Térfigyelés 2014! Eredmények-kétségek.

Térfigyelés 2014! Eredmények-kétségek.

Elmondható az, hogy a térfigyelés témaköre annak számtalan aspektusával  ( jogi, technikai, üzemeltetési,  humán stb.), rendszeres témája a médiának, de egyébként a szűkebben vett vagyonvédelmi, bűnüldözési szaksajtónak is.  Nincs min csodálkoznunk, hiszen  köztudott, hogy az utóbbi években ( Budapestet követően, immár vidéken is ), egyre szélesebb körben alkalmazott megoldásról van szó, melynek a kamerák ( leginkább dómkamerák ) képében testet öltött megvalósulását, mi járókelők is, nap mint nap láthatjuk ( nem ritkán vegyes érzelmeket keltve ).  

Ami ugyanakkor a legfontosabb kérdés az persze az, hogy a bűnmegelőzés – bűnüldözés területén (immár a rendőrségi és önkormányzati jelentős ráfordításokat is ismerve) vajon  napjainkban mennyi tényleges haszna van a telepített és működő térfigyelő rendszereknek ?

Mi is a célja a valós idejű video meg figyeléseknek a településeinken. Az  alap  természetesen  a közbiztonság javítása, lehetőség a bűnesetek gyorsabb, eredményesebb felderítésére, de egyben  eszköz a pro aktív bűnmegelőzésre is,  hiszen  – a remények szerint – a parkokba, utcákra, közterületekre és középületekre kihelyezett kamerák elrettentik az elkövetőket, így csökkenthető a vandalizmus, javulhat az állampolgárok biztonság érzése. Más vonatkozásban elmondható, hogy  a rendszerek a városi infrastruktúrák működtetése kapcsán is komoly hatékonysággal alkalmazhatóak ( forgalomszabályozás, havária helyzetek, stb. ).

Az egyre korszerűbb videotechnika eredményeként  egy – a feladatra alkalmas színvonalú,  megfelelően telepített és jól üzemeltett – rendszer  megdöbbentő részletes és pontos képalkotásra képes. A hőkamerák alkalmazásával akár teljes sötétségben, vagy füstben ködben is mód van a képalkotásra. A lightfinder technológia segítségével gyenge fényviszonyok mellett is megőrizhető a színhűség, az egyre szélesebb körben alkalmazott PTZ funkció nagyobb távolságról is képes a speciális zoom technikával adott eseményekbe beletekinteni, módot adva még az arcfelismerésre is.  A valós idejű üzemelés mellett persze a felvételek rögzíthetőek és visszakereshetőek.

A történet tehát mint látjuk elvben „ kerek ” nyilván működőképes és széles körűen közhasznú, hát akkor hol itt a probléma mi okozza a térfigyelés ( video megfigyelés ) gyakorlatát kísérő és szűnni  nem akaró társadalmi vitát?

Térfigyelés 2014!   Eredmények-kétségek.

Az egyik az a konfliktus helyzet ami a telepítést igénylők ( hatóságok, önkormányzatok, tulajdonosok) és a jogvédők között zajlik, aminek oka az, hogy a video megfigyelés és itt is döntően a felvételek rögzítése és visszakereshetősége,  alapvető állampolgári személyiségi jogokat érint, nem beszélve arról, hogy a közterületi térfigyelés esetében a tevékenységhez nem szükséges az állampolgári hozzájárulás és persze arra mód sincs. Mit figyelhet meg a hatóság, melyik hatóság, milyen módszerekkel történhet a megfigyelés, meddig őrizhetőek a felvételek és milyen felhasználhatósággal?  A másik probléma, a jelzett céloknak megfelelően – a már fent említett – tényleges, bizonyítható haszna a térfigyelési tevékenységnek.

Az első kérdésről röviden. Mit jelentenek itt a személyiségi jogok? Csak néhányat felsorolva: jog a békés gyülekezéshez, a véleménynyilvánításhoz, a szabad mozgáshoz, jog a magántitokhoz stb. A megfigyelés  során pedig számos olyan személyes adat kerülhet képbe, amelynek eredménye fenti jogok sérülése lehet érintve az adatvédelmi törvényt, hiszen a hatóság a felvételeket kielemzi, meghatározott ideig őrizheti, – és habár korlátozott – de bizonyos nehezen kontrolálható   irányokba további felhasználásra akár tovább is adhatja ( lásd: később ), no és persze mindannak ismeretében, hogy a képbe kerülő állampolgárok    túlnyomó többsége, nem bűnöző, vagy szabálysértő.   Azaz a működő demokratikus jogállam ( !? ) keretében kell megvalósuljon az a garancia, amely azt biztosítja, hogy a hatóság nem él  vissza az állampolgárról megszerzett információival. A probléma az, hogy a magáncélú video megfigyelésekkel szemben a közterületi térfigyelés gyakorlata, nem elég körültekintően szabályozott. Ismét csak néhány vonatkozást említve: pl. nem mindegy, hogy a képfigyelést kik  végezhetik, mert ez bizony nem kevés adatvédelmi kockázatot jelent ( csak a rendőrség állományába tartozók, mert pl. polgárőrök, nyugalmazott rendőrök, szerződött biztonsági szolgálatok alkalmazottai nem, kivéve a közterület felügyeleti célú térfigyelést  ), a létesítés igényét tanulmányokkal kutatásokkal kell alátámasztani, nem elég önmagában a közbiztonság javítására hivatkozni,  a szabályozás ellenére sem  megnyugtató a felvételek tárolási és megsemmisítési gyakorlata sem.  Egy aktuális terv kapcsán a felvételek akár nemzetbiztonsági célú felhasználásának a lehetősége is felmerül. A népszabadság információi alapján a VIII. kerületbe az önkormányzat megrendelésére telepíteni tervezett és arcfelismerésre is alkalmas eredetileg közbiztonsági célú kamerarendszert, nem a rendőrség üzemeltetné ( amit egyébként a szabályozás előír ), hanem a   nemzetbiztonsági szakszolgálat,  összekötve különböző állami nyilvántartásokkal ( az ügyben állítólag az adatvédelmi hatóság vizsgálódik ).  20140909 budapestlight hu

