Sziasztok,
A Magyar Debian Alapítvány részéről több éve ingyenesen felügyeljük egy ismert nemzetközi emberi jogi szervezet magyarországi egyesületének VPS-ét, ez történt:
Az Egyesület irodájának van egy jogszerű hozzáférése shell hozzáférése a VPS-hez, viszont bizonyíték van arra, hogy ezt kiadta egy 3. félnek és személyes adattal való visszaélés történt. Ez a 3. fél egy havidíjas alvállalkozó, aki az egyesület irodájának munkaállomásit és pár irodatechnikai berendezést üzemeltet.
Felmerül egy színlelt pályázat gyanúja, de a lényeg, hogy az iroda vezetője, egy megbízott igazgató valószínűleg szeretné, ha ez a jogosulatlan személy 'rendszergazda' jelszót kapna a VPS-hez, ezen túl valószínűleg szeretné, ha a továbbiakban ez az alvállalkozó látná el a VPS napi adminisztratív teendőit. Aláírt papír erről az iktatásunkba még nem érkezett, tehát egyelőre csak informálisan sejtjük, hogy a korábbi személyes adatokkal való ismételt visszaélések után ilyesmi készül.
Egy biztos, hogy amennyiben hivatalos kérés érkezik a 'rendszergazda' jelszó átadásáról, akkor fel kell készülnünk a szerver átadására, melyen jelenleg még olyan adatok is vannak, melyhez hozzáférésre az iroda nem jogosult.
Sajnos a helyzet elég feszült BTK-ilag, még nem kerültünk ilyen éles helyzetbe, ezért a kérdés Hozzátok, mindenkihez, akinek már van ilyen jogilag rendkívül éles tapasztalata, szerintetek hogyan járjunk el? Főleg technikailag érdekes a kérdés, ha BTK-s eljárásra kerülne sor, például mentés ügyben. Mennyire reális, hogy csinálunk például egy checksumot, de főleg, hogyan tudjuk így vagy máshogy egy esetleges átadás előtt a szerver állapotás hitelesen lementeni?
Hozzászólások
Ne haragudj de ezt nem biztos, hogy itt kellett volna feltenni.
Mivel már te is BTk-s dolgokat említesz az első dolog egy ügyvéddel történő egyeztetés lett volna.
Én a helyetekben valami hasonlót tennék:
- checksum készítése és közjegyzővel hitelesítése
- személyes adattal való visszaélés összes bizonyítékát menteni, közjegyzővel hitelesíteni
- jelszó megváltoztatása és átadása az ügyfélnek
- ügyféltől elbúcsúzni jó messzire
- és főként egyeztetés egy ügyvéddel a személyes adattal való visszaélés miatt
Ja és persze mindent szigorúan az ügyféllel panírozni, jegyzőkönyvezni, két tanú meg miegymás.
Szia! Mindenekelőtt köszi a hasznos dolgokat, igazából én próbálok egyeztetni és panírozni, mindenekelőtt az ügyféllel, már több, mint egy hete kértem, hogy bármit is akar, először is juttassa el írásban, hogy mi is biztonságban legyünk, még nem tette.
A közjegyzőzés jó ötletnek tűnik.
Pár napja kifejezetten jogász szakemberekkel is próbálok egyeztetni, de az ügyfél miközben minden hiteles egyeztetéstől elzárkózik, informálisan elég nagy nyomást helyez ránk, ezért próbálok egy esetlegesen sürgősen alkalmazandó megfelelő műszaki megoldásról is tájékozódni. Hogy is kell legjobban?
Szervác Attila - http://321.hu/sas
Legjobban???
Gyorsan és precízen és főleg mident írásban két példányban 2 tanuval.
Gyorsan == előbb mint az ellenédrekelt/ellenérdekeltek lépnek.
root jelszócsere és mount-olj mindent ro-módban. :)
--
http://www.naszta.hu
Ha adatmentésre-megőrzésre nem terjed ki a szerződésed, akkor egy nagyobb crash megszüntetné az ügyféllel való kommunikációdat. :)
Nem értem az embereket. Olyan dolgok nem tetszenek nekik ma, amiért tegnap még rajongottak. Erről pedig nem a dolgok tehetnek.
