Az eddigi EU-s GDPR bírságolási gyakorlat
Több mint 40 ezer adatkezelési esetet jelentettek a GDPR hatályba lépése óta az Európai Unióban, de csak 91 esetben szabtak ki büntetést a hatóságok. (tovább…)
Több mint 40 ezer adatkezelési esetet jelentettek a GDPR hatályba lépése óta az Európai Unióban, de csak 91 esetben szabtak ki büntetést a hatóságok. (tovább…)
2017-ben, az iPhone X premierjén mutatta be az Apple a saját maga által kifejlesztett Face ID nevű arcfelismerő képernyőzárat. A következő mobilevolúciós lépés az lehet, hogy a közeljövőben már nem kell a gyártóknak saját maguknak ilyen arcfelismerő funkciót fejleszteni, az androidos telefonok az operációs rendszerbe építve megkapják azt. Ugyanakkor adatvédelmi aggályok is felmerülnek. (tovább…)
Portálunk rendszeresen foglalkozik a video megfigyelőrendszerek témakörével, gyakran a térfigyelő rendszerekkel is, persze döntően a technika, a megoldások oldaláról. Az utóbbi periódusban ugyanakkor elsősorban Kína vonatkozásában kaptunk aggodalomra okot adó híreket az állampolgárok totális megfigyelését szolgáló rendszerek kiépítéséről, beüzemeléséről. Az itthoni aktuális hír, a kormány központi térfigyelő kamerarendszer kiépítésére vonatkozó terve. Vajon indokoltak e a félelmeink? Olvassuk Tarjányi Péter gondolatait (tovább…)
A témával nem kevesen vagyunk akik rendesen „birkózunk” – változatlanul nehezen értve a teendőket, megkülönböztetve- elkülönítve a GDPR alá tartozó ügyfél adatokat és a hozzájuk kapcsolódó kommunikációt, szabályozást. Ebben segítenek a Micro Focus alkalmazásai. A szerk. (tovább…)
Hamarosan a járókelők arcát sem kell látniuk a kameráknak az azonosításukhoz. A Watrix nevű kínai cég olyan szoftvert fejlesztett, amely képes azonosítani a videofelvételeken látható személyeket a járásuk és testtartásuk alapján. (tovább…)
Az elmúlt években egyre többször olvashatunk világszerte elhagyott vagy ellopott laptopokról. Ezekben az esetekben az eszközön tárolt adatok elvesztése sokszor nagyobb kárt jelent, mint maga a hardver. A megoldás lehet Az önmagukat titkosító meghajtók, amelyek egyúttal GDPR előírásainak teljesítését is megkönnyítik. (tovább…)
Az embereket Kínában az állam a terjedő bűnözés apropóján megfigyeli, hamis biztonságot ígérve. Cserébe egyrészt elveszi tőlük a magánszférát, másrészt magát a diktatúrát digitalizálja. (tovább…)
Tíz német nagyvállalat, köztük a Lufthansa, a Deutsche Bank, a Telekom közös adatbankot indít, amelynek használói biztosak lehetnek, hogy adataik nem kerülnek illetéktelen kezekbe. Verimi elnevezésű 50 millió eurós beruházással induló adatbankjuk a tengerentúli vetélytársakhoz hasonlóan díjmentes lesz. (tovább…)
GDPR május 25-én életbe lép életbe, szinte valamennyi kkv-t érint. A mulasztások eredménye tetemes bírság lehet. a www.adatsolyom.hu fejlesztés, gyors segítség a cégre bontott szükségletek és teendők feltárásában. (tovább…)
Szeretné, ha követnék a gyerekét? Ha sok személyes információt megtudnának róla? Ezekre a kérdésekre szinte minden szülő nemmel válaszol, nem is gondolva arra, hogy jó pár, a gyermeke telefonján futó androidos app éppen ezt teszi egy amerikai kutatás szerint. (tovább…)
Svájc! – vágták rá mini-közvéleménykutatásunk résztvevői arra a kérdésre, mi jut az eszükbe a banktitokról, annak ellenére, hogy e sztereotípia lassan megszűnőben van. Többségünket inkább már az foglalkoztatja, hogy nem jutnak-e az adataink a beleegyezésünk nélkül illetéktelen kezekbe (tovább…)
