阅读:《主要攻击类型识别》(8 分钟)

“识别主要攻击类型”简要概述了主要的隐私威胁,例如数据泄露、社会工程和元数据分析。

隐私威胁类型

LINDDUN 隐私威胁类型帮助你以系统且结构化的方式思考潜在的隐私问题。这个框架涵盖了七大主要威胁类型,组成了“LINDDUN”这一首字母缩略词。

以下是 LINDDUN 七大隐私威胁类型的具体含义:

image LINKING(关联)
将多个数据项或用户行为关联起来,以深入了解某个人或群体。

image IDENTIFYING(身份识别)
通过数据泄露、推理或推断等手段,确定个人身份。

image NON REPUDIATION(不可否认性)
能够将某个声明或行为归因于特定个人,防止其否认。

image DETECTING(检测)
通过观察推断某个人的参与或行为。

image  数据泄露(DATA DISCLOSURE)
收集、存储、处理或共享过多的个人数据。

image 不意识到不可干预性
个人对其个人数据处理的信息、参与或同意不足。

image 违约
偏离安全和数据管理方面的最佳实践、标准和立法。


链接

| 连接点

是什么? 过度收集、存储、处理或共享个人数据。数据泄露威胁指的是个人数据在系统内外被披露的情况,这种披露被认为是不恰当或有问题的。

披露行为应以数据主体的最佳利益为前提,数据最小化原则至关重要。系统设计必须确保仅收集、处理、存储和共享严格必要的数据。

数据泄露可以是显性的(系统有意或设计为如此)或隐性的(无意或间接,例如通过元数据或由其他数据推导而来)。

关注的四个威胁特征包括:

  • 不必要的数据类型:涉及数据的敏感度、细节程度和编码,可能过于详尽
  • 过量的数据量:涉及数据处理的数量、频率以及涉及的数据主体数量过多
  • 不必要的处理:涉及进一步的数据分析、传播或保留,非严格必要
  • 过度暴露:涉及数据共享的对象过多以及数据访问的范围过广


image 示例威胁

  • 健康监测应用应限制仅收集和处理患者严格必要的医疗参数,比如饮食应用不应记录心率数据。
  • 用户在社交网络发布内容时,帖子往往还包含其他人的个人信息。
  • 用户取消订阅新闻邮件后,系统应删除其电子邮箱地址。
  • 网站使用第三方跟踪和分析服务时,用户的个人数据及其使用情况会被传输给外部机构。


IDENTIFICACIÓN

| ¿QUIÉN ES QUIÉN?

¿QUÉ? Aprender la identidad de un individuo. Aunque muchos sistemas requieren la identificación de los sujetos de datos, las amenazas de identificación surgen cuando la identidad puede revelarse a través de fugas, deducción o inferencia en casos en que esto no es intencional o deseado.

La identificación puede hacerse mediante:

  • datos identificados: cuando el sistema mantiene explícitamente el vínculo con la identidad o hace referencia a la identidad (por ejemplo, en los metadatos)
  • datos identificables: cuando la identidad puede derivarse indirectamente, p. ej., de seudónimos, contenido que revela la identidad o a través de un pequeño conjunto de anonimato

La identificación de las amenazas también está relacionada con la vinculación. La (re)identificación también puede dar lugar a problemas de falta de conciencia y incumplimiento.

image Ejemplos de amenazas

  • El tratamiento de la información identificada:
    Al suscribirse a un sitio web de un periódico, los usuarios se ven obligados a registrarse con su nombre completo y dirección, lo que permite la identificación de las páginas vistas. En consecuencia, el usuario ya no puede navegar por el periódico de forma anónima.
  • El interesado se distingue de los demás, por ejemplo cuando se utilizan consultas con un pequeño conjunto de resultados: consulta del salario medio de las mujeres en una pequeña empresa cuando solo hay una empleada.
  • Revelando atributos:
    Cuando un cliente envía un formulario de comentarios y proporciona información muy detallada para que puedan ser identificados de forma única. Por ejemplo, al comprar un coche en una concesionaria y enviar comentarios, incluyendo marca del coche, modelo, concesionario, código postal.


