Panduan pemberian maklumat: Bagaimana untuk melindungi sumber anda
** Ini adalah sebahagian daripada panduan whistleblowing ExpressVPN. **
Bahagian 1: Pedoman pemberian maklumat: Meniup peluit adalah sukar
Bahagian 2: Panduan pemberi maklumat: Bagaimana untuk kekal tanpa nama apabila meniup wisel itu
Bahagian 4: Panduan pembolongan cemas: Kenapa anda perlu mengeluarkan metadata
Hanya mahu tl; dr?
Wartawan, pengawal selia, atau pengawas mempunyai tugas untuk melindungi sumber mereka.
Walaupun sumber kadang-kadang diberi perlindungan undang-undang di sektor atau negara tertentu, ada kemungkinan perlindungan ini tidak bernilai atau tidak meliputi contoh tertentu ini.
Sebagai tambahan kepada nasihat keselamatan maklumat dalam artikel ini, ia mungkin bernilai belajar tentang kesahihan maklumat di kawasan anda. Sesetengah perlindungan hanya wujud dalam keadaan tertentu dan bagaimana anda berkomunikasi atau mengendalikan dokumen mungkin bermakna perbezaan antara kebebasan dan penyeksaan sumber.
Jadikan diri anda dapat dicapai dengan sumber
Setiap sumber yang berpotensi akan mempunyai pemahaman yang berbeza mengenai teknologi, undang-undang, dan organisasi anda. Adalah menjadi kewajipan anda untuk membuka diri dan menjadi sebaik mungkin dan untuk mendidik sumber anda tentang bagaimana komunikasi yang selamat berfungsi.
SecureDrop
Dibangunkan oleh Aaron Swartz dan Kevin Poulson, berpuluh-puluh organisasi berita di seluruh dunia menggunakan SecureDrop sebagai peti mel digital untuk bahan sensitif.
Bagaimana SecureDrop berfungsi:
Pemberi maklumat menggunakan Penyemak Imbas Tor untuk menavigasi ke alamat e-mel SecureDrop, di mana mereka boleh memuat naik dokumen.
Selepas memuat naik, sumbernya akan mendapat kod laluan, yang boleh digunakan untuk menyemak balasan kepada dokumen mereka.
Anda boleh mengambil dokumen sumber dari pelayan SecureDrop anda. Fail disulitkan dengan kunci PGP anda supaya hanya anda boleh membukanya. Untuk keselamatan lanjut, gunakan komputer riba dengan sistem operasi TAILS untuk memeriksa dokumen.
SecureDrop dianggap standard emas untuk penerimaan kebocoran dan bahan sensitif tetapi sukar untuk ditubuhkan untuk individu. Ia juga penting bagi pemberi maklumat untuk mengetahui bahawa mereka harus mengelak daripada menggunakan Penyemak Imbas Tor pada komputer kerja, atau pada mana-mana komputer yang berkaitan dengan rangkaian kerja mereka.
- Sulit untuk ditubuhkan untuk organisasi individu atau kecil
- SecureDrop memerlukan hampir tiada pengetahuan teknologi di pihak pemberi maklumat
Jabber / XMPP dengan penyulitan OTR
Perkhidmatan Jabber (juga dirujuk sebagai XMPP) kurang biasa (Facebook dan Google telah menurunkan mereka memihak kepada alternatif yang lebih berpusat, dan kurang selamat), mereka masih agak mudah untuk didirikan secara anonim-terutamanya apabila dialihkan melalui rangkaian Tor ( Lihat panduan berguna ExpressVPN).
Dua akaun jabber tanpa nama baru yang berkomunikasi melalui Tor dengan penyulitan OTR mempunyai peluang penemuan yang tipis, walaupun melalui metadata.
- Tidak banyak digunakan, sukar digunakan pada peranti mudah alih
- Tidak boleh mengendalikan imej atau lampiran dengan baik
- Kemungkinan paling rendah untuk penemuan di kalangan semua pilihan utusan
Isyarat
Apl pemesejan yang disulitkan, Isyarat, tersedia untuk Android dan iOS dan memungkinkan untuk tidak hanya menukar mesej yang disulitkan dengan jejak metadata yang minimum, tetapi juga berkomunikasi dengan suara. Isyarat disokong secara meluas oleh komuniti keselamatan maklumat.
