hivatkozási szám: RE/2014/KOJO-1-2
Szakvélemény Rigó Ernő Informatikai igazságügyi szakértő Igazolvány száma: 009771
Levelezési cím: 1111, Budapest, Lágymányosi u. 11. L211. MTA SZTAKI Telefon: +36/20/5209965 E-mail:
[email protected]
Tartalom I. A Szakértő nyilatkozatai....................................................................................................................3 II. Bevezető...........................................................................................................................................4 II.1. A feltett szakkérdések...............................................................................................................4 III. A lelet leírása..................................................................................................................................7 III.1. A tevékenység forrás dokumentumai és vizsgálati tárgyai.....................................................7 III.2. A vizsgálat során felhasznált egyéb források..........................................................................7 IV. A vizsgálati módszertan rövid leírása.............................................................................................8 IV.1. A vizsgálat módszere...............................................................................................................8 V. A vizsgálat eredménye......................................................................................................................9 V.1. A vizsgált weblapok..................................................................................................................9 VI. Szakértői vélemény......................................................................................................................15 VI.1. Általános információbiztonsági kérdések.............................................................................15 VI.2. Specifikus kérdések az SZTNH által üzemeltetett rendszerről............................................18 VI.3. Nemzetközi gyakorlat...........................................................................................................20 VII. Mellékletek.................................................................................................................................21 VII.1. Elektronikus mellékletek.....................................................................................................21
- 2/21. oldal -
hivatkozási szám: RE/2014/KOJO-1-2
Szakvélemény Rigó Ernő Informatikai igazságügyi szakértő Igazolvány száma: 009771
Levelezési cím: 1111, Budapest, Lágymányosi u. 11. L211. MTA SZTAKI Telefon: +36/20/5209965 E-mail:
[email protected]
I. A Szakértő nyilatkozatai 1. Jelen Szakvélemény kizárólagos készítője Rigó Ernő, informatikai igazságügyi szakértő (igazolvány száma: 009771, a továbbiakban: Szakértő). 2. A Szakértő a Szakvélemény előállítása, illetve az ehhez szükséges tevékenység elvégzése során a vonatkozó jogszabályi és szakmai ajánlásoknak megfelelően, a tőle elvárható legnagyobb gondossággal járt el. 3. A Szakértő kijelenti, hogy a vizsgálat tárgyával, illetve a szakértői tevékenység érintettjeivel kapcsolatban, részéről elfogultság nem áll fenn. 4. A Szakértő a Szakvélemény tartalmáért és szakmai elfogadhatóságért teljes szakmai és igazságügyi szakértői felelősséggel tartozik. 5. A Szakvélemény a vizsgálat során rendelkezésre álló adatok és a vizsgálat időpontjában érvényes szakmai alapfeltevések alapján készült. A Szakértő vizsgálatának eredményét, a későbbiekben feltárt, illetve a vizsgálat során tudomásán kívül eső tények befolyásolhatják. A Szakértő ilyen esetekre fenntartja a Szakvélemény megváltoztatásának jogát.
- 3/21. oldal -
hivatkozási szám: RE/2014/KOJO-1-2
Szakvélemény Rigó Ernő Informatikai igazságügyi szakértő Igazolvány száma: 009771
Levelezési cím: 1111, Budapest, Lágymányosi u. 11. L211. MTA SZTAKI Telefon: +36/20/5209965 E-mail:
[email protected]
II. Bevezető II.1. A feltett szakkérdések 1. Tárgyi ügyben, 2014. március 28. napon kelt kirendelő határozatában a Megbízó a következő Szakkérdéseket teszi fel a Szakértő számára: 1. A közjegyzői iraton (M1) látható háromszor a következő URL sor: http://epub.hpo.hu/e-aktabetekintes/index.html? lang=hu&service=ADATLAP&appId=P1300496 A három URL sor csak az utolsó számot alkotó bejelentési azonosítóban tér el egymástól. A szabadalmi bejelentések ismert azonosítója ügyszámként kíséri a szabadalmat (P, azaz patent, 13, azaz 2013, a többi a sorszám 00001-től évvégéig egyesével növekvően). Ez az információ az SZTNH közlönyeiből is ismert. A Magyarorszag.hu kormányzati portálról (M2) és korábban az SZTNH weblapjáról ismert, és az SZTNH levelében (M3, 4. lap) is megerősített http://epub.hpo.hu/e-aktabetekintes/? lang=HU link ismeretében, az ebbe beszúrt index.html és &service=ADATLAP@AppId=P1300... felismeréséhez kell-e programozási ismeret, vagy gyakorlott felhasználó számára kézenfekvő a kiegészítés, ha az URL útján a közjegyzői iratban (M1) is látható ADATLAP-hoz akarunk hozzáférni a bejelentési azonosító szám alapján? 