隐私研究人员设计了一种破坏动态匿名的噪音利用攻击

 
欧洲的隐私研究人员认为，他们首次证明，旨在通过聚合和添加数据噪声以掩盖个人身份来保护隐私的系统中的长期理论漏洞不再仅仅是一种理论。
这项研究对差异隐私的直接领域及其他领域产生了影响 – 如果匿名化只有在确定的攻击者弄清楚如何反转用于动态模糊数据的方法之后才能起作用，那么就会引发关于如何监管​​隐私的广泛问题。
目前的欧盟法律不承认匿名数据是个人数据。虽然它确实将伪匿名数据视为个人数据，因为存在重新识别的风险。
然而，越来越多的研究表明高维数据集的去匿名化风险是持久的。甚至 – 根据这项最新研究 – 当数据库系统经过精心设计并考虑到隐私保护时。
它表明，保护隐私的整个业务需要更加动态，以应对不断发展的攻击风险。
伦敦帝国理工学院和鲁汶天主教大学的学者是这项新研究的幕后推手。
本周，在第28届USENIX安全研讨会上，他们发表了一篇论文，详细介绍了一种基于查询的数据库的新一类噪声利用攻击，该数据库使用聚合和噪声注入来动态掩盖个人数据。
他们正在研究的产品是一个名为Diffix的数据库查询框架 – 由一家名为Aircloak的德国创业公司和Max Planck软件系统研究所联合开发。
在其网站上，Aircloak将该技术称为“第一个GDPR级匿名化” – 即欧洲的通用数据保护法规，该法规于去年开始实施，通过引入包括可以扩大规模的罚款的数据保护制度来提高隐私合规性标准占数据处理器全球年营业额的4%。
Aircloak实际上提供的是通过提供匿名作为商业服务来管理GDPR风险 – 允许在数据集上运行查询，让分析师在不访问数据本身的情况下获得有价值的见解。承诺是它的隐私(和GDPR)’安全’，因为它旨在通过返回匿名结果来掩盖个人身份。
问题是可重新识别的个人数据不是匿名数据。并且研究人员能够制作撤消Diffix动态匿名的攻击。
“我们在这里做的是我们研究了系统，我们发现实际上他们的系统中存在一个漏洞，它允许我们使用他们的系统并发送精心创建的查询，这些查询允许我们从数据中提取 – 渗透 – 信息 – 该系统应该保护的设置，“帝国理工学院的Yves-Alexandre de Montjoye解释说，该论文的五位共同作者之一。
“差异隐私真的表明，每当你回答我的一个问题时，你给我的信息，在某些时候 – 极端 – 如果你一直回答我的每一个问题，我会问你很多问题，在某些时候我会想出数据库中存在的每一件事，因为每次你给我一些更多的信息，“他谈到了攻击背后的前提。 “有些事情感觉不对……真是太好了。这就是我们开始的地方。“
研究人员选择专注于Diffix，因为他们正在响应Aircloak提出的一个bug赏金攻击挑战。
“我们从一个查询开始，然后我们做一个变化，通过研究查询之间的差异，我们知道一些噪音会消失，一些噪音不会消失，通过研究噪音不会消失基本上我们认为这些敏感信息，“他解释道。
“很多人会做的是尝试消除噪音并恢复信息。我们正在采取的这种攻击方式是我们采取相反的方式，我们正在研究噪音……通过研究噪音，我们设法推断噪音本来要保护的信息。
“因此，我们不是去除噪音，而是在统计上研究我们在发送精心设计的查询时收到的噪音 – 这就是我们攻击系统的方式。”
存在漏洞，因为动态注入的噪声与数据有关。这意味着它仍与基础信息相关联 – 研究人员能够证明，可以设计精心设计的查询来交叉引用响应，使攻击者能够揭示噪声旨在保护的信息。
或者，换句话说，精心设计的攻击可以准确地从模糊(“匿名”)响应中推断出个人数据。
尽管有问题的系统“相当不错”，因为de Montjoye将其称为Diffix。 “它设计得很好 – 他们真的对这个问题进行了大量的思考，他们所做的是为他们发回给你的每一个答案添加了相当多的噪音以防止攻击”。
“这应该是保护系统的，但确实会泄漏信息，因为噪声取决于他们试图保护的数据。而这正是我们用来攻击系统的财产。“
研究人员能够证明这种攻击在四个真实世界的数据集中具有非常高的准确性。 “我们尝试了美国审查数据，我们尝试过信用卡数据，我们试过了位置，”他说。 “我们针对不同数据集展示的是这种攻击非常有效。