- Memerlukan nombor telefon untuk mendaftar (yang mungkin bukan idea yang baik)
- Mudah untuk ditubuhkan pada peranti mudah alih dan membolehkan panggilan suara yang disulitkan
Alamat pos
Semua mel biasanya difoto (di luar), ditimbang, dan mempunyai titik pikap dan destinasi yang direkodkan. Walau bagaimanapun, masih boleh menghantar pos secara fizikal-membeli setem tidak (belum) menimbulkan kecurigaan di kaunter.
Satu petak yang dihantar kepada pengawal atau organisasi berita mungkin tidak terpenuhi dan, jika diposting dari lokasi yang sibuk di bandar yang sama dengan penerima, menawarkan sedikit pemahaman kepada mereka yang menonton (walaupun pemberi maklumat harus berhati-hati dengan sampul surat bertulis tangan).
Apabila dokumen wujud dalam bentuk fizikal, ia mungkin jauh lebih selamat untuk menghantarnya secara langsung, bukannya mendigitalkannya. Sebagai penerima mel, adalah penting untuk membiarkan sumber yang berpotensi tahu bagaimana anda mengendalikan mel di organisasi anda. Adakah surat ditujukan kepada anda secara peribadi atau dibuka oleh orang lain, sebagai contoh? Atau rekod disimpan tentang siapa yang menerima apa?
- Mail melekat dengan ketat di beberapa negara atau organisasi
- Perlindungan undang-undang yang tinggi masih wujud untuk mel
Telefon dan E-mel
E-mel dan telefon mudah untuk memintas dan menghasilkan sejumlah besar metadata. E-mel yang disulitkan dengan PGP mungkin berfungsi tetapi akan meninggalkan metadata yang boleh menjadi sangat berharga (melainkan jika anda dan pemberi maklumat mahir membuat metadata ini tidak berguna).
Pastikan sumber boleh mengesahkan anda
Apabila anda menawarkan diri anda sebagai penerima selamat, pastikan sumber yang berpotensi selalu dapat mengesahkan komunikasi anda dari anda dan bukan penipu.
Hantar gambar diri anda
Jika anda bertemu dengan sumber di khalayak ramai, pastikan anda tahu apa yang anda kelihatan dan tidak boleh ditipu oleh penipu. Langkah-langkah keselamatan boleh memasukkan kata-kata kod jika anda mempunyai komunikasi yang selamat sebelum mesyuarat.
Gunakan kekunci kriptografi
Kemungkinan anda mempunyai kehadiran media sosial yang kuat atau sekurang-kurangnya biografi yang dihoskan di laman web rasmi organisasi anda. Gunakan profil anda untuk menjadi tuan rumah kunci awam anda dan masukkan cap jari semua kunci yang anda gunakan dalam komunikasi anda (Isyarat, OTR, PGP). Kunci pada rekod awam akan menjadikannya lebih mudah untuk mengesahkan identiti baru, contohnya, kerana anda perlu menukar akaun.
Bagaimana untuk melindungi sumber anda TL; DR
- Boleh didapati di saluran terenkripsi dan bereputasi
- Jadikannya mudah untuk mengesahkan surat-menyurat anda
Isaac
17.04.2023 @ 19:44
Saya menghargai panduan whistleblowing ExpressVPN ini yang memberikan nasihat yang berguna bagi pemberi maklumat untuk melindungi diri mereka sendiri dan sumber mereka. Saya setuju bahawa meniup peluit adalah sukar dan memerlukan keberanian, tetapi dengan panduan ini, pemberi maklumat dapat memastikan keamanan dan kerahsiaan maklumat yang mereka berikan. Saya juga menghargai bahawa panduan ini memberikan beberapa pilihan untuk berkomunikasi secara selamat, seperti SecureDrop, Jabber / XMPP dengan penyulitan OTR, dan Isyarat. Ini adalah panduan yang berguna bagi siapa saja yang ingin melaporkan pelanggaran atau kegiatan yang tidak etis tanpa mengorbankan keamanan mereka sendiri atau sumber mereka.