2. A 2013. évi L. törvény 5. §-a alapján az SZTNH-nak folyamatosan biztosítania kell az adatok bizalmasságát, továbbá rendszerének támogatnia kell a korai figyelmeztetést, észlelést, reagálást. Az SZTNH hivatalos közleményei és az SZTNH levél (M3, 1. lap) szerint az SZTNH 2013. szeptember 16-án értesült a KIM-től az üzleti titkokat tartalmazó szabadalmi bejelentések hozzáférési lehetőségéről. A levél (M3 3. lap) szerint a hozzáférésre 2012. június 24-től volt lehetőség. A közjegyző a ténytanúsítvány szerint (M1) a szabadalmi iratokat 2013. augusztus 30-án töltötte le. A fentiekből következik, hogy 2012. június 24-e és 2013. szeptember 16-a között az adatok biztonságos tárolásának hiányosságát nem észlelték. Ugyanígy következik, hogy a közjegyző általi tényleges letöltést sem észlelték. A rendelkezésre álló adatok alapján megfelelő volt-e az adatbázis, illetve az azt kezelő szoftver elkészítése utáni információbiztonsági ellenőrzés? 3. Hogyan minősíthető az SZTNH adatbázis üzemeltetése, illetve az azt kezelő szoftver üzemeltetése során az információbiztonsági ellenőrzés? 4. Megállapítható-e konkrét információbiztonsági mulasztás az adatbázis kezelője részéről, amikor a 2013. augusztus 30-i közjegyzői bizonyítási letöltést és a többi, 2013. 08. 27 és - 4/21. oldal -
hivatkozási szám: RE/2014/KOJO-1-2
Szakvélemény Rigó Ernő Informatikai igazságügyi szakértő Igazolvány száma: 009771
Levelezési cím: 1111, Budapest, Lágymányosi u. 11. L211. MTA SZTAKI Telefon: +36/20/5209965 E-mail:
[email protected]
2013. 09. 16. közötti százas nagyságrendűre becsült letöltést sem észlelték, illetve nem reagáltak csak a KIM értesítése után? (Abból a logikus feltételezésből indulunk ki, hogy észleléskor azonnal leállították volna a hozzáférést. Ha észlelték és nem intézkedtek, az még nagyobb hiba lenne.) 5. Információbiztonsági szempontból hogyan értékelhető, hogy egy szerkeszthető URL mögött akkor is, ha a teljes URL-t nem publikálták - jelszó nélkül elérhető, üzleti titkokat tartalmazó, nem nyilvános dokumentumok legyenek? 6. Információbiztonsági szempontból hogyan értékelhető, ha titkos és nyílt iratokat egy közös, jelszó nélkül elérhető adatbázisban tárolnak, továbbá a nyílt és titkos iratok azonosítószáma változatlan marad az átsoroláskor? 7. Egyértelműen azonosítható-e egy IP cím alapján utólag, hogy személy szerint ki használta az IP cím mögötti számítógépet egy adott időben? 8. Megerősíti-e a tisztelt szakértő saját vizsgálata, hogy a szakértői vizsgálat elvégzésének idején is működik és használható a fenti szerkezetű (M1 tanúsítványban is szereplő) URL sor védjegyek esetében az SZTNH által kezelt E-kutatás adatbázis adatainak megtekintésére – mind magyar, mind angol nyelven (lásd fent a kérdések előtt a két URL sort)? 9. Amennyiben bizonyítható, hogy a fenti szerkezetű (M1 tanúsítványban is szereplő) URL sor védjegyek esetében már 2012 őszén használható volt az SZTNH által kezelt E-kutatás adatbázis adatainak megtekintésére, abban az esetben hogyan minősíthető az SZTNH e-iratbetekintés információbiztonsága? 10. Amennyiben bizonyítható, hogy a fenti szerkezetű (M1 tanúsítványban is szereplő) URL sor védjegyek esetében már korábban is használható volt az SZTNH által kezelt E-kutatás adatbázis adatainak megtekintésére, és azt 2012 őszétől kezdve ténylegesen használták is különböző IP címekről a hivatal által nyilvántartott adatok internetes (az SZTNH rendszerén kívülről érkező) lekérésére, abban az esetben hogyan minősíthető az SZTNH e-iratbetekintés információbiztonsága? 11. Megerősíti-e a tisztelt szakértő saját vizsgálata, hogy az iparjogvédelmi oltalom adatok közvetlen lekérésének lehetővé tétele (azonosítót tartalmazó egyedi URL címhez rendelése) nem csak magyarországi gyakorlat, hanem nemzetközi szinten is gyakorlat, például az alábbi EPO (Európai Szabadalmi Hivatal) és WIPO (Szellemi Tulajdon Világszervezete) linkeknél: - EPO: https://register.epo.org/application?number=EP13706709 https://register.epo.org/espacenet/application?number=EP13706709 https://register.epo.org/application?number=EP09737473 - 5/21. oldal -
hivatkozási szám: RE/2014/KOJO-1-2
Szakvélemény Rigó Ernő Informatikai igazságügyi szakértő Igazolvány száma: 009771
Levelezési cím: 1111, Budapest, Lágymányosi u. 11. L211. MTA SZTAKI Telefon: +36/20/5209965 E-mail:
[email protected]
- EPO/Espacenet (http://www.epo.org/searching/free/espacenet.html): http://worldwide.espacenet.com/publicationDetails/biblio? FT=D&date=20080911&DB=worldwide.espacenet.com&locale=en_EP&CC=JP&NR=200 8207750A&KC=A&ND=4 - WIPO: http://patentscope.wipo.int/search/en/detail.jsf?docId=JP23474915 http://patentscope.wipo.int/search/en/detail.jsf?docId=WO2011100854 http://patentscope.wipo.int/search/en/detail.jsf? docId=WO2011100854&recNum=1&tab=PCTDocuments&maxRec=&office=&prevFilter= &sortOption=&queryString=
- 6/21. oldal -
hivatkozási szám: RE/2014/KOJO-1-2
Szakvélemény Rigó Ernő Informatikai igazságügyi szakértő Igazolvány száma: 009771
Levelezési cím: 1111, Budapest, Lágymányosi u. 11. L211. MTA SZTAKI Telefon: +36/20/5209965 E-mail:
[email protected]
III.