NO REPUDIO

| SÉ LO QUE HICISTE EL VERANO PASADO

¿QUÉ? Ser capaz de atribuir una reclamación, es decir, saber, haber hecho, haber dicho algo, a un individuo. Esto conduce a la pérdida de una desmentida plausible, p. ej., un denunciante que puede ser procesado.

El sistema retiene pruebas relativas a una acción o un hecho en particular, lo que afecta a las reclamaciones de denegación. P.e. archivos de registro, firmas digitales, metadatos de documentos, datos con marca de agua.
Esa prueba puede atribuirse a una persona.
Identificar (y vincular) las amenazas aumentará el riesgo de no repudio.

image Ejemplo de amenazas

  • Algunos procesadores de textos conservan los metadatos del autor y de la revisión en el documento, evitando así las reclamaciones de denegación. en relación con la autoría o revisión de los documentos.
  • Las notificaciones de lectura sirven como prueba de que el usuario ha abierto/leído el mensaje.
  • Los datos recopilados por una aplicación de seguimiento de la menstruación podrían usarse como evidencia para la persecución de las personas en el cumplimiento de las leyes sobre el aborto.


Detección

| NO ES LO QUE MIRAS LO QUE IMPORTA, ES LO QUE VES (HD THOREAU).

¿QUÉ? Deducir la participación de un individuo a través de la observación. La detección de amenazas no requiere ser capaz de leer los datos reales - simplemente saber que los datos existen, es suficiente para inferir más información (sensible).

La detección puede realizarse mediante:

  • observar los flujos de comunicación: interacciones con el sistema o servicio y comunicación entre sistemas
  • observar los efectos secundarios de la aplicación: por ejemplo, cuando las acciones también resultan en archivos temporales en el sistema de archivos
  • observar las respuestas del sistema: cuando el sistema revela la existencia de ciertos datos a través de sus respuestas
    La observación o la comprobación de la existencia puede ser suficiente para conocer información sensible sobre las personas. La detección de amenazas también facilita el enlace y la identificación, ya que la información deducida se puede utilizar para extraer más información sobre una persona.

image Ejemplo de amenazas

  • Las transmisiones inalámbricas son detectables por otros dispositivos cercanos.
  • Una aplicación eliminada en un teléfono inteligente puede dejar un rastro de archivos temporales y de configuración, que pueden ser utilizados por un adversario para aprender más sobre el propietario del teléfono.
  • Al intentar enviar un correo electrónico a un usuario de correo sospechoso y observar cualquier rebote, un adversario puede deducir que ciertas direcciones de correo electrónico están en uso y el destinatario es un usuario registrado.
  • Al intentar acceder al historial médico de una celebridad en un centro de rehabilitación y recibir una respuesta con 'derechos de acceso insuficientes', se puede inferir que la celebridad ha sido tratada por una adicción, incluso sin tener acceso al expediente real.


DIVULGACIÓN DE DATOS

| NO ES ASUNTO TUYO

¿QUÉ? Recoger, almacenar, procesar o compartir datos personales de forma excesiva. Las amenazas de divulgación de datos representan casos en los que la divulgación de datos personales hacia, dentro y desde el sistema se considera problemática.

La divulgación de información debe tener en cuenta los intereses de los interesados, y el principio de minimización de datos desempeña un papel crucial. El sistema debe estar diseñado para recoger, procesar, almacenar y compartir únicamente los datos estrictamente necesarios.

La divulgación de datos puede ser explícita, es decir, intencionada o diseñada por el sistema, o implícita, es decir, no intencionada o indirecta (p. ej., a través de metadatos o derivada de otros datos).

