隨著歐盟《通用數(shù)據(jù)保護條例》(GDPR)的落地生效，安全研究人員感覺到了該條例的影響：用于確定網(wǎng)站信譽和追蹤潛在惡意流量的常用工具開始受限。該隱私保護條例會在5個方面對安全研究產(chǎn)生沖擊。

10多年的尚志網(wǎng)站建設(shè)經(jīng)驗，針對設(shè)計、前端、開發(fā)、售后、文案、推廣等六對一服務(wù)，響應(yīng)快，48小時及時工作處理。營銷型網(wǎng)站建設(shè)的優(yōu)勢是能夠根據(jù)用戶設(shè)備顯示端的尺寸不同，自動調(diào)整尚志建站的顯示方式，使網(wǎng)站能夠適用不同顯示終端，在瀏覽器中調(diào)整網(wǎng)站的寬度，無論在任何一種瀏覽器上瀏覽網(wǎng)站，都能展現(xiàn)優(yōu)雅布局與設(shè)計，從而大程度地提升瀏覽體驗。創(chuàng)新互聯(lián)公司從事“尚志網(wǎng)站設(shè)計”,“尚志網(wǎng)站推廣”以來，每個客戶項目都認真落實執(zhí)行。

幾個月來，市場營銷和在線服務(wù)公司對5月25日起生效的GDPR甚為恐懼。但極少有人意識到，該保護歐盟公民隱私的條例還會對另一群人產(chǎn)生影響：安全研究人員。

因擔心違反規(guī)定，一些域名注冊機構(gòu)已限制訪問列出域名擁有者聯(lián)系信息及技術(shù)聯(lián)系人信息的數(shù)據(jù)庫。而這些注冊機構(gòu)維護的Whois數(shù)據(jù)庫正是安全研究人員開啟惡意黑客追蹤過程的有力工具。

類似的服務(wù)也被關(guān)停了。一家標識了數(shù)字貨幣錢包擁有者是否通過背景核查信息的區(qū)塊鏈初創(chuàng)公司就關(guān)閉了其服務(wù)。學(xué)術(shù)界和業(yè)界研究人員擔心，他們用以追蹤惡意黑客的數(shù)據(jù)庫可能把他們弄得官司纏身。

事實上，開發(fā)人員和安全專家對GDPR的反應(yīng)截然不同。

Web大會上人們紛紛開香檳慶祝GDPR正式實施。安全大會上則每個人都憂心忡忡，覺得GDPR生效簡直是世界末日。 ——渥太華大學(xué)電子工程與計算機科學(xué)副教授文森特· 喬丹

GDPR旨在限制數(shù)據(jù)的非必要使用，讓消費者對自己的數(shù)據(jù)擁有更多控制權(quán)。使用Whois數(shù)據(jù)廣發(fā)電子郵件做營銷的公司，和以之進行詐騙的垃圾郵件發(fā)送者就違反了該法律。發(fā)布包括IP地址在內(nèi)的標識數(shù)據(jù)，以及含有敏感信息的諸多區(qū)塊鏈實現(xiàn)，同樣違反了GDPR。

安全研究人員一直以來都會從公開數(shù)據(jù)中找出一些非預(yù)期的用途。如果這些方法揭示了數(shù)據(jù)主體的身份，研究人員就可能違反了GDPR的條款。安全研究人員需要花費大量時間和精力才能確定自己的調(diào)查方法是否受GDPR影響。

作為研究人員，必須多想想自己收集的數(shù)據(jù)是否合法。合理合法進行安全研究的途徑仍在，只是比以前困難了一點。

雖然GDPR試圖保護歐盟公民，但因為研究人員并非總能知道自己收集的數(shù)據(jù)都屬于誰，這些規(guī)則還是傷到了安全研究。比如以下5個方面：

1. Whois數(shù)據(jù)的另類使用

公司企業(yè)或個人注冊域名時，他們的信息會被放到一個名為Whois的公開數(shù)據(jù)庫中。大型域名注冊機構(gòu)，比如GoDaddy，會維護提供該信息的服務(wù)器，任何人都可通過Web表單或43端口域名查詢服務(wù)獲取該信息。

5月GDPR生效影響下，主流域名注冊機構(gòu)GoDaddy將通過其服務(wù)注冊的5700萬域名詳細信息下線，43端口域名查詢收到的返回信息僅含注冊公司名稱、所屬國家和省份。通過其網(wǎng)站查詢?nèi)钥色@得完整的Whois記錄——只要發(fā)起查詢的地址屬于受GDPR保護的國家。

雖然缺乏注冊信息會給研究人員造成一定麻煩，該數(shù)據(jù)庫中的信息在識別惡意黑客上未必總是那么有用，但這些信息是可以用于檢測歸屬模式的。

Whois是研究人員的重要工具，但近些年其重要性有所下降。惡意黑客慣于使用虛假信息，不過仍會重用這些虛假身份，所以注冊信息還是能關(guān)聯(lián)出蛛絲馬跡的。

