Ръководство за подаване на сигнали: Как да защитим източниците си

[ware_item id=33][/ware_item]

Как да защитим свирка.


** Това е част трета от ръководството за свирка на ExpressVPN. **

Част 1: Ръководство за подаване на сигнали за свирка: Ударът на свирката е труден
Част 2: Ръководство за подаване на сигнали за свирка: Как да останем анонимни при издухване на свирката
Част 4: Ръководство за подаване на сигнали: Защо трябва да премахнете метаданните

Просто искам tl; dr?

Журналист, регулатор или пазач има задължение да защитава източниците си.

Въпреки че понякога източниците могат да получат правна закрила в определени сектори или страни, има вероятност тези защити да не са полезни или да не покриват този конкретен случай.

В допълнение към съветите за информационна сигурност в тази статия може да си струва да научите законността на подаването на сигнали във вашата област. Някои защити съществуват само при определени обстоятелства и това, как комуникирате или боравите с документи, може да означава разликата между свободата и изтезанията на източника.

Осигурете си достъпност до източник

Всеки потенциален източник ще има различно разбиране за технологиите, закона и вашата организация. Ваше задължение е да се отворите и да станете възможно най-достъпни и да обучите своя източник за това как работят защитените комуникации.

SecureDrop

Разработен от Аарон Суорц и Кевин Poulson, десетки новинарски организации по света използват SecureDrop като цифрова пощенска кутия за чувствителни материали.

Как работи SecureDrop:

Сигналистът използва браузъра Tor, за да се придвижва до .onion адреса на SecureDrop, където те могат да качват документи.

След качването източникът ще получи парола, която те могат да използват за проверка на отговорите на техните документи.

Можете да извлечете документите на източника от вашия SecureDrop сървър. Файловете са шифровани с вашия PGP ключ, така че само вие можете да ги отворите. За допълнителна сигурност използвайте лаптоп с операционната система TAILS, за да проверите документите.

SecureDrop се счита за златен стандарт за приемане на течове и чувствителен материал, но може да бъде трудно да се настрои за отделен човек. Важно е също така, че лицата, подаващи сигнали, знаят, че трябва да избягват използването на браузъра Tor на работни компютри или на всеки компютър, свързан към тяхната работна мрежа.

  • Трудно е да се създаде за отделна или малка организация
  • SecureDrop не изисква почти никакви технически познания от страна на сигнализатора

Jabber / XMPP с OTR криптиране

Услугите на Jabber (наричани още XMPP) са по-рядко срещани (Facebook и Google са ги отказали в полза на по-централизирани и по-малко защитени алтернативи), те все още са сравнително лесни за настройване анонимно - особено когато се насочват през мрежата Tor ( Вижте удобното ръководство на ExpressVPN).

Две новосъздадени анонимни jabber акаунти, комуникиращи през Tor с OTR криптиране, имат тънък шанс за откриване, дори чрез метаданни.

  • Не се използва широко, трудно се използва на мобилни устройства
  • Не могат да се справят добре с изображения или прикачени файлове
  • Най-нисък шанс за откриване сред всички опции за пратеник

сигнал

Приложението за криптирани съобщения, Signal, е достъпно за Android и iOS и позволява не само да обменяте криптирани съобщения с минимална следа от метаданни, но и да комуникирате чрез глас. Сигналът е широко одобрен от общността за информационна сигурност.

  • Изисква телефонен номер за регистрация (което може да не е добра идея)
  • Лесна за настройка на мобилни устройства и позволява криптирани гласови повиквания

Пощенски адрес

Цялата поща обикновено се снима (от външната страна), претегля и е записана точката на получаване и местоназначението. Въпреки това все още е възможно да изпращате физическа поща анонимно - закупуването на марки не (все още) не предизвиква подозрение на гишето.

Пакет, изпратен до регулатор или информационна организация, може да не излезе и ако е публикуван от заето място в същия град като получателя, предлага малко поглед върху гледащите (макар че лицата, които подават сигнали, трябва да внимават с написаните на ръка пликове).

Когато документите съществуват във физическа форма, може да бъде далеч по-безопасно да ги изпратите директно, вместо да ги оцифрите. Като получател на поща е важно да уведомите потенциалните източници как се справяте с пощата във вашата организация. Адресът е адресиран лично до вас или е отворен от някой друг, например? Или се водят записи за това кой какво получава?

  • Пощата се регистрира стриктно в някои страни или организации
  • Все още има висока правна защита за пощата

Телефон и електронна поща

Имейлът и телефонът са лесни за прихващане и създават огромно количество метаданни. Шифрованите имейли с PGP може да работят, но ще оставят метаданни, които биха могли да бъдат много ценни (освен ако вие и лицата, подаващи сигнали, сте квалифицирани да направят тези метаданни безполезни).

Уверете се, че източниците могат да ви проверят

Когато се предлагате като сигурен получател, уверете се, че потенциалният източник винаги може да потвърди, че комуникациите ви са от вас, а не самодател.

Изпращайте снимки на себе си

Ако срещнете източник на публично място, уверете се, че те знаят как изглеждате и не могат да бъдат измамени от самозванец. Мерките за безопасност могат да включват кодови думи, ако сте имали сигурна комуникация преди срещата.

Използвайте криптографски ключове

Вероятно имате силно присъствие в социалните медии или поне биография, хоствана на официалния уебсайт на вашата организация. Използвайте профилите си, за да хоствате публичните си ключове и включете пръстовите отпечатъци на всички ключове, които използвате в комуникациите си (сигнал, OTR, PGP). Клавишите на публичните записи ще улеснят проверката на нова самоличност, например, защото трябва да превключвате акаунти.

Как да защитим източниците си TL; DR

  • Бъдете достъпни по реномирани, криптирани канали
  • Улеснявайте проверката на кореспонденцията си
Ръководство за подаване на сигнали: Как да защитим източниците си
admin Author
Sorry! The Author has not filled his profile.