Privacy violations
Földes Ádám, Molnár Péter, Radics Réka, Varga Máté, Zámbó Tamás
Miről lesz szó? • • • • •
Privacyról általában Jogi szabályozás Privacy Enhancing Technologies Anonimizáló technológiák Szemelvények
Privacy? • Privacy definíciók ▫ nincs jó fordítás: egyedüllét, elvonultság, magány, magánélet (szotar.sztaki) ▫ „Az egyén joga, hogy megvédjék – direkt fizikai eszközökkel vagy információk közzétételével történő – az ő vagy a családja magánéletébe vagy magánügyeibe való betolakodástól” (Calcutt Committee) ▫ „A privacy-nek három eleme van: titkosság, anonimitás és magányosság. Ez egy állapot, mely elveszíthető vagy az ebben az állapotban lévő személy döntése szerint vagy más személy cselekedete miatt.” (Ruth Gavison) ▫ The ability of an individual or group to seclude themselves or information about themselves and thereby reveal themselves selectively. (wiki)
Privacy folyt. • Nem a cégek adatainak vagy rendszereinek védelméről beszélünk! Elsősorban az egyének személyes adatainak védelméről lesz szó. Ezt információs önrendelkezési jognak is szokták hívni. • Privacy típusai ▫ Információs – személyes adatok gyűjtése, kezelése ▫ Kommunikációs – lehallgatások ▫ Testi – egyén intimszférájába behatolás, biológiai minták, ... ▫ Területi – térfigyelő kamerák, nyomonkövetés • A privacy megsértésének minősül a személyes adatok hozzájárulás (vagy törvény adta lehetőség) nélküli bárminemű használata. • Elektronikus kereskedelem -> leginkább az információs és kommunikációs privacy-t érinti, de bármely másik is sérülhet.
Privacy violation és el. kereskedelem • A privacy megsértése bármely szituáció, melyben az egyén (információs) önrendelkezésre vonatkozó alkotmányos joga sérül. • A támadó lehet bármely olyan entitás, amely viselkedése – nem feltétlenül rossz akaratból, de – a fenti állapot előállásához vezet. • Elektronikus adatok mozgásakor folyamatos fenyegetettség áll fenn valamennyi tranzakció során.
Tartalom • • • • •
Privacyról általában Jogi szabályozás Privacy Enhancing Technologies Anonimizáló technológiák Szemelvények
Jogi szabályozás - adatvédelem • Miért hasznos ezt ismerni az elektronikus kereskedelemben résztvevőknek? • Szolgáltató: ▫ Egy nem körültekintően kialakított form is jelenthet jogsértést (pl. egy alapból bepipált checkbox) ▫ Mire használhatom fel a logolt adatokat és mire nem? (pl. hangelemző call center) ▫ Mely reklamációkat kell komolyan venni? ▫ Egyre jotgtudatosabbak az emberek ▫ Mindenért az adatkezelő felel ▫ A törvény nem ismerete nem mentesít • Felhasználó: ▫ Saját jogainak ismerete tudatossághoz és megfontoltsághoz vezet (apróbetűs rész átfutása, tájékoztatás elvárása) ▫ Hová fordulhat panaszával?
Nemzetközi jogi szabályozás • OECD ▫ 8 adatvédelmi irányelvet fogalmaz meg, de nem kötelező a tagokra nézve
• Európa tanács ▫ Ajánlás, az aláírók számára kötelező (40 aláíró) ▫ Ekvivalens védelmi szintet ír elő
• EU Data Protection Directive ▫ adekvát védelmi szintet ír elő, az ezt nem teljesítő országok felé tilos a személyes adatok kiadása ▫ USA, Safe Harbor Principles – cégek iratkozhanak fel
• Magyarország minhárom egyezménynek részese
Európai vs. amerikai modell Szektor:
Feldolgozás: Lefedés:
Ellenőr:
Európai modell magán + köz
Amerikai modell köz
manuális + automatikus általános van
automatikus
Kanada az európai modellt követi.
