Przewodnik dotyczący informowania o nieprawidłowościach: jak chronić źródła

Jak chronić demaskatora.

** Jest to część trzecia przewodnika dotyczącego zgłaszania nieprawidłowości przez ExpressVPN. **

Część 1: Przewodnik po informowaniu o nieprawidłowościach: dmuchanie w gwizdek jest trudne
Część 2: Poradnik informowania o nieprawidłowościach: jak zachować anonimowość podczas nadmuchiwania gwizdka
Część 4: Przewodnik po informowaniu o nieprawidłowościach: dlaczego należy usunąć metadane

Po prostu chcę tl; dr?

Dziennikarz, regulator lub organ nadzorczy ma obowiązek chronić swoje źródła.

Chociaż źródła mogą czasem uzyskać ochronę prawną w niektórych sektorach lub krajach, istnieje szansa, że ​​zabezpieczenia te są bezwartościowe lub nie obejmują tego konkretnego przypadku.

Oprócz porad dotyczących bezpieczeństwa informacji zawartych w tym artykule, warto poznać legalność zgłaszania nieprawidłowości w Twojej okolicy. Niektóre zabezpieczenia istnieją tylko w szczególnych okolicznościach, a sposób, w jaki komunikujesz się lub obchodzisz się z dokumentami, może oznaczać różnicę między wolnością źródła a torturami.

Stań się dostępny dla źródła

Każde potencjalne źródło będzie miało inne rozumienie technologii, prawa i organizacji. Twoim obowiązkiem jest otworzyć się i stać się jak najbardziej osiągalnym, a także edukować źródło o tym, jak działa bezpieczna komunikacja.

SecureDrop

Opracowane przez Aarona Swartz i Kevina Poulsona dziesiątki organizacji prasowych na całym świecie używają SecureDrop jako cyfrowej skrzynki pocztowej dla wrażliwych materiałów.

Jak działa SecureDrop:

Informator używa przeglądarki Tor, aby przejść do adresu .onion SecureDrop, gdzie mogą przesyłać dokumenty.

Po przesłaniu źródło otrzyma kod dostępu, którego mogą użyć do sprawdzenia odpowiedzi na swoje dokumenty.

Możesz pobrać dokumenty źródła z serwera SecureDrop. Pliki są szyfrowane za pomocą klucza PGP, więc tylko Ty możesz je otworzyć. Aby zwiększyć bezpieczeństwo, użyj laptopa z systemem operacyjnym TAILS do sprawdzenia dokumentów.

SecureDrop jest uważany za złoty standard akceptacji wycieków i wrażliwych materiałów, ale może być trudny do skonfigurowania dla osoby. Ważne jest również, aby demaskatorzy wiedzieli, że powinni unikać korzystania z przeglądarki Tor na komputerach roboczych lub na dowolnym komputerze podłączonym do ich sieci służbowej.

  • Trudne do skonfigurowania dla indywidualnej lub małej organizacji
  • SecureDrop nie wymaga prawie żadnej wiedzy technicznej ze strony informatora

Jabber / XMPP z szyfrowaniem OTR

Usługi Jabber (zwane także XMPP) są mniej powszechne (Facebook i Google upuściły je na rzecz bardziej scentralizowanych i mniej bezpiecznych alternatyw), wciąż są stosunkowo łatwe do skonfigurowania anonimowo – szczególnie gdy są trasowane przez sieć Tor ( Poręczny przewodnik ExpressVPN).

Dwa nowo utworzone anonimowe konta Jabber komunikujące się za pośrednictwem Tora z szyfrowaniem OTR mają niewielkie szanse na odkrycie, nawet za pośrednictwem metadanych.

  • Nie jest powszechnie stosowany, trudny w użyciu na urządzeniach mobilnych
  • Nie można dobrze obsługiwać obrazów lub załączników
  • Najniższa szansa na odkrycie spośród wszystkich opcji komunikatora

Sygnał

Zaszyfrowana aplikacja do przesyłania wiadomości Signal jest dostępna na Androida i iOS i umożliwia nie tylko wymianę zaszyfrowanych wiadomości przy minimalnym śladzie metadanych, ale także komunikację głosową. Signal jest szeroko popierany przez społeczność bezpieczeństwa informacji.

  • Wymaga numeru telefonu, aby się zarejestrować (co może nie być dobrym pomysłem)
  • Łatwy w konfiguracji na urządzeniach mobilnych i umożliwia szyfrowane połączenia głosowe

Adres pocztowy

Cała poczta jest zwykle fotografowana (na zewnątrz), ważona, a punkt odbioru i miejsce docelowe rejestrowane. Nadal jednak można anonimowo wysyłać pocztę fizyczną – kupowanie znaczków nie budzi (jeszcze) podejrzeń przy kasie.

Paczka wysłana do regulatora lub organizacji prasowej może nie wystawać, a jeśli zostanie wysłana z zatłoczonego miejsca w tym samym mieście co odbiorca, oferuje niewiele wglądu dla obserwujących (chociaż informator musi być ostrożny z ręcznie napisanymi kopertami).

Gdy dokumenty istnieją w formie fizycznej, bezpieczniej jest wysłać je bezpośrednio, niż je digitalizować. Jako odbiorca poczty ważne jest, aby poinformować potencjalne źródła, jak obchodzisz się z pocztą w Twojej organizacji. Czy na przykład poczta jest adresowana do ciebie osobiście lub czy jest otwierana przez kogoś innego? Lub przechowywane są zapisy dotyczące tego, kto co otrzymuje?

  • Poczta jest rejestrowana ściśle w niektórych krajach lub organizacjach
  • Nadal istnieje wysoka ochrona prawna dla poczty

Telefon i e-mail

E-mail i telefon są łatwe do przechwycenia i generują ogromne ilości metadanych. Zaszyfrowane wiadomości e-mail z PGP mogą działać, ale pozostawiają metadane, które mogą być bardzo cenne (chyba że Ty i demaskator jesteście w stanie uczynić te metadane bezwartościowymi).

Upewnij się, że źródła mogą Cię zweryfikować

Kiedy oferujesz się jako bezpieczny odbiorca, upewnij się, że potencjalne źródło zawsze może zweryfikować twoją komunikację od ciebie, a nie oszustem.

Wyślij swoje zdjęcia

Jeśli spotkasz się ze źródłem publicznie, upewnij się, że wie, jak wyglądasz i nie może zostać oszukany przez oszusta. Środki bezpieczeństwa mogą obejmować słowa kodowe, jeśli masz bezpieczną komunikację przed spotkaniem.

Użyj kluczy kryptograficznych

Prawdopodobnie masz silną obecność w mediach społecznościowych lub przynajmniej biografię na oficjalnej stronie swojej organizacji. Używaj swoich profili do przechowywania kluczy publicznych i dołączaj odciski palców wszystkich kluczy używanych w komunikacji (Signal, OTR, PGP). Klucze w rejestrze publicznym ułatwią weryfikację nowej tożsamości, na przykład, ponieważ musisz zmienić konto.

Jak chronić źródła TL; DR

  • Bądź dostępny na renomowanych, szyfrowanych kanałach
  • Ułatw weryfikację korespondencji
Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me