Na és akkor térjünk át a rendszerek használatához kapcsolódó ismert  tapasztalatokra is. Meglepő, hogy a témát érintően sem országos, sem Budapesti  reprezentatív felmérés eredménye nem ismert. Ugyanakkor kerületi, illetve egyes városi  rendőrkapitányságok alkalmanként foglalkoztak a kérdéssel, helyi statisztikákat vezetve, ebben sajnos elég szegényes a szakirodalom. Nehéz persze a vélt eredményességet tényleges számadatokkal igazolni, mégis nézzünk  akkor egy szűk keresztmetszetű kerületi tapasztalatot 2012 második, harmadik negyedévéből a Főv. X kerületi Rendőrkapitányság dokumentumából. Elmondásuk szerint a fenti periódusban bizonyítottan a kihelyezett kamerák segítségével született 198 szabálysértési feljelentés, két fő elfogás, 24 előállítás,  229 helyszíni bírság, mindösszesen 3 115 000 Ft nagyságrendben. Nyilván  a tényleges eredményesség megítéléséhez itt tudnunk kellene a közterületeket érintő bűncselekmények adott periódusra eső összes kerületi adatait is, no és persze esetleg a kiépítési és üzemeltetési költségeket is, azonban ezt nem érinti a jelzet dokumentum.  Az viszont tudhatjuk, hogy mely cselekmények kapcsán történt a hatósági fellépés: engedély nélküli árusítás, közterületi alkoholfogyasztás, koldulás, gyülekezési jog megsértése, közlekedési balesetek.  Egy kifejezetten sikertörténetnek tekinthető információ a 2000-s évtized közepéről: akkor és jószerével napjainkban is az egyik legszélesebb körben kiépült kamerarendszer az ismert közbiztonsági okokból a Józsefvárosban létesült, több mint száz kamerával, de legalább évi 320 millió Ft -os működési költséggel.  A fő cél a prostitúció visszaszorítása volt, hiszen azokban az években két, háromszáz prostituált kínálta magát a közterületeken. Véleményük szerint a rendszer nagy mértékben  segítette a  prostitúció és az ezzel együtt járó további bűnözési formák ( lopás, garázdaság, testi sértés stb. ) jelentős csökkenését.  További sikertörténetnek mondhatjuk az aluljárok bekamerázását ( habár ez nem kifejezett térfigyelési kategória ), de az nyilvánvaló, hogy az érintett helyeken jelentősen csökkent a garázdaság, a vagyon elleni bűncselekmények száma, egyben a hajléktalan kérdés is kontroláltabb formában vált kezelhetővé. 

20140909 onlinecamera net  Térfigyelés 2014!   Eredmények-kétségek.

 

A témában nyilatkozó rendőrségi  szakembereknek és  kutatóknak  az a véleménye, hogy, nagy általánosságban vélelmezni lehet a kamerarendszerek működtetésének és a bűnözés csökkenésének  összefüggéseit, de nem elsősorban az elfogás és tettenérés vonatkozásában, hanem sokkal inkább az elrettentésben, a visszatartó hatásban,  abban, hogy az érintett területeken csökkenő tendenciát mutatnak a jogellenes tevékenységek. Ezt a vélekedést alátámasztó érdekes külföldi tapasztalat az is, hogy a már felszerelt de még, vagy már nem működő rendszereknek, a bűnmegelőzés területén legalább akkora hatásuk van mint az éppen üzemelő rendszereknek.  Persze az a kockázat is fennáll, hogy a megfigyelt területekről máshová helyeződik át a bűnözési aktivitás.  Szintén külföldi tapasztalat az, hogy az erőszakos bűncselekmények megakadályozásában nincs kimutatható hatása a kamerázásnak.

Végül is talán annyi biztosan kijelenthető, hogy a térfigyelés, egyéb bűnmegelőzési tevékenységekkel összhangban, eredményesen segítheti adott térségek közbiztonságát.

kapcsolódó cikkek:

Korszerűsítette térfigyelő rendszerét Erzsébetváros önkormányzata

Merre tart a videomegfigyelés 2014-ben?

 

Májusban kerül megrendezésre a VII. Ethical Hacking Konferencia

Májusban kerül megrendezésre a VII. Ethical Hacking Konferencia

A NetAcademia május 22-én hetedik alkalommal rendezi meg szokásos tavaszi konferenciáját, ahova főként a biztonsági technológiák iránt bitszinten érdeklődő szakembereket várja előadásokkal etikus hekkelés témában. A konferencia helyszíne ezúttal a Lurdy Mozi lesz, és az idei rendezvényen a közösségi médiában előforduló visszaélések is szerepet kapnak majd.

A legújabb számítógépes hekkelési technikákat és kivédésüket évről évre bemutató egynapos összejövetelen ezúttal meglepő bemutatóra készülnek a konferencia előadói. Egy ma már elavultnak számító mobiltelefon segítségével indítják el a negyedik GSM szolgáltatót, melyre majd 10 méteres körzetben lehet 1 órán keresztül rákapcsolódni az idei Ethical Hacking Konferencián. A rendezvényt szervező NetAcademia Oktatóközpont ügyvezető igazgatója, Fóti Marcell így nyilatkozott a bemutatóval kapcsolatban: „Ma már szinte minden tudható a régebben az ismeretlenség homályában rejtőzködő GSM szabványról, s persze annak hibáiról is. Tomcsányi Domonkos előadása jó példa arra, hogy bárki által beszerezhető információk és eszközök segítségével milyen egyszerű egy fantom GSM szolgáltatást indítani, majd azon keresztül félrevezető hívásokat kezdeményezni, és hamis SMS-eket küldeni.”
Kovács Zsombor, a Deloitte képviseletében a kínai okostelefonok biztonságtechnikai buktatóit fogja elemezni a rendezvényen, valamint téma lesz az ilyen típusú készülékek operációs rendszerének túlzott mértékű adatkiszivárogtatása is.

