D14 Protezione Dati Sensibili

7/29/2019 D14 Protezione Dati Sensibili

1/65

Dati Sensibili


2/65

Dati Sensibili

Molti DB contengono quelli che si definisconoDati Sensibili

Come definizione pratica diciamo che i datisensibili sono quelli che non dovrebberoessere resi pubblici

Determinare quali dati siano sensibili dipendedal singolo DB e dalla specifica applicazione


3/65

Dati Sensibili

Due casi estremi:

Nessun dato sensibile (p.es. catalogo di unabiblioteca)

Tutti i dati sensibili (p.es. database militari)

Questi casi sono i pi semplici da gestire:

Accesso consentito allintero DB

Accesso negato allintero DB


4/65

Dati Sensibili

Il caso pi interessante quello in cui alcunidati sono sensibili mentre altri non lo sono

Inoltre possibile che dati diversi abbianolivelli di sensibilit diversi


5/65

Esempio

Cognome Sesso Razza Aiuto Multe Droghe DormitorioAdams M C 5000 45 1 Holmes

Bailey M B 0 0 0 Grey

Chin F A 3000 20 0 West

Dewitt M B 1000 35 3 Grey

Earhart F C 2000 95 1 Holmes

Fein F C 1000 15 0 West

Groff M C 4000 0 3 West

Hill F B 5000 10 2 Holmes

Koch F C 0 0 1 West

Liu F A 0 10 2 Grey

Majors M C 2000 0 2 Grey

Studente


6/65

Esempio

Campi non sensibili: Nome, Dormitorio

Campi sensibili: Aiuto, Multe, Droghe

Campi parzialmente sensibili: Sesso, Razza


7/65

Dati sensibili

Sensibili per Contenuto: Il valore dellattributo sensibile

es. localit di postazioni missilistiche

Sensibili per Provenienza: la fonte dei dati punecessitare di riservatezza

es. messaggi di un informatore la cui identit segretaverrebbe compromessa se i dati venissero divulgati

Dichiarati sensibili: lamministratore ha dichiarato

che i dati sono sensibili

es. donatore anonimo


8/65

Dati sensibili

Parti sensibili: attributo o record. Un intero record o solo un certo attributo possono

risultare sensibili

es. campo stipendio, record che descrive una missione

segreta

Sensibili in relazione a informazioni divulgate inprecedenza: Alcuni dati diventano sensibili in funzione di altri dati

es. la latitudine di una postazione segreta diventasensibile se si conosce anche la longitudine


9/65

Come proteggere i dati sensibili?

Decidere come divulgare i dati sensibili pu nonessere semplice

Si possono ottenere informazioni anche se i datisensibili non vengono mostrati

A volte anche alcune caratteristiche dei dati

devono essere considerati sensibili


10/65

Esempio

La seguente query nonmostra il valoredellattributo droghe

ma tutti coloro presentinel risultato fanno uso didroghe

Pu essere necessarioproteggere un valore

sensibile anche se questonon viene mostrato inmodo esplicito

Cognome Sesso Razza Aiuto Multe Droghe Dormitorio

SELECT Cognome, Dormitorio

FROM StudenteWHERE Droghe>0

Studente


11/65

Tipi di divulgazione

Dati esatti:

Divulgazione del valore esatto di un dato sensibile

La divulgazione potrebbe avvenire per unarichiesta esplicita

Oppure i dati sensibili potrebbero essere restituiti

insieme ad altri dati non sensibili Oppure il sistema potrebbe restituire i dati

sensibili per errore


12/65


Limiti:

Indicazione che un valore sensibile compreso tradue valori L e H

In questo caso con una ricerca dicotomica sipotrebbe ottenere un valore molto prossimo a

quello esatto In alcuni casi semplicemente sapere che un valore

al di sopra (o al di sotto) di un certo limiterappresenta una violazione della sicurezza


13/65


Risultato negativo:

A volte si pu ottenere un informazione sapendoche il valore cercato non pari ad un certo valore

Ad es. se sappiamo che il numero di condannepenali di una certa persona non zero sappiamo

che la persona in questione stata condannata(non sappiamo quante volte, ma )


