Bilgi uçurma kılavuzu: Kaynaklarınızı koruma

Bir ihbar nasıl korunur.

** Bu, ExpressVPN’in bilgi uçurma kılavuzunun üçüncü bölümüdür. **

Bölüm 1: Bilgi uçurma kılavuzu: Düdük üfleme zor
Bölüm 2: Bilgi uçurma rehberi: Düdüğü esnetirken anonim kalma
Bölüm 4: Bilgi uçurma kılavuzu: Neden meta verileri kaldırmalısınız

Sadece tl'yi istiyorum; dr?

Bir gazeteci, düzenleyici veya gözlemcinin kaynaklarını koruma görevi vardır.

Kaynaklara bazen belirli sektörlerde veya ülkelerde yasal koruma sağlanabilir, ancak bu korumaların değersiz olması veya bu özel örneği kapsamaması ihtimali vardır..

Bu makaledeki bilgi güvenliği tavsiyesine ek olarak, bölgenizdeki bilgi uçurmanın yasallığını öğrenmeye değer olabilir. Bazı korumalar yalnızca belirli durumlarda mevcuttur ve belgeleri nasıl ilettiğiniz veya işlediğiniz, bir kaynağın özgürlüğü ve işkence arasındaki fark anlamına gelebilir.

Kendinizi bir kaynağa erişilebilir yapın

Her potansiyel kaynağın farklı bir teknoloji, yasa ve kuruluş anlayışı olacaktır. Kendinizi açmak ve mümkün olduğunca ulaşılabilir olmak ve kaynağınızı güvenli iletişimin nasıl çalıştığı konusunda eğitmek sizin görevinizdir..

SecureDrop

Aaron Swartz ve Kevin Poulson tarafından geliştirilen, dünya çapında onlarca haber kuruluşu SecureDrop'u hassas malzemeler için dijital posta kutusu olarak kullanıyor.

SecureDrop nasıl çalışır:

Bilgi uçurucu, TorD Tarayıcı'yı kullanarak belgeleri yükleyebilecekleri SecureDrop’un .onion adresine gitmek için kullanır.

Yüklemeden sonra kaynak, belgelerine verilen yanıtları kontrol etmek için kullanabilecekleri bir şifre alır..

Kaynağın belgelerini SecureDrop sunucunuzdan alabilirsiniz. Dosyalar sadece sizin açabilmeniz için PGP anahtarınızla şifrelenir. Daha fazla güvenlik için, belgeleri incelemek üzere TAILS işletim sistemine sahip bir dizüstü bilgisayar kullanın.

SecureDrop, sızıntıların ve hassas malzemelerin kabulü için altın standart olarak kabul edilir, ancak bir birey için kurulması zor olabilir. Bilgi uçuranların Tor Tarayıcı'yı iş bilgisayarlarında veya iş ağlarına bağlı herhangi bir bilgisayarda kullanmaktan kaçınmaları gerektiğini bilmesi de önemlidir..

  • Bireysel veya küçük bir kuruluş için kurulması zor
  • SecureDrop bilgi uçuranın neredeyse hiç teknik bilgisi gerektirmez

OTR şifrelemeli Jabber / XMPP

Jabber (XMPP olarak da bilinir) hizmetleri daha az yaygındır (Facebook ve Google, onları daha merkezi ve daha az güvenli alternatifler lehine bırakmıştır), özellikle de Tor ağı üzerinden yönlendirildiklerinde anonim olarak kurulması nispeten kolaydır. ExpressVPN'in kullanışlı kılavuzuna bakın).

Tor üzerinden OTR şifrelemesi ile iletişim kuran yeni oluşturulan iki anonim jabber hesabı, meta veriler aracılığıyla bile keşif şansına sahip.

  • Yaygın olarak kullanılmaz, mobil cihazlarda kullanımı zor
  • Resimler veya ekler iyi işlenemiyor
  • Tüm mesajlaşma seçenekleri arasında en düşük keşif şansı

işaret

Şifreli mesajlaşma uygulaması Signal, Android ve iOS için kullanılabilir ve yalnızca minimum meta veri izi ile şifrelenmiş mesaj alışverişi yapmakla kalmaz, aynı zamanda sesli iletişim de sağlar. Sinyal, bilgi güvenliği topluluğu tarafından yaygın bir şekilde desteklenmektedir.

  • Kaydolmak için bir telefon numarası gerekiyor (bu iyi bir fikir olmayabilir)
  • Mobil cihazlarda kurulumu kolaydır ve şifreli sesli çağrılara izin verir

Posta adresi

Tüm postalar genellikle (dışarıdan) fotoğraflanır, tartılır ve toplama noktası ve varış yeri kaydedilir. Ancak, fiziksel postaları anonim olarak göndermek hala mümkündür - pul satın almak (henüz) tezgahta şüphe uyandırmaz.

Bir düzenleyiciye veya haber kuruluşuna gönderilen bir parsel dışarı çıkmayabilir ve alıcıyla aynı kasabadaki yoğun bir yerden gönderilirse, izleyenlere çok az fikir verebilir (bilgi uçuran kişinin elle yazılmış zarflara dikkat etmesi gerekir)..

Belgeler fiziksel biçimde mevcut olduğunda, bunları dijital ortama aktarmak yerine doğrudan göndermek daha güvenli olabilir. Bir posta alıcısı olarak, potansiyel kaynakların kuruluşunuzdaki postaları nasıl ele aldığınızı bilmeleri önemlidir. Posta size şahsen mi gönderilmiş yoksa başka biri tarafından mı açılmış? Ya da kimin neyi alacağına dair kayıtlar tutuluyor mu??

  • Bazı ülkelerde veya kuruluşlarda postalar kesinlikle günlüğe kaydedilir
  • Postalar için hâlâ yüksek yasal koruma var

Telefon ve E-posta

E-posta ve telefonun ele geçirilmesi kolaydır ve çok miktarda meta veri üretir. PGP ile şifrelenmiş e-postalar işe yarayabilir, ancak çok değerli olabilecek meta veriler bırakacaktır (siz ve muhbir bu meta verileri değersiz hale getirme konusunda yetenekli olmadıkça).

Kaynakların sizi doğrulayabildiğinden emin olun

Kendinizi güvenli bir alıcı olarak sunduğunuzda, potansiyel bir kaynağın iletişiminizin her zaman bir taklitçi değil sizden geldiğini doğrulayabildiğinden emin olun.

Kendinizin resimlerini gönderin

Herkese açık bir kaynakla karşılaşırsanız, neye benzediğinizi bildiklerinden ve bir sahtekar tarafından aldatılamayacağından emin olun. Toplantıdan önce güvenli iletişiminiz varsa güvenlik önlemleri kod sözcüklerini içerebilir.

Şifreleme anahtarlarını kullanma

Muhtemelen güçlü bir sosyal medya varlığınız veya en azından kuruluşunuzun resmi web sitesinde barındırılan bir biyografiniz var. Genel anahtarlarınızı barındırmak için profillerinizi kullanın ve iletişiminizde kullandığınız tüm anahtarların parmak izlerini (Signal, OTR, PGP) ekleyin. Herkese açık kayıttaki tuşlar, örneğin hesap değiştirmeniz gerektiğinden yeni bir kimliği doğrulamayı kolaylaştırır.

Kaynaklarınızı nasıl koruyabilirsiniz TL; DR

  • Saygın, şifreli kanallarda kullanılabilir olun
  • Yazışmanızı doğrulamayı kolaylaştırın
Bilgi uçurma kılavuzu: Kaynaklarınızı koruma
admin Author
Sorry! The Author has not filled his profile.