Májusban kerül megrendezésre a VII. Ethical Hacking Konferencia

A közösségi média határok nélküli játéktér

A közösségimédia-szolgáltatások és -alkalmazások ma már olyannyira népszerűek, hogy szinte nincs olyan szervezet, amely ne lenne valamilyen formában elérhető ezeken az oldalakon is. „Az idei Ethical Hacking Konferencián arra is példákat láthat majd a várhatóan 500 fős közönség, hogy ezeken a felületeken mi mindent tud megtenni egy rossz szándékú felhasználó” – tette hozzá Fóti Marcell.
Oroszi Eszter, a GRID CEE Zrt. tanácsadója szenzitív információk megszerzésére, és az azokkal való visszaélés lehetőségeire is mutat olyan módszereket, amelyek segítségével lényeges vállalati, bizalmas információk birtokába juthat egy támadó. Az előadás demonstrálja továbbá, hogyan alkalmazhatóak a közösségi média eszközei kártékony tartalmak terjesztésére.
A 9:00-től 17:00-ig tartó konferencia a JavaScript felhasználásával kapcsolatos biztonságtechnikai problémákra is kitér. Az Ethical Hacking Konferencia programjainak listája a Netacademia weboldalán érhető el, ahol az érdeklődők online jelentkezhetnek a rendezvényre.

Részletes program és jelentkezés: VII. EthicalHacking Konferencia

Kapcsolódó cikk: Az okostelefonos alkalmazások veszélyei

Általános őrzés-védelmi kockázatok (Forrás: risk.uclahealth.org)

Általános őrzés-védelmi kockázatok

Az általános őrzés-védelmi kockázatok feltárásakor az adatvédelemtől kezdve, az objektum helyén, környezetén át egészen a megbízó tevékenységéig számos szempontot kell figyelembe venni.

Az általános őrzés-védelmi kockázatok ismertetésekor induljunk ki az őrzés-védelem definíciójából, miszerint az őrzés-védelem nem más, mint:
a védendő személy, szervezet vagy objektum rendeltetésszerű működését veszélyeztető szándékos, jogellenes cselekmények megelőzésére, illetve elhárítására irányuló eszközök és tevékenységek rendszere.

Az általános őrzés-védelmi kockázatok esetén olyan kockázatokról beszélünk, amelyek

  • a megbízóra,
  • a védett objektumra,
  • a védett személyre vagy
  • a védett vagyonra jelenthetnek veszélyt.

Adatvagyon

Amikor védett vagyonról beszélünk, akkor mindenképpen tekintettel kell lenni az úgynevezett adatvagyonra is. A védendő adat vagy információ jelenléte, alapjában véve őrzés-védelmi kockázatot jelent, de a rendeltetésszerű működést veszélyeztető kockázatok vagy rendkívüli helyzet esetében kiemelt kockázatkezelést igényelhet. Az adatvagyon minősítésétől függően akár jelentős mértékben is növelheti a biztonsági kockázat szintjét, ezért fontos figyelembe venni az őrzés-védelmi kockázatok és ezzel együtt a védelmi feladatokat meghatározásakor is.

Az őrzés-védelmi kockázatok meghatározásánál figyelembe kell vennünk továbbá

  • a védendő objektum elhelyezkedését,
  • környezetét,
  • építészeti jellegéből adódó mechanikai védelmét,
  • a telepített mechanikai védelmet
  • az elektronikus jelzőrendszereket,
  • az élőerő jelenlétét.

Befolyásolhatják a kockázati szintet a környező épületek funkciói, a megközelíthetőség, a környék infrastruktúrája, közbiztonsága is.
Általános őrzés-védelmi szempontból felmerülő kockázatok esetében feltétlenül vizsgálni kell, hogy megbízó milyen egyéb jellemzői lehetnek hatással az őrzés-védelmi feladatra. Kockázatot befolyásoló jellemző lehet a megbízó verseny- vagy a közszférában betöltött szerepe, pozíciója. További kockázatnövelő tényező lehet a megbízó tevékenysége, a tevékenységének különböző vonatkozású hatásai más szervezetekre, vállalkozásokra, a társadalomra vagy akár az egyénre is. Ilyen hatás lehet, például ha a megbízó tőkeerősebb, mint a versenyszféra adott területén a vetélytársai, vagy ha a megbízó tevékenységéből adódóan veszélyes anyagokkal foglalkozik. Kockázatnövelő tényező a megbízó médiaszereplése, illetve annak gyakorisága. Ezek a jellemzők befolyásolják a szolgáltató által védett objektumba belépő ügyfelek körét, az ügyfélforgalom nagyságát, a megbízó közmegítélését, ezáltal a megbízó objektumaiban az őrzés-védelmi feladatokat is.

A védett vagyon ellen irányuló kockázatok kezelése 

Az őrzés-védelem legnagyobb részét az objektumvédelem teszi ki. A hazai bűnügyi statisztikákból kiindulva az ismerté vált bűncselekmények 65 százaléka vagyon ellen irányul (táblázat).

Ismertté vált vagyonelleni bűncselekmények száma és aránya

Ismertté vált vagyon elleni bűncselekmények

2007. év

2008. év

száma

aránya (%)

száma

aránya (%)

276 193

64,7%

265 755

65,1

(Belügyminisztérium Koordinációs és Statisztikai Osztály, crimestat.b-m.hu, letöltés: 2011.11.24.)

