Correlação entre tempo de comunicação e padrões de comportamento
No anonimato, importa não apenas o que foi enviado, mas também quando a comunicação ocorreu.
Mesmo que o conteúdo da comunicação esteja criptografado, o horário em que a conexão ocorreu, o volume de comunicação, os intervalos entre conexões, o horário de postagem e os horários de ações no mundo real viram pistas.
Por exemplo, se há uma postagem anônima logo depois de um acontecimento em determinado local e, nesse mesmo período, saiu comunicação de uma rede específica, os candidatos se estreitam.
Este artigo organiza como o tempo de comunicação e os padrões de comportamento se relacionam ao anonimato.
O tempo de comunicação cria o contorno do comportamento
Tempo de comunicação é o horário ou a faixa horária em que a comunicação ocorre.
Acesso Web, postagem, login, envio de arquivo, envio de mensagem, conexão , conexão e consulta DNS têm relação com horário.
| Informação de tempo | O que fica visível | Cuidados no anonimato |
|---|---|---|
| Horário de início da conexão | Quando houve comunicação | Comparado com ações do mundo real |
| Volume de comunicação | Quanto foi enviado e recebido | Material para inferir envio de arquivo ou vídeo |
| Intervalo entre conexões | Ação periódica | Hábitos e processos automáticos aparecem |
| Horário de postagem | Ação pública | Sobrepõe-se ao lado da identidade real e a eventos reais |
| Horário de conexão VPN | Uso de ambiente anônimo | O ISP vê o horário de uso da VPN |
Informações de tempo, sozinhas, não indicam a pessoa.
Mas elas viram um eixo para comparação com outros logs.
O tempo permanece mesmo com criptografia
HTTPS e TLS são importantes para proteger o conteúdo da comunicação.
No entanto, eles não apagam completamente quando a comunicação ocorreu, qual foi o volume aproximado de comunicação ou a qual endereço IP houve conexão.
| Informação | Fica oculta pela criptografia? | Explicação |
|---|---|---|
| Corpo da página | É protegido no caminho | Protegido por HTTPS |
| Conteúdo de formulário | É protegido no caminho | Chega ao serviço de destino |
| Horário de conexão | Não fica oculto | A ocorrência da comunicação é observada |
| Volume de comunicação | Não fica oculto | Tendências de volume de dados ficam visíveis |
| IP de destino | Não fica oculto | Necessário para entregar pacotes |
Criptografia e anonimização são coisas diferentes.
Mesmo que o conteúdo da comunicação não possa ser lido, o fato e o tempo da comunicação viram outra pista.
Ligação com ações do mundo real
O tempo de comunicação se liga a ações do mundo real.
Se há comunicação na mesma faixa de horário de deslocamento, aula, trabalho, reunião, evento, participação no local, viagem, hospedagem, pagamento ou registro de entrada e saída, os candidatos se estreitam.
| Ação do mundo real | Correlação com tempo de comunicação | Cuidados |
|---|---|---|
| Logo depois de reunião | Parece que um participante fez a postagem anônima | Esperar |
| No local de evento | Permanência no local e postagem se sobrepõem | Ver também localização e fotos |
| Horário de deslocamento | A rota de deslocamento aparece | Cuidado com postagem em horário fixo |
| Após turno noturno | Forma de trabalho aparece | Combina-se com informação de ocupação |
| Depois de aula na escola | Estudantes ou docentes se estreitam | Não mencionar série ou nome da aula |
Ao postar anonimamente, postagens logo após um acontecimento são pistas fortes.
Quanto mais o texto passa sensação de presença, mais forte é a ligação com o horário.
Sobreposição com o horário de atividade da identidade real
Quando o horário de atividade da conta anônima se sobrepõe ao horário de atividade da conta de identidade real, surge aparência de mesma pessoa.
Postar no lado da identidade real e, poucos minutos depois, no lado anônimo. Escrever um texto longo no lado anônimo e logo depois reagir ao mesmo tema no lado da identidade real. Os dois lados se moverem todos os dias no mesmo horário de pausa.
| Ação sobreposta | O que fica visível | Medida |
|---|---|---|
| Postagens alternadas | Parece a mesma pessoa alternando contas | Separar faixas horárias |
| Reação simultânea ao mesmo tema | Interesse e tempo coincidem | Separar também os temas |
| Mesmo horário de pausa | Ritmo de vida coincide | Ver no histórico de longo prazo |
| Postagem após o mesmo evento | Parece que esteve no mesmo lugar | Tomar distância do acontecimento |
Mesmo separando contas, se o tempo de comportamento for o mesmo, a correlação permanece.
