Что такое корреляция технической информации
В анонимности важны не только содержание публикации и стиль письма, но и техническая информация, возникающая при связи и работе устройства.
IP-адрес. DNS-запросы. . Информация браузера. WebRTC. История входов. Идентификаторы устройства и приложений.
Это не информация, которую пользователь написал напрямую. Но она становится признаком, указывающим на того же человека или ту же среду.
В этой статье разобрано, как корреляция технической информации связана с анонимностью.
Что такое корреляция технической информации
Корреляция технической информации — это сопоставление сведений, выходящих из связи и устройства, чтобы предположить, что речь идет о том же пользователе или той же среде.
Например, даже если изменить IP-адрес с помощью , при отправке того же Cookie браузер будет восприниматься как тот же самый. Даже если удалить Cookie, при похожем цифровом отпечатке браузера остается признак той же среды. Даже если изменить маршрут связи, вход в тот же аккаунт с настоящим именем связывает действие с человеком.
В анонимности недостаточно смотреть только на один вид технической информации. Нужно смотреть на сочетания.
| Информация | Что показывает | На что обратить внимание |
|---|---|---|
| IP-адрес | Сеть источника подключения | VPN или меняют видимость, но другая информация остается |
| DNS-запросы | Запрошенные домены | Могут утекать отдельно от маршрута связи |
| Cookie | Тот же браузер | Повторный визит виден даже при смене IP |
| User-Agent | Браузер и ОС | Становится характеристикой среды использования |
| WebRTC | Маршрут связи или локальная информация | В зависимости от настроек может стать причиной утечки |
| История входов | Использование аккаунта | Сильно связывает с человеком |
Нельзя судить только по IP
IP-адрес важен. Сайт назначения обычно видит IP-адрес, с которого пришел доступ.
Но анонимность не определяется одним IP-адресом.
Если использовать VPN, IP, видимый сайту назначения, меняется на IP VPN-сервера. Если использовать Tor, сайт назначения видит IP выходного узла Tor.
Тем не менее, если остаются Cookie, состояние входа, информация браузера и содержание публикации, они коррелируются.
В статье «Скрыть IP недостаточно для анонимности» этот пункт рассматривается подробнее.
Утечки DNS и WebRTC
Даже если маршрут связи изменен, DNS-запросы или WebRTC могут выводить информацию по другому маршруту.
DNS — это механизм, который преобразует доменное имя в IP-адрес. Даже если кажется, что используется VPN, если только DNS-запросы уходят к обычному ISP, становится видно, какой домен вы пытались открыть.
WebRTC — это механизм для связи в реальном времени в браузере. В зависимости от настроек и среды он может стать причиной показа непредусмотренной сетевой информации.
| Тип | Что происходит | Что проверить |
|---|---|---|
| Утечка DNS | Запросы доменов уходят по непредусмотренному маршруту | Настройки DNS в VPN и браузере |
| Утечка WebRTC | Видны маршрут связи или сведения со стороны устройства | Настройки браузера, расширения, тесты |
| Возврат на обычное соединение | При отключении VPN связь идет через исходную линию | Kill switch, состояние подключения |
| Утечки по отдельным приложениям | Только часть приложений выходит за пределы VPN | Защищено ли все устройство или только отдельное приложение |
Утечки DNS и WebRTC подробно рассматриваются в отдельных статьях.
Браузер и устройство тоже становятся признаками
Техническая информация — это не только сеть. Характеристики браузера и устройства также используются для корреляции.
User-Agent, размер экрана, язык, часовой пояс, шрифты, Canvas, WebGL, расширения и другие сведения становятся материалом для цифрового отпечатка браузера.
Если продолжать использовать то же устройство, тот же браузер и те же расширения, признаки той же среды остаются даже при смене маршрута связи.
Если вы думаете об анонимности, нужно разделять браузер для настоящего имени и браузер для анонимной активности. В высокорисковых ситуациях рассматривают также разделение на уровне устройства или ОС.
При разделении браузеров нужно отделять не только видимые закладки, но и внутреннее состояние.
