Почему анонимность нельзя гарантировать
Когда вы изучаете анонимность, неизбежно хочется найти ответ вида "если сделать это, будет безопасно".
Безопасно ли использовать . Достаточно ли использовать . Если удалить , перестанут ли отслеживать. Если удалить метаданные, будет ли скрыта личность.
Ответ: по отдельности ничего из этого недостаточно.
Анонимность невозможно гарантировать одной настройкой. Она определяется сочетанием связи, устройства, браузера, аккаунта, содержания публикации, времени, прошлой информации и возможностей противника.
В этой статье разбирается, почему анонимность нельзя полностью гарантировать.
Анонимность определяется не состоянием, а отношениями
Анонимность — это не состояние, которое завершается после входа в "анонимный режим".
От кого вы хотите скрыться. Что вы хотите скрыть. Как долго это нужно защищать. Насколько сильными возможностями расследования обладает противник.
От этого меняются необходимые меры.
| Аспект | Пример | Влияние на анонимность |
|---|---|---|
| Противник | обычный пользователь, оператор сайта, работа, государственный орган | необходимые меры меняются в зависимости от возможностей противника |
| Что защищается | IP, личность, место, источник, семья | признаки, которые нужно смотреть, меняются в зависимости от скрываемой информации |
| Период | одна публикация, несколько месяцев активности, долгосрочное ведение | чем дольше, тем больше ошибок и корреляции |
| Область действий | только просмотр, публикация, связь, обмен файлами | чем больше действий, тем больше признаков |
Анонимность определяется не только технологией, но и ситуацией. Поэтому невозможно создать "полностью безопасную процедуру", общую для всех людей.
Инструменты защищают только часть
У каждого инструмента анонимности есть своя область защиты.
VPN меняет IP-адрес, видимый сайту назначения. Tor затрудняет прямое связывание источника и назначения. Инструменты удаления метаданных уменьшают сведения о создании, оставшиеся в файле. Разделение браузеров уменьшает смешение Cookie и состояния входа.
Однако ни один инструмент не защищает все.
| Инструмент или мера | Что легче защищать | Что остается |
|---|---|---|
| VPN | домашний IP, видимый сайту назначения | доверие к VPN-провайдеру, Cookie, состояние входа |
| Tor | прямую связь источника и назначения | вход под настоящим именем, содержание публикации, связь вне Tor |
| Удаление метаданных | сведения о создании внутри файла | фон изображения, текст, имя файла |
| Разделение браузеров | смешение Cookie и истории | стиль письма, время публикации, корреляция содержания |
| Шифрование | подглядывание за содержанием связи | сервер назначения, объем трафика, timing |
Инструменты важны. Но инструменты поддерживают только часть анонимности.
Корреляция возникает позже
Одна из причин сложности анонимности в том, что корреляция возникает позже.
Информация, которая не выглядела проблемой в момент публикации, через полгода может связаться с другой публикацией или другой утечкой.
Например, вы написали историю о старом месте работы в анонимном аккаунте. В тот момент может быть непонятно, о ком идет речь.
Но если позже найдутся блог под настоящим именем с тем же стилем письма, публикации в соцсетях за тот же период, то же изображение или та же профессиональная область, круг кандидатов сузится.
Анонимность нельзя оценивать только в моменте. Нужно думать и о прошлой информации, и о будущей информации.
То, что корреляция возникает позже, означает опасность суждения "сейчас никто не смотрит, значит все в порядке".
Сегодняшняя публикация может связаться с будущим профилем, утекшими данными, результатами поиска, другим аккаунтом, фотографией, новостью или открытым документом. Однажды опубликованная информация сочетается с будущей информацией.
| Информация, раскрытая сейчас | То, с чем она связывается позже |
|---|---|
| История о работе | профиль после смены работы или прошлый опыт |
| Фотография региона | последующая публикация о привычных местах |
| Характерный стиль письма | блог под настоящим именем или статья под другим именем |
| Время публикации | история входов или журналы связи |
| Часть информации файла | оригинал или внутренние материалы, появившиеся позже |
Человеческие ошибки нельзя свести к нулю
Анонимность ломают не только технические слабости.
