Пять типов корреляции, которые ломают анонимность
Корреляционные модели, которые ломают анонимность
Когда анонимность ломается, не всегда один-единственный фрагмент информации позволяет узнать человека.
Во многих случаях несколько небольших фрагментов информации собираются вместе, усиливают признаки того, что это один и тот же человек, и сужают круг кандидатов.
Такое связывание информации, которая кажется отдельной, называется корреляцией.
Чтобы защищать анонимность, нужно смотреть не только на то, что скрывать, но и на то, что с чем связывается.
В этой статье разобраны типичные корреляционные модели, которые часто ломают анонимность.
Что такое корреляция
Корреляция означает, что отдельная информация связывается с одним и тем же человеком, устройством, аккаунтом или действием.
Например, следующая информация сама по себе может быть слабой.
- То же время публикации
- Та же тема
- Тот же стиль письма
- То же изображение
- Тот же IP-адрес
- Та же браузерная среда
- То же имя пользователя
Однако когда несколько признаков совпадают, впечатление, что они относятся к одному человеку, становится сильнее.
Расследования, которые ломают анонимность, могут опираться не на одно решающее доказательство, а на накопление нескольких слабых зацепок.
1. Сетевая корреляция
Сетевая корреляция означает, что действия связываются через IP-адреса, DNS, время соединения, объем трафика и похожие данные.
Например, если конкретный IP-адрес обращался к сервису прямо перед публикацией анонимного аккаунта, и этот IP-адрес также использовался для другой активности с реальным именем, это может стать зацепкой.
DNS-запросы и журналы связи также могут сопоставляться по времени.
| Зацепка | Возможная связь |
|---|---|
| IP-адрес | Активность с той же линии или из той же сети |
| DNS-запрос | К какому домену кто-то пытался подключиться |
| Время связи | Сопоставление с временем публикаций или операций |
| Объем трафика | Поведенческие модели, например публикация видео или отправка файлов |
| Использование или | Характеристики маршрута связи |
Чтобы уменьшить сетевую корреляцию, нужно думать не только о маршруте связи, но и о состоянии входа в аккаунты и времени публикации вместе.
2. Корреляция аккаунтов
Корреляция аккаунтов означает, что несколько аккаунтов предполагаются принадлежащими одному человеку.
То же имя пользователя, похожий ник, тот же текст профиля, та же иконка, та же связанная ссылка, повторное использование того же адреса электронной почты — все это может быть зацепками, связывающими аккаунты.
Кроме того, если в одном и том же сервисе переключаться между аккаунтом с реальным именем и анонимным аккаунтом, история входов, cookies, сведения об устройстве, время операций и похожие данные могут связываться внутри сервиса.
| Зацепка | Пример |
|---|---|
| Имя пользователя | То же имя, что у старого аккаунта, или лишь немного измененное имя |
| Иконка | То же изображение или обработанная версия того же изображения |
| Профиль | Те же интересы, тот же текст описания, те же ссылки |
| Контактные данные | Тот же e-mail, номер телефона или способ восстановления |
| Среда входа | То же устройство, тот же браузер, те же cookies |
При разделении аккаунтов нужно разделять не только имена, но и контактные данные, изображения, устройства, браузеры и содержание публикаций.
3. Корреляция стиля письма и содержания
Стиль письма и содержание публикаций тоже становятся материалом для корреляции.
Письменные привычки, пунктуация, окончания, выражения, технические термины и выбор тем имеют тенденцию отличаться от человека к человеку. Конкретные истории и внутренние обстоятельства также могут быть сильными зацепками, сужающими круг людей или принадлежность к организации.
Например, если аккаунт с реальным именем и анонимный аккаунт используют ту же область экспертизы, те же утверждения и те же выражения, впечатление, что они принадлежат одному человеку, усиливается.
В эпоху ИИ сравнивать стиль письма и содержание стало легче, чем раньше. Поэтому текст является важным фактором для анонимности.
4. Временная корреляция
Временная корреляция означает, что время публикации, время доступа, время ответа, активные часы и похожая информация связываются между собой.
Например, если анонимный аккаунт активен каждый день в один и тот же временной промежуток, и этот промежуток совпадает с ритмом жизни или рабочими часами человека, это становится зацепкой.
Публикации сразу после события, публикации в дороге, публикации только во время перерывов на работе также могут сужать круг кандидатов в зависимости от ситуации.
| Временная информация | Примечания |
|---|---|
| Время публикации | Может быть виден ритм жизни или часовой пояс |
| Время доступа | Может сопоставляться с серверными журналами или журналами связи |
| Скорость ответа | Могут быть видны часы бодрствования и привычки использования |
| Публикация сразу после события | Может сузить круг до людей, бывших на месте или связанных с событием |
| Долгосрочный цикл | Может быть видна связь с буднями, выходными или рабочим временем |
Временная информация — это ось, которую легко сопоставлять с другими журналами.