A lelet leírása
III.1. A tevékenység forrás dokumentumai és vizsgálati tárgyai 1. A vizsgálat során a felsorolt vizsgálati tárgyak nem változtak és nem semmisültek meg. III.1.2.
Elektronikus adathordozók
1. A Szakértő számára a Megbízó által elektronikus úton átadott vizsgálati tárgyak jegyzéke: Típus
Oldalszám / Kapacitás / Méret / Darabszám
M1
Dokumentum
3 oldal
Jegyzőkönyvi tanúsítvány, Dr. Nagy Henriett közjegyzőhelyettes, kelt: 2013.08.30.
2.
M2
Dokumentum
6 oldal
Szellemi Tulajdon Nemzeti Hivatala, Dr. Bendzsel Miklós, kelt: 2013.12.03.
3.
M3
Dokumentum
1 oldal
Magyarország.hu Ügyfélkapu képernyőkép, módosítás dátuma: 2011.03.16.
#
Tárgy megnevezés / Azonosító
1.
Megjegyzés
III.2. A vizsgálat során felhasznált egyéb források III.2.1. # 1.
2.
Azonosító IBTV
NFM77
III.2.2. #
Azonosító
Hazai jogszabályok Típus
Megjegyzés
Jogszabály
2013. évi L. törvény, az állami és önkormányzati szervek elektronikus információbiztonságáról
Jogszabály
77/2013. (XII. 19.) NFM rendelet, az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint biztonságos információs eszközökre, termékekre vonatkozó, valamint a biztonsági osztályba és biztonsági szintbe sorolási követelményeiről
Nemzetközi ipari szabványok, ajánlások, módszertanok Típus
Megjegyzés
1.
OWASP
Szabvány
OWASP web alkalmazás biztonsági ellenőrzési szabvány1
2.
COBIT
Szabvány
COBIT üzleti informatikai irányítási és menedzsment keretrendszer2
1 Lásd: https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project 2 Lásd: http://www.isaca.org/COBIT/Pages/default.aspx?cid=1003566&Appeal=PR
- 7/21. oldal -
hivatkozási szám: RE/2014/KOJO-1-2
Szakvélemény Rigó Ernő Informatikai igazságügyi szakértő Igazolvány száma: 009771
IV.
Levelezési cím: 1111, Budapest, Lágymányosi u. 11. L211. MTA SZTAKI Telefon: +36/20/5209965 E-mail:
[email protected]
A vizsgálati módszertan rövid leírása IV.1. A vizsgálat módszere
1. A vizsgálat a Megbízó által átadott anyagok manuális áttekintő vizsgálatából áll. 2. A weblap hivatkozás típusú adatok esetében a Szakértő a Google Chrome és Mozilla Firefox szoftverek segítségével végzi el az információk rögzítését, melynek során: • Egyszerű szövegfájlban („web.url”) rögzíti a weblap elérési útvonalát. • Rögzíti a weblap teljes elérésének teljes hálózati forgalmát, a Chrome böngésző HTTP Archive (HAR) formátumában3, a böngésző beépített „web developer tools” funkciója segítségével. • Rögzíti a weblap megjelenítési képét („download.png”) a Chrome böngésző „screen capture” bővítménye segítségével. • Rögzíti a weblap tartalmát a Firefox böngésző „teljes weblap” mentési funkciójával. 3. A weblap hivatkozások, illetve a feltett szakkérdések vizsgálatát a Szakértő az előző szakaszban felsorolt hazai, illetve nemzetközi jogszabályok, szabványok, illetve ajánlások alapján végzi el.
3 Lásd: http://www.softwareishard.com/blog/har-12-spec/
- 8/21. oldal -
hivatkozási szám: RE/2014/KOJO-1-2
Szakvélemény Rigó Ernő Informatikai igazságügyi szakértő Igazolvány száma: 009771
Levelezési cím: 1111, Budapest, Lágymányosi u. 11. L211. MTA SZTAKI Telefon: +36/20/5209965 E-mail:
[email protected]
V. A vizsgálat eredménye V.1. A vizsgált weblapok 1. Vizsgált URL: http://epub.hpo.hu/e-kutatas/?lang=HU Rögzítés ideje: 2014-04-12 12:38:04
2. Vizsgált URL: http://epub.hpo.hu/e-aktabetekintes/?lang=HU Rögzítés ideje: 2014-04-12 12:43:38
- 9/21. oldal -
hivatkozási szám: RE/2014/KOJO-1-2
Szakvélemény Rigó Ernő Informatikai igazságügyi szakértő Igazolvány száma: 009771
Levelezési cím: 1111, Budapest, Lágymányosi u. 11. L211. MTA SZTAKI Telefon: +36/20/5209965 E-mail:
[email protected]
3. Vizsgált URL: http://epub.hpo.hu/e-kutatas/index.html? lang=en&service=ADATLAP&appId=M1201927 Rögzítés ideje: 2014-04-12 12:49:07
4. Vizsgált URL: http://epub.hpo.hu/e-kutatas/index.html? lang=hu&service=ADATLAP&appId=M1201927 Rögzítés ideje: 2014-04-12 12:52:58
- 10/21. oldal -
hivatkozási szám: RE/2014/KOJO-1-2
Szakvélemény Rigó Ernő Informatikai igazságügyi szakértő Igazolvány száma: 009771
