事件与日志的时序关联
匿名性并不只是因为写了什么而被破坏。
什么时候发布。 什么时候访问。 什么时候回复。 只在哪些时间段活动。
这些时间信息,也会形成像是同一个人的迹象。
时序关联,是指从事件、帖子、访问日志、文件创建时间、通信记录等时间上的一致,把看起来分开的活动连接起来的思路。
本文整理多个记录在同一时间轴上被比对的风险,包括事件刚发生后的发帖、访问日志、 连接时间、文件创建和更新时间等。
日常发帖时间和生活节奏的偏向,会在“发帖时间与生活节奏的关联”中讨论。
时间上的接近会成为线索
时序关联,是指因为多个行为在时间上接近,而推测它们与同一个人或同一项活动有关。
例如,实名账号每天 23 点左右活动。 匿名账号也每天 23 点过后发帖。 它们以同样的顺序回应同一个话题。
仅凭这些不能断定就是本人。 但是,与其他信息组合后,就会成为关联分析的材料。
| 时间线索 | 可能推测出的内容 |
|---|---|
| 每次发帖时间相同 | 生活节奏或活动时间 |
| 实名侧与匿名侧的活动时间接近 | 像是同一个人 |
| 事件刚发生后发帖 | 可能当时在场 |
| 只在工作时间外发帖 | 职业或生活模式 |
| 只在深夜回复 | 地区或生活节奏 |
时间是容易与其他日志比对的信息。 所以不应该轻视它。
发帖时间会暴露生活节奏
发帖时间会显现一个人的生活节奏。
早晨通勤时间。 午休。 下班后。 深夜。 只在休息日发布长文。
这些单独看起来都是常见行为。 但是,长期持续下去就会成为模式。
匿名账号每天都在同一时间段活动时,生活节奏会变得可见。 如果与实名账号或过去账号的活动时间重叠,像是同一个人的迹象会更强。
在匿名性中,不仅要确认内容,也要确认发帖的时间段。
事件刚发生后的发帖会与地点连接
时间也会与地点连接。
如果在某场游行、集会、会议、公司内部事件、学校活动、地区活动刚结束后发布详细内容,候选范围会缩小到当时在场的人。
例如,假设在会议结束后马上匿名发布尚未公开的会议内容。 不仅内容本身,发帖时间也会成为线索。
“这个时间知道这件事的人是谁” “这个时间能够发到网上的人是谁” “这个地点周边可移动范围内的人是谁”
这种缩小范围会发生。
事件刚发生后的发帖中,细节也会成为问题。
如果写出不在现场就不会知道的顺序、发言、座位、移动路径、内部混乱,就会被视为参加者或相关人员。 发帖时间越早,候选范围越会缩小到“那一刻已经知道的人”。
| 发帖内容 | 可能推测出的内容 |
|---|---|
| 结束后马上发布详细感想 | 可能是参加者 |
| 公开前的内部信息 | 可能是相关人员或内部人员 |
| 移动中的发帖 | 当前位置或回家路线 |
| 现场照片和时间 | 拍摄地点和行动时间 |
在高风险发布中,不仅要延后发帖,还要减少能看出自己在现场的细节。
也会与通信日志比对
时序关联并不只是公开发帖的问题。
通信日志、访问日志、VPN 连接时间、 连接时间、登录历史、云端编辑历史、文件更新时间等,也都是时间信息。
| 日志 | 留下的时间信息 | 注意点 |
|---|---|---|
| Web 访问日志 | 访问时间 | 会与发帖时间比对 |
| 登录历史 | 登录成功和失败的时间 | 会成为账号使用证据 |
| VPN 连接日志 | 连接开始和结束时间 | 会成为通信时间段的线索 |
| 文件更新时间 | 创建、编辑、保存时间 | 会与操作者的活动时间连接 |
| 云端历史 | 上传和共享时间 | 会留下与实名账号的关系 |
时间会成为连接不同种类记录的轴。
即使内容被加密,什么时候通信过这一事实也可能留下。 这一点也会在通信日志的文章中讨论。
仅仅错开时间段并不够
只是稍微错开发帖时间,并不等于安全。
即使每次延后 30 分钟发帖,只要同样的节奏还在,模式就会留下。 只在深夜发帖、只在休息日写长文、只在特定新闻刚出现后回应,这些习惯也会留下。
在匿名性中,比起单纯错开时间,更重要的是减少可被关联的行为。
特别是在高风险状况下,会考虑以下事项。
- 不让实名侧和匿名侧在同一时间段活动
- 不在事件刚发生后发布详细内容
- 发帖前后不使用实名账号搜索相关内容
- 也确认文件的创建时间和更新时间
- 不要把长期活动节奏固定得过于明显
时间对策中重要的不是机械地错开,而是不要增加关联的轴。
如果每次都以同样方式延后 1 小时,这种延后方式本身就会成为习惯。 即使只在深夜集中预约发帖,只要作业时间或回复时间相同,生活节奏仍会留下。
思考匿名性时,要分别查看公开时间、作业时间、登录时间、文件更新时间。 即使只调整表面可见的发帖时间,如果背后的日志集中在同一时间段,也会成为关联分析的材料。
也要注意预约发帖和草稿
使用预约发帖,可以调整表面可见的发帖时间。 但是,仅靠预约发帖,并不会让时序关联消失。
草稿创建时间、预约设置时间、登录时间、文件上传时间可能会另行留下。 对于能够查看服务侧日志或组织内部日志的对象来说,不只是公开时间,作业时间也会成为问题。
| 可能可见的时间 | 注意点 |
|---|---|
| 草稿创建时间 | 实际作业时间会留下 |
| 预约设置时间 | 会与登录行为连接 |
| 公开时间 | 读者和外部可见 |
| 图片上传时间 | 文件处理时间会留下 |
| 编辑历史 | 会知道多次修改的时间段 |
预约发帖在某些情况下有效。 但是,它只是改变外部可见时间的手段,并不会消除所有时间信息。
发布前要查看的时间线索
发布前或匿名活动前,要确认与时间有关的线索。
| 要确认的事 | 理由 |
|---|---|
| 预定发帖时间 | 查看是否与生活节奏或事件参加时间重叠 |
| 实名账号的活动时间 | 查看是否与匿名侧重叠 |
| 文件的创建和更新时间 | 查看是否与作业时间或组织内部动向连接 |
| 访问或登录历史 | 查看前后行为是否留下 |
| 长期发帖模式 | 查看是否只在同一时间段活动 |
时间会留在比本人以为更多的地方。 只看发帖画面显示的时间是不够的。
总结
时序关联,是指通过时间一致或行为节奏,把分开的活动连接到同一个人或同一事件上的思路。
发帖时间、访问时间、登录历史、VPN 连接时间、文件更新时间、云端历史等都会成为线索。
在匿名性中,重要的不只是写了什么,也包括什么时候行动。 特别是实名侧与匿名侧的活动时间重叠,或在事件刚发生后发布详细内容时,需要注意。
时间会成为连接多个日志的轴。 思考匿名性时,不仅要确认内容、地点、账号,也需要确认时间上的关联。
相关工具
ExifTool
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://exiftool.org/