Se centra en cuatro características de la amenaza:

  1. Tipos de datos innecesarios: esto se refiere a la sensibilidad del tipo de datos, la granularidad y la codificación que pueden ser demasiado detallados
  2. Volumen de datos excesivo: se refiere a la cantidad y frecuencia del tratamiento de los datos, y el número de sujetos de datos implicados que puede ser demasiado elevado
  3. Tratamiento innecesario: se refiere al análisis, propagación o retención de datos adicionales que puedan considerarse no estrictamente necesarios
  4. Exposición excesiva: se refiere a las diferentes partes con las que se comparten los datos, lo cual puede considerarse excesivo, y el grado de accesibilidad de los datos

image Ejemplo de amenazas

  • Las aplicaciones de vigilancia de la salud deberían limitar la recogida y el tratamiento de los parámetros médicos de un paciente a los estrictamente necesarios. Por ejemplo, una aplicación dietética no debe registrar las mediciones de la frecuencia cardíaca.
  • Cuando alguien publica en una red social, esta publicación a menudo también incluye información personal sobre otras personas.
  • Cuando un usuario se cancela de un boletín, el sistema ya no debe retener su dirección de correo electrónico.
  • Cuando un sitio web utiliza servicios de seguimiento y análisis de terceros, los datos personales sobre el usuario del sitio web y su uso del sitio se transfieren a terceros externos.


FALTA DE CONOCIMIENTO Y NO INTERVENIBILIDAD

| EL SISTEMA ES UN LIBRO ABIERTO.

¿QUÉ? Información, participación o capacitación insuficientes de las personas en el tratamiento de sus datos personales.

Estas amenazas pueden surgir cuando:

  • Transparencia insuficiente: los interesados no son conscientes de la recogida o el tratamiento de sus datos personales o de los datos personales de terceros
  • Información insuficiente: los interesados no están suficientemente informados sobre el impacto en la privacidad que pueden causar a otros al utilizar el sistema
  • Capacidad de intervención insuficiente: los interesados no pueden acceder a sus datos personales ni gestionarlos
    icono de desconocimiento

image Ejemplo de amenazas

  • Cuando las cámaras de tráfico recopilan y procesan datos personales utilizando técnicas de reconocimiento facial y reconocimiento de matrículas, sin informar a las personas.
  • Cuando se utiliza una plataforma de medios sociales, los usuarios no están informados sobre las implicaciones de compartir imágenes que incluyen a otras personas.
  • Cuando los interesados no puedan acceder a sus propios datos, modificarlos o (fácilmente) actualizar su configuración de privacidad.


INCUMPLIMIENTO

| PILARES PARA CONSTRUIR

¿Qué? El sistema se desvía de las mejores prácticas, normas y legislación en materia de seguridad y gestión de datos, lo que lleva a una gestión incompleta del riesgo. Se centra en el contexto de la gestión organizativa y operacional en que está integrado un sistema o servicio.

Las principales características de amenaza del incumplimiento son:

  • Ilegalidad del tratamiento de datos personales
  • Falta de gestión del ciclo de vida de los datos: esto se refiere a los principios de minimización de los datos, limitación del almacenamiento y controles de los sujetos de datos
  • La falta de una gestión adecuada del riesgo de ciberseguridad

LINDDUN se centra únicamente en los problemas de incumplimiento que derivan directamente de las amenazas a la privacidad de Vinculación, identificación, no repudio, detección, divulgación de datos y desconocimiento.

image Ejemplo de amenazas

  • El sistema no está protegido contra los problemas de ciberseguridad, p. ej., un ataque de denegación de servicio puede perjudicar la capacidad de un sujeto de datos para ejercer control, o una fuga de base de datos a gran escala aumenta la probabilidad de identificación o vinculación de un sujeto de datos.
  • La recogida o tratamiento se considera ilegal en el contexto de las regulaciones aplicables (GDPR, CSL, …).
  • Se aplica incorrectamente una política de retención de datos, lo que da lugar a un sistema que almacena los datos personales durante un período más largo que el realmente necesario para procesar los datos.

原英文文章: https://linddun.org/threat-types/


Complete and Continue