Ghid de avertizare: Cum să vă protejați sursele

Cum să protejezi un informator.

** Acesta este partea a treia a ghidului de informare al expresivpn. **

Partea 1: Ghid de avertizare: Suflarea fluierului este grea
Partea 2: Ghid de avertizare: Cum să rămâi anonim atunci când sufli fluierul
Partea 4: Ghid de avertizare: De ce ar trebui să eliminați metadatele

Vreau doar dl?

Un jurnalist, un autor de reglementare sau un paznic are obligația de a-și proteja sursele.

Deși, uneori, sursele li se poate acorda protecție legală în anumite sectoare sau țări, există șanse ca aceste protecții să nu fie inutile sau să nu acopere această instanță particulară.

În plus față de sfaturile de securitate a informațiilor din acest articol, poate merita să înveți legalitatea avertismentului în zona ta. Unele protecții există doar în anumite circumstanțe, iar modul în care comunicați sau gestionați documentele ar putea însemna diferența dintre libertatea unei surse și tortura.

Faceți-vă accesibil la o sursă

Fiecare sursă potențială va avea o înțelegere diferită a tehnologiei, legii și organizației dvs. Este datoria ta să te deschizi și să devii cât mai accesibil și să-ți educi sursa cu privire la modul în care funcționează comunicațiile sigure.

SecureDrop

Dezvoltate de Aaron Swartz și Kevin Poulson, zeci de organizații de știri din întreaga lume folosesc SecureDrop ca o cutie poștală digitală pentru materiale sensibile.

Cum funcționează SecureDrop:

Informatorul foloseste browserul Tor pentru a naviga la adresa .onion a SecureDrop, unde pot încărca documente.

După încărcare, sursa va primi un cod de acces, pe care îl pot utiliza pentru a verifica răspunsurile la documentele lor.

Puteți prelua documentele sursei de pe serverul SecureDrop. Fișierele sunt criptate cu cheia PGP, astfel încât doar tu le poți deschide. Pentru securitate suplimentară, utilizați un laptop cu sistemul de operare TAILS pentru a inspecta documentele.

SecureDrop este considerat standardul de aur pentru acceptarea scurgerilor și a materialului sensibil, dar poate fi dificil de configurat pentru o persoană. De asemenea, este important ca informatorii să știe că ar trebui să evite utilizarea browserului Tor pe computerele de lucru sau pe orice computer conectat la rețeaua lor de lucru..

  • Greu de configurat pentru o organizație individuală sau mică
  • SecureDrop nu necesită aproape niciun fel de cunoștințe tehnice din partea informatorului

Jabber / XMPP cu criptare OTR

Serviciile Jabber (denumite și XMPP) sunt mai puțin obișnuite (Facebook și Google le-au renunțat în favoarea unor alternative mai centralizate și mai puțin sigure), ele sunt totuși relativ ușor de configurat anonim – mai ales atunci când sunt traversate prin rețeaua Tor ( Consultați ghidul la îndemână al ExpressVPN).

Două conturi jabber anonime recent create care comunică prin Tor cu criptarea OTR au o șansă slabă de descoperire, chiar și prin metadate.

  • Nu este utilizat pe scară largă, dificil de utilizat pe dispozitivele mobile
  • Nu poate trata bine imaginile sau fișierele atașate
  • Cea mai mică șansă de descoperire printre toate opțiunile de mesagerie

Semnal

Aplicația de mesagerie criptată, Signal, este disponibilă pentru Android și iOS și face posibilă schimbarea mesajelor criptate cu un traseu de metadate minim, dar și comunicarea prin voce. Semnalul este aprobat pe scară largă de comunitatea de securitate a informațiilor.

  • Necesită un număr de telefon pentru a vă înscrie (care poate nu este o idee bună)
  • Ușor de configurat pe dispozitive mobile și permite apeluri vocale criptate

Adresa postala

Toate e-mailurile sunt de obicei fotografiate (la exterior), cântărite și au înregistrat punctul de preluare și destinația. Cu toate acestea, este încă posibil să trimiteți e-mailuri în mod anonim – cumpărarea de timbre nu (încă) crește suspiciune la ghișeu.

O coletă expediată către un autoritate de reglementare sau o organizație de știri s-ar putea să nu rămână și, dacă este trimisă dintr-o locație ocupată din același oraș cu destinatarul, oferă puține informații pentru cei care urmăresc (deși informatorul trebuie să fie atent cu plicurile scrise manual).

Când documentele există în formă fizică, ar putea fi mult mai sigur să le expediați direct, decât să le digitalizați. Ca destinatar de e-mail, este important să informați potențialele surse despre modul în care gestionați e-mailul în organizația dvs. E-mailul vă este adresat personal sau este deschis de altcineva, de exemplu? Sau sunt păstrate înregistrări despre cine primește ce?

  • Poșta este înregistrată strict în unele țări sau organizații
  • Încă există protecții legale ridicate pentru poștă

Telefon și e-mail

E-mailul și telefonul sunt ușor de interceptat și produc cantități vaste de metadate. E-mailurile criptate cu PGP ar putea funcționa, dar vor lăsa metadate care ar putea fi extrem de valoroase (cu excepția cazului în care tu și informatorul sunteți priceput să faceți ca aceste metadate să nu fie inutile).

Asigurați-vă că sursele vă pot verifica

Când vă oferiți un destinatar sigur, asigurați-vă că o sursă potențială poate verifica întotdeauna comunicațiile dvs. sunt de la dvs. și nu impostor.

Trimite fotografii cu tine

Dacă întâlniți o sursă în public, asigurați-vă că aceștia știu cum arătați și nu pot fi înșelați de un impostor. Măsurile de siguranță ar putea include cuvinte de cod dacă ați avut comunicări sigure înainte de întâlnire.

Utilizați chei criptografice

Este posibil să aveți o prezență puternică în social media sau cel puțin o biografie găzduită pe site-ul oficial al organizației dvs. Folosiți-vă profilurile pentru a găzdui cheile publice și include amprentele tuturor tastelor pe care le utilizați în comunicațiile dvs. (Semnal, OTR, PGP). Tastele înregistrării publice vor face mai ușoară verificarea unei noi identități, de exemplu, deoarece trebuie să comutați conturi.

Cum să vă protejați sursele TL; DR

  • Fii disponibil pe canale criptate de renume
  • Faceți mai ușor să vă verificați corespondența