Modelos de ameaça e modelos de confiança
Ao pensar em anonimato, há algo que deve ser decidido primeiro.
É isto: "de quem e o que você quer proteger".
Não é realista esconder completamente todas as informações de todas as partes. Além disso, as medidas necessárias mudam de pessoa para pessoa.
Uma pessoa comum, jornalista, denunciante, ativista ou responsável dentro de uma empresa têm coisas diferentes a proteger e adversários diferentes a considerar.
A forma de organizar essa premissa é o modelo de ameaça. E a forma de organizar quais serviços ou partes você confia é o modelo de confiança.
Neste artigo, vamos organizar modelos de ameaça e modelos de confiança como premissa para pensar sobre anonimato.
O que é um modelo de ameaça
Um modelo de ameaça é uma forma de organizar quem está mirando o quê e por quais meios o risco surge.
Em anonimato, começamos com perguntas como estas.
- De quem você quer se proteger
- O que você não quer que seja conhecido
- Quais informações causariam problema se fossem ligadas
- Que nível de capacidade a outra parte tem
- Até que ponto você consegue tolerar risco
Por exemplo, as medidas necessárias são completamente diferentes quando você não quer que uma amiga ou amigo saiba de uma conta separada e quando precisa proteger uma fonte jornalística contra uma organização com forte autoridade.
Se você escolhe medidas sem criar um modelo de ameaça, pode acabar fazendo algo mais complexo do que o necessário ou, ao contrário, deixar passar riscos importantes.
Definir o que você quer proteger
A primeira coisa a considerar é o que você quer proteger.
No anonimato, o alvo da proteção não é apenas o nome real.
| Coisa que você quer proteger | Exemplo |
|---|---|
| Nome real | Nome, rosto, documento de identificação, conta de nome real |
| Vínculo institucional | Trabalho, escola, organização, departamento |
| Lugares de rotina | Endereço, zona de deslocamento, lugares frequentados |
| Fontes e pessoas relacionadas | Informantes, colaboradores, colegas |
| Conteúdo da atividade | Publicações, investigações, denúncias, histórico de navegação |
| Rota de comunicação | Endereço IP, DNS, destino de conexão, horário de comunicação |
Dizer apenas "quero ser anônimo" não é suficiente. É necessário pensar concretamente sobre quais ligações entre informações causariam problema.
Definir de quem você quer se proteger
Em seguida, considere a outra parte.
No anonimato, as informações visíveis e os meios disponíveis mudam conforme a outra parte.
| Parte | Informações que podem ser visíveis | Ponto de atenção |
|---|---|---|
| Site de destino | Endereço IP, , estado de login, conteúdo da requisição | Logs do site e informações da conta entram em jogo |
| ISP ou operadora de comunicação | Horário de conexão, IP de destino, volume de tráfego etc. | O conteúdo de HTTPS é difícil de ler, mas metadados podem permanecer |
| Provedor de | Informações sobre conexões de usuários da VPN | Ao usar VPN, a confiança se desloca para o provedor de VPN |
| Usuários do mesmo Wi-Fi | Comunicação não criptografada, estado da conexão | É preciso cuidado especial em Wi-Fi público |
| Trabalho ou escola | Dispositivo, rede, logs, sistemas de administração | Pode haver forte autoridade administrativa |
| Investigador ou terceiro | Informações públicas, publicações, imagens, contas antigas | Pode haver correlação por OSINT |
Ao definir a outra parte, fica mais fácil enxergar quais medidas são necessárias.
Estimar a capacidade da outra parte
Não basta saber quem é a outra parte. Também é importante saber que nível de capacidade ela tem.
Uma amiga ou amigo apenas pesquisa em redes sociais? Um operador de serviço consegue ver logs de acesso? Um administrador do trabalho ou da escola consegue ver logs de rede? Um órgão estatal consegue pedir divulgação de registros a uma operadora?
Se a capacidade muda, as medidas necessárias também mudam.
| Capacidade | O que pode ser possível fazer |
|---|---|
| Busca de informações públicas | Procurar nomes de usuário, imagens e publicações antigas |
| Verificação de logs internos do serviço | Ver endereço IP, histórico de login e histórico de operações |
| Administração de rede | Ver destinos de conexão, volume de tráfego e consultas DNS |
| Administração de dispositivo | Ver histórico do navegador, aplicativos instalados e arquivos |
| Autoridade legal | Pedir a operadores a divulgação de registros |
Se você pressupõe capacidade máxima para todas as partes, agir de forma realista fica difícil. Por outro lado, subestimar demais a capacidade da outra parte é perigoso.
É necessário pensar em uma faixa realista, de acordo com o objetivo.
O que é um modelo de confiança
Um modelo de confiança é uma forma de organizar quem você pressupõe confiar, e quem não confiar, ao usar um mecanismo.
Quando se usa uma ferramenta de anonimato, muda quem consegue ver as informações. As informações visíveis não necessariamente desaparecem; em alguns casos, passam para outra parte.
Por exemplo, ao usar uma VPN, o IP de casa pode ficar menos visível para o site de destino. No entanto, o provedor de VPN pode conseguir ver informações relacionadas à comunicação do usuário.