Aki okostelefont használ, hitelt igényel, közösségi oldalon regisztrál, állást vagy ingatlant keres közvetítők segítségével – azaz a mindennapi élet körébe tartozó tevékenységeket végez – részévé válik egy nagy adathalmaznak (Big Data) és róla nagy valószínűséggel profil készül. Ebben a vonatkozásban vajon a GDPR üdvözli-e a Big Data előnyeit, vagy végzetes csapást fog mérni annak hasznosságára magánéletünk megvédése érdekében? (tovább…)
A NYPD szuper titkos röntgen furgonokat alkalmaz de nem árulja el, mire használja. A New York Police Department ( NYPD ) üzemeltetésében, működő röntgenberendezéssel felszerelt furgonok járják a város utcáit, ad hoc ellenőrzéseket tartva. (tovább…)
Az okosszemüveg kulcsfontosságú képessége a gyors arcfelismerő technológia alkalmazása, melynek köszönhetően a világot ezen keresztül figyelő szervek rekord gyorsan beazonosíthatnak körözött személyeket. Eredményes próba Henan tartományban Kínában (tovább…)
Mozgalmas év vár a biztonsági szakemberekre, hiszen a kiberbűnözők egy percre sem lankadnak. Zsarolóprogramok, okos eszközök – vállalati rendszerek elleni támadások drasztikus növekedésével kell számolnunk. Az adatvédelem területén sem lesz hiány kihívásokból. A tendenciákat az ESET és a Trend Micro prognózisaiból jelezzük. (tovább…)
A személyes adatok bármilyen, az egyén beazonosítására alkalmas eljárásai, nemcsak írásos információkat jelentenek. Ez magában foglalja a zárt láncú televíziós rendszer üzemeltetését és a munkavállalók megfigyelését, amelyet az EU általános adatvédelmi szabályzata (GDPR) szerint, magas kockázatú tevékenységeknek kell tekinteni . (tovább…)
Az Artifical Intelligence ( AI ) kutatások vastag problémákat vetnek fel a profilalkotások megbízhatósága, alkalmazhatósága során, de egyúttal személyiségi jogi, adatvédelmi, kérdések sora is felmerül. (tovább…)
Konfliktus a terrorizmus elleni védekezés és az adatvédelmi szempontok között? Az Európai Parlament szabadságjogokkal foglalkozó bizottsága szigorítani tervezi az Unió adatvédelmi előírásait (tovább…)
Egy német felmérés vizsgálta a cégek felhőhasználatának az indítékait és mértékét. A cégek alig több mint harmada gondolkodik elsődlegesen nyilvános felhőszolgáltatásban, a közismert anyagi előnyei ellenére is. Az adatvédelmi aggályokkal közel egyenértékű az adatok fölötti kontroll iránti igény. (tovább…)
„Az EU országok nem szabad hogy túlságosan szigorúak legyenek az adatvédelmi törvény alkalmazásában, vagy veszélyeztessék a „big data” projektek fejlesztését” mondta Angela Merkel a Német Kancellár. (tovább…)
Eddig azt figyelhettük meg, miként költöznek bizonyos vállalkozások az USA-ba. Különösen azok, akik „szülőföldjükön” tartalomszolgáltatással foglalkoznak, a helyi hatalom rosszallása mellett. Donald Trump elnökké választását követően, ha tapogatódzó jelleggel is, de ellenkező folyamatoknak lehetünk tanúi (tovább…)
A beléptető és kamerarendszerek adatkezelési auditálása, regisztrálása a Nemzeti Adatvédelmi Információszabadság Hatóságánál (NAIH) egy olyan előírt kötelezettség a rendszerek üzemeltetőinek, adatkezelőinek, amelynek hiánya, rendkívül magas bírságot von maga után! (tovább…)
A téma igencsak aktuális, már a Securinfo is foglalkozott a kérdéssel. Megkerülhetetlennek véljük, hogy úgy felhasználók, mint a telepítők és tulajdonosok tájékozottak legyenek az aktuális szabályozási kérdéseket érintően. Ezt szem előtt tartva ajánljuk olvasóink figyelmébe az Infoszféra Kft. rendezvényét. (tovább…)
Nem szabad figyelmen kívül hagyni azt a tényt, hogy vásárlásaink egyre nagyobb részét teszik ki az online végrehajtott tranzakciók. Ez komoly biztonsági, bizalmi kérdéseket vet fel, melyek feltárása és megtárgyalása egyre sürgetőbb a rendszer zavartalan működésének érdekében.
