Um modelo de ameaça é uma forma de organizar "de quem, o quê e em que medida proteger".
Ao pensar em anonimato, escolher uma ferramenta logo de início leva a falhas.
Você precisa de ? Precisa de ? Separar contas basta? Ou seria melhor nem publicar? Essas respostas mudam conforme de quem e o que você quer proteger.
Quanto mais iniciante você for, mais deve começar por um modelo de ameaça simples.
De quem proteger
Primeiro, pense em quem não deve ver a informação.
Adversário
Exemplo
Leitores comuns
Pessoas que veem uma rede social, pessoas que chegam por busca
Conhecidos
Família, amigos, colegas, pessoas da escola
Operadores de serviço
Websites, redes sociais, serviços de nuvem
Organizações
Local de trabalho, escola, grupo
Adversários fortes
Organizações com capacidade investigativa, órgãos estatais, atacantes
Quando o adversário muda, as medidas também mudam.
Uma publicação que você não quer que a família veja e uma situação em que você não quer que uma organização descubra uma fonte jornalística exigem preparações diferentes.
O que proteger
Em seguida, separe as informações que você quer proteger.
Pense se quer proteger apenas o nome, também os lugares de rotina, também pessoas relacionadas ou também o caminho de comunicação.
O que proteger
Exemplo
Identidade
Nome real, rosto, local de trabalho, escola
Lugares de rotina
Estação mais próxima, região, lojas frequentadas
Pessoas relacionadas
Família, aliados, fontes, colegas
Caminho de comunicação
Endereço IP, destino da conexão, horário da comunicação
Informações passadas
Nomes de usuário antigos, publicações antigas, resultados de busca
Se o que você protege é vago, os itens a verificar também ficam vagos.
Quanto isso seria problemático
Separe também a intensidade do risco.
O cuidado necessário muda conforme seria apenas um pouco constrangedor, afetaria trabalho ou escola, ou colocaria família e fontes em perigo.
Risco
Exemplo
Baixo
Não querer que conhecidos vejam uma conta de hobby
Médio
Ter problemas se trabalho ou escola descobrirem
Alto
Fontes, denunciantes ou participantes de atividades serem suspeitados
Muito alto
Poder haver perigo legal ou físico, ou retaliação forte
Em casos de alto risco, não decida apenas com base em artigos; considere especialistas ou locais confiáveis de consulta.
De onde isso fica visível
No modelo de ameaça, pense não só em "quem vê", mas também em "de onde vê".
A mesma informação aparece de forma diferente para um website, a operadora de uma rede social, a rede do trabalho, familiares ou mecanismos de busca.
Ponto de visibilidade
Exemplos de informações visíveis
Lado do website
Endereço IP, , estado de login, horário de acesso
Leitores em uma rede social
Conteúdo da publicação, imagens, respostas, perfil
Mecanismos de busca
Páginas públicas, imagens, perfis antigos
Rede do trabalho ou da escola
Destino da conexão, horário da comunicação, rastros de uso do dispositivo
Conhecidos próximos
Maneirismos, lugares de rotina, fundo de fotos, histórias antigas
O que iniciantes costumam deixar passar são os conhecidos próximos.
Mesmo algo que desconhecidos não entendem pode ser compreensível para família, colegas e amigos.
Pensar com exemplos
Um modelo de ameaça fica difícil se ficar só em palavras abstratas.
Ao ver alguns exemplos, as medidas necessárias para o seu caso ficam mais claras.
Situação
De quem proteger
O que observar
Quero criar uma conta de hobby
Trabalho e conhecidos
Não expor nome de usuário antigo, foto de rosto, lugares de rotina
Proteger local, participantes, horário de postagem, rede de contato
Quero fornecer materiais
Organização de vínculo
Verificar metadados de arquivo, histórico de acesso, destino de envio
Se a situação é diferente, os pontos a observar também são diferentes.
Por isso é perigoso resolver tudo com "por enquanto uma VPN", sem criar um modelo de ameaça.
Decidir o que não fazer
Um modelo de ameaça serve não só para decidir o que fazer, mas também o que não fazer.
Por exemplo, em situações de alto risco, você precisa decidir não entrar em contato com conta de nome real, não acessar a partir de dispositivo do trabalho, não publicar do local, não enviar o arquivo original como está.
