คู่มือการแจ้งเบาะแส: วิธีป้องกันแหล่งข้อมูลของคุณ
** นี่เป็นส่วนที่สามของคู่มือการแจ้งเบาะแสของ ExpressVPN **
ตอนที่ 1: คำแนะนำการเป่านกหวีด: การเป่านกหวีดนั้นยาก
ส่วนที่ 2: คำแนะนำในการแจ้งเบาะแส: จะไม่เปิดเผยตัวตนอย่างไรเมื่อเป่านกหวีด
ส่วนที่ 4: คำแนะนำในการแจ้งเบาะแส: ทำไมคุณควรลบข้อมูลเมตา
แค่ต้องการ tl; dr?
นักข่าวผู้ควบคุมหรือสุนัขเฝ้าบ้านมีหน้าที่ปกป้องแหล่งที่มาของพวกเขา.
แม้ว่าบางครั้งแหล่งที่มาอาจได้รับความคุ้มครองทางกฎหมายในบางภาคหรือบางประเทศ แต่ก็มีโอกาสที่การป้องกันเหล่านี้จะไร้ค่าหรือไม่ครอบคลุมถึงกรณีนี้โดยเฉพาะ.
นอกจากคำแนะนำด้านความปลอดภัยของข้อมูลในบทความนี้มันอาจคุ้มค่าที่จะเรียนรู้กฎหมายของการแจ้งเบาะแสในพื้นที่ของคุณ การป้องกันบางอย่างมีอยู่เฉพาะในบางสถานการณ์และวิธีที่คุณสื่อสารหรือจัดการเอกสารอาจหมายถึงความแตกต่างระหว่างอิสรภาพและการทรมานของแหล่งข้อมูล.
ทำให้ตัวเองสามารถเข้าถึงแหล่งที่มา
แหล่งที่มาที่มีศักยภาพแต่ละแห่งจะมีความเข้าใจที่แตกต่างกันของเทคโนโลยีกฎหมายและองค์กรของคุณ เป็นหน้าที่ของคุณที่จะต้องเปิดตัวเองและเข้าถึงได้มากที่สุดและเพื่อให้ความรู้แหล่งที่มาของคุณเกี่ยวกับการทำงานของการสื่อสารที่ปลอดภัย.
SecureDrop
พัฒนาโดย Aaron Swartz และ Kevin Poulson องค์กรข่าวหลายสิบแห่งทั่วโลกใช้ SecureDrop เป็นกล่องจดหมายดิจิทัลสำหรับเนื้อหาที่ละเอียดอ่อน.
SecureDrop ทำงานอย่างไร:
ผู้แจ้งเบาะแสใช้เบราว์เซอร์ของ Tor เพื่อนำทางไปยังที่อยู่. onion ของ SecureDrop ซึ่งสามารถอัพโหลดเอกสารได้.
หลังจากอัปโหลดแหล่งที่มาจะได้รับรหัสผ่านซึ่งพวกเขาสามารถใช้เพื่อตรวจสอบการตอบกลับไปยังเอกสารของพวกเขา.
คุณสามารถดึงเอกสารของแหล่งที่มาจากเซิร์ฟเวอร์ SecureDrop ของคุณ ไฟล์จะถูกเข้ารหัสด้วยคีย์ PGP ของคุณเพื่อให้มีเพียงคุณเท่านั้นที่สามารถเปิดได้ เพื่อความปลอดภัยเพิ่มเติมให้ใช้แล็ปท็อปที่มีระบบปฏิบัติการ TAILS เพื่อตรวจสอบเอกสาร.
SecureDrop ถือเป็นมาตรฐานทองคำสำหรับการยอมรับการรั่วไหลและวัสดุที่มีความละเอียดอ่อน แต่อาจเป็นเรื่องยากที่จะตั้งค่าสำหรับบุคคล สิ่งสำคัญสำหรับผู้แจ้งเบาะแสในการรู้ว่าพวกเขาควรหลีกเลี่ยงการใช้ Tor Browser บนคอมพิวเตอร์ที่ทำงานหรือบนคอมพิวเตอร์ที่เชื่อมต่อกับเครือข่ายงานของพวกเขา.
- ตั้งค่าได้ยากสำหรับบุคคลหรือองค์กรขนาดเล็ก
- SecureDrop ไม่ต้องการความรู้ด้านเทคโนโลยีในส่วนของผู้แจ้งเบาะแส
Jabber / XMPP พร้อมการเข้ารหัส OTR
Jabber (เรียกอีกอย่างว่า XMPP) เป็นบริการที่พบได้น้อยกว่า (Facebook และ Google ทำให้พวกเขาตกอยู่ในความดูแลของการรวมศูนย์และมีความปลอดภัยน้อยกว่าทางเลือกอื่น ๆ ) พวกเขายังค่อนข้างง่ายต่อการตั้งค่าโดยไม่ระบุชื่อ ดูคู่มือที่มีประโยชน์ของ ExpressVPN).
บัญชี jabber ที่เพิ่งสร้างใหม่สองบัญชีที่สื่อสารผ่าน Tor กับการเข้ารหัส OTR มีโอกาสค้นพบน้อยแม้ผ่านเมตาดาต้า.