2. 找出去匿名化數(shù)據(jù)的方法

過去，出于研究目的，公司企業(yè)會公布“匿名”數(shù)據(jù)以驗證是否能通過這些數(shù)據(jù)識別出該數(shù)據(jù)集中涉及到的某些人。比如說，2006年互聯(lián)網(wǎng)服務(wù)研究公司 America Online 就放出了包含65.8萬訂閱用戶搜索數(shù)據(jù)的數(shù)據(jù)集。該數(shù)據(jù)集含有各種敏感信息，比如對于亂倫的看法、地理位置信息、身份證號碼等等。

研究人員常能找到各種方法來去匿名化，電影數(shù)據(jù)庫、社交網(wǎng)絡(luò)、定位數(shù)據(jù)和在線閱讀偏好等等也是去匿名化的常見實例。

對與網(wǎng)絡(luò)遙測數(shù)據(jù)或從PC收集的信息打交道的安全研究人員而言，去匿名化的違法風(fēng)險是真實存在的。

大多數(shù)遙測數(shù)據(jù)類型不受GDPR保護，但研究人員必須小心謹慎，確保在收集時數(shù)據(jù)是匿名的。如果是以數(shù)據(jù)為中心的遙測，GDPR大約不會成為問題。但若是以人為中心的研究，比如研究人類行為的異常，在GDPR監(jiān)管下這些數(shù)據(jù)集就比以前更難管理了。

3. 某些區(qū)塊鏈實現(xiàn)將會消失

允許從總賬收集信息的區(qū)塊鏈技術(shù)已經(jīng)違反了GDPR。

5月末，區(qū)塊鏈服務(wù)公司Parity在GDPR生效前一天關(guān)閉了其 Parity ICO 護照服務(wù)(PICOPS)。該服務(wù)允許加密貨幣錢包擁有者通過ID背景核查，確認自己不在受限國家或監(jiān)視名單之列。因為加密貨幣錢包被看做是某種標識符，該服務(wù)不得不遵從GDPR而將其關(guān)閉。

該公司在聲明中稱：“因為某些事情，我們找到的解決方案會將該服務(wù)限制到非常有限的功能上。鑒于讓PICOPS符合GDPR所需的資源相當龐大，且PICOPS并非我們的核心技術(shù)棧，我們決定不再繼續(xù)這項服務(wù)，盡管該服務(wù)有著巨大的市場需求?！?/p>

抽取區(qū)塊鏈數(shù)據(jù)的研究人員得特別注意，一定不能去匿名化個人信息，否則就有違反GDPR的風(fēng)險。

4. 謹慎挖掘社交媒體

挖掘社交網(wǎng)絡(luò)獲取各種信息的研究人員也要遵守GDPR，限制自動化分析個人資料，無論你是為了挖內(nèi)容以創(chuàng)建網(wǎng)絡(luò)地圖，還是要創(chuàng)建社交網(wǎng)絡(luò)用戶的個人資料集。

從社交媒體挖掘信息以找出有相同興趣或相同問題的群體，或者僅僅是確定某地有沒有發(fā)生流感之類的研究，都需要特別小心。GDPR保護下，這些信息比以前更為私密，更不可用。

另外，國際隱私權(quán)專家協(xié)會的分析報告指出，想要獲取社交媒體個人資料中的非匿名數(shù)據(jù)，也要通告數(shù)據(jù)主體，獲得他們的首肯，并按他們決定的方式來使用。

5. 威脅狩獵可能產(chǎn)生受保護的數(shù)據(jù)

威脅狩獵可能是會受到GDPR影響的另一安全研究活動。在GDPR管轄下，使用網(wǎng)絡(luò)遙測和其他數(shù)據(jù)來發(fā)現(xiàn)網(wǎng)絡(luò)中的威脅，然后調(diào)查這些威脅以識別出攻擊者身份的活動，往往會涉及到受保護的數(shù)據(jù)。

對威脅情報分析師而言，這就很成問題了。

一家安全公司指出：“業(yè)內(nèi)無數(shù)案例講述的都是如何僅從一個C2域名注冊郵箱挖掘出惡意軟件威脅及其操作者的更多信息的?！?/p>

總的說來，威脅獵手將不得不與其公司的法務(wù)團隊保持緊密聯(lián)系，仔細審查可能暴露出歐盟公民身份的任何行動。

希望安全研究人員最終能擁抱隱私，找到與之共存的方法吧。安全行業(yè)將審視數(shù)據(jù)收集方法，實踐數(shù)據(jù)最小化操作。

專家稱，安全研究人員尚未完全感受到GDPR對安全研究的影響。

默認情況下，公司企業(yè)在確定哪些能做哪些不能做之前會暫停一切行動。未來幾個月里，與調(diào)查安全事件并確定罪魁禍首相關(guān)的一切舉動都會受到GDPR的影響。

【本文是專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文

分享題目：GDPR阻礙安全研究的五個方面
當前鏈接：http://uogjgqi.cn/article/ccsoshe.html