Correlação de timing entre eventos e logs
O anonimato não se rompe apenas pelo que foi escrito.
Quando você publicou. Quando você acessou. Quando você respondeu. Em quais faixas de horário você está ativo.
Essas informações de tempo também criam uma impressão de que se trata da mesma pessoa.
Correlação de timing é a ideia de ligar atividades que parecem separadas a partir de coincidências de tempo entre eventos, publicações, logs de acesso, horários de criação de arquivos, registros de comunicação e informações semelhantes.
Este artigo organiza o risco de vários registros serem comparados na mesma linha do tempo, como publicações logo após eventos, logs de acesso, horários de conexão e horários de criação ou atualização de arquivos.
Horários cotidianos de publicação e desvios no ritmo de vida são tratados em "Correlação entre horário de publicação e ritmo de vida".
A proximidade no tempo vira pista
Correlação de timing é inferir que várias ações estão relacionadas à mesma pessoa ou à mesma atividade porque são próximas no tempo.
Por exemplo, uma conta de nome real fica ativa todos os dias por volta das 23h. Uma conta anônima também publica todos os dias pouco depois das 23h. As duas reagem ao mesmo assunto na mesma ordem.
Só isso não permite afirmar que é a pessoa. No entanto, quando se combina com outras informações, vira material para correlação.
| Pista de tempo | O que se infere |
|---|---|
| O horário de publicação é sempre o mesmo | Ritmo de vida ou horário de atividade |
| Os horários de atividade do lado de nome real e do lado anônimo são próximos | Impressão de que se trata da mesma pessoa |
| Publicar logo após um evento | Possibilidade de ter estado no local |
| Publicar apenas fora do horário de trabalho | Profissão ou padrão de vida |
| Responder apenas de madrugada | Região ou ritmo de vida |
O tempo é uma informação fácil de comparar com outros logs. Por isso não deve ser tratado de forma leve.
O horário de publicação revela ritmo de vida
O horário de publicação revela o ritmo de vida da pessoa.
Horário de deslocamento pela manhã. Pausa do almoço. Depois do trabalho. Madrugada. Textos longos apenas em dias de folga.
Isoladamente, essas coisas parecem ações comuns. No entanto, quando continuam por muito tempo, viram padrões.
Quando uma conta anônima se movimenta todos os dias na mesma faixa de horário, o ritmo de vida fica visível. Se isso se sobrepõe aos horários de atividade de uma conta de nome real ou de uma conta antiga, a impressão de que se trata da mesma pessoa fica mais forte.
No anonimato, verifica-se não apenas o conteúdo, mas também a faixa de horário das publicações.
Publicações logo após eventos se ligam ao lugar
O tempo também se liga ao lugar.
Se você faz uma publicação detalhada logo depois de uma manifestação, reunião, encontro, acontecimento interno de empresa, evento escolar ou evento local, os candidatos se estreitam para pessoas que estavam ali.
Por exemplo, suponha que você publique anonimamente o conteúdo de uma reunião não divulgado publicamente logo após ela terminar. Não apenas o conteúdo, mas o próprio horário da publicação vira pista.
"Quem sabia disso nesse horário?" "Quem podia publicar na Internet nesse horário?" "Quem estava em uma área de onde era possível se deslocar a partir desse lugar?"
Esse tipo de estreitamento acontece.
Em publicações logo após eventos, o nível de detalhe também vira problema.
Se você escreve a sequência, falas, assentos, rota de deslocamento ou confusão interna que só alguém no local saberia, será visto como participante ou pessoa relacionada. Quanto mais cedo for o horário da publicação, mais os candidatos se estreitam para "pessoas que sabiam naquele momento".
| Conteúdo da publicação | O que se infere |
|---|---|
| Impressão detalhada logo após o término | Possibilidade de ter sido participante |
| Informação interna antes da divulgação pública | Possibilidade de ser pessoa relacionada ou interna |
| Publicação durante deslocamento | Localização atual ou rota de volta para casa |
| Foto do local e horário | Local da captura e horário da ação |
Em publicações de alto risco, não basta atrasar a publicação; reduza também os detalhes que mostram que você esteve no local.
Também é comparado com logs de comunicação
Correlação de timing não é um problema apenas de publicações públicas.
Logs de comunicação, logs de acesso, horários de conexão VPN, horários de conexão , histórico de login, histórico de edição na nuvem, data e hora de atualização de arquivos e registros semelhantes também são informações de tempo.
| Log | Informação de tempo que permanece | Ponto de atenção |
|---|---|---|
| Log de acesso Web | Horário de acesso | Comparado com o horário de publicação |
| Histórico de login | Horário de sucesso ou falha no login | Vira evidência de uso da conta |
| Log de conexão VPN | Horário de início e fim da conexão | Vira pista da faixa de horário de comunicação |
| Data e hora de atualização de arquivo | Horário de criação, edição e salvamento | Liga-se ao horário de atividade da pessoa que trabalhou |
| Histórico da nuvem | Horário de upload e compartilhamento | Relação com contas de nome real permanece |
O tempo vira um eixo que conecta diferentes tipos de registros.