Logs de comunicação e horário de postagem
Serviços Web, VPNs, ISPs, redes de trabalho, redes escolares, roteadores e resolvedores DNS podem manter logs relacionados à comunicação.
O conteúdo dos logs e o período de retenção variam conforme o ambiente, mas o horário é um eixo importante em muitos logs.
| Ponto de observação | Informações de tempo que podem ficar visíveis | Cuidados |
|---|---|---|
| Serviço de destino | Horário de postagem, login e requisição | Liga-se à conta |
| ISP | Horário de conexão VPN ou comunicação externa | Conteúdo da comunicação é outro problema |
| Provedor de VPN | Horário de conexão e uso de servidor | Conferir política e gestão de logs |
| Rede de trabalho ou escola | Horário de comunicação do dispositivo | Cuidado com logs administrativos |
| Resolvedor DNS | Horário de consulta | Pista de domínio de destino |
No anonimato, pense não só em um log isolado, mas em vários logs comparados por horário.
Como reduzir correlação temporal
Não é possível apagar completamente a correlação temporal.
Mas é possível reduzir correlações fortes.
| Medida | Motivo | Cuidados |
|---|---|---|
| Não postar logo após o acontecimento | Enfraquece comparação com ação real | Também desfocar a cronologia do conteúdo |
| Não alternar com o lado da identidade real | Reduz correlação de contas | Separar também os temas |
| Evitar postagem em horário fixo | Dificulta mostrar ritmo de vida | Postagem agendada também não é perfeita |
| Pensar no destino de publicação em alto risco | Evita difusão pública ampla | Escolher destino de consulta com cuidado |
Só deslocar o horário pode não bastar.
Se poucas pessoas conhecem o acontecimento, os candidatos permanecem mesmo com o horário desfocado. Nesse caso, repense conteúdo, destino de publicação e destino de consulta.
Limites de postagem agendada e atraso
Postar com agendamento ou depois de esperar ajuda a enfraquecer a correlação temporal.
Mas não é uma solução universal. Horário de criação, horário de salvamento do rascunho, horário de login, horário de respostas após a postagem e especificidade do conteúdo permanecem.
| Medida | O que enfraquece | O que permanece |
|---|---|---|
| Postagem agendada | Coincidência entre horário público e tempo de vida | Horário de criação e resposta |
| Esperar antes de postar | Impressão de logo após o acontecimento | Especificidade do conteúdo |
| Mudar frequência de postagem | Ritmo fixo | Correlação temática de longo prazo |
| Atrasar respostas | Estado online | Informações pessoais no conteúdo da resposta |
Medidas de tempo devem ser pensadas junto com medidas de conteúdo.
Se os detalhes do acontecimento forem escritos como estão, pessoas envolvidas podem entender mesmo que o horário seja deslocado.
Atenção especial em atividades presenciais de alto risco
Em protestos, reportagens, investigação no local e preparação de denúncias internas, o tempo de comunicação se liga facilmente a ações do mundo real.
É necessário verificar pontos como não postar do local, não reagir logo após o deslocamento, conferir horário de captura e fundo das fotos, e não alternar com ações do lado da identidade real.
Em atividades presenciais de alto risco, às vezes também é necessário não decidir apenas com base em um artigo e consultar apoio confiável ou especialistas.
Resumo
Tempo de comunicação e padrões de comportamento são pistas importantes relacionadas ao anonimato.
Mesmo que o conteúdo da comunicação esteja criptografado, horário de conexão, volume de comunicação, intervalo entre conexões e horário de postagem permanecem.
Esses dados podem se ligar a ações do mundo real, contas de identidade real, conexão VPN, logs de trabalho ou escola e registros do serviço de destino.
Ao publicar anonimamente, confira não só o que escrever, mas quando se comunica, quando posta e com quais ações isso se sobrepõe.
Para reduzir correlação temporal, é importante evitar postagens logo após acontecimentos, não alternar com o lado da identidade real e não se apressar nas reações depois da publicação.
Trate o tempo também como parte da informação pública.