Ação a evitar
Motivo
Fazer atividade anônima com conta de nome real
A ação se liga diretamente à pessoa
Usar dispositivo do trabalho ou da escola
Logs de gestão e histórico de rede ficam registrados
Reutilizar foto de rosto
Busca por imagem liga a contas antigas
Publicar sem conseguir julgar
Riscos não verificados permanecem
Responder emocionalmente
É fácil acrescentar informação desnecessária
Muitas vezes o anonimato é protegido mais pelo que você evita do que pelo que faz.
Perguntas para iniciantes
Não é necessário complicar demais.
Comece respondendo às perguntas abaixo.
Pergunta
Objetivo
Quem não deve ver isto?
Definir o adversário
O que seria problemático se ficasse visível?
Definir a informação protegida
Com o que esta publicação se conecta?
Observar correlações
Seria problemático se não pudesse apagar depois?
Confirmar informações irreversíveis
Ainda há itens que não consigo julgar?
Encontrar riscos não verificados
Só essas cinco perguntas já mudam bastante o julgamento antes da publicação.
Criar pequeno e atualizar
Um modelo de ameaça não é algo que você cria uma vez e deixa fixo.
No começo, ele pode ser simples. Escreva quem não deve ver, o que seria problemático se ficasse visível e quais ações evitar. Depois, atualize quando a atividade ou o risco mudar.
Mudança
O que revisar
Exemplo
O conteúdo da publicação mudou
Informação a proteger
Passou de hobby para assunto de trabalho
O adversário mudou
De quem proteger
Além de conhecidos, considerar a organização
O ambiente usado mudou
Ponto de visibilidade
Saiu de casa para Wi-Fi público
Passou a lidar com arquivos
Metadados
PDFs e fotos precisam ser verificados
As reações aumentaram
Gestão pós-publicação
Não fornecer informação demais em respostas e DMs
Não é preciso transformar o modelo de ameaça em um documento difícil.
O importante é não esquecer o que você está protegendo.
Escolher ferramentas depois do modelo de ameaça
VPN, Tor, navegadores dedicados e ferramentas de remoção de metadados são úteis.
Mas qual delas usar é algo decidido depois do modelo de ameaça.
Situação
O que pensar primeiro
O que resta mesmo com a ferramenta
Quero mudar o IP de origem
De quem quero esconder o IP
Cookie e estado de login
Quero ocultar o caminho de comunicação
O que ocultar do ISP ou do destino
Conteúdo da publicação e estilo de escrita
Quero publicar um arquivo
Que metadados ou fundo existem
Informações pessoais no texto
Quero criar uma conta de pseudônimo
O que separar do lado da identidade real
Tema, horário, imagem
Pense não em "usar VPN ou não", mas em "o que muda com VPN e o que permanece".
Seguir essa ordem reduz confiança excessiva nas ferramentas.
Em alto risco, não publicar também é uma opção
Ao criar um modelo de ameaça, você também enxerga situações em que é melhor não publicar.
Conteúdo com poucos candidatos possíveis, conteúdo que envolve pessoas relacionadas, conteúdo com risco legal, materiais internos de organizações e conteúdo relacionado a fontes nem sempre têm publicação pública como melhor opção.
Consulta, registro, preservação de provas e contato com especialistas são alternativas à publicação. Ao escolher um local de consulta, verifique também identificação da pessoa, como os registros ficam, caminho de contato e escopo das informações enviadas.
Anonimato não é uma tecnologia para publicar tudo. Também é o julgamento de decidir o que não expor.
Resumo
O modelo de ameaça é o ponto de partida do anonimato.
Ele define de quem, o quê e em que medida proteger.
Iniciantes devem organizar adversário, informação protegida e intensidade do risco antes de escolher ferramentas.
Nem todas as pessoas precisam das mesmas medidas.
Criar um modelo de ameaça adequado à sua situação reduz tanto ansiedade excessiva quanto descuido perigoso.
Artigos relacionados
Fundamentos
Modelo de ameaça para iniciantes
Organize de quem, o quê e em que medida proteger antes de escolher VPN, Tor, separação de contas ou a decisão de não publicar.