Add to collection(s) Add to saved
  1. Sociale wetenschap
  2. Sociologie
  3. Discriminatie

H244 Cryptography and Network Security

advertisement 
COSIC
Big Data
& little privacy
Prof. Bart Preneel
COSIC KU Leuven en iMinds, Belgium
Bart.Preneel(at)esat.kuleuven.be
Oktober 2014
© COSIC KU Leuven, Bart Preneel
1
Groei van het internet
ESAT
COSIC
2
The data supply chain [Jim Adler]
ESAT
https://www.usenix.org/sites/default/files/conference/protected-files/adler_sec13_slides.pdfCOSIC
3
Internet toepassingen: advertenties
ESAT
COSIC
4
Draagbare en implanteerbare toestellen
Gezondheid
IMEC: NERF –
stimulering van
hersenen
ESAT
COSIC
Deep Brain
stimulatie
[Sources: J. Rabaey, Nat.Institutes of
Health, Neurology Journal]
Wetterstrand KA. DNA Sequencing Costs: Data from the
NHGRI Genome Sequencing Program (GSP)
ESAT
COSIC
Beschikbaar op: www.genome.gov/sequencingcosts
6
Are our current ICT systems
secure enough to take the risk
to collect
Big Data?
7
© COSIC KU Leuven, Bart Preneel
Trends van cyberbeveiliging
ESAT
COSIC
• weinig betrouwbare cijfers beschikbaar
• evolutie van
– “hacking voor het plezier”
– professionele criminaliteit met financiële motieven
– overheden
•
•
•
•
•
zichtbaarheid van aanvallen vermindert
verdediging verbetert maar onvoldoende
industriële spionage
verschuiving naar “social engineering”
van cybermisdaad naar cyberoorlog
8
Computer Virus
ESAT
COSIC
• Proof of concept: 1970s
• Eerste bedreiging: midden
1980s
• Explosie: midden 1990s
• 6.3 miljoen in 2011
• Industrie gestopt met tellen
in 2012
• Kaspersky heeft in 2013
bijna 1 miljard malware
objecten gedetecteerd en
geneutralizeerd
• 100K malware voor mobiele
telefoons in 2013
Bron: F-Secure
9
Een visser email (“phishing”)
ESAT
COSIC
10
Phishing
ESAT
COSIC
• 1% van alle email houdt verband met phishing
• Elke maand meer dan 25,000 nieuwe phishing
sites (sinds 2006)
• Verliezen voor financiële industrie: meer dan 1
miljard EUR per jaar
• Gebruikers soms naïef maar, soms kunnen ook
experten echte en valse sites niet onderscheiden
• Snelle respons - monitoren van het internet door
derde partijen
11
Botnet
ESAT
COSIC
• Aanvaller
controleert
100.000
computers
Toepassing: verhuur voor
SPAM, inbraken, overbelasten van computers
12
SPAM
ESAT
COSIC
(ongevraagde commerciële massa-email)
• 65% van alle emails is SPAM
– 7% in 2001; 90-95% rond 2005; 82% in 2010
– 90-200 miljard SPAM berichten per dag
– 5% bevat malware
• 40% van alle accounts op sociale media worden
aangemaakt door spammers
• Anti-spam maatregelen kosten miljarden EURO per jaar
• Als alle gebruikers SPAM zouden negeren, zou SPAM
snel stoppen
– helaas is er een kleine minderheid van de gebruikers die
reageren
Bill Gates (2004): Spam Will Be 'Solved' In 2 Years
13
SPAM 2013 statistics
ESAT
COSIC
SPAM content
[Source: M86 security lab]
Latest trend:
on-line
casinos
SPAM by botnet
[Source: M86 security lab]
14
Waarom is het zo moeilijk om
cyberbeveiliging te verbeteren?
ESAT
COSIC
• Complexiteit: technologisch, juridisch
• Economisch drijfveren: beveiligingsmarkt
functioneert niet optimaal
• Menselijke factor
15
Technologische complexiteit
•
•
•
•
•
ESAT
COSIC
IC: 2 miljard elementen
Windows/Linux/OS X: 20-200 miljoen lijnen code
Applicatie: 1-20 miljoen lijnen code
Internet: 1.5 miljard PCs en 2 miljard smartphones/tablets
Mobiele telefonie: 6 miljard gebruikers
• Beveiligen van een complex systeem: moeilijk, duur en
traag
• Bijkomend probleem: zeer snelle evolutie
16
Juridische complexiteit
•
•
•
•
ESAT
COSIC
wetgeving is nationaal
industrie is internationaal
aanvallen gebeuren internationaal
internationale “coördinatie” niet optimaal
– NATO, OECD, Council of Europe, EU (ENISA)
• snelle evolutie van technologie
17
Economische problemen
ESAT
COSIC
• in ICT wereld is marktaandeel belangrijker dan
beveiliging
– succes vergt quasi-universele adoptie
– gebruiker kan veilige en onveilige producten niet
onderscheiden
– gebruiker is niet bereid om veel te betalen voor
beveiliging of privacy
• waarom zou je betalen voor het vermijden van
schade als je niet zelf het slachtoffer is?
