Por que o anonimato não pode ser garantido
Ao aprender sobre anonimato, é natural querer encontrar uma resposta do tipo "se eu fizer isto, estarei seguro".
Usar é seguro? Usar é suficiente? Apagar s impede rastreamento? Remover metadados esconde a identidade?
A resposta é que nenhuma dessas coisas é suficiente isoladamente.
Anonimato não pode ser garantido por uma única configuração. Ele é determinado pela combinação entre comunicação, dispositivo, navegador, conta, conteúdo publicado, tempo, informações passadas e capacidade da outra parte.
Neste artigo, vamos organizar por que não é possível garantir completamente o anonimato.
Anonimato é determinado por relações, não por um estado
Anonimato não é um estado que fica completo ao "entrar no modo anônimo".
De quem você quer se esconder? O que você quer esconder? Por quanto tempo quer proteger? Que capacidade de investigação a outra parte tem?
As medidas necessárias mudam conforme essas respostas.
| Aspecto | Exemplo | Impacto sobre o anonimato |
|---|---|---|
| Outra parte | Usuário comum, operador de site, trabalho, órgão estatal | As medidas necessárias mudam conforme a capacidade de investigação da outra parte |
| Alvo de proteção | IP, identidade, lugar, fonte, família | As pistas a observar mudam conforme a informação a esconder |
| Período | Uma única publicação, alguns meses de atividade, operação de longo prazo | Quanto mais longo, mais erros e correlações aumentam |
| Escopo de ação | Apenas leitura, publicação, contato, compartilhamento de arquivos | Quanto mais ações, mais pistas também aumentam |
Anonimato é determinado não apenas pela tecnologia, mas pela situação. Por isso, não é possível criar um "procedimento de segurança completa" comum a todas as pessoas.
Ferramentas protegem apenas uma parte
Ferramentas de anonimato têm, cada uma, um escopo de proteção.
VPN muda o endereço IP visível ao destino. Tor dificulta ligar diretamente origem e destino da conexão. Ferramentas de remoção de metadados reduzem informações de criação que permanecem em arquivos. Separação de navegador reduz a mistura de Cookie e estado de login.
No entanto, nenhuma ferramenta protege tudo.
| Ferramenta ou medida | O que tende a proteger | O que permanece |
|---|---|---|
| VPN | IP de casa visível ao destino | Confiança no provedor de VPN, Cookie, estado de login |
| Tor | Ligação direta entre origem e destino | Login de nome real, conteúdo publicado, comunicação fora do Tor |
| Remoção de metadados | Informações de criação dentro do arquivo | Fundo da imagem, texto, nome do arquivo |
| Separação de navegador | Mistura de Cookie e histórico | Estilo de escrita, horário de publicação, correlação de conteúdo |
| Criptografia | Espionagem do conteúdo da comunicação | Servidor de destino, volume de tráfego, timing |
Ferramentas são importantes. No entanto, elas sustentam apenas uma parte do anonimato.
A correlação acontece depois
Um dos motivos pelos quais o anonimato é difícil é que a correlação acontece depois.
Informações que não pareciam problemáticas no momento da publicação podem se ligar, meio ano depois, a outra publicação ou outro vazamento.
Por exemplo, imagine que uma conta anônima escreveu sobre um antigo local de trabalho. Naquele momento, talvez não fosse possível saber de quem se tratava.
Mas, se mais tarde forem encontrados um blog de nome real com o mesmo estilo de escrita, uma publicação em rede social do mesmo período, a mesma imagem ou a mesma área de especialidade, os candidatos se estreitam.
Anonimato não pode ser julgado apenas naquele momento. É necessário pensar também em informações passadas e futuras.
O fato de a correlação acontecer depois significa que o julgamento "ninguém está vendo agora, então está tudo bem" é perigoso.
A publicação de hoje pode se ligar, no futuro, a perfis, dados vazados, resultados de busca, outra conta, fotos, notícias ou materiais públicos. Informações publicadas uma vez são combinadas com informações futuras.
| Informação divulgada agora | O que se liga depois |
|---|---|
| Relato sobre o trabalho | Perfil de novo emprego ou histórico passado |
| Foto regional | Publicação posterior sobre lugares de rotina |
| Estilo de escrita peculiar | Blog de nome real ou artigo sob outro nome |
| Horário de publicação | Histórico de login ou logs de comunicação |
| Parte de informação de um arquivo | Original ou material interno divulgado depois |
Não é possível zerar erros humanos
O que quebra o anonimato não são apenas fragilidades técnicas.