Levelezési cím: 1111, Budapest, Lágymányosi u. 11. L211. MTA SZTAKI Telefon: +36/20/5209965 E-mail:
[email protected]
5. Vizsgált URL: http://epub.hpo.hu/e-aktabetekintes/index.html? lang=hu&service=ADATLAP&appId=P1300496 Rögzítés ideje: 2014-04-05 08:24:50
6. Vizsgált URL: https://register.epo.org/application?number=EP13706709 Rögzítés ideje: 2014-04-05 08:46:01
7. Vizsgált URL: https://register.epo.org/espacenet/application?number=EP13706709 Rögzítés ideje: 2014-04-05 08:57:28 (Az előző pontban rögzített weboldalra irányít, „302 Found” HTTP kóddal) - 11/21. oldal -
hivatkozási szám: RE/2014/KOJO-1-2
Szakvélemény Rigó Ernő Informatikai igazságügyi szakértő Igazolvány száma: 009771
Levelezési cím: 1111, Budapest, Lágymányosi u. 11. L211. MTA SZTAKI Telefon: +36/20/5209965 E-mail:
[email protected]
8. Vizsgált URL: https://register.epo.org/application?number=EP09737473 Rögzítés ideje: 2014-04-05 09:03:06
9. Vizsgált URL: http://worldwide.espacenet.com/publicationDetails/biblio? FT=D&date=20080911&DB=worldwide.espacenet.com&locale=en_EP&CC=JP&NR=200820775 0A&KC=A&ND=4 Rögzítés ideje: 2014-04-05 09:09:57
- 12/21. oldal -
hivatkozási szám: RE/2014/KOJO-1-2
Szakvélemény Rigó Ernő Informatikai igazságügyi szakértő Igazolvány száma: 009771
Levelezési cím: 1111, Budapest, Lágymányosi u. 11. L211. MTA SZTAKI Telefon: +36/20/5209965 E-mail:
[email protected]
10. Vizsgált URL: http://patentscope.wipo.int/search/en/detail.jsf?docId=JP23474915 Rögzítés ideje: 2014-04-05 09:16:34
11. Vizsgált URL: http://patentscope.wipo.int/search/en/detail.jsf?docId=WO2011100854 Rögzítés ideje: 2014-04-05 09:23:40
- 13/21. oldal -
hivatkozási szám: RE/2014/KOJO-1-2
Szakvélemény Rigó Ernő Informatikai igazságügyi szakértő Igazolvány száma: 009771
Levelezési cím: 1111, Budapest, Lágymányosi u. 11. L211. MTA SZTAKI Telefon: +36/20/5209965 E-mail:
[email protected]
12. Vizsgált URL: http://patentscope.wipo.int/search/en/detail.jsf? docId=WO2011100854&recNum=1&tab=PCTDocuments&maxRec=&office=&prevFilter=&sortO ption=&queryString= Rögzítés ideje: 2014-04-05 09:30:08
- 14/21. oldal -
hivatkozási szám: RE/2014/KOJO-1-2
Szakvélemény Rigó Ernő Informatikai igazságügyi szakértő Igazolvány száma: 009771
VI.
Levelezési cím: 1111, Budapest, Lágymányosi u. 11. L211. MTA SZTAKI Telefon: +36/20/5209965 E-mail:
[email protected]
Szakértői vélemény
VI.1. Általános információbiztonsági kérdések VI.1.1.
Az URL szerkeszthetősége
1. A feltett szakkérdés: „[1] A közjegyzői iraton (M1) látható háromszor a következő URL sor … A Magyarorszag.hu kormányzati portálról (M2) és korábban az SZTNH weblapjáról ismert, és az SZTNH levelében (M3, 4. lap) is megerősített … link ismeretében, az ebbe beszúrt index.html és &service=ADATLAP@AppId=P1300... felismeréséhez kell-e programozási ismeret, vagy gyakorlott felhasználó számára kézenfekvő a kiegészítés, ha az URL útján a közjegyzői iratban (M1) is látható ADATLAP-hoz akarunk hozzáférni a bejelentési azonosító szám alapján?” 2. Válasz: A szakkérdésben vázolt kiegészítést gyakorlott felhasználó is végre tudja hajtani, a művelet nem igényel programozási ismeretet. 3. Indoklás: A felhasznált webes alkalmazás mindenkor aktuális URL értéke a felhasználó számára, a böngésző szoftverben, a címsorban folyamatosan látható és nyomon követhető információ. Az URL egyszerű felépítésű, szabványos elválasztó karaktereket („?”, „&”, „=”, stb.) és szöveges vagy numerikus adatokat tartalmaz. Az URL-en elvégzett módosítások hatása a webes alkalmazás működésére a legtöbb esetben (így a vizsgált esetben is) tapasztalati úton, egyszerű próbálkozással is kinyerhető információ. 4. Megjegyzés: Az URL felhasználói hasznosítása jellemző művelet a böngészők könyvjelző funkciójának felhasználása során, valamint elektronikus (e-mail, weblapok, fórumok, címtárak, stb...) és nyomtatott (névjegyek, hirdetések, brosúrák, publikációk, stb.) médiumokban is. A széles körben felhasznált webes alkalmazásokhoz kapcsolódó URL-ek szerkesztéséhez, gyakorlott felhasználók számára számos leírást találhatunk4. VI.1.2.
