportba tartoznak, mások arra következtethetnek, hogy az illető is része annak a csoportnak, még ha ő nem is állítja ezt magáról. [...] A Texasi Egyetem egyik tanára Dallas-Fort Worth-i hálózat 167 000 tagjának politikai hovatartozását igyekezett megállapítani a köztük létesített hárommillió kapcsolat alapján, és arra jutott, hogy a csoportjaik vagy akár kedvenc együtteseik alapján egészen jól megjósolható, milyen nézeteket vallanak. /forrás: [3]/ 2010-03-03 Az izraeli hadsereg lefújta egyik műveletét palesztin területen, miután egy katona feltette a Facebook közösségi portálra a tervezett akció időpontját és helyszínét - jelentette az izraeli katonai rádió. /forrás: [4]/ A közösségi oldalakon tárolt adataink közül érzékenynek számít pl. az e-mail cím, a szexuális és politikai érdeklődés, mobiltelefonunk száma, de talán a legtöbb cikkezés a feltöltött képekről, illetve azok illetéktelen felhasználásáról szólt az elmúlt időben. Az egy dolog, hogy a rendszer milyen módon tárolja ezeket a képeket (mind a Facebook, mind az iwiw képei mindenféle felhasználói hitelesítés nélkül is hozzáférhetők, a logikai törlés után pedig a tényleges, fizikai törlés csak jóval később hajtódik végre), és egy másik dolog, hogy az innen letöltött képekkel mit kezdhetnek barátaink, ellenségeink. A képek nyomonkövetése szteganográfiai módszerekkel megoldható, láthatatlan vízjelek beágyazásával. A védett képeket pedig egy kereső robot tudja megtalálni a webről letöltött adatok elemzése révén. Szükség esetén értesíteni tudja az eredeti kép tulajdonosát. A tulajdonosi jogok bizonyításához a szteganográfián túlmenően ismét a kriptográfiát lehet segítségül hívni, hiszen jellemzően az időbélyeg (egy megbízható harmadik fél által aláírt időadat) és az elektronikus aláírás az, ami egyértelműen megmutatja, hogy az adott kép mikor keletkezett, illetve az kinek a tulajdona. A képek különböző transzformációkon eshetnek át (kicsinyítés, kivágás, fájlformátumok közötti váltás), ahogy kézről-kézre mennek, ezért a védelemre alkalmas vízjel megválasztása a beágyazásnál nem csekély számítási műveletet igényelhet. A beágyazás során ugyanis ezek a támadások kerülnek szimulálásra az szteganográfiát használó alkalmazásánál, hogy az adott adat amely akár lehet egy szöveges állomány képi megfelelője is a leggyakoribb támadások ellen védett legyen. A vízjelezett adatokhoz az SDX termékkel lehet elektronikus aláírást, illetve időbélyeget csatolni, és az így elkészült adatot kell tárolnunk. 2009-10-21 Közösségi portálról lementett képpel illusztrálta a tavaly ősszel kirobbant megfigyelési ügyről szóló cikkeit a HVG. Tóth János, az UD Zrt. igazgatója magánfotójának publikálása miatt perelte be a hetilapot. Az Iwiwen talált képek felhasználása a bíróság szerint sérti a személyiségjogokat. [...] A döntés indoklása kimondja, hogy az iwiwes képek kizárólag a közösségi portálon, az ott regisztrált többi tag előtti bemutatkozását szolgálja. /forrás: [5]/