mozaikszerű
nincs
Jogi szabályozás - fogalmak • Adatbiztonság (data security) ▫ az adatok védelme (titkoítás, bunker, ...) • Adatvédelem (data protection) ▫ az adatalanyok védelme (adatgyűjtés, továbbítás, ...) • Személyes adat ▫ olyan adat, amely (bármi módon) kapcsolatba hozható az adatalannyal. (relativista – abszolutista, ~ támadó modell) ▫ természetes (személyi), mesterséges (TAJ) és biomerius adatok. ▫ különleges adatok – av. tv. definiálja (faji eredet, szexuális beállítottság, kisebbséghez tartozás, szakszervezeti tagság, eü. állapot, ...) • Adatkezelés (adatkezelő) ▫ szem. adatok felvétele, tárolása, feldolgozása, közzététele, stb • Adatfeldolgozás (adatfeldolgozó) ▫ az adatkezelő megbízásából történő adatfeldolgozás ▫ tilos a láncfelfolgozás!
Jogi szabályozás szintjei Magyarország • • • • •
▫ ▫ ▫ ▫
Alkotmány 59. § (személyes adatok védelméhez Adatvédelmi való jog). biztos „A személyes adatok védelméről és a közérdeű adatok nyilvánosságáról” szóló törvény általános szabályozás a szem. adatok védelmére.
Szektoriális/területspecifikus tv-ek.
részletszabályozások/kivételek Direkt marketing tv., El. ker. tv, Nb tv, Hpt, ...
Rendeletek Belső szabályok – önszabályozás
Belső Adatvédelmi Szabályzatnak és Felelősnek kötelezően lennie kell
Jogi szabályozás – alapelvek • • • •
• •
• •
Adatgyűjtés korlátozásának elve ▫ Az adatok megszerzése legyen törvényes és tisztességes. Ha lehetséges, az alany tudtával és beleegyezésével történjen.
Adatminőség elve
▫ pontos, teljes és aktuális legyen a nyilvántartott adat
Célhoz kötöttség elve
▫ csak mehatározott céllal gyűjthető és a célnak megfelelő ideig tárolható a személyes adat
Korlátozott felhasználás elve.
▫ csak hozzájárulás (önkéntes, határozott, tájékozott) vagy tv. alapján
Biztonság elve
▫ illetéktelen megszerzés elleni védelem
Nyíltság elve
▫ nem lehet titokban adatokat kezelni, adatvédelmi nyilvántartás (ha tartósan tárol adatokat)
Személyes részvétel elve
▫ az adatalanynak joga van betekintésre, helyesbítésre, törlésre (ha nincs ellenkező tv.)
Felelősség elve
▫ az adatkezelő felel az elvek betartásáért
Törvényi szabályozás • • • • • • • •
Adatvédelmi törvény Elektronikus kereskedelmet szabályzó törvény Elektronikus aláírás Elektronikus számla Adatnyilvántartás Kutatás, adatvédelem Direkt marketing, SPAM Pénzmosásról szóló törvény
Kihez fordulhatunk? • Adatvédelmi biztos • Nemzeti Hírközlési Hatóság ▫ SPAM bejelentése ▫ El.ker. Törvény megsértése (nincsenek megfelelő adatok fenn az oldalon, nincs adatvédelmi nyilatkozat, nem érhető el)
Adatvédelmi törvény • • • • • •
Milyen adatok Hogyan kezelhetik Meddig tarthatják meg Mire használhatják fel Adatok típusai Adatkezelés célja
Elektronikus kereskedelmet szabályozó törvény
• Mire kell figyelni, ha elektronikusan szeretne kereskedni az ember? • Adatok, amiket meg kell adni a cég honlapján (céges adatok, elérhetőségek, adószám, tevékenységi kör, stb) • Amiknek feltétlenül fenn kell lennie az oldalon: ÁszF, megrendelési leírás, adatkezelésre vonatkozó tudnivalók, magatartási kódex, egyéb rendelkezések • Ügyfélszolgálatot kell üzemeltetni • Regisztrálni kell az NHH-nál
Elektronikus aláírás • • • •
Hitelesítés Dokumentumok aláírása Elektronikus iratok kezelése NHH-nál szintén be kell jelenteni 30 nappal a használat előtt
Elektronikus számla • Kiadható elektronikus számla, megfelelő formai követelményeknek eleget kell tennie • Adóbevalláshoz használható
Adatnyilvántartás • Törvény szabályozza, hogy milyen adatokat lehet nyilvántartani • Adószám • Taj-szám • Személyigazolvány szám • Bizonyos adatokat nem kezelhetnek együtt • Ha nem tiltjuk le a nevünket és lakcímünket, akkor ezek kiadhatóak, akár direkt marketing célokra is
