Tecnologie per la raccolta, la sanitizzazione, l'elaborazione e il rilascio sicuro di dati

The last decade has seen a significant increase in usage of cloud services. This trend is facilitated by the low cost, the high reliability, and the reduced risks linked to data loss. Albeit there are advantages in uploading data to the cloud, there are also several security and privacy challenges. The experience gained by the Research community attest that it is not enough to just change data visibility to ensure an adequate level of protection. Rather, it is required to pay attention to the whole data lifecycle, from data collection and sanitization, to storage and processing, and finally the release. This thesis analyzes each of these stages, proposing Open Source solutions pushing forward the current state of the art. The first part of the thesis deals with the collection of data, in particular in the mobile scenario. The mobile environment is especially relevant as smartphones are devices with limited storage, that are connected to the network, and with the ability to log confidential data. To access this information, an app must be granted the proper permission. Yet, all the components running inside it share the same execution environment, thus have the same visibility and access constraints. This is a limitation of the current OS. Focusing on the Android, which is Open Source, we propose a set of modifications to achieve internal app compartmentalization leveraging the MAC layer. With this approach, the developer can add a policy module to the app to confine each component, effectively restricting access to the internal storage and to services. After the data are collected, a user may apply to it sanitization before being uploaded to the cloud. Sanitization is a process by which data are irreversibly altered so that a subject (referenced within the data) cannot be identified, given a certain security parameter, while the data remain practically useful. The second part of the thesis presents an approach based on k-anonymity and l-diversity to apply sanitization over large collections of data. The approach described can be applied in a distributed environment and is characterized by a limited information loss. The third part of the thesis investigates the storage and processing stages. In this scenario, the cloud provider is considered honest-but-curious, which assumes that it complies with the requests issued by the user, but may abuse the access to the information provided. Hence, the goal is to support the execution of queries over outsourced data with a guarantee that the cloud provider does not have access to the data content. Unfortunately, the use of deterministic encryption does not offer protection, as the encrypted data maintain the same distribution of the original data. The approach we present is applicable to relational data, and enables the execution of queries involving equality and range conditions. Data is saved encrypted to the server into equally large blocks of tuples. The blocks are managed by the server as atomic units, and accessed through an encrypted multidimensional index also stored by the server. The cloud provider is then unable to identify the single items stored within each block. Local maps are saved by the client to search the index efficiently. The approach provides perfect indistinguishability to an attacker with access to the stored data. This is achieved applying non-deterministic encryption, and by destroying the frequencies of the index. The index is built as an evolution of the technique presented in part two of the thesis. The last part of the thesis addresses the data release stage. As we move to a decentralized environment in which the parties are mutually distrusting, the honesty assumption is refuted. The parties are instead modeled as rational. In this setting, we propose a solution that can be used to schedule the release of data without the need for a Trusted Party. The approach is based on economic incentives and penalties, enforced by a smart contract.

Nell'ultima decade si è verificato un grande aumento nell'offerta dei servizi cloud. Il trend è facilitato dai bassi costi, l'alta affidabilità, e dalla riduzione dei rischi associati alla perdita dati. Sebbene caricare dati in cloud comporti dei vantaggi, ci sono anche molte sfide legate alla sicurezza e alla privacy. L'esperienza della comunità di ricerca testimonia che non è sufficiente cambiare la visibilità del dato per ottenere un livello di protezione adeguato. Piuttosto, è necessario organizzare meticolosamente l'intero ciclo di vita del dato, dalla raccolta e sanitizzazione, alla memorizzazione ed elaborazione, e infine il rilascio. Questa tesi analizza ciascuno di questi stadi, proponendo soluzioni Open Source innovative. La prima parte di tesi studia la raccolta dati, in particolare in ambiente mobile. Si tratta di un ambiente importante, in quanto è caratterizzato da dispositivi con limitata memoria, connessi alla rete, e con la possibilità di rilevare informazioni sensibili. Per accedere a queste informazioni, un'app deve ottenere i permessi opportuni. Malgrado ciò, tutti i componenti al suo interno condividono lo stesso ambiente d'esecuzione, quindi hanno la stessa visibilità e restrizioni d'accesso. Si tratta di una limitazione degli attuali OS. Focalizzandoci su Android, che è Open Source, proponiamo una serie di modifiche per compartimentalizzare internamente l'app sfruttando il livello MAC. Con questo approccio, lo sviluppatore può caricare un policy module in app per confinare ogni suo componente, limitando l'accesso alla memoria interna e ai servizi. In seguito alla raccolta, un utente può sanitizzare i dati prima di caricarli in cloud. La sanitizzazione è un processo che altera irreversibilmente i dati, in modo tale che ciascun soggetto referenziato dai essi non possa essere identificato, entro certi parametri di sicurezza, evitando che i dati siano resi inutilizzabili. Nella seconda parte della tesi viene presentato un approccio basato su k-anonimity e l-diversity per sanitizzare grandi collezioni di dati. L'approccio descritto è parallelizzabile ed è caratterizzato da una limitata perdita d'informazione. La terza parte di tesi investiga gli stadi di memorizzazione ed elaborazione. In questo scenario, il cloud provider viene considerato honest-but-curious, si assume cioè che esso eseguirà sempre le richieste dell'utente, ma potrebbe abusare dell'accesso alle informazioni. L'obiettivo è consentire l'esecuzione di interrogazioni su dati caricati in cloud, senza che il gestore ne abbia accesso in chiaro. Sfortunatamente, l'uso di cifratura deterministica non offre una protezione adeguata, dato che le informazioni cifrate mantengono la stessa distribuzione di quelle in chiaro. La soluzione proposta si applica a dati relazionali, e consente l'esecuzione di interrogazioni con predicati di uguaglianza e intervallo. Le tuple vengono salvate su server in blocchi di uguali dimensioni. I blocchi vengono gestiti dal server come unità atomiche inintelliggibili, e sono acceduti per mezzo di un indice cifrato multidimensionale, anch'esso caricato sul server. Mappe locali vengono invece salvate dal client per eseguire ricerche nell'indice in modo efficiente. L'approccio proposto garantisce perfetta indistinguibilità ad un attaccante con accesso alla memoria. Ciò si ottiene applicando crittografia non deterministica e distruggendo le frequenze dell'indice. L'indice è costruito con un'evoluzione della tecnica presentata nella seconda parte della tesi. L'ultima parte della tesi si occupa della fase di rilascio dei dati. L'assunzione di onestà è confutata, in quanto in un ambiente decentralizzato le parti non si fidano reciprocamente. Le parti sono invece modellate come razionali. Sotto questa assunzione, viene proposta una soluzione utilizzabile per schedulare il rilascio dati senza la necessità di una parte fidata.