Az URL hozzáférésének biztonsága
1. A feltett szakkérdés: „[5] Információbiztonsági szempontból hogyan értékelhető, hogy egy szerkeszthető URL mögött - akkor is, ha a teljes URL-t nem publikálták - jelszó nélkül elérhető, üzleti titkokat tartalmazó, nem nyilvános dokumentumok legyenek?” 2. Válasz: A nem nyilvános tartalmak azonosítás nélküli elérhetővé tétele információbiztonsági szempontból nem megfelelő gyakorlat. 3. Indoklás: A webes alkalmazások biztonsági értékelésére vonatkozó, nemzetközi de facto standard, az OWASP ASVS azonosítási szakaszának (Authentication Requirements (V2)) releváns pontjai szerint: • V2.1: A specifikusan nyilvános esetek kivételével, minden weboldalnak és erőforrásnak felhasználói azonosítást kell megkövetelnie. • V2.4: Minden felhasználó azonosítási előírást a webes alkalmazás kiszolgálónak kell ellenőriznie. 4 Például: http://searchengineland.com/google-power-user-tips-serp-url-parameters-49736
- 15/21. oldal -
hivatkozási szám: RE/2014/KOJO-1-2
Szakvélemény Rigó Ernő Informatikai igazságügyi szakértő Igazolvány száma: 009771
Levelezési cím: 1111, Budapest, Lágymányosi u. 11. L211. MTA SZTAKI Telefon: +36/20/5209965 E-mail:
[email protected]
A hazai jogi szabályozás szempontjából alapvető, 77/2013. (XII. 19.) NFM rendelet releváns pontjai szerint: • 3.3.6.3. Az elektronikus információs rendszer a megfelelő szabályzatokkal összhangban érvényesíti a jóváhagyott jogosultságokat az információkhoz és a rendszer erőforrásaihoz való logikai hozzáféréshez. • 3.3.6.6.1. Az elektronikus információs rendszer a legkisebb jogosultság elvét alkalmazza, azaz a felhasználók - vagy a felhasználók 1tevékenysége - számára csak a számukra kijelölt feladatok végrehajtásához szükséges hozzáféréseket engedélyezi. • 3.3.6.13.4. Minden távoli hozzáférést felügyelt hozzáférés ellenőrzési ponton keresztül kell irányítani az elektronikus információs rendszerben. • 3.3.9.4. Az elektronikus információs rendszer meggátolja a megosztott rendszererőforrások útján történő jogosulatlan vagy véletlen információáramlást. • 3.3.9.6.4. Alapeseti visszautasítás: Az elektronikus információs rendszer a felügyelt kapcsolódási pontjain tilt, és csak kivételként engedélyez hálózati forgalmat. 4. Megjegyzés: A hivatkozott OWASP ASVS előírások a Szakértő értelmező fordításai, az eredeti, angol nyelvű szöveg a Szakvélemény elektronikus mellékletében található. A Szakértő nem vizsgálta a 77/2013. (XII. 19.) NFM rendelet és a vizsgálat tárgyát képező webes alkalmazási rendszer viszonyát, azonban álláspontja szerint a hivatkozott rendelet előírásai információbiztonsági szempontból akkor is mérvadóak, ha a vizsgálat tárgyát képező rendszer közvetlenül nem tartozik a jogszabály hatálya alá. VI.1.3.
Nyílt és titkos adatok közös adatbázisban, változatlan azonosítóval
1. A feltett szakkérdés: „[6] Információbiztonsági szempontból hogyan értékelhető, ha titkos és nyílt iratokat egy közös, jelszó nélkül elérhető adatbázisban tárolnak, továbbá a nyílt és titkos iratok azonosítószáma változatlan marad az átsoroláskor?” 2. Válasz: A nyílt és titkos adatok közös adatbázisban való tárolása, illetve átminősítés során az azonosító adatok változatlan megőrzése információbiztonsági szempontból nem előnyös gyakorlat. 3. Indoklás: A hazai és nemzetközi szabványok és előírások jellemzően nem követelik meg az eltérő nyilvánossági szintű adatok elkülönített adatbázisban történő tárolását, illetve az átminősített nyilvánossági szintű adatok azonosító adatainak lecserélését. Ez a két kiegészítő intézkedés, a Szakértő álláspontja szerint, az alábbiakban leírt módon növelheti a tárolt adatok, illetve az ezeket kezelő rendszerek információbiztonságát: • Az adatbázisok elkülönítése: A nyilvános adatok természetszerűleg szélesebb felhasználói kör számára elérhetők, vagyis az ezeket elérhetővé tevő rendszerek jellemzően nyitottak. A nyitott rendszerek információbiztonsági kompromittálódásának kockázata a szélesebb körű elérhetőség, vagyis a nagyobb támadási felület miatt jellemzően magasabb, mint a titkos adatokat kezelő, korlátozott hozzáférésű, zárt rendszerek esetében. Ebből következően a nyitott és zárt rendszerek, illetve az ezek által kezelt nyilvános és titkos adatokat tároló adatbázisok lehetőség szerinti elkülönítése a zárt rendszerek és titkos adatok információbiztonsága szempontjából előnyös. - 16/21. oldal -
hivatkozási szám: RE/2014/KOJO-1-2
Szakvélemény Rigó Ernő Informatikai igazságügyi szakértő Igazolvány száma: 009771
Levelezési cím: 1111, Budapest, Lágymányosi u. 11. L211. MTA SZTAKI Telefon: +36/20/5209965 E-mail:
[email protected]
• Az azonosító adatok elkülönítése: A nyilvános adatok azonosító adatai, az előző pontban leírtakkal összhangban, szélesebb felhasználói kör számára ismertek, mint a titkos adatok azonosító adatai. Amennyiben az azonosító adatok között valamilyen kiszámítható belső, vagy külső összefüggés található (például: folytonos belső sorszámozás, illetve dátumtól, vagy egyéb külső tényezőtől függő értékek), ezek ismeretében a titkosból nyílttá átminősített adatokhoz hozzáférő felhasználók az adott pillanatban (még) titkos adatok azonosítóira következtethetnek. Így az azonosító adatok elkülönítésének hiányában, a leírt módon sérül az ún. „need to know”5 (szükséges minimális ismeret) információbiztonsági alapkritérium, amely az elkülönítés megléte esetén a titkos adatok információbiztonságát elősegítené. 4. Megjegyzés: Az általános esetben, jelszó nélkül elérhető adatbázis esetén a feltett szakkérdésre a [5]. sz. szakkérdésre adott válaszban leírtak érvényesek, mivel ilyen esetben az indoklásban vázolt kiegészítő biztonsági intézkedések nem hatékonyak. VI.1.4.