14/65


Esistenza:

A volte la sola esistenza di un attributo sensibile

Ad es. un responsabile del personale potrebbedesiderare che non si sappia che la durata delleinterurbane dei dipendenti viene monitorata

Quindi la scoperta del campo interurbane in unatabella con i dati del personale rivelerebbe datisensibili


15/65


16/65

Protezione dei dati sensibili

Per aumentare la protezione dei dati sensibilisi potrebbe pensare di usare politiche semprepi restrittive in maniera da proteggere meglio

i dati

Ad esempio si potrebbe pensare di rifiutarequalunque query che faccia riferimento ad un

campo sensibile Questo per limiterebbe anche le interrogazioni

legittime


17/65

Protezione dei dati sensibili

Abbiamo due esigenze contrastanti:

Nascondere i dati per evitare di fornire datisensibili (Sicurezza)

Divulgare i dati non sensibili quanto pi possibileper consentire lutilizzo corretto dei dati da parte

delle persone autorizzate (Precisione)


18/65

Sicurezza contro Precisione

Nascosto-nondivulgato

Non pu esserededotto dallequery

Pu esserededotto dallequery

Divulgatoliberamente

Rivelare per massima

precisione

Nascondere permassima sicurezza


19/65

Inferenza


20/65

Inferenza

Linferenza un metodo per dedurre oderivare dati sensibili da dati non sensibili

Riconsideriamo lesempio del database sugli

studenti e consideriamo sensibili i campi

Aiuto, Multe e Droghe


21/65

Esempio









Koch F C 0 0 1 West

Liu F A 0 10 2 Grey


Studente


22/65

Attacco diretto

La seguente query rappresenta un tentativodiretto di accedere ad un dato sensibile

Tale query potrebbe essere rifiutata dal DB perchle tuple del risultato sono quelle con uno specificovalore su un attributo sensibile

SELECT CognomeFROM StudenteWHERE Sesso=M AND Droghe=1


23/65

Attacco diretto

La seguente query meno ovvia:

Apparentemente la query non seleziona solo tuplecon uno specifico valore su un campo sensibile

In realt la seconda e la terza condizione non sonomai soddisfatte

SELECT CognomeFROM Studente

WHERE (Sesso=M AND Droghe=1) OR(SessoM AND SessoF) OR(Dormitorio = Ayres)


24/65


25/65

Attacco diretto

Una regola a volte utilizzata per decidere seriportare i dati di una query quella di nelementi sul k percento:

I risultati non vanno divulgati se un piccolonumero di elementi costituisce pi del k% delrisultato

Nellesempio precedente una sola personacostituiva il 100% del risultato


26/65

Attacco indiretto

Alcune organizzazioni che detengono datisensibili, divulgano soltanto dati statistici

Dati ottenuti come somme medie e conteggi

Lattacco indiretto cerca di dedurre un datosensibile sulla base di uno o pi dati statisticiintermedi


27/65

Attacco indiretto: Somma

La seguente query sembra innocua poichrestituisce soltanto valori aggregati:

Vediamo per il risultato

SELECT Sesso, Dormitorio, SUM(Aiuto)FROM StudenteGROUP BY Sesso, Dormitorio


28/65


29/65

Attacco indiretto: Conteggio

Il conteggio pu essere combinato con lasomma per produrre risultati ancora pirivelatori:

SELECT Sesso, Dormitorio, COUNT(*)FROM StudenteGROUP BY Sesso, Dormitorio


30/65

Attacco indiretto: Conteggio

Questo risultato combinato con il precedente ci

dice che i due uomini nei dormitori Holmes e Westricevono un aiuto finanziario rispettivamente di5000 e 4000

Sesso Dormitorio COUNT(*)

M Holmes 1

M Grey 3

M West 1

F Holmes 2

F Grey 1

F West 3


31/65

Attacco indiretto: Media

La media pu permettere di ottenere informazioniesatte se utilizzata in combinazione con ilconteggio

Se riesco ad ottenere la media su un insiemeformato da un solo elemento, riesco a conoscere ilvalore esatto per quellelemento

