|
D O K U M E N T U M A Z O N O S Í T Ó F á j l n é v : rigo_erno_online_meeting_eloadas.jpg B é l y e g k é p : https://dka.oszk.hu/124900/124986/rigo_erno_online_meeting_eloadas_kiskep.jpg F ő c í m : On-line meeting és konferencia eszközök adatbiztonsága B e s o r o l á s i c í m : On-line meeting és konferencia eszközök adatbiztonsága S z e r e p : létrehozó B e s o r o l á s i n é v : Rigó U t ó n é v : Ernő I n v e r t á l a n d ó n é v : N E s e m é n y : felvéve I d ő p o n t : 2021-11-24 E s e m é n y : elérhető I d ő p o n t : 2021-04-08 D á t u m r a v o n a t k o z ó m e g j e g y z é s : Az előadás időpontja. A t í p u s n e v e : prezentáció A t í p u s n e v e : előadás M e g n e v e z é s : Prezentáció M e g n e v e z é s : Könyvtártudomány - prezentáció M e g n e v e z é s : Networkshop 2021 M e g n e v e z é s : Videotorium A j o g t u l a j d o n o s n e v e : Rigó Ernő S z e r z ő i j o g i m e g j e g y z é s e k : Jogvédett T é m a k ö r : Számítástechnika, hálózatok A l t é m a k ö r : Internetes technológia T é m a k ö r : Számítástechnika, hálózatok A l t é m a k ö r : Üzleti alkalmazások T é m a k ö r : Számítástechnika, hálózatok A l t é m a k ö r : Biztonság T á r g y s z ó : informatika M i n ő s í t ő : tárgyszó/kulcsszó T á r g y s z ó : adatvédelem M i n ő s í t ő : tárgyszó/kulcsszó T á r g y s z ó : on-line üzemmód M i n ő s í t ő : tárgyszó/kulcsszó T á r g y s z ó : elektronikus szolgáltatás M i n ő s í t ő : tárgyszó/kulcsszó T á r g y s z ó : konferencia M i n ő s í t ő : tárgyszó/kulcsszó T á r g y s z ó : adatbiztonság M i n ő s í t ő : tárgyszó/kulcsszó T á r g y s z ó : webkamera M i n ő s í t ő : tárgyszó/kulcsszó T á r g y s z ó : bizalmas információ M i n ő s í t ő : tárgyszó/kulcsszó T á r g y s z ó : információáramlás M i n ő s í t ő : tárgyszó/kulcsszó T á r g y s z ó : 2021 M i n ő s í t ő : időszak K é p a l á í r á s : On-line meeting és konferencia eszközök adatbiztonsága N y e r s v a g y O C R - e s s z ö v e g : On-line meeting és konferencia eszközök adatbiztonsága
Networkshop 2021 - On-line, 2021.04.08.
Miről lesz szó?
Általános kockázatok
Adatvédelmi nyilatkozatok összevetése
Zoom esetek
Általános kockázatok
Webkamera-tudatosság
URL-ek kezelése
Lehallgatás
Hacker támadás
Etikai és szabályzati korlátok
Szabályozás és árnyék IT
Adatvédelmi nyilatkozat - Zoom
Gyűjtött adatok köre viszonylag pontosan rögzített:
- Anonim esetben: IP, Browser information, ISP, Referrer, Exit page, OS information, Date/time stamp, City level location
Megőrzési idő: adatkezelés céljához kötött, korlátozott
A "felhasználói tartalmat" (szerintük) nem kezelik:
The table below describes Zoom's processing of personal data as a data controller. The table does not cover customer content, including any personal data about you that may be contained in customer content - such as meeting or call recordings or transcripts - because the customer (the Zoom account holder), rather than Zoom, controls how customer content is processed. Any questions about the processing of customer content should be addressed to the customer directly.
Bővebb információ: https://zoom.us/privacy
Adatvédelmi nyilatkozat - Microsoft Teams
Gyűjtött adatok köre tágan definiált:
- content, profile data, call history, call quaity, diagnostics
Megőrzési idő: adatkezelés céljához kötött, korlátozott Felvételek és chat adatok kezelője a Microsoft:
Microsoft Teams processes personal data in connection with Microsoft's legitimate business operations
Bővebb információ:
https://docs.microsoft.com/en-us/microsoftteams/teams-privacy
Adatvédelmi nyilatkozat – Google Meet
Gyűjtött adatok köre széles és nem pontosan definiált:
– unique identifiers (device, personal), activity, location, sensor data, wireless environment
Megőrzési idő gyakorlatilag korlátlan:
"... some data we retain for longer periods of time when necessary for legitimate business or legal purposes..."
