מדריך לשריקה: כיצד להגן על המקורות שלך

כיצד להגן על משרוקית.

** זהו חלק שלישי במדריך לשרוקיות של ExpressVPN. **

חלק 1: מדריך משרוקית: פיצוץ המשרוקית קשה
חלק 2: מדריך מכת שריקה: כיצד להישאר בעילום שם כשנשף את המשרוקית
חלק 4: מדריך לשריקה: מדוע עליכם להסיר את המטא נתונים

רק רוצה את ה- tl; dr?

על עיתונאית, רגולטורית או כלב שמירה חובה להגן על מקורותיהם.

בעוד שלעתים ניתן לקבל מקורות הגנה משפטית במגזרים או במדינות מסוימות, יש סיכוי שההגנות הללו חסרות ערך או שאינן מכסות מקרה כזה או אחר..

בנוסף לייעוץ בנושא אבטחת מידע במאמר זה, ייתכן מאוד שווה ללמוד את החוקיות של משרוקיות באזורך. הגנות מסוימות קיימות רק בנסיבות מסוימות וכיצד אתה מתקשר או מטפל במסמכים יכול להיות ההבדל בין חופש המקור לעינויים.

הפוך את עצמך לנגיש למקור

לכל מקור פוטנציאלי תהיה הבנה שונה של הטכנולוגיה, החוק והארגון שלך. חובתך לפתוח את עצמך ולהיות נגיש ככל האפשר ולחנך את המקור שלך לגבי אופן פעולתו של תקשורת מאובטחת.

SecureDrop

עשרות ארגוני חדשות ברחבי העולם, שפותחו על ידי אהרון שווארץ וקווין פולסון, משתמשים ב- SecureDrop כתיבת דואר דיגיטלית לחומר רגיש..

כיצד עובד SecureDrop:

מפוצל המשרוקית משתמש בדפדפן טור כדי לנווט לכתובת .onion של SecureDrop, שם הם יכולים להעלות מסמכים..

לאחר העלאה המקור יקבל קוד סיסמא, בו הם יכולים להשתמש בכדי לבדוק תשובות למסמכים שלהם.

אתה יכול לאחזר את מסמכי המקור משרת SecureDrop שלך. קבצים מוצפנים באמצעות מפתח PGP כך שרק אתה יכול לפתוח אותם. לצורך אבטחה נוספת, השתמש במחשב נייד עם מערכת ההפעלה TAILS כדי לבדוק את המסמכים.

SecureDrop נחשב לתקן הזהב לקבלה של דליפות וחומרים רגישים אך יכול להיות קשה להגדיר אותו עבור אדם. חשוב גם לבעלי משרוקיות לדעת שהם צריכים להימנע משימוש בדפדפן ה- Tor במחשבי עבודה, או בכל מחשב המחובר לרשת העבודה שלהם..

  • קשה להקים לארגון אינדיבידואלי או קטן
  • SecureDrop אינו דורש כמעט שום ידע טכני מצד המשרוקית

Jabber / XMPP עם הצפנת OTR

שירותי ג’אבר (המכונים גם XMPP) פחות נפוצים (פייסבוק וגוגל השמיטו אותם לטובת אלטרנטיבות יותר ופחות מאובטחות), עדיין קל יחסית להקים אותם באופן אנונימי – במיוחד כאשר הם מועברים דרך רשת טור ( עיין במדריך השימושי של ExpressVPN).

שני חשבונות זבל אנונימיים שנוצרו לאחרונה ומתקשרים באמצעות טור עם קידוד OTR הם בעלי סיכוי קלוש לגילוי, אפילו באמצעות מטא נתונים.

  • לא בשימוש נרחב, קשה לשימוש במכשירים ניידים
  • לא ניתן להתמודד עם תמונות או קבצים מצורפים היטב
  • הסיכוי הנמוך ביותר לגילוי מבין כל אפשרויות המסנג’ר

אות

אפליקציית ההודעות המוצפנת, Signal, זמינה עבור אנדרואיד ו- iOS ומאפשרת לא רק להחליף הודעות מוצפנות עם מסלול מטא נתונים מינימלי, אלא גם לתקשר באמצעות קול. איתות נרחב מאושר על ידי קהילת אבטחת המידע.

  • דרוש מספר טלפון כדי להירשם (וזה אולי לא רעיון טוב)
  • קל להתקנה במכשירים ניידים ומאפשר שיחות קוליות מוצפנות

כתובת דואר

בדרך כלל כל הדואר מצולם (מבחוץ), נשקל, ונרשמת בו נקודת האיסוף והיעד. עם זאת, עדיין ניתן לשלוח דואר פיזי באופן אנונימי – קניית בולים אינה מעוררת (עדיין) חשד בדלפק..

יתכן כי חבילה המועברת לרגולטור או לארגון חדשות לא תבלוט, ואם תוצג ממקום סואן באותה עיירה כמו המקבל, היא מציעה מעט תובנות למתבוננים (אף על פי שהמשרוקית צריכה להיזהר במעטפות בכתב יד).

כאשר מסמכים קיימים בצורה פיזית, ייתכן שיהיה הרבה יותר בטוח לשלוח אותם ישירות, ולא לבצע דיגיטציה. כמקבל דואר, חשוב לאפשר למקורות פוטנציאליים לדעת כיצד אתה מטפל בדואר בארגון שלך. האם דואר מופנה אליך באופן אישי או נפתח על ידי מישהו אחר, למשל? או שמורים רשומות לגבי מי מקבל מה?

  • דואר רשום בקפדנות במדינות או בארגונים מסוימים
  • הגנות משפטיות גבוהות עדיין קיימות לדואר

טלפון ודואר אלקטרוני

קל ליירט דוא”ל וטלפון ולייצר כמויות אדירות של מטא נתונים. כתובות דוא”ל מוצפנות עם PGP עשויות לעבוד אך ישאירו מטא נתונים שיכולים להיות בעלי ערך רב (אלא אם כן אתה והמשרוקית מיומנים בהפיכת מטא נתונים אלה חסרי ערך).

ודא שמקורות יכולים לאמת אותך

כאשר אתה מציע את עצמך כמקבל בטוח, וודא שמקור פוטנציאלי תמיד יכול לאמת שהתקשורת שלך היא ממך ולא מתחזה.

שלח תמונות של עצמך

אם אתה פוגש מקור בציבור, וודא שהם ידעו איך אתה נראה ולא יכול להיות שולל על ידי מתחזה. אמצעי בטיחות עשויים לכלול מילות קוד אם הייתה לך תקשורת מאובטחת לפני הפגישה.

השתמש במפתחות קריפטוגרפיים

סביר להניח שיש לך נוכחות חזקה במדיה החברתית או לפחות ביוגרפיה המתארחת באתר הרשמי של הארגון שלך. השתמש בפרופילים שלך כדי לארח את המפתחות הציבוריים שלך וכולל את טביעות האצבע של כל המפתחות שבהם אתה משתמש בתקשורת שלך (אות, OTR, PGP). מפתחות הרשומה הציבורית יקלו על אימות זהות חדשה, למשל מכיוון שאתה צריך להחליף חשבונות.

כיצד להגן על המקורות שלך TL; DR

  • היה זמין בערוצים מוצפנים מכובדים
  • הקלו על אימות התכתבויות שלכם