Learn

284 artigosCategoria: Tudo
Contas e operação

Checklist final antes de uma atividade anônima

Antes de iniciar uma atividade anônima ou logo antes de publicar, pare uma vez e confira.

Falhas de anonimato não acontecem apenas por um grande erro. Elas acontecem quando pequenas pistas se acumulam e depois são ligadas entre si.

Este checklist serve para verificar em conjunto comunicação, navegador, conta, arquivos, conteúdo da publicação, tempo e informações passadas.

1. Objetivo e modelo de ameaça

Primeiro, confirme o que você quer proteger.

Item de verificaçãoO que observar
De quem protegerUsuários comuns, operadores de sites, local de trabalho, órgãos estatais etc.
O que protegerPessoa, família, fonte, afiliação, lugares de rotina etc.
Que ação será feitaNavegação, publicação, contato, compartilhamento de arquivos etc.
Qual é o nível de riscoBaixo risco ou alto risco

Se você usa ferramentas com o objetivo ainda vago, pontos de verificação passam despercebidos.

Em atividade anônima, é comum querer escolher ferramentas primeiro. Usar , usar , preparar outro dispositivo. Mas, se você escolher ferramentas com o objetivo ainda vago, a proteção pode não corresponder ao que deseja proteger.

Você quer impedir que o local de trabalho saiba? Quer evitar que o destino da conexão veja seu IP residencial? Quer proteger uma fonte? Quer evitar ligação com contas passadas? Decida primeiro de quem e o que proteger.

2. Ambiente de comunicação

Confira a rota de comunicação.

  • O objetivo de usar VPN ou Tor está claro?
  • O IP visível ao destino da conexão está como esperado?
  • Não há vazamento de DNS?
  • O kill switch da VPN está ativo?
  • Comunicação fora do Tor Browser não está saindo pela conexão normal?
  • Você entende os riscos de usar Wi-Fi público ou rede do trabalho?

O ambiente de comunicação é importante, mas o anonimato não é decidido só por ele.

O ambiente de comunicação é uma parte do anonimato. Mesmo usando VPN ou Tor, estado de login, , conteúdo da publicação, arquivos e correlação de tempo permanecem. Ao contrário, se você se satisfaz olhando apenas o ambiente de comunicação, falha em outro ponto.

Na verificação do ambiente de comunicação, organize "quem vê o quê". ISP, provedor de VPN, saída Tor, serviço de destino, operador de Wi-Fi e rede do trabalho veem informações diferentes.

3. Navegador e estado de login

O navegador sempre precisa ser conferido.

  • Você está usando um navegador para anonimato?
  • Não está logado em uma conta de nome real?
  • Cookie e LocalStorage não permanecem?
  • A sincronização do navegador não está ativa?
  • Não há extensões desnecessárias?
  • Se usar Tor Browser, você não alterou as configurações padrão?

O estado de login enfraquece muito o anonimato.

O navegador é o centro da operação anônima. Cookie, LocalStorage, histórico, senhas salvas, extensões, notificações e sincronização se concentram nele. Se você fizer login em uma conta de nome real no navegador anônimo, cria-se um vínculo com a pessoa mesmo que a rota de comunicação tenha mudado.

Quando aparecer uma tela de login, pare uma vez. Confira se é aceitável entrar nessa conta, se o destino de recuperação não está no lado da identidade real e se pode haver histórico de login.

4. Conta

Confira as informações de registro da conta anônima.

  • Você não está usando email de nome real?
  • Você não está usando telefone de nome real?
  • O email de recuperação não está ligado ao lado da identidade real?
  • O nome de usuário não se parece com contas passadas?
  • Ícone e perfil não se sobrepõem ao lado da identidade real?
  • As relações de seguidores não se sobrepõem demais ao lado da identidade real?

Uma conta não é um nome, mas um conjunto de identificadores.

As informações usadas ao criar uma conta ficam menos visíveis depois. Email, telefone, destino de recuperação, dispositivo de login e data de registro que não aparecem no perfil permanecem dentro do serviço. Em uma conta anônima, separe não apenas o nome exibido, mas também as informações de registro e o ambiente de operação.

5. Arquivos e imagens

Confira os arquivos que serão publicados ou compartilhados.

  • O nome do arquivo não contém informações pessoais?
  • Você verificou os metadados?
  • Você verificou novamente depois da remoção?
  • O fundo ou reflexos da imagem não contêm informações?
  • A captura de tela não contém notificações ou nomes de conta?
  • PDFs ou documentos Office não contêm autor, comentários ou histórico de edição?
  • Você não editou em nuvem ou aplicativo de nome real?

