日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

隨著歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)的落地生效，安全研究人員感覺(jué)到了該條例的影響：用于確定網(wǎng)站信譽(yù)和追蹤潛在惡意流量的常用工具開(kāi)始受限。該隱私保護(hù)條例會(huì)在5個(gè)方面對(duì)安全研究產(chǎn)生沖擊。

10多年的尚志網(wǎng)站建設(shè)經(jīng)驗(yàn)，針對(duì)設(shè)計(jì)、前端、開(kāi)發(fā)、售后、文案、推廣等六對(duì)一服務(wù)，響應(yīng)快，48小時(shí)及時(shí)工作處理。營(yíng)銷型網(wǎng)站建設(shè)的優(yōu)勢(shì)是能夠根據(jù)用戶設(shè)備顯示端的尺寸不同，自動(dòng)調(diào)整尚志建站的顯示方式，使網(wǎng)站能夠適用不同顯示終端，在瀏覽器中調(diào)整網(wǎng)站的寬度，無(wú)論在任何一種瀏覽器上瀏覽網(wǎng)站，都能展現(xiàn)優(yōu)雅布局與設(shè)計(jì)，從而大程度地提升瀏覽體驗(yàn)。創(chuàng)新互聯(lián)公司從事“尚志網(wǎng)站設(shè)計(jì)”,“尚志網(wǎng)站推廣”以來(lái)，每個(gè)客戶項(xiàng)目都認(rèn)真落實(shí)執(zhí)行。

幾個(gè)月來(lái)，市場(chǎng)營(yíng)銷和在線服務(wù)公司對(duì)5月25日起生效的GDPR甚為恐懼。但極少有人意識(shí)到，該保護(hù)歐盟公民隱私的條例還會(huì)對(duì)另一群人產(chǎn)生影響：安全研究人員。

因擔(dān)心違反規(guī)定，一些域名注冊(cè)機(jī)構(gòu)已限制訪問(wèn)列出域名擁有者聯(lián)系信息及技術(shù)聯(lián)系人信息的數(shù)據(jù)庫(kù)。而這些注冊(cè)機(jī)構(gòu)維護(hù)的Whois數(shù)據(jù)庫(kù)正是安全研究人員開(kāi)啟惡意黑客追蹤過(guò)程的有力工具。

類似的服務(wù)也被關(guān)停了。一家標(biāo)識(shí)了數(shù)字貨幣錢(qián)包擁有者是否通過(guò)背景核查信息的區(qū)塊鏈初創(chuàng)公司就關(guān)閉了其服務(wù)。學(xué)術(shù)界和業(yè)界研究人員擔(dān)心，他們用以追蹤惡意黑客的數(shù)據(jù)庫(kù)可能把他們弄得官司纏身。

事實(shí)上，開(kāi)發(fā)人員和安全專家對(duì)GDPR的反應(yīng)截然不同。

Web大會(huì)上人們紛紛開(kāi)香檳慶祝GDPR正式實(shí)施。安全大會(huì)上則每個(gè)人都憂心忡忡，覺(jué)得GDPR生效簡(jiǎn)直是世界末日。 ——渥太華大學(xué)電子工程與計(jì)算機(jī)科學(xué)副教授文森特· 喬丹

GDPR旨在限制數(shù)據(jù)的非必要使用，讓消費(fèi)者對(duì)自己的數(shù)據(jù)擁有更多控制權(quán)。使用Whois數(shù)據(jù)廣發(fā)電子郵件做營(yíng)銷的公司，和以之進(jìn)行詐騙的垃圾郵件發(fā)送者就違反了該法律。發(fā)布包括IP地址在內(nèi)的標(biāo)識(shí)數(shù)據(jù)，以及含有敏感信息的諸多區(qū)塊鏈實(shí)現(xiàn)，同樣違反了GDPR。

安全研究人員一直以來(lái)都會(huì)從公開(kāi)數(shù)據(jù)中找出一些非預(yù)期的用途。如果這些方法揭示了數(shù)據(jù)主體的身份，研究人員就可能違反了GDPR的條款。安全研究人員需要花費(fèi)大量時(shí)間和精力才能確定自己的調(diào)查方法是否受GDPR影響。