Kutatás, adatvédelem • Kutatási adatokat máshogy kell kezelni • A személyes adatok csak kiindulás, ezeket későbbiekben statisztikának használják, a személyes jelleg megszűnik (nem visszakövethető, hogy eredetileg kihez tartoztak) • Bár nem tartozik ide szervesen: népszámláláskor nem vagy köteles bizonyos adatokat megadni (vallási hovatartozás, szexuális irányultság, politikai nézetek, stb)
Direkt marketing • Honnan szerezhetünk címlistát legálisan? ▫ BM központi nyilvántartás (név, lakcím) ▫ Nyilvános jegyzékekből, a szerkesztővel egyeztetve ▫ Más hasonló társaságoktól, ha előre megegyeznek
• Minden esetben meg kell jelölni a forrást, illetve hogy hogyan lehet tiltakozni ellene • A SPAM nem legális, e-mailt csak akkor küldhetnek, ha feliratkoztunk rá (opt-in)
Egyéb érdekességek • Egészségügyi adatok kezelése: nagyon titkos adatok, csak kivételes esetekben adhatják ki (pl: járvány) → nem kivételezhetnek senkivel az egészségügyi állapota miatt • Utasregisztrációs törvény: USA és EU között • Pénzügyi adatok: 9.11 óta nagyobb figyelmet kapott, a terrorizmus pénzelését szeretnék kiszűrni → pénzmosás elleni törvény
Pénzmosás elleni törvény • Európai Uniós szabályozás miatt hozták létre • Eredeti cél: gyanús pénzforgalmat jelenteni a nyomozó hatóságnak (itthon: VPOP), ami terrorizmus segítésére utalhat • Mi számít gyanúsnak? • Kit figyelnek meg? • VPOP mit csinál az adatokkal? • Másra is használják, mint az eredeti cél • Felülírja a banktitkot
Szerzői jogok vs adatvédelem • Jellemzően p2p hálózatokon • Jogvédő szervezet belép, megkeres valamit, elkezdi tölteni, megnézi a peer-eket, feljelentés • Szolgáltató kiadhatja az adatokat? • Artisjus nem hivatalos szerv, nem adható ki neki adat • Ha nem fizet érte, nincs anyagi nyeresége, az is törvénysértés? • Ha külföldi oldalakról/külföldiek töltenek, akkor melyik ország jogrendszere érvényes?
Privátszféra (saját adatok) Kikerült személyes információ (jelentheti egy email címzettjét, egy IP címet, de felhasználói szokást is)
Az egyén tájékozott, igen határozott és önkéntes beleegyezésével adja ki az adatot? nem
Nem: Privacy violation (biztonsági lyukak, phishing, backdoor, spyware, tacking, eldugott kisbetű, kereskedőnek nem kell tudnia a számlaszámomat, Chrome, stb..) Védekezés: kisbetű elolvasás, „ne húzzák le kétszer a kártyát”, biometrikus útlevél alu-ba, hitelesítés, tűzfal, vírusirtó, körültekintő böngészés, ...
Védekezés: PET technológiák
Illetéktelen harmadik fél hozzájut az adatokhoz?
igen
Igen: privacy violation (bármilyen lehallgatás, nem engedélyezett adattovábbítás) Védekezés: anonomizálás, titkosítás, hitelesítés, védett adattárolás, ...
nem
Arra használják fel az adatokat, amire kiadtam?
nem
Nem: Privacy violation (SPAM, IP cím alapján földrajzi helyzet meghatározása, profilépítés vásárlói adatokból, stb..) Védekezés: igen nehéz, hiszen a címzettnek látnia kell az információt hitelesítés – bizalom trust and reputation systems
Tartalom • • • • •
Privacyról általában Jogi szabályozás Privacy Enhancing Technologies Anonimizáló technológiák Szemelvények
PET technológiák és egyebek
Zámbó Tamás
Privacy – „The right to be left alone”
Privacy Enhancing Technologies • Információs és kommunikációs technológiák, melyek az adatokon kívül az adatalanyt is védik. • Egy lehetséges besorolásuk: Szteganográfia
Kriptográfia
Elfedett a létezés ténye
PET-ek
Metainformáció védett A tartalom védett Nyílt szöveges protokoll (semmi sincs védve)
© Földes
PET-ek csoportosításai A. Burkert-féle: ▫ ▫ ▫ ▫
Szubjektum-orientált Objektum-orientált Tranzakció-orientált Rendszer-orientált
B. Pragmatikus ▫ ▫ ▫
Meglévő rendszerek biztonságát növeli Új adattárolási és hozzáférési technológiák Tranzakció alapú technológiák
