В анонимности важно не только то, что было отправлено, но и когда произошла связь.
Даже если содержание связи зашифровано, признаками становятся время подключения, объем связи, интервалы между подключениями, время публикации и время действий в реальном мире.
Например, если сразу после события на месте появляется анонимная публикация, а в тот же промежуток из определенной сети вышла связь, круг кандидатов сужается.
В этой статье разбирается, как время связи и паттерны поведения связаны с анонимностью.
Время связи создает контур поведения
Время связи — это момент или промежуток, когда происходила связь.
Web-доступ, публикации, входы, отправка файлов, сообщения, подключение к , подключение к , DNS-запросы — все это связано со временем.
Временная информация
Что видно
Осторожность для анонимности
Время начала подключения
Когда была связь
Сверяется с действиями в реальном мире
Объем связи
Сколько было отправлено или получено
Материал для предположения об отправке файла или просмотре видео
Интервалы подключений
Регулярные действия
Видны привычки или автоматическая обработка
Время публикации
Публичное действие
Совпадает со стороной настоящего имени или реальным событием
Время подключения к VPN
Использование анонимной среды
ISP видит время использования VPN
Временная информация сама по себе не указывает на человека.
Но она становится осью для сверки с другими журналами.
Даже при шифровании время остается
HTTPS и TLS важны для защиты содержания связи.
Но они не полностью убирают то, когда связь произошла, какой примерно объем был передан и к какому IP-адресу шло подключение.
Информация
Скрывается ли шифрованием
Описание
Текст страницы
Защищается на маршруте
Защищается HTTPS
Содержимое формы
Защищается на маршруте
Доходит до сервиса назначения
Время подключения
Не скрывается
Факт связи наблюдаем
Объем связи
Не скрывается
Видны тенденции объема данных
IP назначения
Не скрывается
Нужен для доставки пакетов
Шифрование и анонимизация — разные вещи.
Даже если содержание связи нельзя прочитать, факт и время связи остаются отдельными признаками.
Связывается с реальными действиями
Время связи связывается с реальными действиями.
Если связь происходит в тот же период, что поездка на работу, занятие, работа, совещание, событие, участие на месте, перемещение, ночевка, платеж или запись входа-выхода, круг кандидатов сужается.
Реальное действие
Корреляция со временем связи
Осторожность
Сразу после совещания
Выглядит так, будто анонимно опубликовал участник
Подождать
На месте события
Пребывание на месте совпадает с публикацией
Смотреть также местоположение и фотографии
Время поездки
Виден маршрут перемещения
Осторожно с публикациями в фиксированное время
После ночной смены
Видны форма работы и рабочая среда
Сочетается с профессиональной информацией
После школьного занятия
Сужает до учеников или преподавателей
Не раскрывать год и название занятия
При анонимной публикации публикация сразу после события является сильным признаком.
Чем больше в тексте ощущения присутствия на месте, тем сильнее связь со временем.
Совпадает со временем активности настоящего имени
Если время активности анонимного аккаунта совпадает со временем активности аккаунта настоящего имени, появляется сходство с одним человеком.
Опубликовать со стороны настоящего имени, а через несколько минут — с анонимной стороны. Написать длинный текст анонимно, а сразу после этого отреагировать на ту же тему со стороны настоящего имени. Каждый день двигать оба аккаунта в один и тот же перерыв.
Совпадающее действие
Что видно
Мера
Чередующиеся публикации
Выглядит как переключение одного человека
Разделять временные периоды
Одновременная реакция на одну тему
Совпадают интерес и время
Разделять и темы
Одинаковое время паузы
Совпадает ритм жизни
Проверять по долгой истории
Публикации после одного события
Выглядит как пребывание в одном месте
Держать дистанцию от события
Даже если аккаунты разделены, корреляция остается, если время поведения одинаковое.
Журналы связи и время публикации
В Web-сервисах, VPN, ISP, сетях работы и школы, роутерах и DNS-резолверах могут оставаться журналы связи.
Содержание журналов и сроки хранения зависят от среды, но время является важной осью во многих журналах.
Точка наблюдения
Какая временная информация может быть видна
Осторожность
Сервис назначения
Время публикации, входа, запроса
Связывается с аккаунтом
ISP
Время подключения к VPN или внешней связи
Содержание связи — отдельный вопрос
VPN-провайдер
Время подключения и сведения об использовании сервера
Проверять политику и управление журналами
Рабочая или школьная сеть
Время связи устройства
Осторожно с административными журналами
DNS-резолвер
Время запроса
Признак домена назначения
В анонимности думают не об одном журнале, а о том, что несколько журналов сверяются по времени.
Как снижать временную корреляцию
Полностью убрать временную корреляцию невозможно.
Но сильную корреляцию можно уменьшить.
Мера
Причина
Осторожность
Не публиковать сразу после события
Ослабляет сверку с реальным действием
Размывать и хронологию содержания
Не чередовать действия со стороной настоящего имени
Снижает корреляцию аккаунтов
Разделять и темы
Избегать публикаций в фиксированное время
Труднее показать ритм жизни
Отложенная публикация тоже не универсальна
При высоком риске думать о месте публикации
Избегать распространения в общий доступ
Осторожно выбирать и адресата консультации
Одного сдвига времени может быть недостаточно.
Если событие известно небольшому числу людей, кандидаты остаются даже при размытом времени. Тогда нужно заново думать о содержании, месте публикации и адресате консультации.
Ограничения отложенных публикаций и задержки
Отложенная публикация или публикация спустя время помогает ослабить временную корреляцию.
Но это не универсально. Остаются время создания, время сохранения черновика, время входа, время ответов после публикации и конкретность содержания.
Мера
Что ослабляет
Что остается
Отложенная публикация
Совпадение времени публикации с жизненным временем
Время создания и ответов
Пауза перед публикацией
Впечатление события сразу после него
Конкретность содержания
Изменение частоты публикаций
Фиксированный ритм
Долгосрочная тематическая корреляция
Задержка ответа
Онлайн-статус
Персональная информация в ответе
Меры по времени рассматривают вместе с мерами по содержанию.
Если подробно описать событие как есть, участники иногда поймут связь даже при сдвиге времени.
Особенно осторожно при высокорисковой активности на месте
При протестах, интервью, полевых расследованиях, подготовке сообщения о нарушениях и похожих ситуациях время связи легко связывается с реальными действиями.
Нужно проверять, не публикуется ли материал с места, нет ли реакции сразу после перемещения, проверены ли время съемки и фон фотографии, нет ли чередования со стороной настоящего имени.
При высокорисковой активности на месте иногда не стоит решать только по статье; также обращаются к надежным организациям поддержки или специалистам.
Итоги
Время связи и паттерны поведения — важные признаки, связанные с анонимностью.
Даже если содержание связи зашифровано, остаются время подключения, объем связи, интервалы подключений и время публикации.
Они могут связываться с реальными действиями, аккаунтами настоящего имени, подключением к VPN, журналами работы или школы и записями сервиса назначения.
Если публиковать анонимно, проверяют не только, что написано, но и когда была связь, когда была публикация и с какими действиями это совпадает.
Чтобы снизить временную корреляцию, важно не публиковать сразу после события, не чередовать действия со стороной настоящего имени и не спешить с реакциями после публикации.
Время тоже нужно считать частью публичной информации.
Связанные статьи
Сеть
Корреляция времени связи и паттернов поведения
Время подключения, объем связи, интервалы, время публикации и реальные действия становятся осью для сверки журналов и могут сужать круг кандидатов.