Vodič za zviždanje: Kako zaštititi svoje izvore

Kako zaštititi zviždaljku.

** Ovo je treći dio ExpressVPN-ovog vodiča za zviždanje. **

Dio 1: Vodič za zvižduke: Puhanje zvižduka je teško
Dio 2: Vodič za zvižduke: Kako ostati anoniman kada puše zvižduk
Dio 4: Vodič za zviždanje: Zašto biste trebali ukloniti metapodate

Samo želite tl; dr?

Novinar, regulator ili čuvar dužnosti je zaštititi svoje izvore.

Iako se izvorima ponekad može pružiti pravna zaštita u određenim sektorima ili zemljama, postoji vjerojatnost da su te zaštite bezvrijedne ili ne pokrivaju ovu posebnu instancu.

Osim savjeta o informacijskoj sigurnosti u ovom članku, moglo bi biti korisno naučiti zakonitost prijavljivanja zvižduka u vašem području. Neke zaštite postoje samo u određenim okolnostima i način na koji komunicirate ili rukujete dokumentima može značiti razliku između slobode i mučenja izvora.

Osigurajte sebi pristup izvoru

Svaki potencijalni izvor imat će različito razumijevanje tehnologije, zakona i vaše organizacije. Vaša je dužnost otvoriti se i postati što dostupniji i educirati izvor o tome kako funkcioniraju sigurne komunikacije.

SecureDrop

Razvili Aaron Swartz i Kevin Poulson, desetine novinskih organizacija širom svijeta koriste SecureDrop kao digitalni poštanski pretinac za osjetljivi materijal.

Kako djeluje SecureDrop:

Zviždač koristi preglednik Tor za navigaciju do .onion adrese SecureDropa gdje mogu prenositi dokumente.

Nakon prijenosa izvor će dobiti lozinku koju mogu upotrijebiti za provjeru odgovora na svoje dokumente.

Izvorne dokumente možete preuzeti s vašeg SecureDrop poslužitelja. Datoteke su šifrirane vašim PGP ključem tako da ih samo vi možete otvoriti. Za dodatnu sigurnost koristite laptop s TAILS-om operativnog sustava za pregled dokumenata.

SecureDrop se smatra zlatnim standardom za prihvaćanje curenja i osjetljivog materijala, ali teško ga je postaviti za pojedinca. Za zviždače je također važno znati da bi trebali izbjegavati upotrebu Tor preglednika na radnim računalima ili na bilo kojem računalu povezanoj s njihovom radnom mrežom..

  • Teško je postaviti za pojedinca ili malu organizaciju
  • Za SecureDrop zviždači gotovo da i ne trebaju znanje

Jabber / XMPP s OTR enkripcijom

Jabber usluge (koje se nazivaju i XMPP) usluge su rjeđe (Facebook i Google odustali su od njih u korist centraliziranijih i manje sigurnih alternativa), a još uvijek ih se relativno anonimno postavlja, posebno kada se usmjeravaju kroz Tor mrežu ( Pogledajte priručnik ExpressVPN-a).

Dva novootvorena anonimna Jabber računa koji komuniciraju putem Tor-a pomoću OTR enkripcije imaju male šanse za otkrivanje, čak i putem metapodataka.

  • Nije široko korišten, težak za upotrebu na mobilnim uređajima
  • Ne mogu se dobro nositi sa slikama ili prilozima
  • Najmanja šansa za otkriće među svim porukama glasnika

Signal

Šifrirana aplikacija za razmjenu poruka, Signal, dostupna je za Android i iOS i omogućuje ne samo razmjenu šifriranih poruka s minimalnim tragom metapodataka, nego i glasovnu komunikaciju. Signal široko odobrava zajednica za informacijsku sigurnost.

  • Za prijavu je potreban telefonski broj (što možda i nije dobra ideja)
  • Jednostavno postavljanje na mobilnim uređajima i omogućuje šifrirane glasovne pozive

Poštanska adresa

Sva se pošta obično fotografira (s vanjske strane), izvaže i ima zabilježeno mjesto preuzimanja i odredište. Međutim, još uvijek je moguće anonimno slati fizičku poštu – kupovina markica ne (još) ne izaziva sumnju na šalteru.

Paketa koja je poslana regulatoru ili novinarskoj organizaciji možda se neće zadržati i, ako je poslana s prometne lokacije u istom gradu kao i primatelj, nudi malo uvida onima koji gledaju (iako zviždači moraju biti oprezni s rukom pisanim kovertama).

Kad dokumenti postoje u fizičkom obliku, možda bi bilo daleko sigurnije izravno ih otpremiti, nego ih digitalizirati. Kao primatelj e-pošte, važno je potencijalnim izvorima navesti kako postupate s poštom u vašoj organizaciji. Je li vam adresa poslana osobno ili ju je otvorio, na primjer, netko drugi? Ili se vodi evidencija o tome tko prima što?

  • Pošta se u nekim zemljama ili organizacijama strogo evidentira
  • Još uvijek postoje visoke pravne zaštite za poštu

Telefon i e-pošta

E-poštu i telefon lako je presresti i stvoriti ogromne količine metapodataka. Šifrirane poruke e-pošte s PGP-om mogu djelovati, ali ostavit će metapodatke koji bi mogli biti vrlo vrijedni (osim ako vi i zviždač niste vješti u tome da ovi metapodaci budu bezvrijedni).

Provjerite mogu li vas izvori potvrditi

Kada se ponudite kao siguran primatelj, provjerite može li potencijalni izvor uvijek provjeriti da li je vaša komunikacija od vas, a ne izlagač.

Pošaljite svoje slike

Ako javno sretnete izvor, provjerite jesu li oni poznati kako izgledate i ne može ih prevariti impozitor. Mjere sigurnosti mogu uključivati ​​kodne riječi ako ste imali sigurnu komunikaciju prije sastanka.

Upotrijebite kriptografske ključeve

Vjerojatno ste prisutni na društvenim mrežama ili barem biografiju koja se nalazi na službenom web mjestu vaše organizacije. Koristite svoje profile za hostiranje javnih ključeva i uključite otiske prstiju svih ključeva koje koristite u komunikaciji (Signal, OTR, PGP). Tipke javne evidencije olakšat će na primjer provjeru novog identiteta, jer ćete morati prebaciti račune.

Kako zaštititi svoje izvore TL; DR

  • Budite dostupni na uglednim, šifriranim kanalima
  • Olakšajte provjeru svoje korespondencije