C. Melyik adatvédelmi elv érvényesül? … stb.
Kritériumok PET-ekkel szemben • Anonimitás: Az adat és a személy között semmi kapcsolat nincs.
• Pszeudonimitás: Az adat álnéven keresztül van kapcsolatban a személlyel.
• Megfigyelhetetlenség: Egy illetéktelen 3. fél ne láthassa a felhasználó tevékenységét a hálózaton.
• Összeköthetetlenség: Két esemény között nem teremthető kapcsolat .
PET • Néhány példa PET-ekre: ▫ Kapcsolati kód: három szakazonosító a régi univerzális helyett APEH, TB, BM között teremt páronként kapcsolatot Pl. NEPTUN kódnak is lenne egy ilyen célja
▫ Anonim remailerek ▫ Anonim böngészők és anonimizáló protokollok
• Bő gyűjtemény az epic.org-on
EPIC • Electronic Privacy Information Center • Jogi szintű tevékenység, kiadványok, éves beszámolók (~TASZ) • Témák széles spektruma • Egy közülük: Google “Flu Trends” ▫ Google Trends kiegészítése ▫ Csak aggregált adatok kerülnek majd ki ▫ Erre mindeddig nem szolgáltatott bizonyítékot (anonimizáló alg., reidentifikáció elleni védelem)
Re-identification • Carnegie Mellon University, 2003 • Trail Re-identification: Learning Who You are From Where You Have Been • Trail re-identification: Újbóli kapcsolat létesítése adott személy és az általa különböző helyeken hátrahagyott anonimizált adatokkal. • Kiindulás: különböző adataggregátorok személyes és egyéb adatokat gyűjtenek. Ezek egy részét anonimizálva (unidentified) adják ki pl. statisztikákhoz, más részüket pedig úgy, hogy azok továbbra is személyekhez köthetők (identified), pl. valamilyen törvény írja elő. • Valós idejű algoritmusokat mutatnak, melyekkel anonimizált és személlyel köthető adattáblák újra összekapcsolhatók. • (szül.idő, nem, ZIP-kód) amerikai populáció 87%-a
Re-identification folyt. • Több adatgyűjtő hely által „release”-elt táblák: anonimizált és nem anonimizált • 3 algoritmust javasolnak (REIDIT-C,I és M) • A újra azonosítás elméleti maximuma: a két tábla rekordjainak minimuma. • Gyakorlati példákon demonstrálták (kórház, webes vásárlások)
Re-identification folyt. • Példa: Name
Birthdate Gender ID Zip
DNA
P (identified track) N (deidentified track)
John
Smith 2/18/45
M
11 15234 acag…t
Name h1 h2 H3
Mary
Doe
F
18 15097 accg…a
John
1
Bob
Little 2/26/49
M
2 15212 cttg…a
Mary
Kate
Erwin 11/3/54
F
21 15054 atcg…t
Fran
Booth 1/8/71
F
27 15054 accg…t
4/9/75
DNA
h1 h2
h3
1
0acag…t
1
1
0
1
0
1accg…a
1
0
1
Bob
0
1
1cttg…a
0
1
1
Kate
0
0
1atcg…t
0
0
1
Még néhány gondolat a privacy-ről • A megfigyelt egy napja. • Greenspan: „The human need for personal expression, property, and privacy, doubtless were significant in undermining the collectivist states.” • Larry Ellison (Oracle): „A digitális világban illúziókat kerget, aki privacy-ről beszél.” • Riasztó ötletek: ▫ Digitális személyi igazolvány és adatbázis ▫ Agyszkenner ▫ Riasztás viselkedésminták alapján ▫ TIPS (tervezett besúgóhálózat)