Erros humanos também são uma grande causa.
- Entrar em conta de nome real pelo navegador de uso anônimo
- Registrar-se com endereço de e-mail de nome real
- Reutilizar a mesma imagem
- Publicar com pressa e esquecer a verificação de metadados
- Pesquisar sobre a atividade anônima com uma conta de nome real
- Acabar revelando lugares de rotina em uma resposta
Em uma operação de longo prazo, um único erro vira uma pista grande.
Esse também é um motivo pelo qual não é possível garantir anonimato. Pessoas se cansam. Têm pressa. Acostumam-se. E, quando se acostumam, passam a pular verificações.
A capacidade da outra parte muda
Anonimato também depende da capacidade da outra parte.
Algo que uma pessoa leitora comum não consegue saber pode ser visto por um operador de site a partir de logs. Algo que um operador de site não consegue saber pode ser visto por uma operadora de comunicação a partir de registros de conexão. Uma investigação difícil para uma pessoa individual pode ser cruzada com outros dados por uma organização ou um Estado.
| Parte | O que pode ver | Ponto de atenção |
|---|---|---|
| Leitor comum | Conteúdo publicado, imagens, estilo de escrita, perfil público | Estreita candidatos pelo conteúdo |
| Operador de site | IP, Cookie, informações de login, logs de acesso | Liga informações técnicas à conta |
| Operadora de comunicação | IP de destino, horário de comunicação, volume de tráfego | Possui metadados separados do conteúdo da comunicação |
| Trabalho ou escola | Dispositivo, rede, horário de uso, informações internas | Consegue cruzar com registros internos da organização |
| Parte de alta capacidade | Cruzamento de múltiplos dados | Mira correlação de longo prazo |
Ao pensar em anonimato, é necessário decidir primeiro "contra quem você quer permanecer anônimo".
Pensar como redução de risco, não como garantia
Anonimato deve ser pensado como redução de risco, não como garantia.
Não tornar tudo completamente invisível, mas reduzir pistas que possam ser correlacionadas. Separar ambientes para que uma única falha não quebre tudo. Verificar antes de ações de alto risco. Não usar ferramentas que não combinam com seu modelo de ameaça.
Essa forma de pensar é mais realista.
| Forma de pensar | Problema | Forma realista de pensar |
|---|---|---|
| Garantir anonimato completo | Quando a premissa desmorona, tudo falha | Reduzir risco em etapas |
| Ficar tranquilo pelo nome da ferramenta | Entende errado o escopo de proteção | Ver quem consegue ver o quê |
| Configurar uma vez e terminar | Erros aparecem na operação de longo prazo | Revisar periodicamente |
| Olhar apenas uma informação isolada | Deixa passar correlação | Ver várias pistas em conjunto |
Anonimato não é uma parede perfeita. É um desenho para reduzir pistas, dificultar ligações e diminuir o alcance das falhas.
Com essa forma de pensar, também fica mais fácil decidir a prioridade das medidas.
Primeiro, reduzir os identificadores mais fortes. Em seguida, reduzir a mistura de contas e navegadores. Depois disso, verificar conteúdo publicado, tempo, arquivos e informações passadas.
É mais realista reduzir pistas uma por uma do que procurar uma garantia.
Resumo
Anonimato não é algo que possa ser completamente garantido.
O motivo é que o anonimato muda conforme situação, outra parte, comportamento, período, tecnologia e operação.
VPN, Tor, remoção de metadados, separação de navegador e criptografia são importantes. No entanto, cada uma protege um escopo diferente. Cookie, estado de login, conteúdo publicado, estilo de escrita, tempo, informações passadas e rota de compartilhamento permanecem como questões separadas.
Além disso, a correlação acontece depois. Informações que hoje parecem pequenas podem se ligar a informações futuras.
Anonimato precisa ser pensado como "redução de risco", não como "garantia". É importante decidir de quem e o que você quer proteger, reduzir pistas, separar ambientes e continuar verificando.