(“tragedy of the commons”)
– botnets
– betalingssystemen
– zwakheden in software
18
Menselijke factor
ESAT
COSIC
• mens is altijd een zwakke schakel
– bereidwilligheid/naïviteit
– beslissingen niet rationeel
– veilige systemen zijn meestal niet
gebruiksvriendelijk
Any sufficiently advanced technology is
indistinguishable from magic [Arthur C Clarke 1961]
19
Snowden onthullingen
NSA: “Collect it all, know it all, exploit it all”
– Meest eigenschappen had men kunnen extrapoleren van open
bronnen
Maar toch…
• massieve schaal en impacts
• zowel organisatorisch als technisch zeer gesofisticeerd
– redundantie: ten minste 3 manieren om aan de gegevens van
Google te geraken
– veel andere landen hierbij betrokken (buiten “five eyes) –
schaalvoordeel
– medewerking van industrie door omkoping en “security letters”, …
• M.i.v. industriële spionage
• Ondermijnen van cryptografische standaarden (Bullrun)
ESAT
COSIC
Snowden onthullingen (2)
Meest spectaculair: “active defense”
• netwerken
– Quantum insertion: antwoord voor de website zelf
– FoxAcid: speciale malware
•
toestellen
– malware
– ondermijnen van de bevoorradingsketen
Vertaling: complete controle over netwerken en systemen,
zelfs systemen die nooit aan het internet gekoppeld worden
Kan niet langer ontkend worden
ESAT
COSIC
Wat hebben we geleerd
ESAT
COSIC
Met de huidige kennis van ICT technologie kunnen zelfs
gesofisticeerde organisaties zich niet afdoende beschermen
tegen de georganiseerde misdaad en tegen de aanvallen
van een groeiend aantal natiestaten
Bedrijven hebben de publieke ruimte ingenomen
–
–
–
–
–
social netwerken
(e)mail
Reclame
bibliotheken en zoekopdrachten
discussie fora
Overheden krijgen toegang tot die schat aan gegevens bij
bedrijven
De kans is heel klein dat dit snel gaat veranderen
Big Data lead to
Big Privacy
Losses?
Does
23
© COSIC KU Leuven, Bart Preneel
Wat is privacy?
• Abstract en subjectief concept, moeilijk te
definiëren
• Hangt af van culturele aspecten, discipline,
belanghebbende, contekst
• Europa: discretie
• US: transparantie
24
ESAT
COSIC
Privacy definities
• Het recht om alleen gelaten te worden”
– vrijheid van intrusie en confidentialiteit
[Warren and Brandeis, “The Right to Privacy”, Harvard Law Review,
Vol. IV. No. 5, December 15, 1890]
• “Informationele zelf-determinatie”
– individuele controle op gebruik en verspreiding
[Westin, 1970] [German constitutional court, 1983]
• Privacy als praktijk
– constructie van identiteit; transparentie en feedback
[Agre, 1999] [Guerses, 2011]
25
ESAT
COSIC
Juridische aanpak: data protection
•
•
•
•
Data controller
Proportioneel
Toestemming
Recht op inzage en correctie
26
ESAT
COSIC
Privacy problemen: Places/Players/Perils
[Jim Adler]
27
ESAT
COSIC
Privacy problemen
•
•
•
•
•
•
Lekken van gevoelige informatie
Manipulatie
Profilering
Discriminatie
Voorspellen
Mass surveillance
28
ESAT
COSIC
World’s Biggest Data Breaches
ESAT
COSIC
http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks
29
Lekken van gevoelige informatie
• Slecht nieuws: technieken om data te
deanonymiseren zijn niet effectief
30
ESAT
COSIC
Privacy problemen: manipulatie
“the filter bubble”
31
ESAT
COSIC
Privacy problemen: profilering
32
ESAT
COSIC
Privacy problemen: profilering
ESAT
COSIC
• “computer algoritme”
– niet transparant
– niet altijd correct
– recht op inzage en correctie?
• leidt profilering van wat afwijkt tot
conformisme?
– zorgt dit voor onderdrukken van ‘maatschappelijk
afwijkende en/of ongewenst’ gedrag?
33
Privacy problemen: discriminatie
• prijsdiscriminatie
• discriminatie op basis van
gezondheidsrisico’s
– drugs, roken, alcohol, voeding, beweging,
• discriminatie naar ras, religie, sexuele
oriëntatie
– voorbeeld: http://dataprivacylab.org/projects/onlineads/1071-1.pdf.
34
ESAT
COSIC
Privacy problemen: voorspellen
Thoughtcrime
n. A crime committed by
having unorthodox,
unofficial, controversial or
socially unacceptable
thoughts.
George Orwell
Wat sociaal aanvaardbaar is,
kan sterk veranderen..