Usata opportunamente permette anche di

aggirare eventuali controlli sulla numerositdellinsieme su cui viene calcolata


32/65


33/65


Supponiamo che la media non venga divulgatase il numero di elementi su cui calcolata 1

SELECT COUNT(*)FROM StudenteWHERE Dormitorio=Holmes

COUNT(*)

3

SELECTCOUNT(*)FROM StudenteWHERE Dormitorio=Holmes

ANDSesso=F

COUNT(*)

2


34/65


COUNT(*)

3

COUNT(*)

2

AVG(Aiuto)

4000

AVG(Aiuto)

3500

Aiuto finanziario medio Aiuto finanziario medio alle donne

Numero di persone Numero di donne

40003

321

aaa3500

2

21

aa

50003a

Aiuto finanziario dellunico uomo nel dormitorio Holmes


35/65

Attacchi di Tracker

Abbiamo visto che uno delle tecniche diprotezione dallinferenza consiste nel nondivulgare i dati se un piccolo numero di elementifornisce molta informazione

possibile aggirare questa limitazione effettuandopi query lecite

La combinazione dei risultati delle query ci dlinformazione sensibile


36/65

Attacchi di Tracker: esempio

Consideriamo la seguente query

SELECTCOUNT(*)

FROMStudenteWHERESesso=F ANDRazza=CANDDormitorio=Holmes


37/65










Koch F C 0 0 1 West

Liu F A 0 10 2 Grey



38/65


Il dato non viene divulgato in quantodominato da una sola tupla

Osserviamo per che il valore in questione puessere calcolato contando

tutte le donne che non sono di razza C

o che non risiedono nel dormitorio Holmes


39/65


40/65

Vulnerabilit del sistema lineare

Lattacco di tracker un caso specifico di unavulnerabilit pi generica in cui sfruttandoalgebra, logica e un po di fortuna si riesce ad

ottenere tramite diverse query dei valoriprotetti


41/65


42/65


43/65

Protezione dallinferenza

Esistono alcune tecniche per combatterelinferenza:

Analisi delle query

Soppressione: valori sensibili non forniti

Occultamento: la risposta vicina ma noncorrisponde esattamente al valore effettivo


44/65

Soppressione e occultamento

Un esempio di soppressione la gi citataregola n elementi sul k percento

Alcune considerazioni:

Pu essere necessario sopprimere altri dati perevitare che quelli sensibili siano ottenibili perdifferenza


45/65

Esempio

Holmes Grey West Totale

M 1 3 1 5

F 2 1 3 6

Totale 3 4 4 11

Numero di residenti per sesso e dormitorio


46/65

Esempio


M 1 3 1 5

F 2 1 3 6

Totale 3 4 4 11



47/65

Esempio


M - 3 - 5

F 2 - 3 6

Totale 3 4 4 11


Attenzione: i valori soppressi possono essere dedotti per differenza


48/65

Risultati combinati

Per evitare di divulgare dati sensibili possibile combinare pi righe o colonne

Uso di droghe

0 1 2 3

M 1 1 1 2

F 2 2 2 0

Numero di studenti per sesso e uso di droghe


49/65

Risultati combinati

Per evitare di divulgare dati sensibili possibile combinare pi righe o colonne

Uso di droghe

0 o 1 2 o 3

M 2 3

F 4 2

Numero di studenti per sesso e uso di droghe


50/65


51/65

Campione casuale

La query viene effettuata su un campionecasuale dei dati

Il campione deve essere abbastanza ampio da

rappresentare lintera popolazione In questo modo i dati sono rappresentativi

dellintera popolazione ma riducono la possibilit

di attacchi statistici


52/65

Perturbazione casuale dei dati

A volte pu essere utile perturbare i valori delDB con un piccolo errore.