Cookie, , расширения, сохраненные пароли, разрешения на уведомления и аккаунты, в которые выполнен вход, тем сильнее смешиваются, чем больше используется один и тот же браузер. Даже если один раз открыть сервис с настоящим именем в браузере для анонимной активности, в эту среду попадет информация со стороны настоящего имени.
| Информация внутри браузера | Причина корреляции |
|---|---|
| Cookie | Видны повторные визиты из того же браузера |
| localStorage | Остаются идентификационные сведения по сайтам |
| Расширения | Становятся характеристикой среды |
| Сохраненные входы | Связываются с аккаунтом под настоящим именем |
| Разрешения на уведомления | Иногда показывают сайты обычного использования |
Вход в аккаунт — самая сильная корреляция
Среди технической информации состояние входа — особенно сильный признак.
В момент входа в аккаунт с настоящим именем действие связывается с этим аккаунтом. Даже при использовании VPN или Tor аккаунт, в который выполнен вход, указывает на человека.
Почта, соцсети, облако, интернет-магазины, платежные сервисы. У них есть сведения о человеке и история действий.
Если смешивать анонимную активность и входы под настоящим именем в одной среде, анонимность сильно ослабляется.
Техническая информация смешивается в процессе работы
Корреляция технической информации возникает не только из-за ошибок в настройках, но и в ходе обычного использования.
- Смотреть почту с настоящим именем в браузере для анонимной активности
- Создавать анонимный аккаунт на устройстве для настоящего имени
- Публиковать анонимно при выключенном VPN
- Сохранять файлы для анонимной активности в том же облаке
- Использовать одни и те же расширения для анонимной активности и для настоящего имени
- Регистрировать одну и ту же резервную почту
Все это становится причиной корреляции.
В анонимности технические настройки и правила работы нужно рассматривать вместе, не разделяя их.
Проверять нужно снаружи
При проверке технической информации важно не доверять только собственному экрану настроек.
Даже если приложение VPN показывает, что подключение активно, DNS может уходить по другому маршруту. Даже если кажется, что настройки браузера изменены, другое приложение может связываться через обычное соединение.
| Где проверять | Что смотреть |
|---|---|
| IP, видимый сайту назначения | Идет ли подключение через задуманный VPN или Tor |
| DNS | Уходят ли запросы по задуманному маршруту |
| Браузер | Не смешались ли Cookie и состояние входа |
| Приложения | Не утекает ли связь за пределами браузера |
| Файлы | Не остались ли метаданные или облачная история |
Корреляцию технической информации нельзя предотвратить одним пунктом настройки. Нужно проверять связь, браузер, устройство и аккаунты вместе.
Разделять низкий и высокий риск
Сила мер против технической информации зависит от ситуации.
Для повседневной защиты приватности начинают с разделения браузеров, управления Cookie и недопущения смешения входов под настоящим именем. Для высокорисковой анонимной активности нужно разделять также устройство, ОС, маршрут связи, файлы и время работы.
Не всем людям нужны меры одинаковой силы. Но на любом уровне важно не останавливаться на «только IP», «только VPN» или «только настройки браузера».
Итоги
Корреляция технической информации — это сопоставление сведений, выходящих из связи и устройства, чтобы предположить, что речь идет о том же пользователе или той же среде.
Материалом становятся IP-адрес, DNS, Cookie, User-Agent, WebRTC, история входов, сведения об устройстве, настройки браузера и другие данные.
VPN и Tor важны, но сами по себе они не устраняют корреляцию технической информации. Нужно проверять Cookie, состояние входа, цифровой отпечаток браузера, утечки DNS, утечки WebRTC и маршруты связи отдельных приложений.
Чтобы защищать анонимность, важно смотреть на сеть, браузер, устройство и аккаунты раздельно.
Связанные инструменты
BrowserLeaks WebRTC
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
BrowserLeaks Fingerprint
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
EFF Cover Your Tracks
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
Tails
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
URL : https://tails.net/
Whonix
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
URL : https://www.whonix.org/
Qubes OS
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.