作為研究人員，必須多想想自己收集的數(shù)據(jù)是否合法。合理合法進(jìn)行安全研究的途徑仍在，只是比以前困難了一點(diǎn)。

雖然GDPR試圖保護(hù)歐盟公民，但因?yàn)檠芯咳藛T并非總能知道自己收集的數(shù)據(jù)都屬于誰(shuí)，這些規(guī)則還是傷到了安全研究。比如以下5個(gè)方面：

1. Whois數(shù)據(jù)的另類使用

公司企業(yè)或個(gè)人注冊(cè)域名時(shí)，他們的信息會(huì)被放到一個(gè)名為Whois的公開(kāi)數(shù)據(jù)庫(kù)中。大型域名注冊(cè)機(jī)構(gòu)，比如GoDaddy，會(huì)維護(hù)提供該信息的服務(wù)器，任何人都可通過(guò)Web表單或43端口域名查詢服務(wù)獲取該信息。

5月GDPR生效影響下，主流域名注冊(cè)機(jī)構(gòu)GoDaddy將通過(guò)其服務(wù)注冊(cè)的5700萬(wàn)域名詳細(xì)信息下線，43端口域名查詢收到的返回信息僅含注冊(cè)公司名稱、所屬國(guó)家和省份。通過(guò)其網(wǎng)站查詢?nèi)钥色@得完整的Whois記錄——只要發(fā)起查詢的地址屬于受GDPR保護(hù)的國(guó)家。

雖然缺乏注冊(cè)信息會(huì)給研究人員造成一定麻煩，該數(shù)據(jù)庫(kù)中的信息在識(shí)別惡意黑客上未必總是那么有用，但這些信息是可以用于檢測(cè)歸屬模式的。

Whois是研究人員的重要工具，但近些年其重要性有所下降。惡意黑客慣于使用虛假信息，不過(guò)仍會(huì)重用這些虛假身份，所以注冊(cè)信息還是能關(guān)聯(lián)出蛛絲馬跡的。

2. 找出去匿名化數(shù)據(jù)的方法

過(guò)去，出于研究目的，公司企業(yè)會(huì)公布“匿名”數(shù)據(jù)以驗(yàn)證是否能通過(guò)這些數(shù)據(jù)識(shí)別出該數(shù)據(jù)集中涉及到的某些人。比如說(shuō)，2006年互聯(lián)網(wǎng)服務(wù)研究公司 America Online 就放出了包含65.8萬(wàn)訂閱用戶搜索數(shù)據(jù)的數(shù)據(jù)集。該數(shù)據(jù)集含有各種敏感信息，比如對(duì)于亂倫的看法、地理位置信息、身份證號(hào)碼等等。

研究人員常能找到各種方法來(lái)去匿名化，電影數(shù)據(jù)庫(kù)、社交網(wǎng)絡(luò)、定位數(shù)據(jù)和在線閱讀偏好等等也是去匿名化的常見(jiàn)實(shí)例。

對(duì)與網(wǎng)絡(luò)遙測(cè)數(shù)據(jù)或從PC收集的信息打交道的安全研究人員而言，去匿名化的違法風(fēng)險(xiǎn)是真實(shí)存在的。

大多數(shù)遙測(cè)數(shù)據(jù)類型不受GDPR保護(hù)，但研究人員必須小心謹(jǐn)慎，確保在收集時(shí)數(shù)據(jù)是匿名的。如果是以數(shù)據(jù)為中心的遙測(cè)，GDPR大約不會(huì)成為問(wèn)題。但若是以人為中心的研究，比如研究人類行為的異常，在GDPR監(jiān)管下這些數(shù)據(jù)集就比以前更難管理了。

