Bazy Danych i Systemy informacyjne Wykład 5. Piotr Syga

Transkrypt

1 Bazy Danych i Systemy informacyjne Wykład 5 Piotr Syga

2 PREPARE przypomnienie Przygotowanie zapytania dynamicznego Przypomnienie = 50; = CONCAT("SELECT * FROM Trener WHERE wiek PREPARE stmt EXECUTE stmt; DEALLOCATE PREPARE stmt;

3 PREPARE przypomnienie Przygotowanie zapytania dynamicznego Analogiczne zapytanie zapisane inaczej = 50; = CONCAT("SELECT * FROM Trener WHERE wiek >? ;"); PREPARE stmt EXECUTE stmt DEALLOCATE PREPARE stmt;

4 SQL-Injection Idea wykorzystanie pól tekstowych w aplikacji do wprowadzenia własnego kodu zalogowanie się bez uprawnień, pozyskanie lub modyfikacja danych uniemożliwienie dostępu lub zmienienie działania kodu wnioskowanie na podstawie komunikatów błędów

5 SQL-Injection Przykład autoryzacji Logowanie ustalonego użytkownika SELECT userid FROM users WHERE name= Bob AND password= BobbyB ;

6 SQL-Injection Przykład autoryzacji Logowanie ustalonego użytkownika SELECT userid FROM users WHERE name= Bob AND password= BobbyB ; Procedura autoryzująca CREATE PROCEDURE auth (IN usr char(50), IN pass char(50), OUT ID INT) SELECT userid INTO ID FROM users WHERE name=usr AND password=pass; Wywołanie: CALL auth ( Bob, BobbyB,@uid) niewygodne wywołanie z cudzysłowem. Zapytanie skonkatenowane userid FROM users WHERE name= ",@usr, AND password= ",@pass, ;");

7 SQL-Injection Próby logowania Nie znając danych logowania, chcemy spełnić warunek logiczny w WHERE, by zwrócone zostało odpowiednie ID i nastąpiło zalogowanie Podajmy jako nazwę użytkownika oraz hasło ciąg: OR = otrzyma wartość "SELECT userid FROM users WHERE name= OR = AND password= OR = ;" Jeśli proces autoryzacji nie został zabezpieczony zostaniemy zalogowani jako pierwszy (userid) użytkownik w bazie, często wyświetlane przywitanie lub wgląd do danych podają nazwę konta.

8 SQL-Injection Co jeśli chcemy poznać hasło? Część funkcjonalności może wymagać potwierdzenia hasłem, co więcej kombinacja login( ) hasło może być wykorzystywana na wielu portalach W przypadku, gdy użytkownik aplikacji połączony jest z kontem administratora bazy: SELECT * FROM mysql.user Bruteforce: Zadajemy pytania tak/nie do bazy danych: Czy hasło Boba zawiera B : Username - U Password - OR EXISTS(SELECT * FROM users WHERE name= Bob AND password LIKE %B% ) AND = Czy hasło Boba zawiera b po B :... LIKE %B%b%... Czy o jest drugą literą hasła:... LIKE _o%...

9 SQL-Injection Poznanie zawartości bazy W analogiczny sposób do zgadywania hasła możemy dostać odpowiedź na inne pytania tak/nie, np.: Czy istnieje użytkownik o nazwie na A : Password - OR EXISTS(SELECT * FROM users WHERE name LIKE A% ) AND = Czy istnieje użytkownik o takim samym haśle co Bob: Password - OR EXISTS(SELECT * FROM users ub JOIN users u WHERE ub.name= Bob AND u.password=ub.password AND u.name<>ub.name) AND = Czy w bazie jest więcej niż 1000 użytkowników: Password - OR (SELECT COUNT(*) FROM users)>1000 AND = Czy w bazie bazylab jest tabela users: Password - OR EXISTS(SELECT * FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_SCHEMA= bazylab AND TABLE_NAME= users ) AND =

10 SQL-Injection Poznanie zawartości bazy W analogiczny sposób do zgadywania hasła możemy dostać odpowiedź na inne pytania tak/nie, np.: Czy istnieje użytkownik o nazwie na A : Password - OR EXISTS(SELECT * FROM users WHERE name LIKE A% ) AND = Czy istnieje użytkownik o takim samym haśle co Bob: Password - OR EXISTS(SELECT * FROM users ub JOIN users u WHERE ub.name= Bob AND u.password=ub.password AND u.name<>ub.name) AND = Czy w bazie jest więcej niż 1000 użytkowników: Password - OR (SELECT COUNT(*) FROM users)>1000 AND = Jak sprawdzić czy każdy użytkownik w bazie ma inne hasło? Czy w bazie bazylab jest tabela users: Password - OR EXISTS(SELECT * FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_SCHEMA= bazylab AND TABLE_NAME= users ) AND =

11 Rozpoznanie wrażliwości Próba ataku w ciemno Wiedza początkowa SELECT kolumny FROM tabela WHERE kolumna= textfield ; 1 Sprawdzenie czy pole jest wrażliwe na atak: Ronnie O Sullivan user unknown vs syntax error 2 Sprawdzenie reakcji: user OR = (pm) vs user unknown vs error 3 Rozpoznanie kolumny: u AND ( IS NULL) AND = alternatywnie u AND IS NULL; - - sprawdzamy inne pola: name, id, lastname, fullname, login, password,...

12 Rozpoznanie wrażliwości Próba ataku w ciemno - cd. 4 Rozpoznanie tabel: u AND (SELECT COUNT(*) FROM users)>0; - - sprawdzamy inne pola:accounts, logs, history,... 5 Sprawdzamy na której tabeli wykonywane jest oryginalne zapytanie: u AND users.name IS NULL; Sprawdzamy istnienie użytkowników: u OR name LIKE %Bob%, możemy spróbować hasła. 7 Sprawdzamy możliwość dodania: u ; INSERT INTO users ( login, , passwd, name ) VALUES ( Rogue, Daemon@Caraxes.ws, heir, Daemon ); Sprawdzamy modyfikacje: u ; UPDATE users SET = Daemon@Caraxes.ws WHERE LIKE %@Caraxes.ws

13 Rozpoznanie wrażliwości Próba ataku w ciemno - cd. A po poznaniu danych wrażliwych i znudzeniu się bazą...

14 Rozpoznanie wrażliwości Próba ataku w ciemno - cd. A po poznaniu danych wrażliwych i znudzeniu się bazą być może coś więcej: u ; DROP TABLE users; - -

15 Rozpoznanie wrażliwości Zapobieganie Sanityzacja danych: white list vs black list Uwaga: O Sullivan vs... WHERE id = 1000 OR 1=1 Escape:... \ ; DROP TABLE users; - - Zarządzanie parametrami (JDBC): Statement stmt = connection.createstatement(); ResultSet rs = stmt.executequery( SELECT id FROM users WHERE name = + txtfield); // ; DROP TABLE users; - - zmieniamy na: PreparedStatement stmt = connection.preparestatement( SELECT id FROM users WHERE name =? ); stmt.setstring(1, txtfield); ResultSet rs = ps.executequery(); Zarządzanie prawami dostępu Zarządzanie bazą danych przez procedury składowane Odpowiednia konfiguracja komunikatów o błędach

16 Logowanie Tworzenie logów Przy konfiguracji IDE i servera (np. mysqld log=log_file) ustalamy zakres oraz path plików z logami, pliki sql_actions_*.log zawierają informacje o wykonywanych operacjach, bez danych do debbugowania Uwaga: flaga logowania może nie być ustawiona przez administratora bazy danych, możemy nie mieć (pełnego) dostępu do pliku logów, problem przy migracji bazy

17 Logowanie Tworzenie logów Możemy utworzyć własne logi zawierające timestamp, użytkownika, rodzaj akcji, informacje o zmienionych wierszach, kolumnach i tabelach W bazie danych tworzymy dedykowaną dla historii operacji tabelę Określamy jakie akcje mają być w niej uwzględniane modyfikujemy odpowiednie procedury i triggery Określamy jak długo dane mają być przechowywane w tabeli (usuwamy dane starsze niż... ) Różnicujemy okres czasu przechowywania dla różnych akcji/użytkowników Dane archiwalne przed usunięciem można zapisać do pliku (backup)

18 Utrata prywatności Po co nam prywatność? sklejanie informacji z różnych źródeł śledzenie użytkowników metadane

19 Utrata prywatności Przykłady linkowania baz danych Thelma Arnold vel AOL Searcher No Dane demograficzne P. Golle Privacy Risks in Recommender Systems Ramakrishnan et al. Netflix experiment Narayanan, Shmatikov IMBD + dane medyczne Dwork et al.

20 Utrata prywatności Przeciwdziałanie Jak zabezpieczać? szyfrowanie czas operacji, podział na dostęp zewnętrzny i wewnętrzny sztuczne wpisy odróżnianie od danych prawdziwych, rozmiar bazy zaburzanie wyciek danych

21 Differential Privacy Idea Udostępniamy bazę danych w celach statystycznych Pozwalamy na zapytania agregujące (np. sumę) Ujawniane wyniki mają oddawać rzeczywiste dane Zaburzamy dane, w celu zachowania prywatności

22 Differential Privacy Definicja Mówimy, że funkcja A zapewnia ε prywatność różnicową jeśli dla wszystkich zbiorów danych D i D różniących się na co najwyżej jednym wierszu oraz wszystkich A Range(A) spełnione jest: Pr[A(D) A] exp(ε) Pr[A(D ) A]

23 Differential Privacy Rozkład Laplace a Zmienna losowa Y ma rozkład Laplace a o parametrach µ i b: Y Laplace(µ, b) ( ) PDF f µ,b (x) = 1 2b exp x µ b Wartość oczekiwana µ Wariancja 2b 2

24 Differential Privacy Rozwiązanie dla danych numerycznych: Mechanizm Laplace a Dodajemy perturbacje do wyniku Czułość f = max D, D A(D) A(D ) Do ujawnianego wyniku dodajemy Y Laplace(0, f ε ).

25 Differential Privacy Rozwiązanie dla danych numerycznych: Mechanizm Laplace a Dodajemy perturbacje do wyniku Czułość f = max D, D A(D) A(D ) Do ujawnianego wyniku dodajemy Y Laplace(0, f ε ). Co z wielokrotnym odpytywaniem? Budżet prywatności dla n zapytań: ε = n i=1 ε i.

26 Differential Privacy Rozwiązanie dla danych numerycznych: Mechanizm Laplace a Dodajemy perturbacje do wyniku Czułość f = max D, D A(D) A(D ) Do ujawnianego wyniku dodajemy Y Laplace(0, f ε ). Co z wielokrotnym odpytywaniem? Budżet prywatności dla n zapytań: ε = n i=1 ε i. Dla danych nie numerycznych stosujemy mechanizm wykładniczy. Waluujemy jakość wyników zapytania, dostosowujmy perturbacje tak, by wyniki wysokiej jakości były wykładniczo bardziej prawdopodobne (względem czułości).

27 Differential Privacy Literatura Differential Privacy Sub-linear queries Redukcja liczby pytań Upublicznianie danych z dużych baz danych wrażliwych Limity przy upublicznianiu danych Privacy book Aspekt prawny GDPR