- ไม่ได้ใช้กันอย่างแพร่หลายและใช้งานยากบนอุปกรณ์พกพา
- ไม่สามารถจัดการรูปภาพหรือไฟล์แนบได้ดี
- โอกาสต่ำที่สุดในการค้นพบตัวเลือกผู้ส่งสารทั้งหมด
สัญญาณ
แอปส่งข้อความเข้ารหัสมีให้บริการสำหรับ Android และ iOS และทำให้ไม่เพียง แต่แลกเปลี่ยนข้อความเข้ารหัสด้วยเส้นทางข้อมูลเมตาน้อยที่สุด แต่ยังสื่อสารด้วยเสียง สัญญาณได้รับการรับรองอย่างกว้างขวางจากชุมชนความปลอดภัยของข้อมูล.
- ต้องมีหมายเลขโทรศัพท์ในการสมัคร (ซึ่งอาจไม่ใช่ความคิดที่ดี)
- ติดตั้งง่ายบนอุปกรณ์พกพาและอนุญาตให้ใช้การโทรด้วยเสียงแบบเข้ารหัส
รหัสไปรษณีย์
จดหมายทั้งหมดมักจะถูกถ่ายภาพ (ด้านนอก) ชั่งน้ำหนักและมีจุดรับและปลายทางที่บันทึกไว้ อย่างไรก็ตามยังคงเป็นไปได้ที่จะส่งจดหมายทางกายภาพโดยไม่ระบุชื่อ – การซื้อแสตมป์ไม่ได้เพิ่มความสงสัยที่เคาน์เตอร์.
พัสดุที่ส่งไปยังหน่วยงานกำกับดูแลหรือองค์กรข่าวอาจไม่โดดเด่นและหากโพสต์จากสถานที่ที่วุ่นวายในเมืองเดียวกันกับผู้รับจะให้ข้อมูลเชิงลึกเล็กน้อยแก่ผู้ที่รับชม (แม้ว่าผู้แจ้งเบาะแสจะต้องระมัดระวังด้วยซองจดหมายที่เขียนด้วยมือ).
เมื่อเอกสารอยู่ในรูปแบบทางกายภาพมันอาจจะปลอดภัยกว่าที่จะจัดส่งโดยตรงแทนที่จะเป็นเอกสารดิจิทัล ในฐานะผู้รับจดหมายเป็นสิ่งสำคัญที่จะต้องให้แหล่งข้อมูลที่เป็นไปได้ทราบว่าคุณจัดการกับจดหมายในองค์กรของคุณอย่างไร เมลถูกส่งถึงคุณด้วยตนเองหรือเปิดโดยคนอื่นหรือไม่ หรือมีการเก็บบันทึกเกี่ยวกับผู้ที่ได้รับอะไร?
- จดหมายถูกบันทึกอย่างเคร่งครัดในบางประเทศหรือองค์กร
- การปกป้องทางกฎหมายระดับสูงยังคงมีอยู่สำหรับอีเมล
โทรศัพท์และอีเมล
อีเมลและโทรศัพท์นั้นง่ายต่อการดักจับและสร้างข้อมูลเมตาจำนวนมหาศาล อีเมลที่เข้ารหัสด้วย PGP อาจทำงานได้ แต่จะปล่อยให้ข้อมูลเมตาที่อาจมีค่าสูง (เว้นแต่ว่าคุณและผู้แจ้งเบาะแสจะชำนาญในการทำให้ข้อมูลเมตานี้ไม่มีค่า).
ตรวจสอบให้แน่ใจว่าแหล่งที่มาสามารถยืนยันคุณได้
เมื่อคุณเสนอตัวเองให้เป็นผู้รับที่ปลอดภัยตรวจสอบให้แน่ใจว่าแหล่งที่มาที่เป็นไปได้นั้นสามารถยืนยันได้ว่าการสื่อสารของคุณนั้นมาจากคุณและไม่ใช่การแอบอ้าง.
ส่งรูปภาพของคุณเอง
หากคุณพบแหล่งที่มาในที่สาธารณะตรวจสอบให้แน่ใจว่าพวกเขารู้ว่าคุณมีลักษณะอย่างไรและไม่สามารถถูกหลอกลวงโดยผู้หลอกลวง มาตรการด้านความปลอดภัยอาจรวมถึงรหัสคำหากคุณมีการสื่อสารที่ปลอดภัยก่อนการประชุม.
ใช้คีย์เข้ารหัส
เป็นไปได้ว่าคุณมีสถานะทางโซเชียลมีเดียที่แข็งแกร่งหรืออย่างน้อยชีวประวัติที่โฮสต์บนเว็บไซต์ทางการขององค์กรของคุณ ใช้โปรไฟล์ของคุณเพื่อโฮสต์กุญแจสาธารณะของคุณและรวมถึงลายนิ้วมือของกุญแจทั้งหมดที่คุณใช้ในการสื่อสารของคุณ (สัญญาณ, OTR, PGP) คีย์ในบันทึกสาธารณะจะทำให้ง่ายต่อการตรวจสอบข้อมูลประจำตัวใหม่เช่นเนื่องจากคุณจำเป็นต้องเปลี่ยนบัญชี.
วิธีปกป้องแหล่งที่มาของคุณ TL; DR
- วางจำหน่ายบนช่องสัญญาณที่มีชื่อเสียงและเข้ารหัส
- ทำให้ง่ายต่อการตรวจสอบการติดต่อของคุณ