(tovább…)
Az internetes bűnözés növekedésével és az egyre profibb módszerek megjelenésével mindenki el kell gondolkozzon vajon mindent megteszünk-e a minket érintő területek IT biztonságáért? Mérjük fel a helyzetet és tegyük meg a szükséges lépéseket mihamarabb. Ebben ad konkrét és hasznosítható tanácsokat Solymos Ákos a QUADRON tanácsadói üzletág vezetője.
A Modern Alarm Kft telepítő partnerei számára rendezett szakmai nap meghívott előadója Dr Szabó Endre Győző a Nemzeti Adatvédelmi és Információszabadság Hatóság (továbbiakban: NAIH) elnökhelyettese volt, aki a kamerás megfigyelések adatvédelmi vonatkozásairól tartott konzultációval egybekötött előadást.
A Facebook arcfelismerő algoritmusa miatt az Egyesült Államokban indított polgári per felveti a kérdést: ha valaki az arcunkról készült képet adattá alakítja, akkor vajon ténylegesen biztonságban vannak-e a személyes és biometrikus adataink? (tovább…)
Az elmúlt néhány év tendenciái szükségessé tették a beléptető rendszerek biztonságának felülvizsgálatát. Mindig is léteztek támadási kísérletek és sikeres támadások beléptető rendszerek ellen, de ezek mára iparszerűvé váltak. Cikkünk első részében a rendszereket érő támadásokat, a védekezés alternatíváit, valamint az azonosítási technológiák többségét és jellemzőiket (előnyök-hátrányok) mutattuk be. A témát a multiapplikációs alkalmazás fogalomkörével folytatjuk.
A multiapplikáció a nagy biztonságú azonosítók azon tulajdonsága, hogy az egyes memória tartományaihoz különböző kulcsok rendelhetők és egy azonosító (univerzális kártya) több, független célra is használható. Az alkalmazások csak a saját memória tartományukat láthatják, csak azt módosíthatják. A saját kulcsaikat akár le is cserélhetik, így a saját adataik még a rendszergazda elöl is elrejthetők. Egy tartományhoz több, különböző jogosultságú kulcs is rendelhető. Pl. egy kávéautomata, mely csak „fogyaszt” a kártyáról, olyan kulcsot használ, mellyel csak csökkenteni lehet az összeget, míg újabb összeg feltöltéshez egy másik (nagyobb jogosultságú) kulcs kell.
Az új, nagy biztonságú olvasók használatával az azonosítás védett téren kívülről is elérhető sebezhető pontja az olvasó vezetéke és kommunikációja lett. Hangsúlyt kap az olvasók szabotázsvédelme, az adatforgalom titkosítása.
Egyes forgalmazók – felismerve a piaci igényeket – a biztonság látszatát keltő megoldást ajánlanak. Ezek a sorozatszám olvasók. Az azonosító nagy biztonságú, pl. Mifare Plus X, de a használat módja azonban már nem feltétlenül! Azt a tulajdonságot használják ki a megoldások, hogy a titkosított kommunikációt megelőzi egy nyílt, ismert, szabványos eljárás, amikor az azonosító elküldi egyedi gyári sorszámát (UID), de csak ennyit és nem többet használnak azonosítóként. Ez a kód (Chip azonosító) gyárilag megadott és egyedi, amely elvileg utólag nem módosítható. Sajnos nem csak az a gond, hogy a kód nyíltan hozzáférhető és így már elvileg sem védhető másolás ellen, hanem az, hogy – jellemzően az iparszerű hamisításra – vásárolhatók „üres” kártyák, és hozzá másoló-kódoló készülékek is. Csak azért nem adok konkrét adatokat és példákat, hogy ne csináljak ingyen reklámot, de az interneten százszámra árulnak ilyen termékeket.