Em arquivos, confira tanto a aparência quanto as informações internas.

Arquivos são uma das partes mais fáceis de deixar passar na verificação pré-publicação. Fundo de imagens, autor de PDF, comentários em documentos Office, notificações em capturas de tela, áudio de vídeo e nomes internos em arquivos compactados permanecem. Mesmo que metadados sejam removidos, informações inferíveis pelo conteúdo ou pelo fundo permanecem.

Ao usar sites de conversão online, IA externa, edição em nuvem ou serviços Web de verificação de metadados, o conteúdo do arquivo ou seus metadados podem ser enviados para fora. Em arquivos de alto risco, verifique localmente tanto quanto possível e pare para pensar antes de entregar o arquivo a serviços externos.

6. Conteúdo da publicação

Confira textos e falas.

  • Nome real, nome de lugar, local de trabalho, escola ou afiliação aparecem?
  • Há relatos que só pessoas envolvidas conhecem?
  • Termos técnicos ou internos estão fortes demais?
  • O estilo de escrita se parece com uma conta de nome real?
  • Você está escrevendo a mesma história de publicações passadas?
  • Ao combinar várias informações pequenas, os candidatos são estreitados ou uma pista forte surge?

Pense em como o texto seria lido por alguém que conhece você, não por alguém que não conhece.

O conteúdo da publicação revela hábitos da pessoa. Região, setor, escola, local de trabalho, família, termos técnicos, forma de se irritar, estilo de escrita, relatos pessoais. Mesmo sem escrever o nome real, alguém que conhece você pode estreitar os candidatos ao ler.

Antes de publicar, pense: "como este texto pareceria se colocado ao lado de minhas publicações passadas?". O anonimato enfraquece não por uma publicação isolada, mas por sobreposição com informações passadas.

7. Tempo e comportamento

Confira a correlação temporal.

  • Você não está agindo no mesmo horário que a conta de nome real?
  • Não está publicando logo depois de um evento?
  • O horário de postagem não revela seu ritmo de vida?
  • Data e hora de criação ou edição do arquivo não permanecem?
  • Há uma regra para não entregar informação adicional demais em respostas e DMs?

Respostas depois da publicação também fazem parte da operação anônima.

O tempo conecta logs entre si. Quando horário de postagem, horário de criação de arquivo, horário de login, horário de encerramento de evento e horário de atividade no lado da identidade real se sobrepõem, o fluxo de comportamento fica visível. O horário de respostas e exclusões depois da publicação também pode ser visto.

Se você responder com pressa logo depois de publicar, é fácil entregar informações adicionais. Decida também a política de resposta pós-publicação antes de publicar.

8. Decisão final de parar

Se houver um item sobre o qual você tem dúvida, pare a publicação.

No anonimato, seguir com "provavelmente está tudo bem" é perigoso. Especialmente em situações de alto risco, é importante não publicar deixando pontos desconhecidos.

Informações publicadas uma vez podem permanecer em capturas de tela, arquivos, republicações e resultados de busca.

A decisão de parar é uma técnica importante da operação anônima. Em vez de avançar sem saber, escolha conferir, atrasar, reduzir informação, consultar ou não publicar. Em atividades de alto risco, também é necessário não julgar tudo sozinho.

Como usar o checklist

O checklist não tem sentido se for apenas lido. Use-o imediatamente antes da ação: antes de publicar, antes de compartilhar arquivo, antes de criar conta ou antes de contato jornalístico.

Situação de usoO que observar com mais atenção
Antes de criar uma contaEmail, telefone, nome de usuário, destino de recuperação
Antes de publicarConteúdo, imagem, tempo, conta
Antes de compartilhar arquivoMetadados, permissões de compartilhamento, local de armazenamento
Antes de contatoMeio de contato, logs, segurança da outra pessoa
Depois de um problemaConfirmar o que saiu sem entregar informação adicional

Não é necessário verificar tudo com a mesma profundidade sempre. Porém, quanto maior o risco da ação, mais importante é não pular verificações.

Resumo

Antes de uma atividade anônima, confira em conjunto comunicação, navegador, conta, arquivos, conteúdo da publicação, tempo e informações passadas.

VPN ou Tor sozinhos não bastam. Também é necessário verificar Cookie, estado de login, metadados de arquivos, fundo de imagens, estilo de escrita, horário de postagem, respostas e DMs.

O objetivo da verificação final não é garantir perfeição. É reduzir pistas antes da publicação e decidir parar quando houver pontos duvidosos.

Artigos relacionados