• Simon Davies (PI): Jövőben Internet és számítógép = megfigyelőeszköz
Tartalom • • • • •
Privacyról általában Jogi szabályozás Privacy Enhancing Technologies Anonimizáló technológiák Szemelvények
Anonimizáló rendszerek C él: kommunikációs kapcsolat elfedése Ár: többlet erőforrás Anonimitás Kategóriák: Mix-Net DC-Net Üzenetszórás Többes küldés Egyéb
Skálázhatóság
MIX-Net
Teljesítmény
Üzenetszórás, többesküldés • Anonimizálás a küldő és fogadó számára is • Üzenetszórás: minden résztvevőnek
• • • •
Többes küldés:résztvevők egy csoportjának Fix méret, adott gyakoriság zaj csomagok Fogadó fél nyilvános publikus kulcsával titkosítva Hátránya: nagy sávszélesség-igény Pl.:P5 (Peer to peer personal privacy protocol
DC-Net • Alapötlet: vacsorázó kriptográfusok problémája Írás
Fej
Fej
0
Fej
Fej
0
Írás
Írás
Fej
Fej
1
Írás
Írás 0
Írás
1 bit átvitele Alice Charlie
Bob Üzenet=0
Üzenet=1
Nyilvános kulcsú kriptográfia Mindenki mindenkivel kommunikál Egyszerre egy résztvevő küldhet ütközés Pl.:Herbivore
Herbivore (DC-Net) • Két fő komponensből áll Global Topology Control: skálázhatóságért és támadók elleni védelemért felelős kisebb anonim csoportok Round protokoll: résztvevők közti anonim kommunikációt biztosítja DC-Net révén ▫ Foglalási fázis ▫ Küldési fázis ▫ Szavázási fázis
Foglalás: • Cél: névtelen, kizárólagos hozzáférés a csatornához • Az időt szeletekre osztjuk • Küldeni akaró csomópontok: • • • •
Véletlen i Üzenetszórás: csupa 0, i. helyen 1 (000…010….000) Mindenki megkapja a foglalások XOR-ját Siker esetén küldés a lefoglalt szeletben
Küldés: • Lefoglalt szeletben küldi az üzenetét, többiek a 0-t • Ütközés előfordulhat: • Páratlan számú csp. Ugyanazt a szeletet akarta lefoglalni • Csomagokban adat+hash ütközés detektálás, integritásvédelem
Szavazás: • Cél:jelezni lehessen, ha egy csp hosszú tranzakcióban van többi csp. késleltet a tarnzakció befejezéséig • Hatékony (2 byte)
Topológia • Teljes gráf: Késleltetés: O(1) Küldések száma: O (N2)
• Gyűrű: Késleltetés: O(N) Küldések száma: O (N)
• Csillag Késleltetés: O(1) Küldések száma: O (N)
Global Topology Control - Skálázás • „Oszd meg és uralkodj!” • Klikkek k csomóponttal szétválasztható a protokoll költsége a rendszer méretétől • Klikk menedzsment
N résztvevő minimum k méretű klikkbe osztása Véletlenszerűen kerülnek klikkekbe az új csp-ok Nincs szükség központi vezérlésre 3k-nál nagyobb klikk kettéosztás k-nál kisebb klikk legközelebbi klikkbe
• Klikken belül összes kommunikáció anonim
Global Topology Control - Entry • feladat: Támadások kivédés Közel azonos méretű csoportok
• Új node belépése: ▫ Mindenkinek van csoport- és csomópont-azonosítója ▫ F,G egyirányú leképezés ▫ Belépéshez: 1. 2. 3. 4. 5.
