GDPR阻礙安全研究的五個方面
責編:gltian |2018-07-05 10:27:40隨著歐盟《通用數據保護條例》(GDPR)的落地生效,安全研究人員感覺到了該條例的影響:用于確定網站信譽和追蹤潛在惡意流量的常用工具開始受限。該隱私保護條例會在5個方面對安全研究產生沖擊。
幾個月來,市場營銷和在線服務公司對5月25日起生效的GDPR甚為恐懼。但極少有人意識到,該保護歐盟公民隱私的條例還會對另一群人產生影響:安全研究人員。
因擔心違反規定,一些域名注冊機構已限制訪問列出域名擁有者聯系信息及技術聯系人信息的數據庫。而這些注冊機構維護的Whois數據庫正是安全研究人員開啟惡意黑客追蹤過程的有力工具。
類似的服務也被關停了。一家標識了數字貨幣錢包擁有者是否通過背景核查信息的區塊鏈初創公司就關閉了其服務。學術界和業界研究人員擔心,他們用以追蹤惡意黑客的數據庫可能把他們弄得官司纏身。
事實上,開發人員和安全專家對GDPR的反應截然不同。
Web大會上人們紛紛開香檳慶祝GDPR正式實施。安全大會上則每個人都憂心忡忡,覺得GDPR生效簡直是世界末日。
——渥太華大學電子工程與計算機科學副教授文森特· 喬丹
GDPR旨在限制數據的非必要使用,讓消費者對自己的數據擁有更多控制權。使用Whois數據廣發電子郵件做營銷的公司,和以之進行詐騙的垃圾郵件發送者就違反了該法律。發布包括IP地址在內的標識數據,以及含有敏感信息的諸多區塊鏈實現,同樣違反了GDPR。
安全研究人員一直以來都會從公開數據中找出一些非預期的用途。如果這些方法揭示了數據主體的身份,研究人員就可能違反了GDPR的條款。安全研究人員需要花費大量時間和精力才能確定自己的調查方法是否受GDPR影響。
作為研究人員,必須多想想自己收集的數據是否合法。合理合法進行安全研究的途徑仍在,只是比以前困難了一點。
雖然GDPR試圖保護歐盟公民,但因為研究人員并非總能知道自己收集的數據都屬于誰,這些規則還是傷到了安全研究。比如以下5個方面:
1. Whois數據的另類使用
公司企業或個人注冊域名時,他們的信息會被放到一個名為Whois的公開數據庫中。大型域名注冊機構,比如GoDaddy,會維護提供該信息的服務器,任何人都可通過Web表單或43端口域名查詢服務獲取該信息。
5月GDPR生效影響下,主流域名注冊機構GoDaddy將通過其服務注冊的5700萬域名詳細信息下線,43端口域名查詢收到的返回信息僅含注冊公司名稱、所屬國家和省份。通過其網站查詢仍可獲得完整的Whois記錄——只要發起查詢的地址屬于受GDPR保護的國家。
雖然缺乏注冊信息會給研究人員造成一定麻煩,該數據庫中的信息在識別惡意黑客上未必總是那么有用,但這些信息是可以用于檢測歸屬模式的。
Whois是研究人員的重要工具,但近些年其重要性有所下降。惡意黑客慣于使用虛假信息,不過仍會重用這些虛假身份,所以注冊信息還是能關聯出蛛絲馬跡的。
2. 找出去匿名化數據的方法
過去,出于研究目的,公司企業會公布“匿名”數據以驗證是否能通過這些數據識別出該數據集中涉及到的某些人。比如說,2006年互聯網服務研究公司 America Online 就放出了包含65.8萬訂閱用戶搜索數據的數據集。該數據集含有各種敏感信息,比如對于亂倫的看法、地理位置信息、身份證號碼等等。
研究人員常能找到各種方法來去匿名化,電影數據庫、社交網絡、定位數據和在線閱讀偏好等等也是去匿名化的常見實例。
對與網絡遙測數據或從PC收集的信息打交道的安全研究人員而言,去匿名化的違法風險是真實存在的。
大多數遙測數據類型不受GDPR保護,但研究人員必須小心謹慎,確保在收集時數據是匿名的。如果是以數據為中心的遙測,GDPR大約不會成為問題。但若是以人為中心的研究,比如研究人類行為的異常,在GDPR監管下這些數據集就比以前更難管理了。
3. 某些區塊鏈實現將會消失
允許從總賬收集信息的區塊鏈技術已經違反了GDPR。
5月末,區塊鏈服務公司Parity在GDPR生效前一天關閉了其 Parity ICO 護照服務(PICOPS)。該服務允許加密貨幣錢包擁有者通過ID背景核查,確認自己不在受限國家或監視名單之列。因為加密貨幣錢包被看做是某種標識符,該服務不得不遵從GDPR而將其關閉。
該公司在聲明中稱:“因為某些事情,我們找到的解決方案會將該服務限制到非常有限的功能上。鑒于讓PICOPS符合GDPR所需的資源相當龐大,且PICOPS并非我們的核心技術棧,我們決定不再繼續這項服務,盡管該服務有著巨大的市場需求。”
抽取區塊鏈數據的研究人員得特別注意,一定不能去匿名化個人信息,否則就有違反GDPR的風險。
4. 謹慎挖掘社交媒體
挖掘社交網絡獲取各種信息的研究人員也要遵守GDPR,限制自動化分析個人資料,無論你是為了挖內容以創建網絡地圖,還是要創建社交網絡用戶的個人資料集。
從社交媒體挖掘信息以找出有相同興趣或相同問題的群體,或者僅僅是確定某地有沒有發生流感之類的研究,都需要特別小心。GDPR保護下,這些信息比以前更為私密,更不可用。
另外,國際隱私權專家協會的分析報告指出,想要獲取社交媒體個人資料中的非匿名數據,也要通告數據主體,獲得他們的首肯,并按他們決定的方式來使用。
5. 威脅狩獵可能產生受保護的數據
威脅狩獵可能是會受到GDPR影響的另一安全研究活動。在GDPR管轄下,使用網絡遙測和其他數據來發現網絡中的威脅,然后調查這些威脅以識別出攻擊者身份的活動,往往會涉及到受保護的數據。
對威脅情報分析師而言,這就很成問題了。
一家安全公司指出:“業內無數案例講述的都是如何僅從一個C2域名注冊郵箱挖掘出惡意軟件威脅及其操作者的更多信息的。”
總的說來,威脅獵手將不得不與其公司的法務團隊保持緊密聯系,仔細審查可能暴露出歐盟公民身份的任何行動。
希望安全研究人員最終能擁抱隱私,找到與之共存的方法吧。安全行業將審視數據收集方法,實踐數據最小化操作。
專家稱,安全研究人員尚未完全感受到GDPR對安全研究的影響。
默認情況下,公司企業在確定哪些能做哪些不能做之前會暫停一切行動。未來幾個月里,與調查安全事件并確定罪魁禍首相關的一切舉動都會受到GDPR的影響。