Az IP cím és a felhasználó azonosítása
1. A feltett szakkérdés: „[7] Egyértelműen azonosítható-e egy IP cím alapján utólag, hogy személy szerint ki használta az IP cím mögötti számítógépet egy adott időben?” 2. Válasz: A feltett szakkérdés körülményeinek ismeretében feltételezve, hogy a szakkérdés az általános, nyilvános internetes felhasználási esetekre vonatkozik, az internetes IP cím és a felhasználás időpontjának ismerete önmagában nem elégséges a felhasználó személyének egyértelmű azonosítására. 3. Indoklás: • I. Az internetes IP cím az internetre csatlakozó nyilvános állomások egyértelmű azonosítását teszi lehetővé. Bizonyos, széles körben elérhető, hálózati szolgáltatások (például: Proxy, NAT) segítségével egy adott IP címet használó elsődleges állomás számos további eszköz számára nyújthat internetes hozzáférést (vö: otthoni, vagy kis irodai internet felhasználás során felhasznált router eszközök). A leírtak alapján egy adott IP cím segítségével közvetett módon, egy adott időpontban, számos eszköz rendelkezhet internetes kapcsolattal úgy, hogy ezek a többi internetes állomás (például: weblap kiszolgáló, internet szolgáltató) számára nem megkülönböztethetők. • II. Amennyiben, az előző pontban leírtaktól eltekintve, feltételezzük, hogy az IP cím egyértelműen azonosítja a felhasználói eszközt, továbbra sem nyújt információt az azt felhasználó személyazonosságáról. Ezt az összefüggést jól szemlélteti a gépjármű forgalmi rendszáma (IP cím) és a gépjárművet irányító sofőr személyazonossága (felhasználó személy) közötti kapcsolatra épülő párhuzam. 4. Megjegyzés: Hazánkban az internetes IP cím ismeretében, az internet szolgáltatók adatmegőrzési és adatszolgáltatási kötelezettsége alapján, a hatóságok egyértelműen meghatározhatják az adott időpontban a címet technikailag birtokló előfizető, természetes vagy jogi 5 Lásd: http://en.wikipedia.org/wiki/Need_to_know
- 17/21. oldal -
hivatkozási szám: RE/2014/KOJO-1-2
Szakvélemény Rigó Ernő Informatikai igazságügyi szakértő Igazolvány száma: 009771
Levelezési cím: 1111, Budapest, Lágymányosi u. 11. L211. MTA SZTAKI Telefon: +36/20/5209965 E-mail:
[email protected]
személy azonosító adatait. Az indoklásban leírtaknak megfelelően, az előfizető és a felhasználó személye nem feltétlenül azonos. VI.2. Specifikus kérdések az SZTNH által üzemeltetett rendszerről VI.2.1.
Információbiztonság az elkészítés után
1. A feltett szakkérdés: „[2] … A rendelkezésre álló adatok alapján megfelelő volt-e az adatbázis, illetve az azt kezelő szoftver elkészítése utáni információbiztonsági ellenőrzés?” 2. Válasz: A rendelkezésre álló adatok alapján a szakkérdésre nem adható válasz. 3. Indoklás: A rendelkezésre álló adatok alapján nem állapítható meg, hogy a [3]. sz. szakkérdésre adott válaszban értékelt műszaki állapot fennállt-e a vizsgálat tárgyát képező adatbázis, illetve az azt kezelő szoftver elkészítése és üzembe helyezése utáni, illetve a szakértői vizsgálat M1 forrásdokumentuma szerint tanúsított időpont előtti időszakban. 4. Megjegyzés: A rendelkezésere álló adatok alapján nem állapítható meg, hogy a vizsgálat tárgyát képező rendszer fejlesztésével és üzemeltetésével kapcsolatos előírások milyen információbiztonsági követelményeket tartalmaznak, illetve ezeknek megfelelően a rendszer fejlesztői, átvevői, illetve üzemeltetői milyen vizsgálatokat végeztek vagy végeztettek el. VI.2.2.
Információbiztonság az üzemeltetés során
1. A feltett szakkérdés: „[3] Hogyan minősíthető az SZTNH adatbázis üzemeltetése, illetve az azt kezelő szoftver üzemeltetése során az információbiztonsági ellenőrzés?” 2. Válasz: A rendelkezésre álló adatok alapján a vizsgált rendszer üzemeltetése során elvégzett információbiztonsági ellenőrzések elégtelenek voltak. 3. Indoklás: A szakértői vizsgálat M1 forrásdokumentuma alapján a vizsgálat tárgyát képező rendszer a forrásdokumentum szerint tanúsított időpontban azonosítás nélkül nem nyilvános tartalmak elérését tette lehetővé. Az [5]. sz. szakkérdésre adott válaszban hivatkozott hazai és nemzetközi szabályzások, illetve az ott megadott indoklás alapján a rendszer ilyen működése nem felel meg az alapvető információbiztonsági elvárásoknak. A fentiek alapján a vizsgált rendszer üzemeltetése során elvégzett esetleges ellenőrzések nem derítettek fényt az M1 forrásdokumentumban rögzített információbiztonsági hiányosság tényére. 4. Megjegyzés: A rendelkezésere álló adatok alapján nem állapítható meg, hogy a vizsgálat tárgyát képező rendszer üzemeltetésével kapcsolatos előírások milyen információbiztonsági követelményeket tartalmaznak, illetve ezeknek megfelelően a rendszer üzemeltetői milyen vizsgálatokat végeztek vagy végeztettek el. VI.2.3.