Figyelembe véve a bűnügyi statisztikákat az őrzés-védelmi feladatok jelentős részét a vagyon elleni bűncselekmények megelőzése teszi ki. Ilyen típusú kockázatok kezelésére a megbízó részéről megfelelő intézkedés valamilyen be- és kilépési rend bevezetése és az élőerő általi folyamatos fenntartása és ezzel együtt a védett objektumban való tartózkodás szabályozása. Fontos megjegyezni, hogy be- és kiléptetéskor nem csak a személyforgalomra kell gondolnunk, hanem az objektum területére be- vagy onnan kilépő gépjárművekre is. Be- és kiléptetési rend kialakításakor célszerű valamilyen regisztráció bevezetése. A védett objektumba rendszeresen be- és kilépő személyek, például az ott dolgozók és az oda eseti alkalommal be- és kilépni akaró személyek például vendégek, ügyfelek vagy karbantartó személyzet részére. Ezzel együtt szükséges a gépjárművek regisztrációja valamint adott esetben a gépjárművek átvizsgálása is. A regisztráció vagy beléptetés kezelésére alkalmazhatunk csak papíralapú rendszert, elektronikus beléptetőrendszert, illetve a kettő kombinációját. Gyakorlatban a beléptetési rend a védett objektumba történő jogosulatlan belépés kockázatát oldja meg. Az épületben való tartózkodás rendje általában arról szól, hogy az eseti alkalommal belépők épületen belüli mozgásáért ki a felelős, illetve hogy az épületen belül az eseti belépők ne mozogjanak felügyelet nélküli. A vagyon elleni bűncselekmények kockázatának megoldását segíti a kulcskezelési rend, amelyben szabályozva van, hogy különböző helyiségek kulcsait kik jogosultak felvenni, illetve a kulcsok felvételét és leadását hogyan kell dokumentálni.
A vagyon elleni bűncselekmények kockázatát csökkenti az anyagok, eszközök a megbízó területére történő be- és kiszállításának szabályozása. Természetesen ezek az intézkedések elsősorban a megbízó vagyonának, értéktárgyainak a megóvására irányulnak, de ezzel együtt növelik a védett objektum területén tartózkodók saját értékeinek biztonságát.

Küldemények kockázata

Kiemelt kockázatú intézmények esetében nem lehet figyelmen kívül hagyni a levél jellegű küldemények kockázatát. Ide tartoznak a rendőrségi szakzsargonban bűnös szándékú robbanó postai küldeményeknek nevezett levélbombák vagy más postai küldeménynek, csomagnak álcázott robbanóeszközök, vagy valamilyen fertőző anyaggal szennyezett levelek, és bizonyos elkövetői körökben egyre inkább terjedő olyan küldemények, amelyek valós fenyegetést jelentő szerkezetet, anyagot nem tartalmaznak, de néhány jellemzőjük megegyezik ilyen küldeményekével. Az ilyen küldemények alkalmasak lehetnek pánik okozásra, a rendeltetésszerű működés megzavarására és speciális felderítő eszközök használata nélkül hatósági eljárás kiváltására, ez pedig a rendeltetésszerű működés részleges vagy teljes leállítását eredményezheti.
A megbízó szempontjából különös jelentősége van az ilyen típusú kockázatnak, hiszen ez a fajta kockázat egyszerre hordozza magában az életveszély, valamint jelentős anyagi kár bekövetkezésének és a rendeltetésszerű működés zavarásának vagy leállásának lehetőségét. Ilyen kockázat hatásos kezelése csak speciális eszközökkel lehetséges. Ha nincs a védett objektumra és a védelmi feladatot ellátó biztonsági szolgálatra vonatkozó olyan intézkedési rend, amelyet a rendőrség elfogad, akkor egy esetleg bekövetkező ilyen esetben az intézkedő hatóság kiürítéssel, azaz a rendeltetésszerű működés teljes felfüggesztésével kezdi meg az intézkedést.

 

Molnár Gábor, az L-Tender Consulting ügyvezetője, és dr. Pataki Gábor, adatvédelmi szakjogász

Védd magad – és az adataidat!

 

Dr. Pataki Gábor, adatvédelmi szakjogász és Molnár Gábor, az L-Tender Consulting ügyvezetője a személyes adatok kezeléséről beszélt az MBF III. Konferenciáján. Előadásukban adataink védelmének fontosságára hívták fel a figyelmet.

Sokan nincsenek tisztában, hogyan védjék a saját és partnereik, munkatársaik adatait. A Nemzeti Adatvédelmi és Információszabadság Hatóság 2012-ben 18 600 000, 2013-ban 20 550 000 forint bírságot szabott ki a helytelen adatkezelésért, és több mint 30 eljárás folyamatban van.

Ellenőrzések

Az ellenőrzések során kiderült, sok helyütt, nagyvállalatoknál, önkormányzatoknál nincs megfelelő adatkezelési utasítás.
Idén különös figyelmet fordítottak a társkereső oldalak adatkezelésére, főként a 18 éven aluliak védelmére, és volt egy 3 milliós bírság ebben a témakörben. Vizsgálták a munkaerő közvetítőket is, hogyan kezelik a jelentkezők adatait, hiszen rengeteg magánszemély adatait gyűjtik össze. A legutóbbi bírság összege1 millió 200 ezer forint volt. Az előadó hangsúlyozta, nagyon fontos megfelelő figyelmet fordítani a szerződések tartalmára.
Adatkezelési szempontból lényeges vizsgálati szempont a követeléskezelés, a termékbemutatók, az adatbázisok vétele–eladása és még sok más terület is.

Személyes adat

Mi számít személyes adatnak? Gyakorlatilag minden: a névtől, a születési időtől kezdve az internet használata is, hiszen itt is nyomon követik szokásainkat.
Mindenki érintett, jobban vagy kevésbé, aki bármilyen tevékenységet végez. Egy átlagos magyar cégnél ott vannak a munkavállalók adatai, ha családi adókedvezményre jogosult, a házastársé is, ha elektronikus beléptetőrendszer van a cégnél, további adatokat gyűjtenek. Gyűlnek az adatok az állásra pályázók beküldött önéletrajzaiból is, s általában szabályozatlan, hogy ezeket az adatokat meddig tárolják.

Dr. Pataki Gábor, adatvédelmi szakjogász
Az előadás

Hatósági ellenőrzések

A hatósági ellenőrzések nagy része bejelentés alapján történik, elégedetlen ügyfél, a konkurencia, elküldött munkatárs tesz bejelentést. A jogosulatlan adatkezelés súlyos esetben akár 3 évig terjedő börtönnel is büntethető bűncselekmény, bár a gyakorlatban főleg pénzbüntetéssel sújtható szabálysértés, amely a 2011. évi CXII. törvény hatálya alá tartozik.

