Руководство по информированию: как защитить свои источники

Как защитить информатора.

** Это третья часть Руководства ExpressVPN. **

Часть 1: Руководство по информированию: жесткое свистание
Часть 2: Руководство по информированию: как остаться анонимным при свистке
Часть 4. Руководство по информированию: почему вы должны удалить метаданные

Просто хочу тл; др?

Журналист, регулирующий орган или сторожевой пес обязан защищать свои источники.

Хотя источникам иногда может быть предоставлена ​​правовая защита в определенных секторах или странах, есть вероятность, что эти средства защиты бесполезны или не охватывают этот конкретный случай.

В дополнение к советам по информационной безопасности, приведенным в этой статье, вполне возможно, стоит изучить законность сообщений о нарушениях в вашем регионе. Некоторые средства защиты существуют только в определенных обстоятельствах, и то, как вы общаетесь или обрабатываете документы, может означать разницу между свободой источника и пытками..

Сделайте себя доступным для источника

Каждый потенциальный источник будет иметь различное понимание технологии, закона и вашей организации. Ваша обязанность – открыть себя и стать как можно более доступным и рассказать своему источнику о том, как работают безопасные коммуникации.

SecureDrop

Разработанные Aaron Swartz и Kevin Poulson, десятки новостных организаций по всему миру используют SecureDrop в качестве цифрового почтового ящика для конфиденциальных материалов..

Как работает SecureDrop:

Информатор использует Tor Browser для перехода на адрес .onion SecureDrop, где они могут загружать документы.

После загрузки источник получит код доступа, который они могут использовать для проверки ответов на свои документы..

Вы можете получить исходные документы с вашего сервера SecureDrop. Файлы зашифрованы вашим ключом PGP, так что только вы можете открыть их. Для дополнительной безопасности используйте ноутбук с операционной системой TAILS для проверки документов..

SecureDrop считается золотым стандартом для принятия утечек и чувствительных материалов, но может быть трудно настроить для человека. Для осведомителей также важно знать, что им следует избегать использования браузера Tor на рабочих компьютерах или на любом компьютере, подключенном к их рабочей сети..

  • Трудно настроить для индивидуальной или небольшой организации
  • SecureDrop практически не требует технических знаний со стороны осведомителя

Jabber / XMPP с шифрованием OTR

Службы Jabber (также называемые XMPP) встречаются реже (Facebook и Google отказались от них в пользу более централизованных и менее безопасных альтернатив), их по-прежнему относительно легко установить анонимно – особенно при маршрутизации через сеть Tor ( Смотрите полезное руководство ExpressVPN).

Две недавно созданные анонимные учетные записи jabber, обменивающиеся данными через Tor с использованием OTR-шифрования, имеют небольшие шансы на обнаружение даже через метаданные.

  • Не широко используется, трудно использовать на мобильных устройствах
  • Не может хорошо обрабатывать изображения или вложения
  • Самый низкий шанс обнаружения среди всех вариантов мессенджера

Сигнал

Приложение для передачи зашифрованных сообщений Signal доступно для Android и iOS и позволяет не только обмениваться зашифрованными сообщениями с минимальным количеством метаданных, но и общаться голосом. Сигнал широко поддерживается сообществом информационной безопасности.

  • Требуется номер телефона, чтобы зарегистрироваться (что не может быть хорошей идеей)
  • Простота установки на мобильных устройствах и позволяет шифровать голосовые звонки

Почтовый адрес

Вся почта, как правило, фотографируется (снаружи), взвешивается, и в ней регистрируются пункт получения и пункт назначения. Тем не менее, по-прежнему возможно отправлять физическую почту анонимно – покупка марок не вызывает (пока) подозрений у прилавка.

Посылка, отправленная регулятору или новостной организации, может не торчать и, если она отправлена ​​из оживленного места в том же городе, что и получатель, мало что дает понять зрителям (хотя осведомитель должен быть осторожен с рукописными конвертами).

Когда документы существуют в физической форме, гораздо безопаснее отправить их напрямую, чем оцифровать. Как получатель почты, важно, чтобы потенциальные источники знали, как вы обращаетесь с почтой в вашей организации. Письмо адресовано вам лично или открыто кем-то другим, например? Или хранятся записи о том, кто что получает?

  • Почта регистрируется строго в некоторых странах или организациях
  • Высокая юридическая защита все еще существует для почты

Телефон и электронная почта

Электронная почта и телефон легко перехватываются и производят огромное количество метаданных. Зашифрованные письма с PGP могут работать, но оставят метаданные, которые могут быть очень ценными (если только вы и осведомитель не умеете делать эти метаданные бесполезными).

Убедитесь, что источники могут подтвердить вас

Когда вы предлагаете себя в качестве безопасного получателя, убедитесь, что потенциальный источник всегда может проверить, что ваши сообщения принадлежат вам, а не обманщику.

Отправить фотографии себя

Если вы встречаетесь с источником публично, убедитесь, что он знает, как вы выглядите и не может быть обманут обманщиком. Меры безопасности могут включать кодовые слова, если вы имели безопасную связь до встречи.

Используйте криптографические ключи

Вероятно, вы широко представлены в социальных сетях или, по крайней мере, биографии, размещенной на официальном сайте вашей организации. Используйте свои профили для размещения ваших открытых ключей и включайте отпечатки всех ключей, которые вы используете в своих коммуникациях (Сигнал, OTR, PGP). Ключи в публичной записи упростят проверку новой личности, например, потому что вам нужно сменить учетную запись.

Как защитить свои источники TL; DR

  • Быть доступным на надежных, зашифрованных каналах
  • Упростите проверку своей корреспонденции

Руководство по информированию: как защитить свои источники

Как защитить информатора.