Mesmo que o conteúdo esteja criptografado, o momento em que a comunicação ocorreu pode permanecer. Esse ponto também é tratado no artigo sobre logs de comunicação.
Deslocar a faixa de horário não basta
Apenas deslocar um pouco o horário de publicação não torna você seguro.
Mesmo que você publique sempre 30 minutos depois, o padrão permanece se o mesmo ritmo permanecer. Hábitos como publicar apenas de madrugada, escrever textos longos apenas em feriados ou reagir apenas logo depois de determinadas notícias também permanecem.
No anonimato, é mais importante reduzir ações que podem ser correlacionadas do que simplesmente deslocar o tempo.
Em situações especialmente de alto risco, considere pontos como estes.
- Não movimentar o lado de nome real e o lado anônimo na mesma faixa de horário
- Não publicar conteúdo detalhado logo após um evento
- Não fazer pesquisas relacionadas em uma conta de nome real antes e depois da publicação
- Verificar também horários de criação e atualização de arquivos
- Não fixar demais o ritmo de atividade de longo prazo
O que importa nas medidas relacionadas ao tempo não é um deslocamento mecânico, mas não aumentar os eixos de correlação.
Se você atrasa sempre uma hora do mesmo jeito, a própria forma desse atraso vira hábito. Mesmo que programe publicações em lote apenas de madrugada, se o horário de trabalho ou de resposta for o mesmo, o ritmo de vida permanece.
Ao pensar em anonimato, veja separadamente horário de publicação, horário de trabalho, horário de login e horário de atualização de arquivo. Mesmo que você ajuste apenas o horário de publicação visível na superfície, se os logs do lado de trás se concentram na mesma faixa de horário, eles viram material para correlação.
Tenha cuidado também com publicações agendadas e rascunhos
Ao usar publicação agendada, é possível ajustar o horário de publicação que aparece na superfície. No entanto, só agendar publicações não faz a correlação de timing desaparecer.
Horário de criação do rascunho, horário de configuração do agendamento, horário de login e horário de upload de arquivos podem permanecer separadamente. Para alguém que consegue ver logs do lado do serviço ou logs internos de uma organização, não apenas o horário de publicação, mas também o horário de trabalho vira problema.
| Horário que pode ficar visível | Ponto de atenção |
|---|---|
| Horário de criação do rascunho | O horário real de trabalho permanece |
| Horário de configuração do agendamento | Liga-se ao comportamento de login |
| Horário de publicação | Visível para leitores e pessoas externas |
| Horário de upload de imagem | O horário de processamento do arquivo permanece |
| Histórico de edição | Ficam conhecidas as faixas de horário em que houve várias correções |
Publicações agendadas podem ser eficazes em alguns casos. No entanto, são um meio de mudar apenas o horário visível de fora, não de apagar todas as informações de tempo.
Pistas de tempo a verificar antes de publicar
Antes de publicar ou antes de uma atividade anônima, verifique pistas relacionadas ao tempo.
| O que verificar | Motivo |
|---|---|
| Horário previsto de publicação | Ver se não se sobrepõe ao ritmo de vida ou à participação em eventos |
| Horário de atividade da conta de nome real | Ver se não se sobrepõe ao lado anônimo |
| Datas e horas de criação e atualização de arquivos | Ver se não se ligam ao horário de trabalho ou a movimentos internos da organização |
| Acessos e histórico de login | Ver se ações imediatamente antes e depois não permaneceram |
| Padrão de publicação de longo prazo | Ver se a atividade não ocorre apenas na mesma faixa de horário |
O tempo permanece em mais lugares do que a própria pessoa imagina. Não basta olhar apenas o horário exibido na tela de publicação.
Resumo
Correlação de timing é a ideia de ligar atividades separadas à mesma pessoa ou ao mesmo acontecimento por coincidências de horário ou ritmos de comportamento.
Horário de publicação, horário de acesso, histórico de login, horário de conexão VPN, data e hora de atualização de arquivo, histórico da nuvem e informações semelhantes viram pistas.
No anonimato, importa não apenas o que foi escrito, mas também quando a ação foi feita. Em especial, é preciso cuidado quando os horários de atividade do lado de nome real e do lado anônimo se sobrepõem, ou quando se publica conteúdo detalhado logo após um evento.
O tempo vira um eixo que conecta vários logs. Ao pensar em anonimato, é necessário verificar não apenas conteúdo, lugar e contas, mas também a correlação de timing.
Ferramentas relacionadas
ExifTool
Recurso externo relacionado a este artigo. Abra apenas se fizer sentido para sua situação e seu modelo de ameaça.
Por que aparece aqui: Pode ajudar com o tema do artigo, mas fica fora do Anonymity Sense e deve ser avaliado antes do uso.
URL : https://exiftool.org/