"...mindenekelőtt az ügyféllel, már több, mint egy hete kértem, hogy bármit is akar, először is juttassa el írásban, hogy mi is biztonságban legyünk, még nem tette."
Hát kapcsold le a szervert....akkor majd felgyorsul. Ha reklamál, mondhatod, hogy karbantartás/crash van éppen, majd menni fog, de addig is várod az írásos nyilatkozatát vagy akármit.
Szia!
Valszeg csak én nem értem, de miért olyan bonyolult a kérdés?
Miért nem szeditek le azokat az adatokat, amihez nincs köze az irodának, full backup, pw csere, aztán átadás(-átvétel, amiben le van papírozva, hogy mint működő rendszert átvették, mindent rendben találtak)?
Én is végigolvastam kétszer és ugyanez a kérdés "ég az agyamban". Ha eddig is ingyen, szívességből felügyelték a szervert, a megbízó pedig erre a továbbiakban nem tart igényt, akkor pontosan mi is ezzel a probléma?
Ja, és egyébként mit keres a más szerverén olyan anyag, amit nincs joga látni?
---
Science for fun...
+1
ezt én sem értem...
még akkor sincs ez így jól, ha szívességből van üzemeltetve.
Teljesen nem értem, de a hiba biztosan bennem van...
1. Ki a tulajdonosa a szervernek? Mert szerintem a tulajdonos azt csinál amit akar vagy 2-es pont,
2. Mi áll az üzemeltetési szerződésben? Le van-e írva, hogy nem adhatja ki a jelszót "harmadik félnek"?
3. Mit keres más szervén olyan adat ami nem az övé? Ha van is rajta akkor miért nincs elszeparálva?
Amit leírtál (és ahogy én értelmezem) az alapján itt az üzemeltető a bukó, mert valaki más tulajdonát képező szervert és hozzáférést tart vissza, mert saját céljaira (lehet, hogy üzleti) más berendezéseit használja, úgy hogy arról a tulajdonosnak nincs tudomása.
Én kapkodnám össze a cuccot és nem várnám meg míg a rendőrbácsik kopogtatnak érte.
u.i.:
Annál jobban nem értem minél többször olvasom. Csak tárhelyről van szó és féltek, hogy viszik az egész szervert vagy ..................?
Úgy tűnik, hogy reggelre meglesz a megoldás, de a lényeg, hogy a VPS az egyesületé, elnökség, ellenőrző testület, iroda stb., mindenki minden adatot láthat, de az iroda a saját hozzáférését és így az általa látható személyes adatokat kiadta és kiadja egy olyan 3. félnek (l. fent), aki nem jogosult. A mi szempontunkból úgy tűnik, hogy reggelre letutódik a dolog (átadás a *jogosultnak*), a BTK-s részben való részvétel pedig egy másik kérdés, az majd utána jön.
Szervác Attila - http://321.hu/sas
Na kezdem kapisgálni:-)
Szóval a tulaj az egyesület, és van egy támogató szervezete "iroda" akik az egyesület tudta nélkül kiadják a hozzáférési adatokat. Gondolom az üzemeltetéssel az egyesület bízott meg titeket, így annak az érdekeit kell szem előtt tartanotok.
Így azt mondanám, hogy jelezném a dolgot az egyesület felé (elnök, tagok) és azonnal lezárnám a hozzáférést az iroda irányába. Illetve bizonyítékot gyűjtenék az "eseményről" és azt is az elnökség rendelkezésére bocsájtanám.
A viszony tisztázása pedig az egyesület vezetőségére és az irodára tartozik.
Ott a pont
Szóval ez olyan eset, mint amikor a leányvállalat lehetővé teszi egy külső személynek az anyacég adataihoz történő hozzáférést?
"Főleg technikailag érdekes a kérdés, ha BTK-s eljárásra kerülne sor, például mentés ügyben. Mennyire reális, hogy csinálunk például egy checksumot, de főleg, hogyan tudjuk így vagy máshogy egy esetleges átadás előtt a szerver állapotás hitelesen lementeni?"
Időbélyegzéssel.