Belső szabályozás

A szolgáltatáshoz kapcsolódó adatkezelés vállalatonként változik, ezeknél a cégeknél egyedi belső szabályozásra van szükség Az ügyfélszolgálatoknál mindig adatkezelési tájékoztatóval kell kezdeni a beszélgetést, nem lehet úgy fölvenni az adatokat, hogy az ügyfél ne tudja, mi történik vele.

Megoldás az adatkezelésre

Mi lehet a megoldás? Az L-Tender Consulting cég módszere: a helyszínen felmérik, milyen adatokat használnak, audit jelentést írnak, elkészítik a szabályzatot, amely minden egyes adatkezelést rögzít, ezt bejelentik az adatvédelmi a hatóságnak, – a nyilvántartás kötelező – s ha ez megvan, akkor rendben a cég.

Molnár Gábor, az L-Tender Consulting ügyvezetője, és dr. Pataki Gábor, adatvédelmi szakjogász
Interjú dr. Pataki Gáborral és Molnár Gáborral

Személyes adatok korszerű informatikai védelme a gyakorlatban

Személyes adatok korszerű informatikai védelme a gyakorlatban

Jelszavaink megfejtésével könnyen juthatnak adatainkhoz illetéktelenek. Milyen is a jó jelszó? Milyen programmal titkosíthatjuk adatainkat?

Mondhatnánk, hogy ami nincs, azt nem is kell védeni. Azonban mi a XXI. században élünk, és jelen van az informatika az életünkben. És mivel mindenkinek vannak olyan adatai, amelyeket nem szívesen oszt meg a nyilvánossággal, így ezeket védeni szükséges.

Támadási lehetőségek

Cél a jelszó megszerzése, amelyet találgatással a legegyszerűbb megtalálni. Persze ezt programok végzik helyettünk, és azon jelszavakkal próbálkoznak, amelyek nagy eséllyel sikerhez is vezetnek.

Jelszóadatbázisok

Ezek általában egyszerű szöveges fájlok, amelyek a leggyakrabban használt jelszavakat tartalmazzák. Így, ha valaki olyan jelszavat használ, mint például az „1234” vagy „asdf” akkor elég gyorsan megtalálható a jelszava ezzel a módszerrel.

Jelszógenerátorok

Léteznek olyan jelszógenerátor, amelyek a támadott személy jelszavát találja ki megadott paraméterek alapján. Az ilyen rendszer például úgy működhet, hogy megadjuk a célszemély és hozzátartozói születésnapját, családtagok és háziállatok neveit valamint a hobbijával kapcsolatos szavakat. Ezután a generátor ezek kombinációt hozza létre, amelyek közül egy nagy eséllyel lesz a tulajdonos jelszava.

Brute force

Magát az eljárást a legkevésbé kifinomult eljárásnak lehet nevezni, mivel minden lehetséges jelszót kipróbál, ezért ez a leglassabb eljárás, így azután a leghatásosabb is.
A brute force (magyarul nyers erő) az az eljárás, amely esetén az összes lehetséges jelszót kipróbálják a titkosítás kulcsának megtalálása érdekében. A titkosítást végző rendszert ismerve az összes lehetséges kulcsot kipróbálja az eljárás, így előbb-utóbb megtalálja a helyes jelszót. Mivel a számítási igény nagyon nagy lehet, ezért a brute force módszer eredményességét a rendelkezésre álló idő és az alkalmazott hardver számítási sebessége határozza meg. Az eredményes működéshez nagy kapacitású hardverre van szükség. A nagy gépigény miatt alkalmaznak nem csak bérelt szerverfarmokat, de videókártyákat is, mivel ezek a hardverelemek 500 vagy akár 3000 magot is tartalmazhatnak, szemben a személyi számítógépek 2 magjával vagy a korszerű szerverek 12 magjával. A történelem folyamán arra is volt már példa, hogy kifejezetten titkosító algoritmushoz fejlesztettek ki egy brute force célhardvert.

DES megfejtésére készített brute force célhardver

A kipróbált jelszavak száma függ a karakterek számától és attól, hány különböző karaktert alkalmazunk, így világos, hogy egy hosszú, speciális karaktereket is tartalmazó jelszó kitalálása nagyságrendekkel tovább tart, mint egy rövidebb, egyszerűbb jelszó megtalálása.
Védekezni az eljárás ellen úgy lehet a legjobban, ha olyan jelszavat választunk, amely kellően hosszú és a karakterek széles skáláját alkalmazza. Így könnyen találhatunk olyan jelszavat, amely esetén egy brute force évekig vagy akár milliárd évekig tartana.

Backtrack

Ezen linux disztribúció kifejezetten a számítógépek és számítógépes hálózatok biztonsági szintjének felmérésére jött létre. A backtrack ugyan alkalmas jelszavak visszafejtésére is, azonban eredeti célja, hogy az általa feltárt hiányosságokat a rendszerek tulajdonosai pótolni tudják. A legtöbben Wifi hálózatok jelszavának megfejtésére használják, de ugyanúgy alkalmazható akár SQL-adatbázisok jelszavának megtalálására is. Más sérülékenységet vizsgáló rendszerekkel összevetve a backtrack kicsit nagyobb fokú jártasságot vár a felhasználótól, nem úgy működik, hogy megnyomok egy gombot és megcsinál mindent automatikusan. Itt parancsokat kell kiadni, amelyeket sorban végrehajt a rendszer. [1]

Személyes adatok korszerű informatikai védelme a gyakorlatban

A backtrack jelszóadatbázissal rendelkezik, amely a gyakran alkalmazott és a korábban felderített jelszavakat tartalmazza. Ez szöveges txt fájlformátumban található meg a /pentest/password mappában, mérete: 35 Gb. Így azután könnyű elképzelni, mennyi különböző jelszóval rendelkezik, ezeket mind végig próbálja egy jelszófeltörési kísérlet során.

Backtrack tapasztalatok

A program használata során gyűjtött tapasztalatok alapján levonható következtetések a megfelelő jelszó kiválasztása terén:

  • Nem szabad „123456” típusú jelszavakat megadni, hiszen azokat egyszerű találgatással vagy egyszerű szoftvert alkalmazva pillanatok alatt megfejthetők.
  • A valóban hatékony jelszavak így néznek ki: „SG4zvci8n3R4yZngNcqTqV”. A jelszó hosszának növelésénél minden egyes hozzáadott karakterrel nagyságrendekkel növeljük a jelszó biztonságosságát.