Человеческие ошибки тоже являются большой причиной.
- войти в аккаунт под настоящим именем из браузера для анонимного использования
- зарегистрироваться с адресом электронной почты для настоящего имени
- повторно использовать одно и то же изображение
- поспешить с публикацией и забыть проверку метаданных
- искать информацию об анонимной деятельности из аккаунта под настоящим именем
- раскрыть привычные места в ответе
При долгосрочном ведении одна ошибка становится сильным признаком.
Это еще одна причина, по которой анонимность нельзя гарантировать. Люди устают. Спешат. Привыкают. И когда привыкают, начинают пропускать проверки.
Возможности противника меняются
Анонимность зависит и от возможностей противника.
То, что не видно обычному читателю, может быть видно оператору сайта по журналам. То, что не видно оператору сайта, может быть видно оператору связи по записям подключения. Расследование, трудное для частного лица, организация или государство может сопоставить с другими данными.
| Противник | Что видно | На что обратить внимание |
|---|---|---|
| Обычный читатель | содержание публикации, изображение, стиль письма, открытый профиль | сужает кандидатов по содержанию |
| Оператор сайта | IP, Cookie, данные входа, журналы доступа | связывает техническую информацию и аккаунт |
| Оператор связи | IP назначения, время связи, объем трафика | имеет метаданные, отдельные от содержимого связи |
| Работа или школа | устройство, сеть, время использования, внутренняя информация | может сопоставлять с внутренними записями |
| Сильный противник | сопоставление нескольких наборов данных | нацелен на долгосрочную корреляцию |
Когда вы думаете об анонимности, сначала нужно решить, перед кем вы хотите оставаться анонимным.
Думать не о гарантии, а о снижении риска
Анонимность нужно рассматривать не как гарантию, а как снижение риска.
Не полностью исчезать из видимости, а уменьшать признаки, по которым возможна корреляция. Разделять среду так, чтобы одна ошибка не разрушала все. Проверять перед высокорисковыми действиями. Не использовать инструменты, которые не соответствуют вашей модели угроз.
Такой подход реалистичнее.
| Подход | Проблема | Реалистичный подход |
|---|---|---|
| Гарантировать полную анонимность | рушится при нарушении предпосылок | снижать риск поэтапно |
| Успокаиваться из-за названия инструмента | неправильно понимается область защиты | смотреть, кому что видно |
| Один раз настроить и закончить | в долгосрочном ведении появляются ошибки | регулярно пересматривать |
| Смотреть только на отдельную информацию | корреляция пропускается | рассматривать несколько признаков вместе |
Анонимность — не идеальная стена. Это дизайн, который уменьшает признаки, затрудняет связывание и делает область ошибки меньше.
При таком подходе легче определить приоритеты мер.
Сначала уменьшить самые сильные идентификаторы. Затем уменьшить смешение аккаунтов и браузеров. После этого проверить содержание публикации, время, файлы и прошлую информацию.
Вместо поиска гарантии реалистичнее уменьшать признаки один за другим.
Итоги
Анонимность нельзя полностью гарантировать.
Причина в том, что анонимность меняется в зависимости от ситуации, противника, действий, периода, технологии и того, как все это используется на практике.
VPN, Tor, удаление метаданных, разделение браузеров и шифрование важны. Однако у каждого из них своя область защиты. Cookie, состояние входа, содержание публикации, стиль письма, время, прошлая информация и маршрут передачи остаются отдельными проблемами.
Кроме того, корреляция возникает позже. Информация, которая сегодня выглядит маленькой, может связаться с будущей информацией.
Анонимность нужно рассматривать не как "гарантию", а как "снижение риска". Важно решить, от кого и что вы хотите защитить, уменьшать признаки, разделять среды и продолжать проверки.