Временная корреляция событий и журналов
Анонимность нарушается не только из-за того, что именно вы написали.
Когда вы опубликовали пост. Когда открыли страницу. Когда ответили. Только в какие часы вы активны.
Такая информация о времени тоже создает ощущение, что действия принадлежат одному и тому же человеку.
Временная корреляция — это способ связывать активности, которые выглядят раздельными, по совпадению времени событий, публикаций, журналов доступа, времени создания файлов, записей о соединениях и других временных данных.
В этой статье разобраны риски, при которых несколько записей сопоставляются на одной временной шкале: публикации сразу после события, журналы доступа, время подключения к , время создания и изменения файлов.
Повседневное время публикаций и перекосы в ритме жизни рассматриваются в статье «Корреляция времени публикаций и ритма жизни».
Близость во времени становится признаком
Временная корреляция означает, что по близости нескольких действий во времени предполагают их связь с одним и тем же человеком или одной и той же активностью.
Например, аккаунт под настоящим именем каждый день активен около 23:00. Анонимный аккаунт тоже каждый день публикует посты чуть после 23:00. Они реагируют на одни и те же темы в одном и том же порядке.
Только по этому нельзя уверенно сказать, что это тот же человек. Но в сочетании с другой информацией это становится материалом для корреляции.
| Временной признак | Что можно предположить |
|---|---|
| Публикации каждый раз выходят в одно и то же время | Ритм жизни или часы активности |
| Время активности настоящего и анонимного аккаунтов близко | Похоже на одного и того же человека |
| Публикация выходит сразу после события | Человек мог быть на месте |
| Публикации выходят только вне рабочего времени | Профессия или бытовой режим |
| Ответы появляются только глубокой ночью | Регион или ритм жизни |
Время легко сопоставлять с другими журналами. Поэтому к нему нельзя относиться легкомысленно.
Время публикаций показывает ритм жизни
Во времени публикаций проявляется ритм жизни человека.
Утренний путь на работу. Обеденный перерыв. Время после работы. Глубокая ночь. Длинные посты только по выходным.
По отдельности это выглядит как обычное поведение. Но если оно повторяется долго, оно превращается в паттерн.
Если анонимный аккаунт каждый день активен в одни и те же часы, становится виден ритм жизни. Если он пересекается со временем активности аккаунта под настоящим именем или прошлых аккаунтов, сходство с одним человеком усиливается.
В анонимности проверяют не только содержание, но и время публикаций.
Публикации сразу после события связываются с местом
Время также связывается с местом.
Если сразу после демонстрации, собрания, совещания, внутреннего события в компании, школьного мероприятия или местного события опубликовать подробный пост, круг кандидатов сузится до людей, которые были на месте.
Например, предположим, что непубличное содержание совещания было анонимно опубликовано сразу после его окончания. Признаком становится не только содержание, но и само время публикации.
«Кто знал это в тот момент?» «Кто мог опубликовать это в интернете в тот момент?» «Кто находился в пределах перемещения от этого места?»
Так происходит сужение круга.
В публикациях сразу после события проблемой становится и уровень детализации.
Если написать порядок событий, реплики, места, маршрут перемещения или внутреннюю неразбериху, которые невозможно знать без присутствия на месте, вас будут рассматривать как участника или связанного человека. Чем раньше опубликован пост, тем сильнее круг кандидатов сужается до «тех, кто знал это на тот момент».
| Содержание публикации | Что можно предположить |
|---|---|
| Подробные впечатления сразу после окончания | Возможность, что автор был участником |
| Внутренняя информация до публикации | Возможность, что автор связан с событием или находится внутри |
| Публикация во время перемещения | Текущее место или маршрут домой |
| Фото с места и время | Место съемки и время действий |
В высокорисковых публикациях важно не только отложить пост, но и уменьшить детали, по которым видно присутствие на месте.
Это сопоставляют и с журналами связи
Временная корреляция касается не только публичных публикаций.