Személyes adatok korszerű informatikai védelme a gyakorlatban

Az ábra mutatja, hogy a hosszabb, véletlenszerűnek tűnő jelszavakat is vissza lehet fejteni. A képen a „key found!” sorban látható a backtrack által 5 perc alatt megtalált jelszó.

A legerősebb jelszó tartalmaz írásjeleket, így sokkal több állapotot vehet fel egyetlen karakter is. Az így előállított, megfelelő hosszúsággal rendelkező jelszó a következőképpen néz ki:

Személyes adatok korszerű informatikai védelme a gyakorlatban

TrueCrypt

A TrueCrypt adattitkosítást végző program. Elérhető OS.X, Linux és Windows operációs rendszerekre is, így az elkészített titkosított fájlok bárhonnan elérhetők. Legnagyobb előnye, hogy nincs rajta kiskapu, amellyel ismerőseink, a hackerek vagy valamely nemzetbiztonság beleláthatna a védett tartalmakba.
A programmal lemez képfájlokat hozhatunk létre, amelyeket csatolva az operációs rendszerhez egy virtuális meghajtót kapunk. Titkosíthatunk vele továbbá meglévő partíciókat, meghajtókat vagy egész operációs rendszert is. A titkosított terület beállítható úgy, hogy az rejtve legyen, így, ha kényszerítenek bennünket a jelszó megadására, akkor hamis jelszót beírva bizalmasnak látszó fájljainkhoz jutunk, a titkosított rész pedig üres lemezterületként látszik. [2]

Személyes adatok korszerű informatikai védelme a gyakorlatban

A virtuális meghajtó csatolásához szükség van egy jelszóra vagy egy kulcsfájlra, esetleg mind a kettőre. Addig, ameddig nem azonosítottuk magunkat, addig nem láthatjuk a fájlok tartalmát, de még a titkosított fájlok neveit és a könyvtárszerkezetüket sem. [3]
A TrueCrypt program a nagyszámú hiteles visszajelzések alapján hibák nélkül, stabilan működik, így alkalmazása minden magánember számára ajánlott.

Felhasznált irodalom

  • [1] Shakeel Ali, Tedi Heriyanto: BackTrack 4: Assuring Security by Penetration Testing, April 2011 ISBN 978-1-849513-94-4 P.191
  • [2] FRAUNHOFER VERLAGSIT Technical Reports on the security of cloud storage services 03/2012 ISBN 978-3-8396-0391-8 P.44
  • [3] OTTAWA PC News 2007 June, volume 24, Number 6. ISBN-10 0-596-52720-9 P.5

Őszi Arnold

Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar
oszi.arnold@bgk.uni-obuda.hu

Kapcsolódó írásunk

Személyes adatok korszerű informatikai védelmének elmélete

Személyes adatok korszerű informatikai védelmének elmélete

Személyes adatok korszerű informatikai védelmének elmélete

A titkosítás a szöveg módosítása úgy, hogy azt csak egy titkos módszerrel lehet visszaállítani az eredeti, olvasható állapotra.

Ma olyan a korszakban élünk, amelyben az információ nagyon értékes lehet. Az ilyen értékes információ megvédésére mindenkinek és minden szervezetnek szüksége van.
Tárolt adataink valamint kommunikációink védelmére számos megoldás létezik az informatikában. Erre használhatunk tűzfalakat, mac address szűrést, titkosítást, adatrejtést, fizikai elválasztást és még számos eljárást. Jelen cikk ezen megoldások közül a titkosításokat, azon belül a korszerű, informatikában alkalmazott eljárásokat tárgyalja.
A titkosítás alapvető célja, hogy titkos adatokat juttassunk el a feladótól a címzettig egy nem biztonságos csatornán keresztül. A titkosítás másik célja, hogy a tárolt adatokhoz csak bizonyos személyek férhessenek hozzá.

A titkosítások lehetnek

  • szimmetrikusak – amikor a kódoláshoz és a dekódoláshoz ugyanazt a kulcsot használjuk) és
  • aszimmetrikusak – amikor a kódoláshoz és a dekódoláshoz más kulcsot használunk.

Szimmetrikus titkosítás

A szimmetrikus titkosítás előnye, hogy jóval gyorsabb, mint az aszimmetrikus titkosítás. Hátránya, hogy a feladónak és a címzettnek is ismernie kell a kulcsot, amit csak biztonságos csatornán javasolt elküldeni a feladótól a címzettnek, hiszen a kulcs megszerzésével bárki olvashatja az üzenetet.
Szimmetrikus kulcs alkalmazása esetén a kódolás és a dekódolás ugyanazzal a kulccsal történik. A kulcs lehet jelszó vagy kulcsfájl, esetleg ezek kombinációja.
Folyam (stream) titkosító algoritmus esetén a szöveget és a kulcsot bitenként XOR (kizáró vagy) művelettel összerendeljük. Ebben az esetben a kulcsnak és a szövegnek hasonló hosszúságúnak kell lennie, hogy ne lehessen felismerni az ismétlődést.

Az XOR művelet alkalmazása titkosításhoz

Szimmetrikus titkosítás például a DES, azonban ezt már nem szokták alkalmazni, mivel ez a titkosítás rövid időn belül visszafejthető.
Napjaink vezető szimmetrikus titkosító algoritmusainak az alábbiak mondhatóak:

  • AES (Rijndael [‘reinda:l], az AES pályázat nyertese)
  • Serpent (AES pályázatra készült)
  • Twofish (AES pályázatra készült)

A fent listázott titkosító algoritmusok kombinálhatók is, így például, ha AES-el titkosítottunk egy adatot, azt még titkosíthatjuk Serpent algoritmussal is és a végeredményt tovább titkosíthatjuk Twofish-el. Akkor a legnagyobb a biztonság, ha ezeknél egymástól teljesen különböző kulcsot választunk.
Szimmetrikus titkosítást legtöbbször a tárolt adatok titkosítására alkalmazunk. A következő táblázat az néhány titkosítási algoritmus kódolási és dekódolási sebességét mutatja. A táblázat tartalmazza továbbá az egyes algoritmusok összefűzésével történő titkosítások sebességének mérését is. A táblázat az egyes algoritmusokat illetve algoritmusláncokat azok sebessége szerint csökkenő sorrendben ábrázolja.

