Sprievodca informáciami: Ako chrániť zdroje
** Toto je tretia časť sprievodcu informáciami ExpressVPN. **
Časť 1: Sprievodca informátormi: Vyfúknutie píšťalky je náročné
Časť 2: Sprievodca informáciami: Ako zostať v anonymite pri fúkaní píšťalky
Časť 4: Sprievodca informáciami: Prečo by ste mali odstrániť metadáta
Len chcem tl; dr?
Novinár, regulátor alebo strážny pes má povinnosť chrániť svoje zdroje.
Aj keď v niektorých odvetviach alebo krajinách môžu byť zdroje niekedy chránené právnou ochranou, je tu šanca, že tieto ochrany sú bezcenné alebo sa na tento konkrétny prípad nevzťahujú.
Okrem poradenstva v oblasti bezpečnosti informácií v tomto článku sa môže oplatiť dozvedieť sa o zákonnosti informovania vo vašej oblasti. Niektoré ochrany existujú iba za určitých okolností a spôsob, akým komunikujete alebo manipulujete s dokumentmi, by mohol znamenať rozdiel medzi slobodou zdroja a mučením.
Zabezpečte, aby ste sa dostali k zdroju
Každý potenciálny zdroj bude mať rôzne znalosti o technológii, zákone a vašej organizácii. Je vašou povinnosťou otvoriť sa a stať sa tak dosiahnuteľnými, ako je to len možné, a vzdelávať svoj zdroj o tom, ako funguje bezpečná komunikácia.
SecureDrop
Vyvinuté Aaronom Swartzom a Kevinom Poulsonom, desiatky spravodajských organizácií na celom svete používajú SecureDrop ako digitálnu poštovú schránku pre citlivý materiál..
Ako SecureDrop funguje:
Whistleblower používa Tor Browser na navigáciu na .onion adresu SecureDrop, kde môže nahrávať dokumenty.
Po nahraní dostane zdroj prístupový kód, pomocou ktorého môžu skontrolovať odpovede na svoje dokumenty.
Dokumenty zdroja môžete načítať zo servera SecureDrop. Súbory sú šifrované pomocou vášho kľúča PGP, takže ich môžete otvoriť iba vy. Na zvýšenie bezpečnosti použite laptop na kontrolu dokumentov v operačnom systéme TAILS.
SecureDrop sa považuje za zlatý štandard pre prijímanie netesností a citlivých materiálov, ale pre jednotlivca môže byť ťažké ho nastaviť. Je tiež dôležité, aby oznamovatelia vedeli, že by sa mali vyhýbať používaniu prehliadača Tor na pracovných počítačoch alebo na akomkoľvek počítači pripojenom k pracovnej sieti..
- Ťažko sa pripraviť na individuálnu alebo malú organizáciu
- SecureDrop nevyžaduje takmer žiadne technické znalosti zo strany informátora
Jabber / XMPP s OTR šifrovaním
Služby Jabber (označované aj ako XMPP) sú menej bežné (Facebook a Google ich upustili v prospech centralizovanejších a menej bezpečných alternatív), je ich možné relatívne ľahko anonymne nastaviť – najmä pri smerovaní cez sieť Tor ( Pozrite si praktického sprievodcu ExpressVPN).
Dva novo vytvorené anonymné účty jabber komunikujúce prostredníctvom Tor s OTR šifrovaním majú malú šancu na objavenie, dokonca aj prostredníctvom metadát.
- Nepoužíva sa často, ťažko sa používa na mobilných zariadeniach
- Nedokážu správne spracovať obrázky alebo prílohy
- Najnižšia pravdepodobnosť objavenia medzi všetkými možnosťami aplikácie Messenger
signál
Aplikácia šifrovaných správ Signal je k dispozícii pre Android a iOS a umožňuje nielen výmenu šifrovaných správ s minimálnym počtom metadát, ale aj hlasovú komunikáciu. Komunita informačnej bezpečnosti vo veľkej miere podporuje tento signál.
- Na registráciu sa vyžaduje telefónne číslo (čo nemusí byť dobrý nápad)
- Ľahko sa nastavuje na mobilných zariadeniach a umožňuje šifrované hlasové hovory
Poštová adresa
Všetka pošta je zvyčajne fotografovaná (zvonka), odvážená a má zaznamenané miesto vyzdvihnutia a cieľ. Stále je však možné posielať fyzickú poštu anonymne – kupovanie známok (zatiaľ) nevyvoláva podozrenie na pulte.
Zásielka doručená regulačnému orgánu alebo spravodajskej organizácii sa nemusí vytrhnúť a ak je zaslaná z rušného miesta v rovnakom meste ako príjemca, ponúka pozorovateľom malý prehľad (hoci informátor musí byť opatrný pri ručne napísaných obálkach).
Ak dokumenty existujú vo fyzickej podobe, môže byť oveľa bezpečnejšie ich priamo odoslať, ako ich digitalizovať. Ako príjemca pošty je dôležité informovať potenciálnych zdrojov o tom, ako nakladáte s poštou vo vašej organizácii. Je poštou adresovaná osobne alebo je otvorená napríklad niekto iný? Alebo sa vedú záznamy o tom, kto čo prijíma?
- Pošta je v niektorých krajinách alebo organizáciách striktne zaznamenávaná
- V prípade pošty stále existujú vysoké právne ochrany
Telefón a e-mail
E-mail a telefón sa dajú ľahko zachytiť a vytvoriť obrovské množstvo metaúdajov. Šifrované e-maily s PGP by mohli fungovať, ale ponechajú metadáta, ktoré by mohli byť vysoko hodnotné (pokiaľ nie ste vy a informátor schopní tieto metadáta bezpredmetne).
Uistite sa, že vás môžu overiť zdroje
Ak sa ponúkate ako bezpečný príjemca, uistite sa, že potenciálny zdroj môže vždy overiť, či vaša komunikácia pochádza od vás, a nie podvodníka.
Pošlite svoje fotografie
Ak stretnete zdroj na verejnosti, uistite sa, že vedia, ako vyzeráte a podvodník ho nemôže oklamať. Bezpečnostné opatrenia by mohli obsahovať kódové slová, ak ste pred schôdzou mali zabezpečenú komunikáciu.
Použite kryptografické kľúče
Je pravdepodobné, že máte silnú prítomnosť v sociálnych médiách alebo aspoň životopis hostený na oficiálnych webových stránkach vašej organizácie. Použite svoje profily na hostenie vašich verejných kľúčov a zahrňte odtlačky prstov všetkých kľúčov, ktoré používate vo svojej komunikácii (Signal, OTR, PGP). Klávesy vo verejnom zázname uľahčia overenie novej identity, napríklad preto, že musíte prepínať účty.
Ako chrániť vaše zdroje TL; DR
- Buďte k dispozícii na renomovaných a šifrovaných kanáloch
- Uľahčite si overenie vašej korešpondencie