“我们展示的是我们的攻击发现数据集中有93%的人处于危险之中。而且我认为更重要的是，该方法实际上具有非常高的精度 – 二进制变量的精度在93%和97%之间。因此，如果它是真或假，我们会在93-97%的时间内正确猜测。“
他们还能够优化攻击方法，以便他们可以使用相对较低的每个用户查询来泄露信息 – 最多32个。
“我们的目标是我们能够获得多少这么多，所以看起来不像是异常行为，”他说。 “在某些情况下，我们设法减少了多达32个查询 – 这与分析师的做法相比非常少。”
在向Aircloak披露攻击后，de Montjoye说它已经开发了一个补丁 – 并且正在将漏洞描述为非常低的风险 – 但他指出它还没有发布补丁的细节，所以不可能独立评估它的有效性。
“这有点不幸，”他补充道。 “基本上他们承认这个漏洞[但]他们并没有说这是一个问题。在网站上，他们将其归类为低风险。在这方面有点令人失望。我认为他们感到受到攻击，这真的不是我们的目标。“
对于研究人员而言，这项工作的关键点在于，需要改变思维方式，保护隐私，类似于安全行业从等待攻击的防火墙后面转变为采用主动的，对抗性的方法。对聪明的黑客。
“作为一个真正转向更接近对抗性隐私的社区，”他告诉TechCrunch。 “我们需要开始采用红色团队，蓝色团队渗透测试已成为安全标准。
“在这一点上，我们不太可能找到一个完美的系统，所以我认为我们需要做的是如何找到方法来查看这些漏洞，修补这些系统并真正尝试测试那些正在部署的系统 – 我们如何确保这些系统真正安全?“
“我们从中得到的是真的 – 一方面我们需要安全性，我们可以从安全性中学到什么，包括开放系统，验证机制，我们需要在安全性方面进行大量的笔测试 – 我们如何带来一些隐私?“
“如果你的系统发布了汇总的数据并且你添加了一些噪音，这还不足以使它匿名并且可能存在攻击，”他补充道。
“这比采用数据集时人们正在做的要好得多，并且您尝试直接向数据添加噪声。你可以直观地看出为什么它已经好多了。但即便是这些系统仍有可能存在漏洞。所以问题是我们如何找到平衡点，监管机构的作用是什么，我们如何向前发展，以及我们如何真正从安全社区中学到什么?
“我们需要的不仅仅是一些临时解决方案，而只是限制查询。再次限制查询将是差异隐私会做什么 – 但在实际环境中，这是非常困难的。
“最后一点 – 安全性再次 – 是深度防守。它基本上是一种分层的方法 – 就像我们知道系统不完美一样，除此之外我们还会增加其他保护。“
该研究也提出了有关数据保护机构的作用的问题。
在Diffix的开发过程中，Aircloak在其网站上写道，它与法国的DPA，CNIL以及一家认证数据保护产品和服务的私人公司合作 – 说：“在这两种情况下，我们都获得了成功，因为我们获得了最强烈的支持每个组织提供的。“
虽然它也说经验“使我们确信没有认证机构或DPA确实能够高度自信地宣称Diffix，或者对于任何复杂的匿名化技术都是匿名的”，并补充说：“这些组织要么不拥有专业知识，或者他们没有时间和资源来投入这个问题。“
研究人员的噪声利用攻击表明，即使是一定程度的监管“认可”也会出现问题。即使设计良好，复杂的隐私系统也可能包含漏洞，无法提供完美的保护。
“这提出了一些问题，”de Montjoye说。 “很难。它从根本上询问了监管机构在这方面的作用是什么?
当你看到安全性时，我的感觉是监管机构正在制定标准，然后公司的作用就是确保你达到这些标准。这就是数据泄露中发生的事情。
“在某些时候，这确实是一个问题 – 什么时候发生了什么[不好] – 这是否足以作为[隐私]防御，行业标准是什么?这是一个非常困难的问题。“
“匿名化在法律中已经存在 – 它不再是个人数据，因此确实存在很多含义，”他补充道。 “从安全性来看，我们在透明度上学到了很多东西。良好的安全性和良好的加密依赖于开放的协议和机制，每个人都可以去看看并尝试攻击，所以在这一刻我们需要从安全性中学到很多东西。
“没有任何完美的系统。漏洞将继续被发现所以问题是我们如何确保事情仍然可以继续前进并真正从安全性中学习 – 我们如何快速修补它们，我们如何确保围绕系统进行大量研究以限制风险，以确保好人发现漏洞，这些是补丁，真正[监管机构的作用]是什么?
“数据可能有不好的应用程序和很多非常好的应用程序，所以我想我真正想知道如何在尽可能多地限制隐私风险的同时获得尽可能多的好处。”