35
ESAT
COSIC
Mass surveillance: meta data
• Meta data is niet de inhoud van de conversatie
maar URLs, websites, email adressen,
telefoonnummers, locaties,…
• dit laat toe om netwerken te ontdekken en sociale
relaties te onhullen
• 6 June 2013: NSA verzamelt elk dag telefoongegevens
van miljoenen klanten van Verizon
• EU: data retention directive (2006/24/EC)
– ongeldig verklaard door EU Court of Justic in april 2014
ESAT
COSIC
Mass surveillance: meta data (2)
ESAT
COSIC
• NSA
verzamelt per
dag 5 miljard
gegevens
over de
locatie van
mobiele
telefoons
• Co-traveler
The meta data debate
ESAT
COSIC
It’s only
meta data
We kill people
based on
meta data
… but that’s not
what we do with
this metadata
Former National Security Agency (NSA) and
Central Intelligence Agency (CIA) Director
Michael Hayden (Reuters/Larry Downing)
Het privacy debat
• “Als je privacy belangrijk vindt, is dat
omdat je iets te verbergen hebt”
• Solove:
– “het probleem met dit argument is de
onderliggende veronderstelling dat
privacy gaat over slechte dingen”
39
ESAT
COSIC
ESAT
COSIC
Source: http://www.myconfinedspace.com/
Het privacy debat
– Privacy is een sociaal goed; beslissingen over wat je
vrijgeeft zijn geen zuiver individuele beslissingen
– [Solove] “Een maatschappij is maar goed om in te
leven naarmate het aan de burgers de vrijheid geeft
t.o.v. de intrusies van anderen. Een maatschappij
zonder privacybescherming zou verstikkend zijn”
– [Diffie and Landau] “Communicatie is fundamenteel
voor de mens; vertrouwelijke communicatie is
fundamenteel voor onze nationale veiligheid en
voor onze democratie”
41
ESAT
COSIC
Het privacy debat voor Big Data
ESAT
COSIC
Big Data: Seizing Opportunities, Preserving Values, Executive Office of
the President (USA), May 2014
Afwegen van sociale voordelen en risico’s
Welke informatie mag
• nooit verzameld worden?
• enkel met toestemming verzameld worden?
• altijd verzameld worden?
Hangt dit af van de toepassing?
Wat is toestemming voor Internet of things?
Melvin Kranzberg’s First Law of Technology (1986)
“Technology is neither good nor bad; nor is it neutral.”
Architecture is politics [Mitch Kaipor’93]
© K.U.Leuven COSIC,
Bart Preneel
43
21 July 2017
ESAT
COSIC
Governance en architecturen
Overheden: willen toegang tot alle data maar niet voor anderen
– Lijkt onhaalbaar op dit ogenblik
Industrie: conflicterende vereisten
1.
2.
3.
overheid wil toegang en achterdeurtjes
DRM voor media en software
privacy van gebruiker
Individu: heeft geen echte keuzes
Nood aan her-denken van gecentralizeerde
architectuur met Big Data
•
vertrouwen in 1 server leidt tot hacks of misbruik
ESAT
COSIC
Governance en Architecturen:
Terug naar de basis: minimal disclosure
– zo weinig mogelijk data centralizeren in de cloud
– als centraal verzameld: vercijfer met een sleutel in de
handen van de eigenaar van de data of een derde
partij
• nog altijd (in beperkte mate) operaties op vercijferde data
met cryptografie
– ook lokale berekeningen met bewijs van correctheid
waarbij enkel het resutaat wordt vrijgegeven
• dit vraagt wel een oplossing specifiek voor elke toepassing:
betaalrijden, slimme meters, gezondheidszorg,..
ESAT
COSIC
Betaalrijden: centrale oplossing
ESAT
COSIC
overheid
betaling
GPS
rekening
data
massale datacollectie
bij dienstverlener
dienstverlener
46
Betaalrijden op een privacy-vriendelijke manier
persoonlijke gegevens blijven in het domein van de gebruiker
USB
stick
GPS
Aanpassing
tarieven
Post
dienstverlener
47
ESAT
COSIC
Einde
ESAT
COSIC
Bedankt voor
uw aandacht
48
Related documents
No Slide Title - Home pages of ESAT
No Slide Title - Home pages of ESAT
Probleem: Iedere partner heeft eigen privacy
Probleem: Iedere partner heeft eigen privacy
Informatiebeveiliging
Informatiebeveiliging
Presentatie commissie 24-11-2015
Presentatie commissie 24-11-2015
hier ons privacy beleid
hier ons privacy beleid
Disclaimer en privacy De inhoud van deze site is door Parnasos met
Disclaimer en privacy De inhoud van deze site is door Parnasos met
Toolbox informatiebeveiliging en privacy
Toolbox informatiebeveiliging en privacy
PowerPoint-presentatie
PowerPoint-presentatie
Bioinformatica: Hoe algoritmen tot leven brengen
Bioinformatica: Hoe algoritmen tot leven brengen
Disclaimer - Sapa Pana Travel
Disclaimer - Sapa Pana Travel
Decentralisaties - Shared Services Netwerk Twente
Decentralisaties - Shared Services Netwerk Twente
Download
advertisement