5. Корреляция изображений и файлов
Изображения и файлы тоже становятся материалом для корреляции.
Если одно и то же изображение используется в нескольких аккаунтах, оно может связаться через поиск по изображениям. Фон фотографии, вывески, форма, отражения, здания, документы и изображение на экране также могут раскрыть место или принадлежность.
Файлы могут содержать метаданные. PDF- и Office-файлы могут сохранять имена авторов, названия компаний, историю редактирования, программу создания и похожие данные.
Для изображений и файлов нужно проверять и внешний вид, и метаданные.
6. Корреляция с прошлой информацией
Прошлая информация тоже влияет на текущую анонимность.
Старые блоги, старые аккаунты в социальных сетях, прошлые профили, изображения, имена пользователей и опубликованные адреса электронной почты могут связаться с текущей анонимной активностью.
Повторно использовать имя, использованное в прошлом. Переработать и использовать старое изображение. Писать на ту же тему или о том же опыте в другом аккаунте.
Такие действия становятся зацепками, связывающими прошлое и настоящее.
Когда вы думаете об анонимности, нужно проверять не только текущую публикацию, но и прошлую информацию, которую можно найти через поиск.
Корреляция усиливается в сочетаниях
Важно не судить по одной зацепке.
Один IP-адрес может не доказывать. Один стиль письма может не доказывать. Одно время публикации может не доказывать.
Но когда они совпадают одновременно, круг кандидатов сужается.
| Сочетание | Что происходит |
|---|---|
| IP-адрес + | Даже если сеть меняется, браузер считается тем же |
| Время публикации + ритм жизни | Совпадает с поведенческим шаблоном человека |
| Стиль письма + область экспертизы | Похоже на тексты со стороны реального имени |
| Изображение + прошлый аккаунт | Связывается через поиск по изображениям |
| Состояние входа + просмотренная URL | Поведение привязывается к аккаунту |
Чтобы защищать анонимность, слабые зацепки нужно уменьшать одну за другой.
Основы снижения корреляции
Чтобы снизить корреляцию, важно не смешивать сторону реального имени и анонимную сторону.
- Разделяйте аккаунты
- Разделяйте браузеры
- Не смешивайте cookies
- Пересматривайте содержание публикаций
- Проверяйте изображения и файлы
- Не делайте время публикаций слишком фиксированным
- Не используйте те же имена или изображения, что и в прошлых аккаунтах
- Не ищите информацию для анонимной активности в среде реального имени
Однако полностью свести корреляцию к нулю нелегко. Нужно решать, какие зацепки уменьшать первыми, исходя из цели и риска.
Снижать по приоритетам
Зацепок для корреляции много, и если относиться ко всем с одинаковым весом, можно перестать действовать.
Начинайте с уменьшения самых сильных. Входы с реальным именем, те же cookies, то же имя пользователя, то же изображение, точные названия мест или время, сведения об авторе файла — это зацепки, которые нужно проверять первыми.
| Приоритет | Что проверять | Причина |
|---|---|---|
| Высокий | Вход с реальным именем, cookies, контактные данные | Напрямую связывает с аккаунтом |
| Высокий | Изображения, файлы, метаданные | Может проявиться человек, место или среда создания |
| Средний | Время публикации, зона повседневной жизни, сведения о работе | Может сопоставляться с другими журналами |
| Средний | Стиль письма, специальные термины, опыт | Со временем создает впечатление одного человека |
| Не низкий | Мелкие настройки и привычки | Слабы по отдельности, но накапливаются |
В практике анонимности важнее сначала разорвать сильные корреляции, чем свести слабые зацепки к нулю.
После этого при долгосрочном использовании регулярно пересматривайте стиль письма, время публикаций и тематические перекосы.
Итог
Корреляционные модели, которые ломают анонимность, — это случаи, когда несколько фрагментов информации связываются с одним и тем же человеком или одним и тем же действием.
Сеть, аккаунты, стиль письма, содержание, время, изображения, файлы и прошлая информация — все это может становиться материалом для корреляции.
Даже информация, слабая сама по себе, при сочетании с другой может усилить признаки того, что это один и тот же человек.
Чтобы защищать анонимность, нужно смотреть не только на "что скрывать", но и на "что с чем связывается".
Снижение корреляции — центральная идея при размышлении об анонимности.
Связанные инструменты
Wayback Machine
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
URL : https://web.archive.org/
OSINT Framework
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
ExifTool
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
URL : https://exiftool.org/