Készíts egy listát az összes fontos dokumentumról és konfigáriós állományról, adatbázis logról, bármiről ami fájl,
Készíts mindegyikről md5 összeget,
Rakd össze a listát és az összegeket egy fájlba,
Erről is készítsél egy md5 összeget,
Kérjél ehhez az ellenörző összeghez egy hiteles időbélyeget egy időbélyeg szolgáltatótól.
Ezzel lesz egy listád az összes fontos fájl adott időpontbeni állapotáról, amit később, kérdéses helyzetben fel lehet használni a fájlok változásának, vagy nem változásának az igazolásához
Üdv, Bán Miki
És ezekre majd egy bíró adott esetben megkérdezi, hogy mi az isten ez? Valami új kajajegy?
Én úgy gondolom, hogy a rendszergazda nem a nem jogosult személy kategóriájába tartozik. Ha az iroda úgy dönt, hogy - megköszönve az eddigi fáradozásaitokat - más személyt kíván a felügyelettel megbízni, és neki a VPS felett az ehhez szükséges teljhatalmat biztosítani kívánja, az az iroda dolga.
Miért nem veszitek le azt az anyagot az iroda szerveréről amit az iroda nem láthat?
Ez egyébként minden bizonnyal olyan script nyelven megírt (tehát olvasható) kód, ami az iroda védelmét szolgálja amíg ti felügyelitek a rendszert, de nem kívánjátok a hadititkot velük - és így rajtuk keresztül másokkal is - megosztani.
A feltételezés nagyon jószándékú.
Én a mentéssel sem foglalkoznék. Itt van 1 db szerver működő állapotban, és az új rendszergazda dolga az, hogy csinál-e mentést róla vagy nem. Ez már az ő felelőssége.
Szerintem.
Az Egyesület *irodai rendszergazdája* tutujgat az irodában gépeket, például munkaállomásokat. Személyes adatokhoz való hozzáférésre, mint az Adatvédelmi törvény szerinti *adatfeldolgozó* a szerződése szerint egyelőre nem jogosult. De mondom, úgy fest, a dolog reggelre megoldódik.
Szervác Attila - http://321.hu/sas
mi a gond egy VPS-sel? lemented az egész vps diszkterületet és te ettől kezdve bizonyítani tudsz mindent.
mentsd le most, töröld le, ami nem az övéké, küld át a jelszót, oszt jónapot.
De mit kell ilyen esetben bizonyítani? Átadtam, átvette. Kész.
annyit kell bizonyítanod, hogyha később pattognak, hogy eltüntettél valamit, azt nem te tüntetted el.
Nézze át amikor átveszi! Legyen ez az ő felelőssége!
technikai kapcsolattartónak kiadsz mindent amit kér, a többit maguk között elintézik
Ez jogi kerdes, nem technikai. Kb. egy bombabiztos megoldasa van: felkersz egy informatikai igazsagugyi szakertot hogy mentse le a vps-t (konkretan te mented le az o jelenleteben) aki igazolja hogy az van a cd-n amit mondasz hogy van, berakja boritekba, zsinor+belyegzo es a csomagot kozjegyzoi letetbe helyezed.
Na ez az egy dolog ami megall a birosagon (tobbszori tapasztalat), egyeduli hatranya hogy koltseges.
Minden mas megoldas (barmennyire is korekt technikailag) a birosagon semmit sem er, mert a te szavad lesz az ovek ellen, a te kinyomtatott anyagod az ovek ellen, etc. Arra szamithatsz ha birosagra kerul az ugy, hogy sem a biro, sem az ugyesz/ugyvedek nem ertenek semmihez(*), nem hogy VPS meg checksum hanem egy szovegszerkeszto is alien sci-fi. A kerdest ugy dontik el, hogy hogy a kirendelt szakerto a vedelem szakertoje ellen, es akinek jobb a doksija, az nyer.
(*) persze kivetel itt is van, de ne szamits ra.
Sziasztok,
köszönöm az értékes hozzászólásokat!
Tehát informatikai igazságügyi szakértőt nem tudunk beszerezni, azért ez az időbélyegző-szolgáltató érdekelni, tudtok ajánlani netán valakit?