Adatkezelés célja gyakorlatilag korlátlan:
"According to its terms, Google does not own user-uploaded files to Google Drive, but the company can do whatever it likes with them with no time restrictions."
Bővebb információ: https://policies.google.com/privacy
Zoom biztonsági esetek
Zoombombing
Chat és prezentáció funkció "elárasztása" nyilvános szobákban
Jelszó vagy várakozó szoba kötelező 2020 július 9. óta
Zoom kitiltása az oktatásból
Több USA oktatási kerületben
Elsődleges indok: 12 év alattiak védelme, zoombombing
2020 április 6. és május 6. között (New York államban)
Zoom iPhone app Facebook SDK
Facebook belépési lehetőséget nyújt
Adatokat küld már az alkalmazás indításakor
SDK eltávolítva: 2020 március 27.
Zoom biztonsági esetek
Zoom "távoli webkamera hozzáférés"
Kényelmi fícsör: zoom web hivatkozás automatikus megnyitása
PoC:
https://jlleitschuh.org/zoom_vulnerability_poc/zoompwn_iframe.html
Alapértelmezett kamera beállítás megjegyzése: 2020 július 9. óta
Zoom OSX app lokális webszerver
Kényelmi fícsör: zoom web hivatkozás automatikus megnyitása
A zoom kliens eltávolítása után is megmarad
Távoli adatgyűjtésre vagy egyéb vezérlési célra is alkalmas lehet
Eltávolítva: 2020 július 9.
Zoom biztonsági esetek
Zoom telepítőnek álcázott malware-ek terjedése Zoom távoli kódfuttatási lehetőségek
2020 június: speciális GIF vagy speciális tömörített fájl
2020 július: Windows 7 és korábbi rendszerek
Kínai befolyás vádjai
Kína 2019 októberében kitiltotta a Zoom-ot
Jin Xinjiang, aka Julien Jin 2019 novemberében érkezett a céghez az újraengedélyezési alku részeként
A 17-ből egy adatközpont kínai lett (opt out lehetőség előfizetés esetén)
FBI letartóztatási parancs 2020 novemberében nem kínai állampolgárok adatainak kiadása és egyéb vádak alapján
Kínai szoftver fejlesztők is vannak (elvben nem férnek hozzá a prod környezethez)
Zoom end-to-end encryption
End-to-end encryption
"Üzenetek titkosítása egy eszközön oly módon, hogy csak az üzeneteket fogadó eszköz legyen képes azokat visszafejteni."
A felhasználók "téves jelzést" kaptak
- 2016-2019 között
A csatornán "end-to-end encrypted" jelzés
A szervereken dekódoló kulcs
Kártérítési követelések és egyéb felvetések elutasítva
FCC számára kiemelt transzparencia biztosítása
megállapodás 2020 novemberétől 20 évre
Zoom, mint támadási felület (DNS)
Microsoft Teams biztonsági esetek
Speciálisan formázott javascript futtatása vevő oldalon Vendég felhasználók is megoszthatnak céges adatokat
- chat history, dokumentumok, videók
Kérdések?
Köszönjük a figyelmet!
http://www.cert.hu cert@cert.hu D o k u m e n t u m n y e l v e : magyar D o k u m e n t u m n y e l v e : angol K a p c s o l ó d ó d o k u m e n t u m n e v e : Rigó Ernő: Biztonságtechnikai megoldások az ELKH Cloud SZTAKI ágában A f o r m á t u m n e v e : PowerPoint prezentáció O l d a l a k s z á m a : 13 T e c h n i k a i m e g j e g y z é s : Microsoft Office PowerPoint 2016 M e t a a d a t a d o k u m e n t u m b a n : N A f o r m á t u m n e v e : PDF dokumentum O l d a l a k s z á m a : 13 M e t a a d a t a d o k u m e n t u m b a n : N A f o r m á t u m n e v e : HTML dokumentum T e c h n i k a i m e g j e g y z é s : HTML 5 verzió M e t a a d a t a d o k u m e n t u m b a n : N L e g j o b b f o r m á t u m : JPEG képállomány L e g n a g y o b b k é p m é r e t : 770x433 pixel L e g j o b b f e l b o n t á s : 72 DPI S z í n : színes T ö m ö r í t é s m i n ő s é g e : közepesen tömörített Á l t a l á n o s m e g j e g y z é s : Networkshop 2021 konferencia A z a d a t r e k o r d s t á t u s z a : KÉSZ S z e r e p / m i n ő s é g : katalogizálás A f e l d o l g o z ó n e v e : Nagy Zsuzsanna |