3. 某些區(qū)塊鏈實(shí)現(xiàn)將會(huì)消失

允許從總賬收集信息的區(qū)塊鏈技術(shù)已經(jīng)違反了GDPR。

5月末，區(qū)塊鏈服務(wù)公司Parity在GDPR生效前一天關(guān)閉了其 Parity ICO 護(hù)照服務(wù)(PICOPS)。該服務(wù)允許加密貨幣錢(qián)包擁有者通過(guò)ID背景核查，確認(rèn)自己不在受限國(guó)家或監(jiān)視名單之列。因?yàn)榧用茇泿佩X(qián)包被看做是某種標(biāo)識(shí)符，該服務(wù)不得不遵從GDPR而將其關(guān)閉。

該公司在聲明中稱：“因?yàn)槟承┦虑?，我們找到的解決方案會(huì)將該服務(wù)限制到非常有限的功能上。鑒于讓PICOPS符合GDPR所需的資源相當(dāng)龐大，且PICOPS并非我們的核心技術(shù)棧，我們決定不再繼續(xù)這項(xiàng)服務(wù)，盡管該服務(wù)有著巨大的市場(chǎng)需求?！?/p>

抽取區(qū)塊鏈數(shù)據(jù)的研究人員得特別注意，一定不能去匿名化個(gè)人信息，否則就有違反GDPR的風(fēng)險(xiǎn)。

4. 謹(jǐn)慎挖掘社交媒體

挖掘社交網(wǎng)絡(luò)獲取各種信息的研究人員也要遵守GDPR，限制自動(dòng)化分析個(gè)人資料，無(wú)論你是為了挖內(nèi)容以創(chuàng)建網(wǎng)絡(luò)地圖，還是要?jiǎng)?chuàng)建社交網(wǎng)絡(luò)用戶的個(gè)人資料集。

從社交媒體挖掘信息以找出有相同興趣或相同問(wèn)題的群體，或者僅僅是確定某地有沒(méi)有發(fā)生流感之類的研究，都需要特別小心。GDPR保護(hù)下，這些信息比以前更為私密，更不可用。

另外，國(guó)際隱私權(quán)專家協(xié)會(huì)的分析報(bào)告指出，想要獲取社交媒體個(gè)人資料中的非匿名數(shù)據(jù)，也要通告數(shù)據(jù)主體，獲得他們的首肯，并按他們決定的方式來(lái)使用。

5. 威脅狩獵可能產(chǎn)生受保護(hù)的數(shù)據(jù)

威脅狩獵可能是會(huì)受到GDPR影響的另一安全研究活動(dòng)。在GDPR管轄下，使用網(wǎng)絡(luò)遙測(cè)和其他數(shù)據(jù)來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)中的威脅，然后調(diào)查這些威脅以識(shí)別出攻擊者身份的活動(dòng)，往往會(huì)涉及到受保護(hù)的數(shù)據(jù)。

對(duì)威脅情報(bào)分析師而言，這就很成問(wèn)題了。

一家安全公司指出：“業(yè)內(nèi)無(wú)數(shù)案例講述的都是如何僅從一個(gè)C2域名注冊(cè)郵箱挖掘出惡意軟件威脅及其操作者的更多信息的?！?/p>

總的說(shuō)來(lái)，威脅獵手將不得不與其公司的法務(wù)團(tuán)隊(duì)保持緊密聯(lián)系，仔細(xì)審查可能暴露出歐盟公民身份的任何行動(dòng)。

希望安全研究人員最終能擁抱隱私，找到與之共存的方法吧。安全行業(yè)將審視數(shù)據(jù)收集方法，實(shí)踐數(shù)據(jù)最小化操作。

專家稱，安全研究人員尚未完全感受到GDPR對(duì)安全研究的影響。

默認(rèn)情況下，公司企業(yè)在確定哪些能做哪些不能做之前會(huì)暫停一切行動(dòng)。未來(lái)幾個(gè)月里，與調(diào)查安全事件并確定罪魁禍?zhǔn)紫嚓P(guān)的一切舉動(dòng)都會(huì)受到GDPR的影響。

【本文是專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文

當(dāng)前標(biāo)題：GDPR阻礙安全研究的五個(gè)方面
鏈接地址：http://m.5511xx.com/article/ccsoshe.html