Klokkenluidersgids: hoe uw bronnen te beschermen

Hoe een klokkenluider te beschermen.


** Dit is deel drie van de klokkenluidersgids van ExpressVPN. **

Deel 1: Klokkenluidersgids: fluiten is moeilijk
Deel 2: Klokkenluidersgids: anoniem blijven bij het fluiten
Deel 4: Klokkenluidersgids: waarom u de metagegevens moet verwijderen

Wil gewoon de tl; dr?

Een journalist, toezichthouder of waakhond heeft de plicht om hun bronnen te beschermen.

Hoewel bronnen in bepaalde sectoren of landen soms rechtsbescherming worden verleend, bestaat de kans dat deze beschermingen waardeloos zijn of deze specifieke instantie niet dekken.

Naast het advies over informatiebeveiliging in dit artikel, is het wellicht de moeite waard om de wettigheid van klokkenluiden in uw regio te leren kennen. Sommige beveiligingen bestaan ​​alleen in bepaalde omstandigheden en hoe u communiceert of met documenten omgaat, kan het verschil betekenen tussen de vrijheid van een bron en marteling.

Maak jezelf bereikbaar voor een bron

Elke potentiële bron heeft een ander begrip van technologie, de wet en uw organisatie. Het is uw plicht om uzelf open te stellen en zo bereikbaar mogelijk te worden en uw bron te informeren over hoe beveiligde communicatie werkt.

SecureDrop

Ontwikkeld door Aaron Swartz en Kevin Poulson, gebruiken tientallen nieuwsorganisaties over de hele wereld SecureDrop als een digitale mailbox voor gevoelig materiaal.

Hoe SecureDrop werkt:

De klokkenluider gebruikt de Tor Browser om te navigeren naar het .ion-adres van SecureDrop, waar ze documenten kunnen uploaden.

Na het uploaden krijgt de bron een toegangscode, die ze kunnen gebruiken om te controleren op antwoorden op hun documenten.

U kunt de brondocumenten ophalen van uw SecureDrop-server. Bestanden worden gecodeerd met uw PGP-sleutel, zodat alleen u ze kunt openen. Gebruik voor verdere beveiliging een laptop met het besturingssysteem TAILS om de documenten te inspecteren.

SecureDrop wordt beschouwd als de gouden standaard voor acceptatie van lekken en gevoelig materiaal, maar kan voor een persoon moeilijk zijn in te stellen. Het is ook belangrijk voor klokkenluiders om te weten dat ze de Tor Browser niet moeten gebruiken op werkcomputers of op elke computer die is aangesloten op hun werknetwerk.

  • Moeilijk in te stellen voor een individuele of kleine organisatie
  • SecureDrop vereist bijna geen technische kennis van de kant van de klokkenluider

Jabber / XMPP met OTR-codering

Jabber-services (ook XMPP genoemd) komen minder vaak voor (Facebook en Google hebben ze laten vallen ten gunste van meer gecentraliseerde en minder veilige alternatieven), ze zijn nog steeds relatief eenvoudig anoniem in te stellen – vooral wanneer ze via het Tor-netwerk worden gerouteerd ( Zie de handige gids van ExpressVPN).

Twee nieuw gecreëerde anonieme jabber-accounts die via Tor communiceren met OTR-encryptie hebben een kleine kans op ontdekking, zelfs via metadata.

  • Niet veel gebruikt, moeilijk te gebruiken op mobiele apparaten
  • Kan afbeeldingen of bijlagen niet goed aan
  • Laagste kans op ontdekking bij alle messenger-opties

Signaal

De gecodeerde berichten-app, Signal, is beschikbaar voor Android en iOS en maakt het mogelijk om niet alleen gecodeerde berichten uit te wisselen met een minimaal metadatapad, maar ook te communiceren via spraak. Signaal wordt breed onderschreven door de informatiebeveiligingsgemeenschap.

  • Vereist een telefoonnummer om aan te melden (wat misschien geen goed idee is)
  • Eenvoudig in te stellen op mobiele apparaten en maakt gecodeerde spraakoproepen mogelijk

Postadres

Alle post wordt meestal gefotografeerd (aan de buitenkant), gewogen en het ophaalpunt en de bestemming worden vastgelegd. Het is echter nog steeds mogelijk om anoniem fysieke post te verzenden – het kopen van postzegels wekt (nog) geen achterdocht bij de balie.

Een pakket dat naar een regulator of nieuwsorganisatie wordt verzonden, steekt misschien niet uit en biedt, als het wordt geplaatst vanuit een drukke locatie in dezelfde stad als de ontvanger, weinig inzicht aan de kijkers (hoewel de klokkenluider voorzichtig moet zijn met handgeschreven enveloppen).

Wanneer documenten in fysieke vorm bestaan, is het misschien veel veiliger om ze rechtstreeks te verzenden in plaats van ze te digitaliseren. Als ontvanger van e-mail is het belangrijk om potentiële bronnen te laten weten hoe u met e-mail in uw organisatie omgaat. Wordt e-mail persoonlijk aan u geadresseerd of geopend door iemand anders? Of worden gegevens bijgehouden over wie wat ontvangt?

  • Mail wordt strikt geregistreerd in sommige landen of organisaties
  • Er is nog steeds een hoge wettelijke bescherming voor e-mail

Telefoon en e-mail

E-mail en telefoon zijn gemakkelijk te onderscheppen en produceren enorme hoeveelheden metagegevens. Versleutelde e-mails met PGP kunnen werken, maar zullen metadata achterlaten die zeer waardevol kunnen zijn (tenzij u en de klokkenluider bekwaam zijn om deze metadata waardeloos te maken).

Zorg ervoor dat bronnen u kunnen verifiëren

Wanneer u uzelf als een veilige ontvanger aanbiedt, moet u ervoor zorgen dat een potentiële bron altijd kan controleren of uw communicatie van u afkomstig is en geen bedrieger.

Stuur foto’s van jezelf

Als u een openbare bron ontmoet, zorg er dan voor dat uw zij weten hoe u eruit ziet en niet door een bedrieger kunnen worden misleid. Veiligheidsmaatregelen kunnen codewoorden zijn als u vóór de vergadering beveiligde communicatie heeft gehad.

Gebruik cryptografische sleutels

Het is waarschijnlijk dat u een sterke aanwezigheid op sociale media heeft of op zijn minst een biografie die op de officiële website van uw organisatie wordt gehost. Gebruik uw profielen om uw openbare sleutels te hosten en neem de vingerafdrukken op van alle sleutels die u gebruikt in uw communicatie (signaal, OTR, PGP). Met sleutels in het openbare register wordt het eenvoudiger om een ​​nieuwe identiteit te verifiëren, bijvoorbeeld omdat u van account moet veranderen.

Hoe uw bronnen te beschermen TL; DR

  • Beschikbaar zijn op gerenommeerde, gecodeerde kanalen
  • Maak het gemakkelijk om uw correspondentie te verifiëren
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map