Információbiztonsági mulasztás ténye
1. A feltett szakkérdés: „[4] Megállapítható-e konkrét információbiztonsági mulasztás az adatbázis kezelője részéről, amikor a 2013. augusztus 30-i közjegyzői bizonyítási letöltést és a többi, 2013. 08. 27 és 2013. 09. 16. közötti százas nagyságrendűre becsült letöltést sem észlelték, illetve nem reagáltak csak a KIM értesítése után? (Abból a logikus feltételezésből indulunk ki, hogy - 18/21. oldal -
hivatkozási szám: RE/2014/KOJO-1-2
Szakvélemény Rigó Ernő Informatikai igazságügyi szakértő Igazolvány száma: 009771
Levelezési cím: 1111, Budapest, Lágymányosi u. 11. L211. MTA SZTAKI Telefon: +36/20/5209965 E-mail:
[email protected]
észleléskor azonnal leállították volna a hozzáférést. Ha észlelték és nem intézkedtek, az még nagyobb hiba lenne.)” 2. Válasz: A rendelkezésre álló adatok alapján a szakkérdésre nem adható válasz. 3. Indoklás: A rendelkezésere álló adatok alapján nem állapítható meg, hogy a vizsgálat tárgyát képező rendszer üzemeltetésével kapcsolatos előírások milyen információbiztonsági követelményeket tartalmaznak, illetve ezeknek megfelelően a rendszer üzemeltetői milyen vizsgálatokat végeztek vagy végeztettek el. A vonatkozó előírások illetve jegyzőkönyvek ismeretének hiányában a szakmai mulasztás ténye nem állapítható meg, de nem is cáfolható. 4. Megjegyzés: Internetre csatlakozó rendszer esetén, kiemelt üzleti értékkel bíró, titkos adatok kezelése során, információbiztonsági szempontból hiányos gyakorlatra utal, ha nem észlelik a titkos iratokhoz való internetes hozzáférést, illetve az üzemeltetőtől nem rendelnek ilyen jellegű jelentést. VI.2.4.
Védjegyek elérhetősége
1. A feltett szakkérdés: „[8] Megerősíti-e a tisztelt szakértő saját vizsgálata, hogy a szakértői vizsgálat elvégzésének idején is működik és használható a fenti szerkezetű (M1 tanúsítványban is szereplő) URL sor védjegyek esetében az SZTNH által kezelt E-kutatás adatbázis adatainak megtekintésére – mind magyar, mind angol nyelven (lásd fent a kérdések előtt a két URL sort)?” 2. Válasz: A szakkérdésben hivatkozott két URL vizsgálata alapján a kérdésben megadott adatok a a megadott vizsgálati időpontban elérhetőek. 3. Indoklás: A Szakértő a vizsgálatot elvégezte, a megadott URL címeken található weblapokat megtekintette, illetve a Szakvéleményhez csatolt elektronikus mellékletben rögzítette. Lásd még a Szakvélemény vizsgálati módszertanát, illetve eredményeit tárgyaló szakaszt! 4. Megjegyzés: A vizsgált címeken a MÉDIABC Kft. „Városi Piac” megjelölésű, 210407 lajstromszámon bejegyzett védjegye tekinthető meg, magyar, illetve angol nyelven. VI.2.5.
Információbiztonság – 2012 őszén
1. A feltett szakkérdés: „[9] Amennyiben bizonyítható, hogy a fenti szerkezetű (M1 tanúsítványban is szereplő) URL sor védjegyek esetében már 2012 őszén használható volt az SZTNH által kezelt E-kutatás adatbázis adatainak megtekintésére, abban az esetben hogyan minősíthető az SZTNH e-iratbetekintés információbiztonsága?” 2. Válasz: Amennyiben a szakkérdésben megadott időpontban, az M1 tanúsítványban szereplő – a védjegyek elérésére használatos URL-hez szerkezetileg nagyon hasonló – URL sor még nem nyilvános szabadalmak adatainak elérésére használható volt, az SZNTH rendszer információbiztonsága nem volt megfelelő. 3. Indoklás: Feltételezve, hogy a szakkérdés a szabadalmakhoz kapcsolódó adatok elérésére, illetve a védjegyek és szabadalmak hivatkozására használatos URL-ek hasonlatosságára is vonatkozik, az [1]., [5]. és [6]. sz. szakkérdésre adott válaszok és indoklások érvényesek. A védjegyek és szabadalmak, vagyis a nyilvános, illetve potenciálisan titkos adatok hivatkozására - 19/21. oldal -
hivatkozási szám: RE/2014/KOJO-1-2
Szakvélemény Rigó Ernő Informatikai igazságügyi szakértő Igazolvány száma: 009771
Levelezési cím: 1111, Budapest, Lágymányosi u. 11. L211. MTA SZTAKI Telefon: +36/20/5209965 E-mail:
[email protected]
használatos URL-ek számottevő hasonlósága a szakkérdésben foglalt állítás bizonyítottságán alapuló, azonosítás hiányából eredő információbiztonsági problémát tovább súlyosbítja. 4. Megjegyzés: A Szakértő ismeretei szerint a védjegyek bejegyzési folyamata során a vizsgálat tárgyát képező rendszer nem kezel titkos adatot. A szakkérdésben hivatkozott URL sor a védjegyek esetében nyilvános információ elérést teszi lehetővé, így a feltett szakkérdésben foglalt állítás ilyen értelmezése szerint, nem járna információbiztonsági következményekkel, vagyis a vizsgált ügy szempontjából a szakkérdés nem lenne értelmezhető. VI.2.6.