Az UID kóddal történő visszaélés ellen és a hamisítás kivédésére találták ki a RANDOM UID-t. Az azonosító eszköz bejelentkezésekor az UID-t egy véletlen szám generátor állítja elő. Ez él a kommunikáció lezárásáig, de egy újabb bejelentkezéskor (újra használják a belépőkártyát) egy teljesen más UID-t fog generálni, tehát a sorszám olvasók használhatatlanok, mert az azonosító kártyák mindig más és más sorozatszámot adnak.
Kizárólag csak az egyedi kulcsot használó rendszerek lehetnek védettek, biztonságosak. Ilyen rendszerekben mind az olvasókban, mind az azonosítókban a használatba vétel előtt az adott rendszerhez tartozó hozzáférési kulcsokat be kell állítani. Ezt vagy a felhasználónak, vagy az eszköz szállítójának kell rendszer specifikusan elvégeznie.
Ha akár az olvasó, akár az azonosító szabadon vásárolható egy rendszerhez anélkül, hogy azt az adott rendszerhez egyedileg illeszteni kelljen (bevinni a titkos kulcsokat), akkor az garantáltan nem biztonságos!
Ha van biztonságos RFID technológia, ami csak a hozzáférési kulcsot ismerőknek engedélyezi a használatot, alapkérdés, hogy ki és hol tárolja, őrzi a kulcsot? Mindennél fontosabb, hogy üzemelő rendszerben a kulcs nem lehet sem az olvasón, sem az azonosítón kívül, csak azokban bent, hozzáférhetetlen, kiolvashatatlan módon. A kulcs nyilvánosságra kerülésének veszélye nyilvánvaló, de az elvesztése (pl. kilép a vállalattól a kulcsot ismerő, vagy csak egyszerűen elfelejti) katasztrofális következményekkel jár. Nincs kiskapu, a kulcs sehonnan, még a gyártó által sem olvasható ki. Sem új olvasó (rendszerbővítés, javítás), sem új azonosító (új belépőkártya) nem készíthető. Ha ilyenre szükség lenne, akkor minden olvasót és azonosítót cserélni kell! Ezért fontos kérdés, hogy a szállító cég mennyire megbízható, milyen minősítései vannak!
Az NFC technológia alkalmas nagy biztonságú azonosításra, elterjedésének akadálya a hozzáférési kulcs tárolása. Applikációban nyilvánvalóan nem lehet, mert annak visszafejtésével a kulcs elérhető, és az egész rendszer biztonságának vége. A gyártók kísérleteznek biztonsági hardver elemek (pl. secure element) beépítésével, csak ez meg gyártó specifikus. Kézenfekvő lenne a SIM kártya használata – hiszen az önmagában is ilyen feladatot lát el – csak ahhoz meg a szolgáltató aktív támogatása szükséges, melyet egyelőre nem vállalnak fel. Pilot rendszerek már működnek Magyarországon is a Mobiltárca Szövetség keretében, amelynek a biztonságtechnikai cégek közül egyetlen tagja van, a SEAWING Kft.
Kijelenthető, hogy a 125kHz frekvenciát használó azonosítóval már nem biztonságos új rendszert építeni!
A beléptető rendszerek eladásában magyarországi piacvezető Seawing kft az alacsony biztonsági szintű RFID rendszerekből még mindig évi több ezer olvasót, és több tízezer kártyát ad el, pedig új rendszerekhez kizárólag a megbízható azonosítási technológiákat ajánlják. Sajnos elmondható hogy ritkábban kapunk olyan típusú megkeresést, hogy: „A beléptető rendszerünkben szeretnénk az olvasókat és az belépőkártyákat nagyobb biztonságúra cserélni.” Sokkal gyakoribb a következő felkérés: : „Szeretnénk lecserélni a kinőtt beléptető rendszerünket, de a már kiadott (könnyen hamisítható) azonosító kártyákat meg akarjuk tartani.”