Szervác Attila - http://321.hu/sas
Egy ügyvéddel egy korrektül lepapírozott átadás-átvételt kell iratni és nincs nyűglődés. Az időbélyeg nagyon cool meg jól is hangzik, de mit mondasz majd egy esetleges perben a bírónak/bírónőnek erről, akinek a word is kihívás?
az is eszembe jutott, ha más megoldás nincs, hogy 2 tanúval lementem, kiírjuk CD-re, lezárjuk a borítékot, mind aláírjuk, ilyesmi nem megy?
Szervác Attila - http://321.hu/sas
Üdv, sas !
de, ki kell írni cd-re és letétbe adnám az ügyvédnek egy jegyzőkönyv mellett (3pld.-ban enyém + ügyvéd + tulajdonos/egyesület). A jegyzőkönyvbe beleírni: mikor, hol, kik voltak jelen (tanú) és mi célból készült a mentés (jogi vita esetén a jelenlegi állapot rekonstrukciója) teljességi nyilatkozat és egy másik nyilatkozat is kell: nincs még egy másolat saját birtokodban, adatokkal nem élsz vissza, nincs a szerveren általad telepített "back door" stb.. - ezt mind lehet egy jegyzőkönyvbe. Ha nagyon hivatalos (pl. banki környezet), akkor kellene még egy auditor (IT biztonsági), aki ellenőrzi a fenti állításokat.
-*-
buci
köszi, nagyon sok hasznos tipp! :)
Szervác Attila - http://321.hu/sas
Valószínűleg a tanúk se értenek hozzá amit csinálsz, úgy hogy ha megkérdezik őket mit mondanak mit láttak? Lehet hogy segít ha videóra felveszed és az is megy letétbe a mentés mellé letanúzva.
--
Légy derűs, tégy mindent örömmel!
azt tudják tanúsítani, hogy hány darab CD készült, bash history-t is mellékletként ki tudod nyomtatni és azért mondtam auditort (én pl. az lennék ISO27001) - láttam már átadás-átvételt...
Átadás-átvétel kell, ahol az átvevő írásban elismeri, hogy amit átvett az jó és nincs több követelése. Ha ezt aláírta, akkor később jöhet sírni, hogy de így vagy úgy, előveszitek ezt a papírt és szemberöhögitek. Ezért kell ez. Minden más IT varázslat csak zaj az éterben, mert az, hogy md5 hash meg mentettük ekkor, nem bizonyít semmit. Ha az átvevő elismeri, hogy átadáskor minden jó volt, akkor attól a pillanattól minden történés az ő felelőssége. Erről egy jogász öt percben jobban tud tájékoztatni, érdemes felkeresni, mert egyszerűen rövidre lehet ezt a vitát zárni.
amire Te gondolsz az a szolgáltatás "maradéktalan teljesítése" , itt inkább arról van szó, hogy mi volt vagy van a szerveren és annak a hiteles bizonyítása, ha véletlen erre kerülne sor egy jogi procedúrában...
Egyébként lehet, hogy egy ügyvéd előtti mentés a bíróságon nem sokat ér, de ha nagy komoly pofával sok aláírt papírral csinálod a leendő új rendszergazda előtt, az már elveheti a kedvét a további pattogástól. Nem kell abszolút bizonyító erejűnek lennie, elég, ha annak látszik.
Felmértétek, hogy mit jelent az költségben, időben, hírnévben stb. ha per lesz és elbukjátok, vagy ha meg is megnyeritek? Szerintem jobban jártok ha el tudjátok kerülni a pert és meg tudtok egyezni, ebben is segíthet az ügyvéd mellet az igazságügyi szakértő. Amúgy annak ellenére hogy szorít az idő arról hogy ez esetben mit hogyan kell tenni biztos hogy neked kell dönteni, nem az alapítvány vezetőjének, vagy megfelelő testületének?
--
Légy derűs, tégy mindent örömmel?
Ja nem, ez fel sem merül, hogy mi pereljünk, ugyan dehogy!
A felmerülő jogi eljárás az Egyesületen belül indul a személyes adatokkal való visszaélés kapcsán, amit az iroda dolgozói elkövettek...
Szervác Attila - http://321.hu/sas