2009-09-10 Februárban felfüggesztettek egy wisconsini tanárt, aki olyan fotót töltött a Facebookra magáról, amin éppen fegyvert fog a fényképezőgépre. Egy svájci biztosító társaság pedig azért rúgta ki az alkalmazottját, mert betegállománya alatt frissítette profiloldalát. /forrás: [6]/ 2009-06-13 Adatvédelmi és személyiségi jogi szempontból is aggályos lehet, hogy többek között Magyarország és a világ legnagyobb közösségi oldala, az Iwiw és a Facebook tartja meg még akár hetekig a szerverein azokat a képeket, amikről a felhasználónak azt mondja, hogy a törlés sikeres volt. /forrás: [7]/ A Web2.0 közösségi oldalak működési, programozói szempontból két csoportra oszlanak: Facebook API felület [8] a Facebook támogatásával, amit pl. a Facebook használ, OpenSocial API felület [9] a Google támogatásával, amit pl. az iwiw, Orkut használ. Az egy kutatás-fejlesztési projekt (WEB2GRID) keretén belül megkísérelte beágyazni a különböző védelmi megoldásait mind a kriptográfia (SDX termékcsalád elektronikus aláírásra, időbélyegzésre, rejtjelezésre), mind a szteganográfia (láthatatlan vízjelezés, támadások szimulásával) terén. A mintafolyamat során a Web2.0 közösségi oldalra feltöltött képek közül választja ki a felhasználó a védeni kívántakat, amelyeket elküld feldolgozásra az szerverére, amely különböző paraméterekkel meghívja a vízjelező modult. Az alkalmas vízjel keresése néhány paraméter előre meghatározott értéktartományban való futtatását jelenti (ezt a SZTAKI GRID rendszere hajtja végre), az eredmény pedig olyan vízjelezett képek listája, amelyek átmentek az összes szimulált támadáson, azaz a képi transzformációk után is kinyerhetőek a láthatatlan vízjelek. A matematikailag is megfelelő védelem azonban nem feltétlenül jelenti azt, hogy vizuális szempontból is megmaradt az adott kép jó minősége, ezért szükséges egy felhasználó általi ellenőrzés is, aki kiválasztja a visszakapott, vízjelezett adatok közül a legjobbat. A kiválasztott vízjelezett kép ezután kerül aláírásra és időbélyegzésre, illetve kívánság szerint rejtjelezésre. Ez a védett adat kerülhet tárolásra a felhasználónál, vagy akár a Web2.0 oldalon is egy visszatöltés után. A mintafolyamat mind a Facebook API PHP-nyelvén, mind az OpenSocial API (v0.9) gadget XML JavaScript nyelvén keresztül megvalósításra került a Facebook, illetve az Orkut közösségi oldalakon. 3. Összefoglalás Az WEB2GRID kutatási-fejlesztési projekt mintafolyamatának megvalósításával kiderült, hogy a Web2.0 közösségi oldalak számára is nyújtható kriptográfiai és szteganográfiai támogatás a tárolt adatok védelmére, amelyeket mind a Facebook API, mind az OpenSocial API környezetet használó közösségi oldalaknál el lehet érni. A technológia tehát készen áll, a lehetőségek adottak, a kérdés mindössze az, hogy mikor éri el a kritikus tömeget a visszaélések száma és mértéke.

4. Irodalomjegyzék [1] index.hu http://index.hu/tech/jog/2010/02/25/kegyeleti_oldalakat_mocskoltak_be_facebook-on/ [2] index.hu http://index.hu/tech/net/2009/10/30/ 700_millio_dollart_nyert_a_facebook_a_vilag_legnagyobb_spammeretol/ [3] index.hu http://index.hu/tech/2009/09/23/melegradarkent_is_mukodik_a_facebook/ [4] index.hu http://index.hu/tech/blog/2010/03/03/ facebook-bejegyzes_miatt_fujtak_le_egy_izraeli_katonai_akciot/ [5] index.hu http://index.hu/belfold/2009/10/21/iwiwes_kep_miatt_marasztaltak_el_a_hvg-t/ [6] index.hu http://index.hu/tech/net/2009/09/10/rejtozkodjon_a_facebookon/ [7] index.hu http://index.hu/tech/net/2009/06/13/ az_iwiw_es_a_facebook_megtartja_a_torolt_kepeket/ [8] Facebook API http://wiki.developers.facebook.com/index.php/api [9] OpenSocial API http://wiki.opensocial.org/index.php?title=javascript_api_reference

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés