查看原文
其他

GDPR阻碍安全研究的五个方面

nana 安全牛 2019-05-26

随着欧盟《通用数据保护条例》(GDPR)的落地生效,安全研究人员感觉到了该条例的影响:用于确定网站信誉和追踪潜在恶意流量的常用工具开始受限。该隐私保护条例会在5个方面对安全研究产生冲击。



几个月来,市场营销和在线服务公司对5月25日起生效的GDPR甚为恐惧。但极少有人意识到,该保护欧盟公民隐私的条例还会对另一群人产生影响:安全研究人员。


因担心违反规定,一些域名注册机构已限制访问列出域名拥有者联系信息及技术联系人信息的数据库。而这些注册机构维护的Whois数据库正是安全研究人员开启恶意黑客追踪过程的有力工具。


类似的服务也被关停了。一家标识了数字货币钱包拥有者是否通过背景核查信息的区块链初创公司就关闭了其服务。学术界和业界研究人员担心,他们用以追踪恶意黑客的数据库可能把他们弄得官司缠身。


事实上,开发人员和安全专家对GDPR的反应截然不同。


Web大会上人们纷纷开香槟庆祝GDPR正式实施。安全大会上则每个人都忧心忡忡,觉得GDPR生效简直是世界末日。

——渥太华大学电子工程与计算机科学副教授文森特· 乔丹


GDPR旨在限制数据的非必要使用,让消费者对自己的数据拥有更多控制权。使用Whois数据广发电子邮件做营销的公司,和以之进行诈骗的垃圾邮件发送者就违反了该法律。发布包括IP地址在内的标识数据,以及含有敏感信息的诸多区块链实现,同样违反了GDPR。


安全研究人员一直以来都会从公开数据中找出一些非预期的用途。如果这些方法揭示了数据主体的身份,研究人员就可能违反了GDPR的条款。安全研究人员需要花费大量时间和精力才能确定自己的调查方法是否受GDPR影响。


作为研究人员,必须多想想自己收集的数据是否合法。合理合法进行安全研究的途径仍在,只是比以前困难了一点。


虽然GDPR试图保护欧盟公民,但因为研究人员并非总能知道自己收集的数据都属于谁,这些规则还是伤到了安全研究。比如以下5个方面:


1. Whois数据的另类使用


公司企业或个人注册域名时,他们的信息会被放到一个名为Whois的公开数据库中。大型域名注册机构,比如GoDaddy,会维护提供该信息的服务器,任何人都可通过Web表单或43端口域名查询服务获取该信息。


5月GDPR生效影响下,主流域名注册机构GoDaddy将通过其服务注册的5700万域名详细信息下线,43端口域名查询收到的返回信息仅含注册公司名称、所属国家和省份。通过其网站查询仍可获得完整的Whois记录——只要发起查询的地址属于受GDPR保护的国家。


虽然缺乏注册信息会给研究人员造成一定麻烦,该数据库中的信息在识别恶意黑客上未必总是那么有用,但这些信息是可以用于检测归属模式的。


Whois是研究人员的重要工具,但近些年其重要性有所下降。恶意黑客惯于使用虚假信息,不过仍会重用这些虚假身份,所以注册信息还是能关联出蛛丝马迹的。


2. 找出去匿名化数据的方法


过去,出于研究目的,公司企业会公布“匿名”数据以验证是否能通过这些数据识别出该数据集中涉及到的某些人。比如说,2006年互联网服务研究公司 America Online 就放出了包含65.8万订阅用户搜索数据的数据集。该数据集含有各种敏感信息,比如对于乱伦的看法、地理位置信息、身份证号码等等。


研究人员常能找到各种方法来去匿名化,电影数据库、社交网络、定位数据和在线阅读偏好等等也是去匿名化的常见实例。


对与网络遥测数据或从PC收集的信息打交道的安全研究人员而言,去匿名化的违法风险是真实存在的。


大多数遥测数据类型不受GDPR保护,但研究人员必须小心谨慎,确保在收集时数据是匿名的。如果是以数据为中心的遥测,GDPR大约不会成为问题。但若是以人为中心的研究,比如研究人类行为的异常,在GDPR监管下这些数据集就比以前更难管理了。


3. 某些区块链实现将会消失


允许从总账收集信息的区块链技术已经违反了GDPR。


5月末,区块链服务公司Parity在GDPR生效前一天关闭了其 Parity ICO 护照服务(PICOPS)。该服务允许加密货币钱包拥有者通过ID背景核查,确认自己不在受限国家或监视名单之列。因为加密货币钱包被看做是某种标识符,该服务不得不遵从GDPR而将其关闭。


该公司在声明中称:“因为某些事情,我们找到的解决方案会将该服务限制到非常有限的功能上。鉴于让PICOPS符合GDPR所需的资源相当庞大,且PICOPS并非我们的核心技术栈,我们决定不再继续这项服务,尽管该服务有着巨大的市场需求。”


抽取区块链数据的研究人员得特别注意,一定不能去匿名化个人信息,否则就有违反GDPR的风险。


4. 谨慎挖掘社交媒体


挖掘社交网络获取各种信息的研究人员也要遵守GDPR,限制自动化分析个人资料,无论你是为了挖内容以创建网络地图,还是要创建社交网络用户的个人资料集。

 

从社交媒体挖掘信息以找出有相同兴趣或相同问题的群体,或者仅仅是确定某地有没有发生流感之类的研究,都需要特别小心。GDPR保护下,这些信息比以前更为私密,更不可用。


另外,国际隐私权专家协会的分析报告指出,想要获取社交媒体个人资料中的非匿名数据,也要通告数据主体,获得他们的首肯,并按他们决定的方式来使用。


5. 威胁狩猎可能产生受保护的数据


威胁狩猎可能是会受到GDPR影响的另一安全研究活动。在GDPR管辖下,使用网络遥测和其他数据来发现网络中的威胁,然后调查这些威胁以识别出攻击者身份的活动,往往会涉及到受保护的数据。


对威胁情报分析师而言,这就很成问题了。


一家安全公司指出:“业内无数案例讲述的都是如何仅从一个C2域名注册邮箱挖掘出恶意软件威胁及其操作者的更多信息的。”


总的说来,威胁猎手将不得不与其公司的法务团队保持紧密联系,仔细审查可能暴露出欧盟公民身份的任何行动。


希望安全研究人员最终能拥抱隐私,找到与之共存的方法吧。安全行业将审视数据收集方法,实践数据最小化操作。


专家称,安全研究人员尚未完全感受到GDPR对安全研究的影响。


默认情况下,公司企业在确定哪些能做哪些不能做之前会暂停一切行动。未来几个月里,与调查安全事件并确定罪魁祸首相关的一切举动都会受到GDPR的影响。


相关阅读

GDPR术语差异将导致“噩梦”般的实践体验

GDPR的最大困难在于其定义的个人数据

GDPR合规就是胡萝卜+大棒

关于GDPR:你应该知道的那些事儿


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存