Algoritmus

Kódolás (MB/s)

Dekódolás (MB/s)

AES

139

137

Twofish

106

126

AES-Twofish

58,0

60,8

Serpent

58,2

58,8

Serpent -AES

40,9

41,3

Twofish-Serpent

39,4

40,3

AES-Twofish-Serpent

30,4

29,8

Serpent-Twofish-AES

29,4

30,8

A szimmetrikus algoritmusok kódolási és dekódolási sebességének összehasonlítása, a méréseket a szerző végezte

Aszimmetrikus titkosítás

Az aszimmetrikus titkosítás alkalmazása esetén a kódolási és dekódolási folyamat lassabb, mint a szimmetrikus módszereket alkalmazva. Emiatt ezt az eljárást nem szívesen alkalmazzák nagyméretű adatok titkosítására.
Az aszimmetrikus titkosítás esetén a kódolás egy nyilvános kulcs segítségével, még a dekódolás egy másik, úgynevezett titkos kulcs segítségével történik.

Személyes adatok korszerű informatikai védelmének elmélete

A legismertebb ilyen eljárás az RSA, amely a nevét a három megalkotójáról kapta:
Rivest, Shamir, Adleman

A gyakorlatban a működése úgy néz ki, hogy a kommunikáció résztvevői rendelkeznek saját nyilvános és titkos kulccsal.
A nyilvános kulcs segítségével titkosítható az adat, amely ezután már csak a hozzá tartozó – kizárólag a címzett birtokában lévő – titkos kulcs segítségével fejthető vissza. A nyilvános kulcsról tudni kell, hogy nem állítható elő belőle a titkos kulcs, és a nyilvános kulcs segítségével nem dekódolható az üzenet.
A folyamat tehát a következő a küldő és a címzett között:

  • a címzett megosztja az ő nyilvános kulcsát
  • a küldő a kapott nyilvános kulcs alapján kódolja az üzenetet
  • a küldő elküldi az így titkosított üzenetet a címzettnek
  • a címzett csak nála meglévő titkos kulcs segítségével visszafejti az üzenetet

PGP-módszer

A PGP-módszer alkalmazása egyesíti a szimmetrikus titkosítás gyorsaságát és az aszimmetrikus titkosítás biztonságát. Lényege, hogy az adat szimmetrikus titkosítással kódolt és e mellé elküldi a feladó a hozzá tartozó kulcsot aszimmetrikus titkosítással kódolva. A szimmetrikus titkosításhoz használt kulcsot véletlenszám-generátorral állítják elő, és jellemzően csak egyszer használják fel. Ezt a kulcsot session key-nek is nevezik. A session key kis mérete miatt a titkosítása relatív gyorsan történik.
A folyamat a következőképpen zajlik le a feladó és a címzett között:

  • előállítják a szimmetrikus kulcsot
  • ezen szimmetrikus kulcs segítségével titkosítják az adatot
  • a címzett nyilvános kulcsa segítségével titkosítják a szimmetrikus kulcsot
  • a titkosított adatot és titkosított szimmetrikus kulcsot elküldik a címzetthez
  • a címzett saját titkos kulcsa segítségével dekódolja a szimmetrikus kulcsot
  • a szimmetrikus kulcs segítségével dekódolja az adatot

 

Őszi Arnold

Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar
oszi.arnold@bgk.uni-obuda.hu

 

Kapcsolódó írásunk

Személyes adatok korszerű informatikai védelme a gyakorlatban

 

Törvénybe foglalták a közösségi oldalakra kihelyezett adatok védelmét

Törvénybe foglalták a közösségi oldalakra kihelyezett adatok védelmét

Az USA több államában is törvénnyel védik már a közösségi oldalakra kihelyezett adatokat. Legutóbb Kaliforniában, ahol is az államok legszigorúbb adatvédelmi törvényét fogadták el, amellyel azt kívánják megakadályozni, hogy a főnök vagy az oktató hozzájusson személyes adatokhoz az olyan közösségi oldalakról, mint a Facebook vagy a Twitter.

Ezen túl a cégek vagy az iskolák nem kérhetnek hozzáférést a dolgozó vagy a tanuló közösségi oldalra föltett adataihoz vagy az e-mail fiókjához – áll a frissen aláírt törvényjavaslatban.
Az eddigi gyakorlat az volt, hogy a munkáltató elkérte a dolgozó jelszavait vagy az állásinterjún belenézett a jelölt közösségi oldalába. A vállalatok vagy iskolák egyre jobban figyeltek munkavállalók és a diákok személyes oldalaira a Facebookon, a Twitteren vagy épp a Google+-on, ahol is kompromittáló fotókat vagy kényes megjegyzéseket kerestek. És mivel van lehetőség az idegenek elől elzárni az oldalakat, elkérték a hozzáférést a személyes adatokhoz. Több példa is volt arra, hogy aki megtagadta a leendő munkáltatótól a hozzáférést, azt nem alkalmazták. Most több államban is törvényi úton kívánják megszüntetni ezt a gyakorlatot.

 

Törvény szerint eddig sem volt már joga a munkaadónak vagy oktatónak a jelöltet olyan személyes adatiról faggatni, mint például életkor, családi állapot és szexuális irányultság. Ezeket az információkat az e-mailekből vagy a közösségi oldalakról próbálták megszerezni. Azokhoz adatokhoz, amelyeket nem védünk, bárki hozzáférhet, a törvény most azt mondja ki, hogy a védett adatokhoz ne kérhessenek hozzáférést a cégek. De mindenképp javasolt, az adatvédelmi beállításokra figyelni, hogy ne férhessen bárki személyes adatainkhoz. És a törvényektől függetlenül is alaposan meg kell gondolni, ki, mit tesz közzé magáról az Interneten.

