Panduan Whistleblowing: Cara melindungi sumber Anda

[ware_item id=33][/ware_item]

Bagaimana melindungi pelapor.


** Ini adalah bagian ketiga dari panduan whistleblowing ExpressVPN. **

Bagian 1: Panduan whistleblowing: Meniup peluit sulit
Bagian 2: Panduan whistleblowing: Cara tetap anonim saat meniup peluit
Bagian 4: Panduan whistleblowing: Mengapa Anda harus menghapus metadata

Hanya ingin tl; dr?

Seorang jurnalis, regulator, atau pengawas memiliki tugas untuk melindungi sumber mereka.

Meskipun sumber kadang-kadang dapat diberikan perlindungan hukum di sektor atau negara tertentu, ada kemungkinan perlindungan ini tidak berharga atau tidak mencakup contoh khusus ini.

Selain saran keamanan informasi dalam artikel ini, ada baiknya mempelajari legalitas whistleblowing di wilayah Anda. Beberapa perlindungan hanya ada dalam keadaan tertentu dan bagaimana Anda berkomunikasi atau menangani dokumen dapat berarti perbedaan antara kebebasan dan penyiksaan sumber.

Jadikan diri Anda terjangkau oleh suatu sumber

Setiap sumber potensial akan memiliki pemahaman yang berbeda tentang teknologi, hukum, dan organisasi Anda. Adalah tugas Anda untuk membuka diri dan menjadi terjangkau mungkin dan untuk mendidik sumber Anda tentang bagaimana komunikasi yang aman bekerja.

SecureDrop

Dikembangkan oleh Aaron Swartz dan Kevin Poulson, puluhan organisasi berita di seluruh dunia menggunakan SecureDrop sebagai kotak surat digital untuk materi sensitif.

Cara kerja SecureDrop:

Pelapor menggunakan Tor Browser untuk menavigasi ke alamat .onion SecureDrop, tempat mereka dapat mengunggah dokumen.

Setelah mengunggah, sumber akan mendapatkan kode sandi, yang dapat mereka gunakan untuk memeriksa balasan ke dokumen mereka.

Anda dapat mengambil dokumen sumber dari server SecureDrop Anda. File dienkripsi dengan kunci PGP Anda sehingga hanya Anda yang dapat membukanya. Untuk keamanan lebih lanjut, gunakan laptop dengan TAILS sistem operasi untuk memeriksa dokumen.

SecureDrop dianggap sebagai standar emas untuk penerimaan kebocoran dan bahan sensitif tetapi bisa sulit diatur untuk seseorang. Penting juga bagi whistleblower untuk mengetahui bahwa mereka harus menghindari menggunakan Tor Browser di komputer kerja, atau di komputer apa pun yang terhubung ke jaringan kerja mereka.

  • Sulit dibentuk untuk individu atau organisasi kecil
  • SecureDrop hampir tidak memerlukan pengetahuan teknis dari pihak whistleblower

Jabber / XMPP dengan enkripsi OTR

Layanan Jabber (juga disebut sebagai XMPP) kurang umum (Facebook dan Google telah menolaknya karena lebih tersentralisasi, dan kurang aman, alternatif), mereka masih relatif mudah untuk diatur secara anonim - terutama ketika dialihkan melalui jaringan Tor ( Lihat panduan praktis ExpressVPN).

Dua akun jabber anonim yang baru dibuat, berkomunikasi melalui Tor dengan enkripsi OTR, memiliki peluang tipis untuk ditemukan, bahkan melalui metadata.

  • Tidak banyak digunakan, sulit digunakan pada perangkat seluler
  • Tidak bisa menangani gambar atau lampiran dengan baik
  • Peluang penemuan terendah di antara semua opsi messenger

Sinyal

Aplikasi pesan terenkripsi, Signal, tersedia untuk Android dan iOS dan memungkinkan untuk tidak hanya bertukar pesan terenkripsi dengan jejak metadata minimal, tetapi juga berkomunikasi dengan suara. Sinyal secara luas didukung oleh komunitas keamanan informasi.

  • Membutuhkan nomor telepon untuk mendaftar (yang mungkin bukan ide yang bagus)
  • Mudah diatur di perangkat seluler dan memungkinkan panggilan suara terenkripsi

Alamat pos

Semua surat biasanya difoto (di luar), ditimbang, dan dicatat titik pengambilannya dan tujuan. Namun, masih mungkin untuk mengirim surat fisik secara anonim — membeli perangko tidak menimbulkan kecurigaan di konter.

Paket yang dikirim ke regulator atau organisasi berita mungkin tidak menonjol dan, jika dipasang dari lokasi yang sibuk di kota yang sama dengan penerima, menawarkan sedikit wawasan kepada mereka yang menonton (meskipun pelapor harus berhati-hati dengan amplop yang ditulis tangan).

Ketika dokumen ada dalam bentuk fisik, mungkin jauh lebih aman untuk mengirimkannya secara langsung, daripada mendigitalkannya. Sebagai penerima email, penting untuk memberi tahu sumber potensial bagaimana Anda menangani email di organisasi Anda. Apakah surat ditujukan kepada Anda secara pribadi atau dibuka oleh orang lain, misalnya? Atau ada catatan tentang siapa yang menerima apa?

  • Mail dicatat secara ketat di beberapa negara atau organisasi
  • Perlindungan hukum yang tinggi masih ada untuk surat

Telepon dan E-mail

Email dan telepon mudah disadap dan menghasilkan metadata dalam jumlah besar. Email terenkripsi dengan PGP mungkin berfungsi tetapi akan meninggalkan metadata yang bisa sangat berharga (kecuali jika Anda dan pelapor terampil membuat metadata ini tidak berharga).

Pastikan sumber dapat memverifikasi Anda

Ketika Anda menawarkan diri Anda sebagai penerima yang aman, pastikan sumber potensial selalu dapat memverifikasi bahwa komunikasi Anda berasal dari Anda dan bukan penipu.

Kirim foto diri Anda

Jika Anda bertemu dengan sumber di depan umum, pastikan mereka tahu seperti apa penampilan Anda dan tidak bisa ditipu oleh penipu. Langkah-langkah keamanan dapat mencakup kata-kata kode jika Anda memiliki komunikasi yang aman sebelum pertemuan.

Gunakan kunci kriptografi

Kemungkinan Anda memiliki kehadiran media sosial yang kuat atau setidaknya biografi yang dihosting di situs web resmi organisasi Anda. Gunakan profil Anda untuk meng-host kunci publik Anda dan memasukkan sidik jari dari semua kunci yang Anda gunakan dalam komunikasi Anda (Sinyal, OTR, PGP). Kunci pada catatan publik akan membuatnya lebih mudah untuk memverifikasi identitas baru, misalnya, karena Anda perlu beralih akun.

Bagaimana melindungi sumber Anda TL; DR

  • Tersedia di saluran yang memiliki reputasi dan terenkripsi
  • Permudah korespondensi Anda
Panduan Whistleblowing: Cara melindungi sumber Anda
admin Author
Sorry! The Author has not filled his profile.