Az azonosítás biztonsága a beléptetőrendszereknél I. rész
Piacnövekedés várható a belépés szabályozás területén
Csúcstechnológia a személyátvizsgálásban: ellenőrzés milliméteres hullámokkal
Az elmúlt néhány év tendenciái szükségessé tették a beléptető rendszerek biztonságának felülvizsgálatát. Mindig is léteztek támadási kísérletek és sikeres támadások beléptető rendszerek ellen, de ezek mára iparszerűvé váltak. A belépő kártya, vagy ujjlenyomat másoló berendezések, készletek az interneten olcsón, több forrásból is beszerezhetőek. Sajnálatos módon a beléptető rendszerek üzemeltetői vagy nincsenek tisztában rendszereik sebezhetőségével, vagy ami még rosszabb, lebecsülik azt. Jelen cikkünk az azonosítás biztonságával foglalkozik.
| A támadás célpontja | Példák | A védekezés lehetséges módja |
| Elektronikai rendszerelemek | Dobozok felnyitása, vezetékek elvágása, idegen feszültség bejuttatása | Szabotázsvédelem, eszköz meglétének és azonosságának folyamatos ellenőrzése |
| Mechanikai eszközök, akadályozó szerkezetek | Nyitva maradt, nem engedélyezett nyitás (pl. kulcs használata) | Zárt állapot- és sértetlenség figyelés |
| Belső kommunikáció | Lefigyelés, üzenet átvitel megakadályozása, idegen üzenetek bejuttatása | Titkosított adatátvitel, szekvencia azonosítók, elveszett, vagy nem várt üzenetek detektálása |
| Külső hálózati elérés, munkaállomások, szerver, adatbázis | A támadások választéka, technológiája és gyakorlata itt a legnagyobb | IT biztonság, privát hálózatok, tűzfalak, kódolt adatbázis, redundáns tárolás |
| Rendszerhasználók | Kényszerített nyitás, hibás használat, jelszókezelési és bejelentkezési eljárások | Támadásjelzés, duress kód, anti-pass-back, időzóna, jelszókezelési protokollok |
| Azonosítók másolása | RFID kártya klónozás, ujjlenyomat másolás, PIN kód lenézés | Nagy biztonságú azonosítók használata, kombinált azonosítás |
| Kommunikáció leutánzása | RFID azonosítók rádiófrekvenciás kommunikációjának ismétlése | Folyamatosan változó titkosított kommunikáció |
| Olvasók kimenő jelének utánzása | Szabványos kommunikációk (pl. Wiegand) lefigyelése, utánzása | Szabotázsvédelem, titkosított kommunikáció, folyamatos eszköz ellenőrzés |
Beléptető rendszerekben a PIN kódos azonosítás jöhet csak szóba. A szokásos, kezelési szempontból még elfogadható négy digites számok, biztonsági szempontból önálló azonosításra nem, legfeljebb kiegészítésként jöhetnek szóba (pl. PIN+ujjlenyomat, kártya+PIN).
Biometrikus azonosítás esetén az 1:1 azonosítás lehetséges 1:N helyett, így a hamis elfogadási ráta („FAR” – lásd később) megfelelő szinten tartható, mert nem csökken a használatra jogosultak számának növelésével. A PIN kód hatékonyan akadályozza meg az illetéktelen kezekbe került azonosító kártyák jogosulatlan felhasználását, de a kártya a tulajdonos által történő szándékos átadását nem akadályozhatja meg, mert a kártyával együtt a PIN kód is átadható.
Azonosításkor az egyedi biometrikus jellemzők vizsgálata történik. Elképesztően sok a velük kapcsolatos tudatlanság és tévhit. A két leggyakoribb tévedés, hogy abszolút biztonságos és másolhatatlan. Pl. az ujjlenyomat azonosítás, amit a leggyakrabban használnak nem daktiloszkópia szintű azonosítás! A hamisításhoz, ujjlenyomat másoláshoz, az interneten bőven található részletes útmutató és már készen vásárolhatók ujjlenyomat másoló kittek.