** Это третья часть Руководства ExpressVPN. **

Часть 1: Руководство по информированию: жесткое свистание
Часть 2: Руководство по информированию: как остаться анонимным при свистке
Часть 4. Руководство по информированию: почему вы должны удалить метаданные

Просто хочу тл; др?

Журналист, регулирующий орган или сторожевой пес обязан защищать свои источники.

Хотя источникам иногда может быть предоставлена ​​правовая защита в определенных секторах или странах, есть вероятность, что эти средства защиты бесполезны или не охватывают этот конкретный случай.

В дополнение к советам по информационной безопасности, приведенным в этой статье, вполне возможно, стоит изучить законность сообщений о нарушениях в вашем регионе. Некоторые средства защиты существуют только в определенных обстоятельствах, и то, как вы общаетесь или обрабатываете документы, может означать разницу между свободой источника и пытками..

Сделайте себя доступным для источника

Каждый потенциальный источник будет иметь различное понимание технологии, закона и вашей организации. Ваша обязанность – открыть себя и стать как можно более доступным и рассказать своему источнику о том, как работают безопасные коммуникации.

SecureDrop

Разработанные Aaron Swartz и Kevin Poulson, десятки новостных организаций по всему миру используют SecureDrop в качестве цифрового почтового ящика для конфиденциальных материалов..

Как работает SecureDrop:

Информатор использует Tor Browser для перехода на адрес .onion SecureDrop, где они могут загружать документы.

После загрузки источник получит код доступа, который они могут использовать для проверки ответов на свои документы..

Вы можете получить исходные документы с вашего сервера SecureDrop. Файлы зашифрованы вашим ключом PGP, так что только вы можете открыть их. Для дополнительной безопасности используйте ноутбук с операционной системой TAILS для проверки документов..

SecureDrop считается золотым стандартом для принятия утечек и чувствительных материалов, но может быть трудно настроить для человека. Для осведомителей также важно знать, что им следует избегать использования браузера Tor на рабочих компьютерах или на любом компьютере, подключенном к их рабочей сети..

  • Трудно настроить для индивидуальной или небольшой организации
  • SecureDrop практически не требует технических знаний со стороны осведомителя

Jabber / XMPP с шифрованием OTR

Службы Jabber (также называемые XMPP) встречаются реже (Facebook и Google отказались от них в пользу более централизованных и менее безопасных альтернатив), их по-прежнему относительно легко установить анонимно – особенно при маршрутизации через сеть Tor ( Смотрите полезное руководство ExpressVPN).

Две недавно созданные анонимные учетные записи jabber, обменивающиеся данными через Tor с использованием OTR-шифрования, имеют небольшие шансы на обнаружение даже через метаданные.

  • Не широко используется, трудно использовать на мобильных устройствах
  • Не может хорошо обрабатывать изображения или вложения
  • Самый низкий шанс обнаружения среди всех вариантов мессенджера

Сигнал

Приложение для передачи зашифрованных сообщений Signal доступно для Android и iOS и позволяет не только обмениваться зашифрованными сообщениями с минимальным количеством метаданных, но и общаться голосом. Сигнал широко поддерживается сообществом информационной безопасности.

  • Требуется номер телефона, чтобы зарегистрироваться (что не может быть хорошей идеей)
  • Простота установки на мобильных устройствах и позволяет шифровать голосовые звонки

Почтовый адрес

Вся почта, как правило, фотографируется (снаружи), взвешивается, и в ней регистрируются пункт получения и пункт назначения. Тем не менее, по-прежнему возможно отправлять физическую почту анонимно – покупка марок не вызывает (пока) подозрений у прилавка.

Посылка, отправленная регулятору или новостной организации, может не торчать и, если она отправлена ​​из оживленного места в том же городе, что и получатель, мало что дает понять зрителям (хотя осведомитель должен быть осторожен с рукописными конвертами).

Когда документы существуют в физической форме, гораздо безопаснее отправить их напрямую, чем оцифровать. Как получатель почты, важно, чтобы потенциальные источники знали, как вы обращаетесь с почтой в вашей организации. Письмо адресовано вам лично или открыто кем-то другим, например? Или хранятся записи о том, кто что получает?

  • Почта регистрируется строго в некоторых странах или организациях
  • Высокая юридическая защита все еще существует для почты

Телефон и электронная почта

Электронная почта и телефон легко перехватываются и производят огромное количество метаданных. Зашифрованные письма с PGP могут работать, но оставят метаданные, которые могут быть очень ценными (если только вы и осведомитель не умеете делать эти метаданные бесполезными).

Убедитесь, что источники могут подтвердить вас

Когда вы предлагаете себя в качестве безопасного получателя, убедитесь, что потенциальный источник всегда может проверить, что ваши сообщения принадлежат вам, а не обманщику.

Отправить фотографии себя

Если вы встречаетесь с источником публично, убедитесь, что он знает, как вы выглядите и не может быть обманут обманщиком. Меры безопасности могут включать кодовые слова, если вы имели безопасную связь до встречи.

Используйте криптографические ключи

Вероятно, вы широко представлены в социальных сетях или, по крайней мере, биографии, размещенной на официальном сайте вашей организации. Используйте свои профили для размещения ваших открытых ключей и включайте отпечатки всех ключей, которые вы используете в своих коммуникациях (Сигнал, OTR, PGP). Ключи в публичной записи упростят проверку новой личности, например, потому что вам нужно сменить учетную запись.

Как защитить свои источники TL; DR

  • Быть доступным на надежных, зашифрованных каналах
  • Упростите проверку своей корреспонденции