Журналы связи, журналы доступа, время подключения к VPN, время подключения к , история входов, история редактирования в облаке, время изменения файлов — все это тоже временная информация.
| Журнал | Какая временная информация остается | На что обратить внимание |
|---|---|---|
| Журналы веб-доступа | Время доступа | Сопоставляется со временем публикации |
| История входов | Время успешного и неуспешного входа | Может стать доказательством использования аккаунта |
| Журналы подключения к VPN | Время начала и завершения соединения | Становится признаком периода связи |
| Время изменения файла | Время создания, редактирования и сохранения | Связывается со временем активности автора |
| История облака | Время загрузки и общего доступа | Сохраняет связь с аккаунтом под настоящим именем |
Время становится осью, которая связывает разные виды записей.
Даже если содержание зашифровано, факт того, когда была связь, может сохраниться. Этот момент также рассматривается в статье о журналах связи.
Простого сдвига времени недостаточно
Нельзя считать, что публикация становится безопасной, если просто немного сдвинуть время.
Даже если каждый раз публиковать на 30 минут позже, при сохранении одного ритма останется паттерн. Остаются и привычки: публиковать только ночью, писать длинные тексты только по выходным, реагировать только сразу после появления определенных новостей.
В анонимности важнее уменьшать коррелируемые действия, чем просто механически сдвигать время.
В особенно высокорисковых ситуациях учитывают следующие моменты.
- Не вести аккаунт под настоящим именем и анонимный аккаунт в одни и те же часы
- Не публиковать подробности сразу после события
- Не искать связанные темы в аккаунте под настоящим именем до и после публикации
- Проверять время создания и изменения файлов
- Не фиксировать слишком жестко долгосрочный ритм активности
В мерах по времени важно не механическое смещение, а то, чтобы не добавлять новые оси корреляции.
Если каждый раз одинаково задерживать публикацию на час, сам способ задержки станет привычкой. Даже если ставить отложенные публикации пачкой только глубокой ночью, ритм жизни сохранится, если рабочее время и время ответов остаются одинаковыми.
При оценке анонимности нужно отдельно смотреть время публикации, время работы, время входа и время изменения файлов. Если привести в порядок только видимое время публикации, но внутренние журналы сосредоточены в те же часы, это все равно станет материалом для корреляции.
Отложенные публикации и черновики тоже требуют внимания
Отложенная публикация позволяет настроить время, которое видно снаружи. Но одна только отложенная публикация не устраняет временную корреляцию.
Время создания черновика, время настройки отложенной публикации, время входа и время загрузки файла могут сохраняться отдельно. Для сервисной стороны или тех, кто видит журналы внутри организации, проблемой становится не только время публикации, но и время работы.
| Время, которое может быть видно | На что обратить внимание |
|---|---|
| Время создания черновика | Остается фактическое время работы |
| Время настройки отложенной публикации | Связывается с поведением при входе |
| Время публикации | Видно читателям и извне |
| Время загрузки изображения | Остается время обработки файла |
| История правок | Видно, в какие периоды текст много раз исправляли |
Отложенная публикация может быть полезной. Но это способ изменить только время, видимое снаружи, а не стереть всю временную информацию.
Временные признаки перед публикацией
Перед публикацией или анонимной активностью нужно проверить временные признаки.
| Что проверить | Зачем |
|---|---|
| Запланированное время публикации | Проверить, не совпадает ли оно с ритмом жизни или участием в событии |
| Время активности аккаунта под настоящим именем | Проверить, не пересекается ли оно с анонимной стороной |
| Время создания и изменения файлов | Проверить, не связывается ли оно со временем работы или движением внутри организации |
| История доступа и входов | Проверить, не остались ли действия непосредственно до и после публикации |
| Долгосрочный паттерн публикаций | Проверить, не активен ли аккаунт только в одни и те же часы |
Время остается в большем числе мест, чем кажется самому человеку. Недостаточно смотреть только на время, показанное на экране публикации.
Итоги
Временная корреляция — это способ связывать раздельные активности с одним человеком или одним событием по совпадению времени и ритму поведения.
Признаками становятся время публикаций, время доступа, история входов, время подключения к VPN, время изменения файлов, история облака и другие данные.
Для анонимности важно не только то, что написано, но и то, когда было совершено действие. Особенно осторожность нужна, когда время активности настоящей и анонимной сторон пересекается или когда подробная публикация выходит сразу после события.
Время становится осью, которая соединяет несколько журналов. Когда вы думаете об анонимности, нужно проверять не только содержание, место и аккаунты, но и временную корреляцию.
Связанные инструменты
ExifTool
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
URL : https://exiftool.org/