Hogyan előzhető meg, hogy illetéktelenek átvegyék a hatalmat doméneink felett?
Doménbiztonság és adatvédelem online workshop - 2020
A SZTAKI Hálózatbiztonsági és Internet Technológiák Osztálya (HBIT), a HunCERT, az Internet Szolgáltatók Tanácsa (ISZT) és a Magyar Elektronikus Aláírás Szövetség (MELASZ) azért szervezte a Doménbiztonság és adatvédelem online workshopot, hogy doménnevek igénylői, használói, doménregisztrátorok, vállalkozások és szervezetek képet kapjanak arról, hogy a domének használata során milyen kockázatokkal kell számolni, és hogyan védhetik meg saját doméneiket.
A doménbiztonsági workshopon a hallgatóság részletes képet kaphatott arról, hogy:
- hogyan előzhető meg, hogy illetéktelenek átvegyék a hatalmat doméneink felett;
- majd ezzel átvegyék a hatalmat honlapjaink, elektronikus levelezésünk felett;
- akár tömegesen üzleti és személyes adatokat megszerezve;
- majd ezzel nagyszámú érintettel szemben visszaéléseket elkövetve.
Különösen webáruházak, pénzintézetek, szolgáltatók, vállalkozások és szervezetek, akiknek kritikus doménneveik vannak, illetve ezek vezetői, informatikus szakemberek és jogászok számára egyaránt hasznos tájékoztatás nyújtása volt a cél.
A workshop az Internet Szolgáltatók Tanácsa (ISZT) által megkezdett személyes adatok védelméről szóló rendezvénysorozatba is illeszkedett:
- egyrészt összefoglalta [PDF] a 2019-es ISZT workshopok adatvédelmi mondanivalóját;
- másrészt adatvédelmi kiutak kereséséről szólt egy előadás [PDF]: "Hogyan ne frusztráljuk, de védjük a felhasználót?";
- valamint az ún. domén whois szolgáltatások kapcsán szintén az adatvédelmi kiutakkal foglalkoztunk, illetve a whois trendeket mutattuk be [PDF].
Doménbiztonság
A doménbiztonság és DNS-biztonság két különböző, de szorosan csatlakozó szakterület. A doménbiztonság a domének védelmével foglalkozik, a domén igényléstől kezdve a használat során a regisztrált doménnév védelmével, valamint különösen azzal, hogy a doménnév felett más vehesse át a hatalmat. Az általános dolgokon túl bemutattunk egy fiktív példát, mely szerint egy bank doménneve felett csalárd fél megszerzi a hatalmat. Hogyan lehetséges ez? Milyen következményekkel járhat? Hogyan enyhíthető a kár, ha már ilyen esemény történt? De leginkább az a kérdés: Hogyan előzhető meg, hogy doménünk felett illetéktelenek vegyék át a hatalmat? [PDF]
A doménbiztonság fontos része a doménregisztráció szabályozása. A .hu nyilvántartó szervezet részéről éppen a szabályozás biztonságban betöltött szerepéről hangzott el előadás, és egy másik előadás pedig tárgyalta, hogy a felső szintű domének (top level domain /TLD/) biztonsági kérdése eltérőek az egyes TLD-k eltérő szabályozásnak és gyakorlatának köszönhetően. Az előadás rámutatott, hogy az ún. rossz és jó domén mutatók tekintetében a .hu domén kiváló értékekkel rendelkezik.
Adatvédelem
Összefoglalva:
- A személyes adat nem adat, hanem információ, noha nevében az adat szó szerepel.
- Nem minden adatkezelés, amikor adatokat, melyek személyes információt hordoznak, valamilyen módon tárolunk, továbbítunk.
- Nem minden adatkezelés, melyet gyakran annak vélünk. Egy szolgáltató nem feltétlenül kezeli a személyes adatainkat, pusztán csak azért, mert fizikailag azokkal kapcsolatba kerül, pl. azok a szolgáltató eszközein tárolódnak vagy továbbítódnak.
- Lehet és kell keresni kiutakat az adatvédelmi problémákból. Nem szabad belenyugodni abba, hogy minket érintetteket szolgáltatók frusztráljanak adataink kezelésével (lásd különösen a webes cookie-k terén kialakult fájdalmas gyakorlatot). Nem szabad a szolgáltatóknak belenyugodni, hogy ésszerűtlen, ügyfeleik és felhasználók számára kellemetlen adatkezelést várjanak el tőlük. Javaslatok is elhangzottak, hogyan lehet lépéseket tenni e cél érdekében:
- Magatartási kódexek alkotása;
- Tanúsítás (audit, minősítés);
- Tájékoztatás csak igény szerint és ne kéretlenül értelmetlenül és feleslegesen történjék;
- Kockázatarányos megközelítés;
- Hatósági felülvizsgálat, engedélyezés, vizsga.
Társrendezőnk, a Magyar Elektronikus Aláírás Szövetség (MELASZ) a tanúsítványkiadó felelőssége és felelősségvállalása témájában [PDF] tartott előadást, majd egy másik előadás általánosságban tárgyalta a szolgáltatók felelősségét, ezek alapvető szabályait és elveit [PDF].
Az előadásokat online konferenciaként, a Zoom segítségével tartottunk, stílszerűen a nyitóelőadás az online meeting és konferencia adatvédelmi műszaki kérdéseiről szólt, különösen a Zoom használatának apropójából.
Az előadások megtekinthetők alább (a jobb felső sarokban, a lejátszási lista megnyitásával válogatni lehet az egyes előadások között):
Főrendezők:
- Internet Szolgáltatók Tanácsa Regisztrátori Testülete
- HunCERT
- SZTAKI
Társrendező:
- Magyar Elektronikus Aláírás Szövetség (MELASZ)