Su una linea temporale sufficientemente lunga con risorse sufficienti, le forze dell'ordine (attori statali) ti troveranno. La domanda è più economica: ne vale la pena. Per amor di discussione, diciamo che Bob ha creato un sito web. Contiene idee che sono impopolari con il governo in cui risiede. Grace, a capo dell'agenzia di intelligence dei paesi, decide di voler trovare Bob. Comincia a cercare cose ovvie: registrazioni di domini, ricerca di dati EXIF dalle foto pubblicate sul sito web di Bob, tra le altre informazioni.
Se tutto questo si rivelasse nulla, Grace configurerà l'indagine e inizierà a cercare le transazioni monetarie, controllando l'hardware di ispezione dei pacchetti gestito dallo stato e altre informazioni alla ricerca del traffico. Ha persino intimidito il suo provider di hosting per rinunciare ai record dell'indirizzo IP che l'ha acceduto.
Quindi, ora Grace ha (almeno) un elenco di indirizzi IP che hanno effettuato l'accesso al sito web tramite FTP, HTTP, HTTPS, ecc. e altri metadati sui visitatori del sito - almeno uno dei quali è l'autore a cui è interessata a.
Grace ora esegue questo contro un database di nemici noti dello stato e ottiene diversi colpi. Uno dei quali è un provider VPN che "si oscura" non mantenendo i log.
Non importa. Grace ha gli ISP in tasca perché è un membro di un governo che non prende i detrattori alla leggera. Invia una richiesta agli ISP del servizio VPN e diversi altri ISP per ottenere i metadati del traffico per l'analisi di quel traffico.
Scopre che ci sono un certo numero di persone che stavano inviando pacchetti nello stesso momento in cui la VPN stava anche inviando pacchetti al sito web di destinazione. Queste persone sono elencate come persone "di interesse".
Da qui, poiché il superiore di Grace si è interessato al caso, utilizzano una serie di attacchi mirati di spear phishing per ottenere malware su ciascuno dei computer del sospettato. Ora, i keylogger appenderanno l'editore.
Alla fine, Bob accede alla VPN e accede al sito web. Il malware ritorna a casa all'agenzia di intelligence e fa da contrappeso al computer di Bob.
Ore dopo, uomini con stivali neri abbattono la porta e afferrano il computer.
Questa è una versione eccessivamente semplificata di ciò che può accadere, ma illustra diversi punti:
-
Non c'è niente di simile a anonimo su Internet. Non è stato creato pensando all'anonimato.
-
Le forze dell'ordine hanno una serie di strumenti a loro disposizione. Alcuni sono banali da usare. Alcuni sono esplicitamente non banali. Ci sono economia dietro ognuno di questi. Il costo associato a un esercizio generale non banale sale in modo esponenziale, più le parti mobili sono necessarie. Fare analisi del traffico per scoprire "quando una raffica di traffico dalla VPN al sito di destinazione coincide con una raffica di traffico da un ISP ... e quale abbonato era" è di ordini di grandezza più costosi rispetto al controllo dei dati WHOIS e EXIF . Usare lo spear phishing a livello di stato è molto più complicato che ottenere gli indirizzi IP da un fornitore.
-
Con abbastanza tempo e risorse, Grace sempre ottiene Bob.
Quindi ecco la morale della storia: non puoi essere completamente anonimo, ma puoi essere molto costoso da catturare. Se stai utilizzando un sito Web in un Paese in cui la libertà di parola non esiste, ci sono diversi passaggi che puoi intraprendere per renderti più costoso, e VPN è solo uno di questi.