Alkalmazásánál felmerülő további kérdések:
Látható, hogy egy nagyon biztonságos rendszer gyakorlatilag senkit nem enged be.
Ennek az azonosítási módnak tipikus eszköze az RFID azonosító (rádiófrekvenciás azonosító), népszerű nevén közelítő (proximity) kártya. Jellemzője, hogy megfelelő típusválasztással tetszőlegesen magas biztonsági szint érhető el.
Hátránya, hogy nem a tulajdonost, hanem az eszközt azonosítja, az eszköz átadható, ellopható. Ha ennek kivédése is elvárás, akkor kombinálni kell a PIN kód vagy biometrikus azonosító használatával.
Sok hiedelem kapcsolódik hozzá, mert egyeseknél (és ezek között sajnos vannak a biztonságért felelős szakemberek is) az RFID tévesen a biztonság szinonimája. Az igaz, hogy az RFID technológiával tetszőleges magas biztonsági szint érhető el, csak azt is kell tudni, hogy nem minden RFID azonosító eszköz biztonságos. Sőt a ma használt RFID technológiák döntő többsége a „könnyű préda” kategóriába tartozik. Nézzük a részleteket:
Egyirányú információ átvitel
Csak az azonosító (belépőkártya) küld adatokat az olvasó felé, és mindig ugyanazt a kódsorozatot. Ezek a rendszerek lefigyelés és másolás ellen védhetetlenek.
Megjegyzendő, hogy az olvasó ezekben a rendszerekben is „ad”, de az adás nem hordoz információt, csak egy erőtér, aminek célja, hogy a belső áramforrást nem tartalmazó passzív azonosítók működéséhez energiát biztosítson.

Egyirányú információ átvitel
Ilyenek például a Cotag, HID, Indala, Tiris, EM, UHF, Hyper-X azonosítók. Ma Magyarországon a rendszerek döntő többsége (>90%) ilyen! Az azonosítók adatai – akár méteres távolságról – a tulajdonos segítsége és tudta nélkül is hozzáférhetők, csak egy nagy távolságú olvasóval kell az azonosító közelébe menni.

Laptop táskába épített kártyaleolvasó
Kétirányú, titkosított adatátvitel
Ezekben a rendszerekben mindkét oldal aktívan kommunikál. Az adatcsere nyílt üzenetekkel kezdődik, ahol a kommunikációban részt vevők egyeztetik a paramétereket. Itt történik az anti-collision szűrés (pl. több kártya van az olvasó terében és ki kell választani, hogy melyikkel akar kommunikálni). A kiválasztás az azonosítók egyedi gyári azonosítója (UID: Unique Identifier) alapján történik. Az UID azonosítás után az eszközök áttérnek titkosított kommunikációs üzemmódra.

Kétirányú, titkosított adatátvitel
A kriptográf kommunikációval kölcsönösen ellenőrzik egymást (mutual authentication) és meggyőződnek róla, hogy a partner valóban birtokolja a titkos kulcsot. Véletlen számokat generálnak (hogy mindig más legyen az azonosítási folyamat), és titkosítva elküldik a másik félnek. Az dekódolja, és újra, de már titkosítva, visszaküldi. A küldő ellenőrizi, hogy ugyanazt kapta-e vissza, amit küldött. Ha igen, akkor engedélyezi a hozzáférést, indulhat az érdemi, titkosított adatcsere. Ez mindig tartalmaz változó elemeket (pl. tranzakció azonosító), hogy a megismételt azonos műveletek más és más RF kommunikációt eredményezzenek.
Jellemző az RFID veszélyeztetettségére, hogy sorra törik fel a titkosított kommunikációt használó rendszereket, és árulják a hozzá tartozó másolókat. Mára alig maradt biztonságos rendszer. Ilyen például a Mifare Desfire és a Mifare Plus X. Ezeknél a kommunikáció metódusa ismerhető (pl. AES 128 algoritmus), a lényeg a titkos kulcs!
Piacnövekedés várható a belépés szabályozás területén
Csúcstechnológia a személyátvizsgálásban: ellenőrzés milliméteres hullámokkal