csp. Generál Kpriv és Kpub kulcsokat Keres y != Kpub hogy F(Kpub) =F(y) utolsó mk bitben G(Kpub,y) :=node id Numerikusan legközelebbit megkeresi Mutat Kpub,y ellenőrzés F(Kpub) =F(y) utolsó mk bitben ellenőrzés G(Kpub,y), ha volt már denied 6. Kihívás-válasz:vresp= Kpriv(vchal) ell.:Kpub(vresp) =vchal
Késleltetés (s)
Klikk méret
Klikk méret
Sávszélesség(Kb/s)
Támadhatóság • Lokális lehallgatás: küldők üzeneteinek időzítés alapú analízisével kikövetkeztethető lehet a fogadó • Predecessor támadás: együttműködő támadók vizsgálják a fogadót. Lehetséges küldők halmazai alapján következtetnek (hosszabb adatforgalom után) a küldőre • Sybil támadás: több támadó csatlakozik a rendszerhez elérve, hogy a csoporton belül rajtuk kívül csak 1 felhasználó legyen • DoS: anonim kommunikáció nehéz a támadót kideríteni Herbivore támadhatósága:
Lokális lehallgatás: érzéketlen (mindenki egyszerre küld és fogad) Predecesszor: érzéketlen Sybil: közepesen érzékeny (csoportba csatlakozó felhasználók limitálva) DoS: nagyon érzékeny (számítás+sávszélesség árán detektálható lehetne a támadó)
Tartalom • • • • •
Privacyról általában Jogi szabályozás Privacy Enhancing Technologies Anonimizáló technológiák Szemelvények
Szemelvények • Adatkezelői tevékenység • Technikai jellegű privátszféra-problémák
Adatkezelők privacy-invazív tevékenysége • Google ▫ „Ön elismeri és tudomásul veszi, hogy a Google [...] a Szolgáltatásokkal kapcsolatos minden jog jogosultja, [...] szellemi tulajdonjogot is” – GMail, Picasa, stb.
• AXA Bank ▫ „[...] hozzájárul, hogy az Ön által megadott adatokat az AXA Bank Zrt. [...] kezelje és feldolgozza, valamint [...], hogy a megadott adatokat a [...] érdekeltségi körébe tartozó társaságok részére ugyanezen célokra átadja”
Adatkezelők privacy-invazív tevékenysége II • TeszVesz, Vatera ▫ Megnézhetjük, hogy ki mit vett az elmúlt 90 napban ▫ Ha veszünk tőle valamit, kapcsolhatjuk a vásárlási szokásokat a személyhez
• Könyváruház és futárcég ▫ Veszünk egy könyvet, és bepanaszoljuk az azt kiszállító futárt az áruháznál ▫ A „rendezze le a vevő a futárral”-elv kerül alkalmazásra, a futárcég hozzájut az adatainkhoz
IP cím = pozíció • A dinamikus IP-címek elvileg nem köthetőek személyhez • A helyről, ahonnan internetezünk, azonban sokat elárulhat
Miért releváns információ a hely? • Cenzúra
▫ Youtube, Channel4 News, stb.: öncenzúra ▫ Helyes, ha egy cég játszik „hatóságost”?
• Árkülönbségek
▫ Steam: USA és Ausztrália közt néha többszörös különbözet ▫ ITunes: Európában sem egységes árazás ▫ Igazságos, ha a pozíció alapján drágábban adnak nekünk valamit, vagy, ami még rosszabb, el sem adják?
• Nagy Testvér
▫ Svédország: törvény által biztosított a határon átmenő forgalom lehallgatásának lehetősége
Bankkártyák • A bankkártyák lehetővé teszik vásárlási szokásaink nyomon követését ▫ anonim bankkártya: pl. Vanilla Visa (USA) – készpénzért megvehető kártya, melyre nem gravíroznak nevet
• RFID csipes bankkártyák ▫ kényelmes, hogy csak elhúzzuk az olvasó előtt, és már fizettünk is, de... ▫ (+1: miért is szűnt meg a TIRIS-kártya? )
RFID lapka „kezelése”
Bankkártyák II • Biztonságos a smartcardot használó bankkártya? ▫ Támadási felület: smartcard hamisítása mágnescsík klónozása terminál „megpatkolása”
▫ Első kivitelezése lehetséges, de nehézkes, és csak offline tranzakcióknál használható ▫ Az igazi támadási felület igazából a mágnescsík ▫ Különbség: kié a felelősség?
Konklúziók • A privátszférához való jog sokszor nincs összhangban a technika mai működésével ▫ Bizonyos helyzetekben vannak eszközeink (kriptográfia, PET-ek, szteganográfia) a probléma kezelésére
• Az adatkezelőktől is „szivároghat” adat ▫ Külföldi adatkezelő: nem használjuk a szolgáltatást, vagy alkalmazkodunk... ▫ Magyarországon bejegyzett adatkezelő: panaszt tehetünk az adatvédelmi ombudsmannál
• Összességében: résen kell lenni, ha érdekel minket az információs önrendelkezéshez való jogunk