Információbiztonság – 2012 őszétől folyamatosan
1. A feltett szakkérdés: „[10] Amennyiben bizonyítható, hogy a fenti szerkezetű (M1 tanúsítványban is szereplő) URL sor védjegyek esetében már korábban is használható volt az SZTNH által kezelt E-kutatás adatbázis adatainak megtekintésére, és azt 2012 őszétől kezdve ténylegesen használták is különböző IP címekről a hivatal által nyilvántartott adatok internetes (az SZTNH rendszerén kívülről érkező) lekérésére, abban az esetben hogyan minősíthető az SZTNH e-iratbetekintés információbiztonsága?” 2. Válasz: Amennyiben a szakkérdésben megadott időpontot megelőzően, az M1 tanúsítványban szereplő – a védjegyek elérésére használatos URL-hez szerkezetileg nagyon hasonló – URL sor még nem nyilvános szabadalmak adatainak elérésére használható volt, a megjelölt időpontot követően pedig bizonyítottan felhasználásra is került, az SZNTH rendszer információbiztonsága nem volt megfelelő. 3. Indoklás: Lásd: [9]. sz. szakkérdésre adott indoklást! 4. Megjegyzés: Lásd: [9]. sz. szakkérdésre adott megjegyzést! VI.3. Nemzetközi gyakorlat 1. A feltett szakkérdés: „[11] Megerősíti-e a tisztelt szakértő saját vizsgálata, hogy az iparjogvédelmi oltalom adatok közvetlen lekérésének lehetővé tétele (azonosítót tartalmazó egyedi URL címhez rendelése) nem csak magyarországi gyakorlat, hanem nemzetközi szinten is gyakorlat, például az alábbi EPO (Európai Szabadalmi Hivatal) és WIPO (Szellemi Tulajdon Világszervezete) linkeknél: …” 2. Válasz: A Szakértő vizsgálata a szakkérdésben foglalt állítást, a megadott URL címek vizsgálata alapján, igazolja. 3. Indoklás: A Szakértő a vizsgálatot elvégezte, a megadott URL címeken található weblapokat megtekintette, illetve a Szakvéleményhez csatolt elektronikus mellékletben rögzítette. Lásd még a Szakvélemény vizsgálati módszertanát, illetve eredményeit tárgyaló szakaszt! 4. Megjegyzés: A szakkérdésben megadott URL címek különböző iparjogi bejegyzések közvetlen hivatkozásai.
- 20/21. oldal -
hivatkozási szám: RE/2014/KOJO-1-2
Szakvélemény Rigó Ernő Informatikai igazságügyi szakértő Igazolvány száma: 009771
Levelezési cím: 1111, Budapest, Lágymányosi u. 11. L211. MTA SZTAKI Telefon: +36/20/5209965 E-mail:
[email protected]
VII. Mellékletek VII.1. Elektronikus mellékletek 1. Az ebben a szakaszban felsorolt fájlok és könyvtárak a Szakvélemény elektronikus mellékletét képzik. 2. A Szakvélemény megállapításai az elektronikus melléklet nélkül is teljes körűek és érvényesek. 3. A Szakvélemény értékelése nem feltételezi az elektronikus melléklet megismerését, annak kizárólagos célja, hogy elősegítse a Szakvélemény megállapításainak szakmai protokoll szerinti elvégzett ellenőrzését. 4. Az elektronikus melléklet hitelesítő ellenőrző összege6: 5a85a30e 27c39e22 1f28397c c3d57954 e52bbce3 0f13b892 5d4b5891 bfe1905f
VII.1.2.
Hitelesítő ellenőrző összegek
1. Az elektronikus melléklet alábbi állományai az egyes vizsgálati tárgyak, illetve az eredményképp előállított fájlok listáját, méreteit, valamint hitelesítő ellenőrző összegeit tartalmazzák: Fájlnév
Hitelesített tartalom
sha256deep.txt
A Szakvéleményhez csatolt fájlok ellenőrzőösszege sha256 algoritmussal
md5deep.txt
A Szakvéleményhez csatolt fájlok ellenőrzőösszege md5 algoritmussal VII.1.3.
Elektronikus eredményfájlok
1. Az elektronikus melléklet „eredmeny” alkönyvtárának fájljai a szakértő által előállított, elektronikus vizsgálati eredményeket, illetve scripteket rögzítik: Fájlnév
Tartalom
szabvany.zip
A szakvéleményben hivatkozott, szabadon elérhető jogszabályok és szabványok hatályos verziója.
web.zip
A szakvélemény vizsgálati szakaszában elkészített weblap másolatok, a hozzájuk tartozó naplókkal és adattartalommal, sorszámmal azonosított alkönyvtárakba rendezve.
6 A teljes mellékleten található összes adat ellenőrzőösszegét tartalmazó sha256deep.txt fájl sha256 algoritmussal előállított ellenőrzőösszege.
- 21/21. oldal -