Kalifornia az első állam, amely egyaránt törvénnyel védi a diákokat és a munkavállalókat. Marylandban és Illinoisban idén jóváhagyott törvények csak a munkavállalókat, amíg Delawareban csak a diákokat védték. Ma már tucatnyi más állam és a kongresszus is fontolgatja hasonló jogszabályok megalkotását.

Forrás: Joel Griffin írása, www.securityinfowatch.com

 

English
Best practices for dropping a monitoring customer

by Joel Griffin
Industry experts discuss the financial, legal implications of disconnecting accounts

California, home to many of the world’s social media companies, now has the nation’s strictest privacy laws preventing your boss or college from surfing through the personal information you post on sites like Facebook.

It will be illegal for companies or universities to ask for access to your personal social media or email accounts under two bills signed Thursday by Gov. Jerry Brown.

“The Golden State is pioneering the social media revolution, and these laws will protect all Californians from unwarranted invasions of their personal social media accounts,” Brown said in a statement.

Recent accounts of employers asking for personal passwords or requiring applicants to open their Facebook pages during interviews sparked the new laws.

Companies and universities are increasingly trying to keep tabs on workers and students — and vet prospective hires and admissions — by monitoring their personal pages like Twitter and Google (GOOG)+ to see if they’ve posted anything like drunk photos or insensitive comments. But many people block public access to these posts through privacy settings.

Then in March, details of Maryland correctional officials asking for access to job applicants’ personal Facebook accounts led to similar stories around the nation. Some people said they were turned down for jobs after refusing to give employers their social media information, prompting lawmakers around the nation to propose bills banning the practice.

“No boss should be able to ask for this kind of personal information,” said state Sen. Leland Yee, D-San Francisco, who wrote the California bill banning schools from asking students for their passwords. “You don’t go on a fishing expedition when (people) apply for a job or admission for college.”

Proponents say the laws apply 21st century reality to existing standards that protect job hunters and school applicants from giving out personal information like age, marital status and sexual orientation — details often revealed on social media pages.

“There’s enough information on the Internet where you can find out ample information about people — about what is relevant to hiring a person,” said Jacqueline Moshref, a human resources manager for a small medical device company in Sunnyvale. Anything more “is an invasion of privacy.”

Despite the laws, there is nothing to prevent employers and universities from looking through your social media pages if they are made public. Experts recommend tweaking your privacy settings to protect yourself so not everyone can see your personal posts.

“You still need to be very careful with what you post online,” said Bradley Shear, a Maryland-based social media attorney who advised lawmakers in California and other states on their new laws. “It still comes down to common sense.”

California is the first state to enact laws protecting both students and workers after Maryland and Illinois earlier this year approved laws affecting just workers and Delaware did the same for just students. About a dozen other states and Congress are considering similar legislation.

The two laws — SB 1349 from Yee and AB 1844 from Assemblywoman Nora Campos, D-San Jose — overwhelmingly passed the Legislature in late August and had broad support from employee unions, technology companies and consumer groups.

Source: www.securityinfowatch.com

 
Vita Nagy Britanniában taxis CCTV-ről

Vita Nagy Britanniában a taxis CCTV-ről

A városi tanácsok és a taxisok támogatják, amíg az adatvédelmi biztos ellenzi Nagy Britanniában a taxikban elhelyezett videomegfigyelő-rendszereket. Southampton mellett több brit városban is vita folyik a taxis CCTV-ről.

Southampton Város Tanácsa 2009 augusztusától kötelezővé tette, hogy a taxikban képet és hangot rögzítsenek, ezzel kívánják a taxisok és az utasok biztonságát növelni. Most azonban az adatvédelmi biztos hivatala kimondta, a tanács túl messzire ment, mert kép- és hangfelvételek rögzítése sérti az adatvédelmi törvényt, és a rögzítés aránytalan a fenyegetettséggel. A döntés ellen azonban Southampton Város Tanácsa fellebbezett.
Az idei év elején Oxford Város Tanácsa is tervezte, hogy kötelezővé teszi a rögzítést a taxisok számára, de a biztos beavatkozott, és meggátolta a rendelet életbelépését.
Christopher Graham, adatvédelmi biztos elmondta, érti a Southampton-i tanács szándékát a biztonság növelése érdekében, de ezzel szemben áll az utasok és a taxisok magánéletének védelme. Fennáll az a veszély, hogy a taxiban rögzített felvételeket más célra is fölhasználják.
Southampton Város Tanácsa viszont állítja, hogy ezeket a felvételeket automatikusan törlik, és csak akkor nézik meg, ha valamilyen bűncselekmény történt. A fellebbezés miatt 2013 tavaszáig még kötelező lesz a taxisoknak a rögzítés Southamptonban.

 

Eközben Kentben az egyik taxitársaság arra ösztönzi a járművezetőket, hogy mivel az országban nő a taxisok elleni támadások száma, ők is telepítsenek rögzítő berendezéseket. Szerintük is a biztonság a fontosabb az adatvédelemnél, és már 300 fontért kapható videomegfigyelő-rendszert ajánlanak a taxisoknak. Mike O’Brien, a közösségi biztonságért felelős kenti tanácsos, azt mondta, hogy tanács nem tervezi a rendszerek telepítésének kötelezővé tételét. De örül, és támogatja a taxisok kezdeményezését, hogy telepítsenek CCTV-t saját és az ügyfeleik biztonsága érdekében. Feltéve, hogy betartják a megfelelő előírásokat, és az utasokat figyelmeztetik, rögzítőt szereltek fel a járműben.
A taxisok továbbra is kitartanak a rögzítés fontossága mellett, azzal az ígérettel, hogy csak akkor nézik meg a rögzített anyagot, ha bűncselekmény történik, és kiemelték a berendezés üzemeltetésének a támadásokat elrettentő hatását. Az adatvédelmi biztos szóvivője megígérte, hogy alaposan megvizsgálják a fellebbezésre benyújtott anyagot.

Ha megszületik a végső döntés, akkor a brit megoldás valószínűleg hatással lesz az Európai Unió más országainak gyakorlatára is.

Készül Rob Ratcliff írásai alapján
 

Lap teteje