Trauksmes novēršanas rokasgrāmata: Kā aizsargāt avotus

Kā pasargāt trauksmes cēlāju.


** Šī ir ExpressVPN ziņojuma trešās daļas trešā daļa. **

1. daļa: Ziņojumi par trauksmes celšanu: Svilpes pūšana ir sarežģīta
2. daļa: Ziņojums par trauksmes celšanu: Kā palikt anonīmam, pūšot svilpi
4. daļa: Trauksmes novēršanas rokasgrāmata: Kāpēc jums vajadzētu noņemt metadatus?

Tikai gribas tl; dr?

Žurnālista, regulatora vai sargsuņa pienākums ir aizsargāt viņu avotus.

Lai arī avotiem dažās nozarēs vai valstīs var tikt piešķirta juridiska aizsardzība, pastāv iespēja, ka šī aizsardzība ir bezvērtīga vai neaptver šo konkrēto gadījumu..

Papildus šajā rakstā sniegtajiem ieteikumiem par informācijas drošību, iespējams, ir vērts uzzināt arī ziņošanas likumību jūsu reģionā. Dažas aizsardzības pastāv tikai īpašos gadījumos, un tas, kā jūs sazināties vai apstrādājat dokumentus, varētu nozīmēt atšķirību starp avota brīvību un spīdzināšanu.

Padariet sevi sasniedzamu pie avota

Katram potenciālajam avotam būs atšķirīga izpratne par tehnoloģijām, likumiem un jūsu organizāciju. Jūsu pienākums ir atvērties un kļūt pēc iespējas sasniedzamākam, kā arī izglītot savu avotu par to, kā darbojas droša komunikācija.

SecureDrop

Izstrādājuši Ārons Svērts un Kevins Poulsons, desmitiem ziņu organizāciju visā pasaulē izmanto SecureDrop kā sensitīva materiāla digitālu pastkasti..

Kā darbojas SecureDrop:

Trauksmes cēlājs izmanto pārlūku Tor, lai pārietu uz SecureDrop .onion adresi, kur viņi var augšupielādēt dokumentus.

Pēc augšupielādes avots iegūs piekļuves kodu, kuru viņi varēs izmantot, lai pārbaudītu atbildes uz dokumentiem.

Avota dokumentus var izgūt no sava SecureDrop servera. Faili tiek šifrēti ar jūsu PGP atslēgu, lai tos atvērtu tikai jūs. Lai iegūtu papildu drošību, dokumentu pārbaudei izmantojiet klēpjdatoru ar operētājsistēmu TAILS.

SecureDrop tiek uzskatīts par zelta standartu noplūžu un jutīga materiāla pieņemšanai, taču indivīdam to var būt grūti iestatīt. Trauksmes cēlējiem ir svarīgi arī zināt, ka viņiem jāizvairās no Tor pārlūka lietošanas darba datoros vai citos datoros, kas savienoti ar viņu darba tīklu.

  • Grūti izveidot individuālai vai nelielai organizācijai
  • SecureDrop ziņotājam gandrīz nav vajadzīgas tehniskās zināšanas

Jabber / XMPP ar OTR šifrēšanu

Jabber (saukti arī par XMPP) pakalpojumi ir retāk sastopami (Facebook un Google ir atmetuši tos par labu centralizētākām un mazāk drošām alternatīvām), tos joprojām ir samērā viegli iestatīt anonīmi – it īpaši, ja tos novirza caur Tor tīklu ( Skatiet ExpressVPN parocīgo ceļvedi).

Diviem jaunizveidotiem anonīmiem sarunu kontu, kas sazinās caur Tor ar OTR šifrēšanu, ir maza atklāšanas iespēja, pat izmantojot metadatus.

  • Nav plaši izmantots, grūti izmantot mobilajās ierīcēs
  • Nevar labi apstrādāt attēlus vai pielikumus
  • Zemākā atklāšanas iespēja starp visām kurjera iespējām

Signāls

Šifrētā ziņojumapmaiņas lietotne Signal ir pieejama operētājsistēmām Android un iOS un ļauj ne tikai apmainīties ar šifrētiem ziņojumiem ar minimālu metadatu taku, bet arī sazināties ar balsi. Signālu plaši atbalsta informācijas drošības sabiedrība.

  • Lai reģistrētos, ir nepieciešams tālruņa numurs (kas var nebūt laba ideja)
  • Viegli uzstādīt mobilajās ierīcēs un ļauj šifrētus balss zvanus

Pasta adrese

Viss pasts parasti tiek nofotografēts (no ārpuses), nosvērts un reģistrēts paņemšanas punkts un adresāts. Tomēr joprojām ir iespējams fizisko pastu nosūtīt anonīmi – pastmarku pirkšana (pagaidām) nerada aizdomas pie kases.

Paciņa, kas nosūtīta regulatoram vai ziņu organizācijai, var netikt izmesta, un, ja tā tiek nosūtīta no aizņemtas vietas tajā pašā pilsētā, kur ir adresāts, tā piedāvā nelielu ieskatu skatītājiem (lai gan ziņotājam ir jābūt uzmanīgam ar roku rakstītām aploksnēm)..

Ja dokumenti pastāv fiziskā formā, būtu daudz drošāk tos sūtīt tieši, nevis digitalizēt. Kā e-pasta saņēmējam ir svarīgi paziņot potenciālajiem avotiem, kā jūs rīkojaties ar pastu savā organizācijā. Vai pasts ir adresēts jums personīgi vai, piemēram, to atver kāds cits? Vai arī tiek veikta uzskaite par to, kas ko saņem?

  • Dažās valstīs vai organizācijās pasts tiek stingri reģistrēts
  • Pastam joprojām pastāv augsta tiesiskā aizsardzība

Telefons un e-pasts

E-pastu un tālruni ir viegli pārtvert un tiek izveidots milzīgs metadatu daudzums. Šifrēti e-pasti ar PGP varētu darboties, taču tie atstās metadatus, kas varētu būt ļoti vērtīgi (ja vien jūs un ziņotājs nav prasmīgi, lai padarītu šos metadatus bezvērtīgus).

Pārliecinieties, vai avoti var jūs verificēt

Piedāvājot sevi kā drošu adresātu, pārliecinieties, ka potenciālais avots vienmēr var pārbaudīt, vai jūsu saziņa ir no jums, nevis krāpnieka.

Nosūtiet sevis attēlus

Ja jūs satiekat kādu avotu publiski, pārliecinieties, ka viņi zina, kāds jūs izskatās, un krāpnieks nevar viņu maldināt. Drošības pasākumos varētu ietilpt koda vārdi, ja pirms sapulces jums ir bijusi droša saziņa.

Izmantojiet kriptogrāfijas atslēgas

Jādomā, ka jums ir liela klātbūtne sociālajos medijos vai vismaz biogrāfija, kas ir mitināta jūsu organizācijas oficiālajā vietnē. Izmantojiet savus profilus, lai mitinātu publiskās atslēgas, un iekļaujiet visu atslēgu pirkstu nospiedumus, ko izmantojat saziņā (Signal, OTR, PGP). Atslēgas, kas atrodas publiskajā reģistrā, atvieglos jaunas identitātes pārbaudi, piemēram, tāpēc, ka jums ir jāmaina konti.

Kā aizsargāt savus avotus TL; DR

  • Esi pieejams ar cienījamiem, šifrētiem kanāliem
  • Padariet ērtu korespondences pārbaudi
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map