Per ognixiche rappresenta il valore vero

dellattributo i

si pu generare un piccolo errore eie aggiungerloadxiper calcolare dati statistici

Valori aggregati quali la media o la sommaprodurranno valori vicini a quelli veri ma nonesatti


53/65

Inferenza: commenti

Le varie soluzioni che abbiamo visto tendonoa proteggere un DB dal problemadellinferenza

Al tempo stesso per limitano anche leinformazioni fornite agli utenti che intendanofare un uso legittimo dei dati


54/65

Aggregazione

Un particolare tipo di inferenza e quellodellaggregazione

Per aggregazionesi intende lindividuazione di

dati sensibili mettendo insieme dati nonsensibili

Es: il nome di un impiegato ed il suo stipendio

nessuno dei due dati sensibile di per s, ma lo sono semessi insieme


55/65

Aggregazione

Evitare laggregazione difficile perch bisogna

tenere conto delle informazioni gi in possessodellutente

Se un utente conosce il nome di un dipendentenon devo comunicargli il salario e viceversa

Tenere traccia delle informazioni in possesso diciascun utente pu essere proibitivo

Inoltre utenti diversi potrebbero condividere leinformazioni in loro possesso


56/65


57/65


58/65

Esercizio

Si tenga conto, inoltre, che viene applicata laseguente politica di protezione dei dati sensibili:

1. il campo stipendio non pu essere divulgato

direttamente e non pu essere utilizzato comecriterio di filtraggio;

2. i criteri di filtraggio possono essere eta, sesso, ecitta;

3. non possono essere utilizzati pi di due criteri difiltraggio in una singola interrogazione;

4. consentita la divulgazione di medie e conteggi apatto che si riferiscano ad almeno tre tuple.


59/65

Tabella dipendenticf cognome nome eta citta sesso ruolo stipendio

Rossi Mario 36 Roma M impiegato 1200

Neri Luigi 39 Roma M ricercatore 1700

Bianchi Mario 35 Roma M ricercatore 1400

Gialli Federica 36 Firenze F impiegata 1200

Verdi Anna 38 Milano F impiegata 1300

Rossi Claudia 31 Verona F segretaria 1000

Pieri Alessandro 37 Torino M dirigente 4000

Belli Ilaria 33 Venezia F commercialista 2000

Bianchini Francesca 32 Napoli F dirigente 3000 Brutti Elena 32 Perugia F impiegata 1200


60/65


61/65

Svolgimento strategia base

Una volta individuati due insiemi U e V,soddisfacenti le condizioni I, II, III e IV,ponendo:

mU= media degli stipendi dei dipendenti in U; cU= numero dei dipendenti in U;

mV= media degli stipendi dei dipendenti in V;

cV= numero dei dipendenti in V;

si ottiene chestipendioMister X= mU cU mV cV


62/65

Svolgimento individuazione di U e V

Si considerino i seguenti insiemi:A: insieme dei dipendenti di sesso maschile (sesso

= M);

B: insieme dei dipendenti con pi di 30 anni (eta >30);

C: insieme dei dipendenti romani (citta = Roma);

si osservi che dalla (a) e dalla (b) risulta che {Mister X} = (AB) \ C=(AB) \ (B C)

mentre dalla (c) si ha che CA


63/65

Svolgimento individuazione di U e V

pertanto risulta che {Mister X} = (AB) \ (B C), e

(B C) (AB)

quindi gli insiemi U e Vsono: U =AB

V= B C


64/65

Svolgimento query SQL

Individuazione di mUe cU: SELECTavg(stipendi), count(stipendi) FROM

dipendenti WHEREsesso = M AND eta > 30;

Individuazione di mVe cV: SELECTavg(stipendi), count(stipendi) FROM

dipendenti WHERE eta > 30 AND citta = Roma;


65/65

Bibliografia

[PFL08] C. P. Pfleeger, S. L. Pfleeger. Sicurezzain Informatica. Pearson, Prentice Hall.

[STA07] W. Stallings. Sicurezza delle reti.

Pearson, Prentice Hall. [Wiki-it] http://it.wikipedia.org/wiki/

[Wiki-en] http://en.wikipedia.org/wiki/

[ISECOM] Institute for Security and OpenMethodologies

D14 Protezione Dati Sensibili

Documents

Transcript of D14 Protezione Dati Sensibili