Ao usar , o destino pode ver um nó de saída Tor. No entanto, se o Tor for usado de forma equivocada, pode haver ligação por estado de login ou informações do navegador.
| Método | Parte ou mecanismo confiado | Ponto de atenção |
|---|---|---|
| Conexão normal | ISP, serviço de destino | O IP de casa ou do trabalho pode ficar visível |
| VPN | Provedor de VPN | É necessário confiar na política de logs e na operação do provedor de VPN |
| Tor | Projeto da rede Tor, uso do Tor Browser | Se usado de forma equivocada, outras pistas permanecem |
| Wi-Fi público | Operador do Wi-Fi, ambiente do local | Pode se ligar a logs locais e câmeras de vigilância |
| Serviço em nuvem | Operador do serviço | Conta, logs e dados salvos entram em jogo |
Ao pensar em anonimato, é necessário observar não apenas "esta ferramenta é segura?", mas também "em quem este desenho pressupõe confiar?".
Sem modelo de ameaça, as medidas se desviam
Sem um modelo de ameaça, as medidas tendem a se desviar do objetivo.
Por exemplo, se você só não quer mostrar seu IP de casa ao site de destino, uma VPN pode ser suficiente. No entanto, se você considera o provedor de VPN uma parte em que não pode confiar, apenas a VPN talvez não corresponda ao objetivo.
Quando você não quer ligar uma conta de nome real a uma conta anônima, Cookie, estado de login, separação de navegador, estilo de escrita e horário de publicação podem ser mais importantes do que a rota de comunicação.
Quando uma pessoa denunciante lida com materiais internos de uma organização, além da rota de rede, metadados de documentos, permissões de acesso, histórico de distribuição e confiabilidade do destino de consulta tornam-se importantes.
As medidas mudam conforme o que você quer proteger e de quem quer se proteger.
Pensar por níveis de risco
Um modelo de ameaça não serve para imaginar sempre o maior perigo possível.
O risco tem níveis. Uma pessoa que quer publicar sobre hobbies com outro nome e uma pessoa que quer denunciar irregularidades no trabalho usam a mesma palavra anonimato, mas precisam de preparações diferentes.
| Situação | Principais partes | Medidas priorizadas |
|---|---|---|
| Publicação de baixo risco com outro nome | Conhecidos, terceiros que pesquisam | Evitar reutilizar nome de usuário, estilo de escrita e imagens |
| Consulta que você não quer que o trabalho conheça | Pessoas do trabalho, operadores de serviço | Evitar dispositivo do trabalho e desfocar conteúdo e horário |
| Proteção de fontes | Organizações relacionadas, investigadores | Ver caminho de contato, materiais e inferência reversa a partir do artigo publicado |
| Denúncia interna | Organização, partes com autoridade legal | Tratar com cuidado metadados de documentos, histórico de acesso e destino de envio |
| Acesso a informação sob censura | ISP, órgão estatal, operador de serviço | Separar rota de comunicação, dispositivo e segurança no mundo físico |
Quanto maior o risco, mais importante é não decidir apenas com base em um artigo.
Usar uma pessoa ou organização de consulta confiável, como advogado, organização de apoio ou responsável de segurança em um veículo jornalístico, também faz parte do modelo de ameaça.
Um modelo de ameaça simples para começar
Não é necessário criar um modelo de ameaça complexo desde o início.
Para começar, basta preencher uma tabela como a seguinte.
| Pergunta | Exemplo |
|---|---|
| O que você quer proteger | Nome real, trabalho, fonte, lugares de rotina, conta anônima |
| De quem você quer se proteger | Site de destino, trabalho, escola, terceiro, órgão estatal |
| O que causaria problema se fosse ligado | Conta de nome real e publicação anônima, IP e horário de publicação, documento e autor |
| O que a outra parte consegue ver | Informações públicas, logs de servidor, logs de comunicação, informações do dispositivo |
| Em quem você confia | Provedor de VPN, serviço de publicação, destino de consulta, ambiente do dispositivo |
| Até onde você consegue tolerar | Publicação anônima de baixo risco ou denúncia de alto risco |
Só pensar nisso já organiza bastante as medidas necessárias.
Resumo
Modelo de ameaça é uma forma de organizar de quem e o que você quer proteger. Modelo de confiança é uma forma de organizar com base em quais partes ou serviços você age.
No anonimato, não é realista esconder tudo de todas as partes. É necessário separar o que você quer proteger, as partes imaginadas, a capacidade da outra parte, as pistas que permanecem e as partes em que você confia.
VPN, Tor, Wi-Fi público, criptografia, separação de contas e outras medidas mudam de significado conforme o objetivo.
Começar definindo "de quem, o que e em que grau você quer proteger" é o ponto de partida para pensar sobre anonimato.
Ferramentas relacionadas
WhatIsMyIP
Recurso externo relacionado a este artigo. Abra apenas se fizer sentido para sua situação e seu modelo de ameaça.
Por que aparece aqui: Pode ajudar com o tema do artigo, mas fica fora do Anonymity Sense e deve ser avaliado antes do uso.
Tor Project
Recurso externo relacionado a este artigo. Abra apenas se fizer sentido para sua situação e seu modelo de ameaça.
Por que aparece aqui: Pode ajudar com o tema do artigo, mas fica fora do Anonymity Sense e deve ser avaliado antes do uso.
Proton VPN
Recurso externo relacionado a este artigo. Abra apenas se fizer sentido para sua situação e seu modelo de ameaça.
Por que aparece aqui: Pode ajudar com o tema do artigo, mas fica fora do Anonymity Sense e deve ser avaliado antes do uso.
URL : https://protonvpn.com/
Mullvad VPN
Recurso externo relacionado a este artigo. Abra apenas se fizer sentido para sua situação e seu modelo de ameaça.
Por que aparece aqui: Pode ajudar com o tema do artigo, mas fica fora do Anonymity Sense e deve ser avaliado antes do uso.
URL : https://mullvad.net/