隨著歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)的落地生效，安全研究人員感覺到了該條例的影響：用于確定網(wǎng)站信譽(yù)和追蹤潛在惡意流量的常用工具開始受限。該隱私保護(hù)條例會在5個(gè)方面對安全研究產(chǎn)生沖擊。

[[235150]]

幾個(gè)月來，市場營銷和在線服務(wù)公司對5月25日起生效的GDPR甚為恐懼。但極少有人意識到，該保護(hù)歐盟公民隱私的條例還會對另一群人產(chǎn)生影響：安全研究人員。

因擔(dān)心違反規(guī)定，一些域名注冊機(jī)構(gòu)已限制訪問列出域名擁有者聯(lián)系信息及技術(shù)聯(lián)系人信息的數(shù)據(jù)庫。而這些注冊機(jī)構(gòu)維護(hù)的Whois數(shù)據(jù)庫正是安全研究人員開啟惡意黑客追蹤過程的有力工具。

類似的服務(wù)也被關(guān)停了。一家標(biāo)識了數(shù)字貨幣錢包擁有者是否通過背景核查信息的區(qū)塊鏈初創(chuàng)公司就關(guān)閉了其服務(wù)。學(xué)術(shù)界和業(yè)界研究人員擔(dān)心，他們用以追蹤惡意黑客的數(shù)據(jù)庫可能把他們弄得官司纏身。

事實(shí)上，開發(fā)人員和安全專家對GDPR的反應(yīng)截然不同。

GDPR旨在限制數(shù)據(jù)的非必要使用，讓消費(fèi)者對自己的數(shù)據(jù)擁有更多控制權(quán)。使用Whois數(shù)據(jù)廣發(fā)電子郵件做營銷的公司，和以之進(jìn)行詐騙的垃圾郵件發(fā)送者就違反了該法律。發(fā)布包括IP地址在內(nèi)的標(biāo)識數(shù)據(jù)，以及含有敏感信息的諸多區(qū)塊鏈實(shí)現(xiàn)，同樣違反了GDPR。

安全研究人員一直以來都會從公開數(shù)據(jù)中找出一些非預(yù)期的用途。如果這些方法揭示了數(shù)據(jù)主體的身份，研究人員就可能違反了GDPR的條款。安全研究人員需要花費(fèi)大量時(shí)間和精力才能確定自己的調(diào)查方法是否受GDPR影響。

作為研究人員，必須多想想自己收集的數(shù)據(jù)是否合法。合理合法進(jìn)行安全研究的途徑仍在，只是比以前困難了一點(diǎn)。

雖然GDPR試圖保護(hù)歐盟公民，但因?yàn)檠芯咳藛T并非總能知道自己收集的數(shù)據(jù)都屬于誰，這些規(guī)則還是傷到了安全研究。比如以下5個(gè)方面：

1. Whois數(shù)據(jù)的另類使用

公司企業(yè)或個(gè)人注冊域名時(shí)，他們的信息會被放到一個(gè)名為Whois的公開數(shù)據(jù)庫中。大型域名注冊機(jī)構(gòu)，比如GoDaddy，會維護(hù)提供該信息的服務(wù)器，任何人都可通過Web表單或43端口域名查詢服務(wù)獲取該信息。

5月GDPR生效影響下，主流域名注冊機(jī)構(gòu)GoDaddy將通過其服務(wù)注冊的5700萬域名詳細(xì)信息下線，43端口域名查詢收到的返回信息僅含注冊公司名稱、所屬國家和省份。通過其網(wǎng)站查詢?nèi)钥色@得完整的Whois記錄——只要發(fā)起查詢的地址屬于受GDPR保護(hù)的國家。

雖然缺乏注冊信息會給研究人員造成一定麻煩，該數(shù)據(jù)庫中的信息在識別惡意黑客上未必總是那么有用，但這些信息是可以用于檢測歸屬模式的。

Whois是研究人員的重要工具，但近些年其重要性有所下降。惡意黑客慣于使用虛假信息，不過仍會重用這些虛假身份，所以注冊信息還是能關(guān)聯(lián)出蛛絲馬跡的。

2. 找出去匿名化數(shù)據(jù)的方法

過去，出于研究目的，公司企業(yè)會公布“匿名”數(shù)據(jù)以驗(yàn)證是否能通過這些數(shù)據(jù)識別出該數(shù)據(jù)集中涉及到的某些人。比如說，2006年互聯(lián)網(wǎng)服務(wù)研究公司 America Online 就放出了包含65.8萬訂閱用戶搜索數(shù)據(jù)的數(shù)據(jù)集。該數(shù)據(jù)集含有各種敏感信息，比如對于亂倫的看法、地理位置信息、身份證號碼等等。

