En una línea de tiempo suficientemente larga con recursos suficientes, los agentes de la ley (actores estatales) lo encontrarán. La cuestión es más económica: vale la pena. Por el bien de la discusión, digamos que Bob hizo un sitio web. Contiene ideas impopulares con el gobierno donde reside. Grace, la jefa de la agencia de inteligencia de ese país decide que quiere encontrar a Bob. Ella comienza por buscar cosas obvias: registros de dominio, buscando datos EXIF de fotos publicadas en el sitio web de Bob, entre otra información.
Si todo eso llega a ser nulo, Grace preparará la investigación y comenzará a buscar transacciones de dinero, verificando el hardware de inspección de paquetes administrado por el estado y otra información que busque el tráfico. Ella incluso intimida al proveedor de alojamiento para que entregue los registros de la dirección IP a la que accedió.
Entonces, ahora Grace tiene (al menos) una lista de direcciones IP que accedieron al sitio web a través de FTP, HTTP, HTTPS, etc. y otros metadatos sobre los visitantes del sitio, al menos uno de los cuales es el autor que le interesa. in.
Grace ahora ejecuta esto contra una base de datos de enemigos conocidos del estado y recibe varios golpes. Uno de los cuales es un proveedor de VPN que "se apaga" al no mantener registros.
No importa. Grace tiene los proveedores de Internet en su bolsillo porque es miembro de un gobierno que no toma a la ligera a los detractores. Ella emite una solicitud a los ISP del servicio VPN y a otros ISP para obtener metadatos de tráfico para el análisis de ese tráfico.
Ella descubre que hay varias personas que enviaban paquetes al mismo tiempo que la VPN también enviaba paquetes al sitio web de destino. Estas personas están en la lista corta como personas "de interés".
Desde aquí, debido a que la superior de Grace se ha interesado en el caso, utilizan una serie de ataques dirigidos de phishing para detectar malware en cada una de las computadoras del sospechoso. Ahora, los keyloggers colgarán al editor.
Eventualmente, Bob inicia sesión en la VPN y accede al sitio web. Los teléfonos maliciosos regresan a la agencia de inteligencia y señalan a la computadora de Bob como el principal sospechoso.
Horas más tarde, los hombres con botas negras rompen la puerta y se apoderan de la computadora.
Esta es una versión muy simplificada de lo que puede suceder, pero ilustra varios puntos:
-
No existe tal cosa como anónimo en Internet. No fue construido con el anonimato en mente.
-
Las agencias de cumplimiento de la ley tienen una serie de herramientas a su disposición. Algunos son triviales de usar. Algunos son explícitamente no triviales. Hay economía detrás de cada uno de estos. El costo asociado con un ejercicio no trivial general aumenta exponencialmente a medida que se requieren más partes móviles. Hacer un análisis de tráfico para averiguar "cuándo coincide una ráfaga de tráfico de la VPN al sitio de destino con una ráfaga de tráfico de un ISP ... y qué abonado fue" es un orden de magnitud más caro que verificar los datos de WHOIS y EXIF . Usar phishing a nivel estatal es mucho más complicado que obtener las direcciones IP de un proveedor.
-
Con suficiente tiempo y recursos, Grace siempre obtendrá a Bob.
Aquí está la moraleja de la historia: no puedes ser completamente anónimo, pero puedes ser muy caro para atrapar. Si está ejecutando un sitio web en un país donde no existe la libertad de expresión, hay varios pasos que puede tomar para que sea más caro atraparlo, y VPN es solo uno de ellos.