研究人員常能找到各種方法來去匿名化，電影數(shù)據(jù)庫、社交網(wǎng)絡(luò)、定位數(shù)據(jù)和在線閱讀偏好等等也是去匿名化的常見實(shí)例。

對與網(wǎng)絡(luò)遙測數(shù)據(jù)或從PC收集的信息打交道的安全研究人員而言，去匿名化的違法風(fēng)險(xiǎn)是真實(shí)存在的。

大多數(shù)遙測數(shù)據(jù)類型不受GDPR保護(hù)，但研究人員必須小心謹(jǐn)慎，確保在收集時(shí)數(shù)據(jù)是匿名的。如果是以數(shù)據(jù)為中心的遙測，GDPR大約不會成為問題。但若是以人為中心的研究，比如研究人類行為的異常，在GDPR監(jiān)管下這些數(shù)據(jù)集就比以前更難管理了。

3. 某些區(qū)塊鏈實(shí)現(xiàn)將會消失

允許從總賬收集信息的區(qū)塊鏈技術(shù)已經(jīng)違反了GDPR。

5月末，區(qū)塊鏈服務(wù)公司Parity在GDPR生效前一天關(guān)閉了其 Parity ICO 護(hù)照服務(wù)(PICOPS)。該服務(wù)允許加密貨幣錢包擁有者通過ID背景核查，確認(rèn)自己不在受限國家或監(jiān)視名單之列。因?yàn)榧用茇泿佩X包被看做是某種標(biāo)識符，該服務(wù)不得不遵從GDPR而將其關(guān)閉。

該公司在聲明中稱：“因?yàn)槟承┦虑椋覀冋业降慕鉀Q方案會將該服務(wù)限制到非常有限的功能上。鑒于讓PICOPS符合GDPR所需的資源相當(dāng)龐大，且PICOPS并非我們的核心技術(shù)棧，我們決定不再繼續(xù)這項(xiàng)服務(wù)，盡管該服務(wù)有著巨大的市場需求。”

抽取區(qū)塊鏈數(shù)據(jù)的研究人員得特別注意，一定不能去匿名化個(gè)人信息，否則就有違反GDPR的風(fēng)險(xiǎn)。

4. 謹(jǐn)慎挖掘社交媒體

挖掘社交網(wǎng)絡(luò)獲取各種信息的研究人員也要遵守GDPR，限制自動化分析個(gè)人資料，無論你是為了挖內(nèi)容以創(chuàng)建網(wǎng)絡(luò)地圖，還是要創(chuàng)建社交網(wǎng)絡(luò)用戶的個(gè)人資料集。

從社交媒體挖掘信息以找出有相同興趣或相同問題的群體，或者僅僅是確定某地有沒有發(fā)生流感之類的研究，都需要特別小心。GDPR保護(hù)下，這些信息比以前更為私密，更不可用。

另外，國際隱私權(quán)專家協(xié)會的分析報(bào)告指出，想要獲取社交媒體個(gè)人資料中的非匿名數(shù)據(jù)，也要通告數(shù)據(jù)主體，獲得他們的首肯，并按他們決定的方式來使用。

5. 威脅狩獵可能產(chǎn)生受保護(hù)的數(shù)據(jù)

威脅狩獵可能是會受到GDPR影響的另一安全研究活動。在GDPR管轄下，使用網(wǎng)絡(luò)遙測和其他數(shù)據(jù)來發(fā)現(xiàn)網(wǎng)絡(luò)中的威脅，然后調(diào)查這些威脅以識別出攻擊者身份的活動，往往會涉及到受保護(hù)的數(shù)據(jù)。

對威脅情報(bào)分析師而言，這就很成問題了。

一家安全公司指出：“業(yè)內(nèi)無數(shù)案例講述的都是如何僅從一個(gè)C2域名注冊郵箱挖掘出惡意軟件威脅及其操作者的更多信息的。”

總的說來，威脅獵手將不得不與其公司的法務(wù)團(tuán)隊(duì)保持緊密聯(lián)系，仔細(xì)審查可能暴露出歐盟公民身份的任何行動。

希望安全研究人員最終能擁抱隱私，找到與之共存的方法吧。安全行業(yè)將審視數(shù)據(jù)收集方法，實(shí)踐數(shù)據(jù)最小化操作。

專家稱，安全研究人員尚未完全感受到GDPR對安全研究的影響。

默認(rèn)情況下，公司企業(yè)在確定哪些能做哪些不能做之前會暫停一切行動。未來幾個(gè)月里，與調(diào)查安全事件并確定罪魁禍?zhǔn)紫嚓P(guān)的一切舉動都會受到GDPR的影響。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文