Whistleblowing guide: Hur du skyddar dina källor

[ware_item id=33][/ware_item]

Hur man skyddar en visselpipa.


** Detta är del tre av ExpressVPNs visselpipa. **

Del 1: Whistleblowing guide: Att blåsa visselpipan är tufft
Del 2: Whistleblowing guide: Hur man håller sig anonym när man blåser visselpipan
Del 4: Whistleblowing guide: Varför du ska ta bort metadata

Vill bara ha tl; dr?

En journalist, regulator eller vakthund har en skyldighet att skydda sina källor.

Även om källor ibland kan beviljas rättsligt skydd i vissa sektorer eller länder, finns det en chans att dessa skydd är värdelösa eller täcker inte det här fallet.

Förutom informationssäkerhetsråd i denna artikel kan det mycket väl vara värt att lära sig lagligheten i visselpipa i ditt område. Vissa skydd finns bara under särskilda omständigheter och hur du kommunicerar eller hanterar dokument kan betyda skillnaden mellan källans frihet och tortyr.

Gör dig själv tillgänglig till en källa

Varje potentiell källa kommer att ha en annan förståelse för teknik, lagar och din organisation. Det är din skyldighet att öppna dig själv och bli så tillgänglig som möjligt och att utbilda din källa om hur säker kommunikation fungerar.

SecureDrop

Utvecklad av Aaron Swartz och Kevin Poulson använder dussintals nyhetsorganisationer världen över SecureDrop som en digital brevlåda för känsligt material.

Hur SecureDrop fungerar:

Visselpiparen använder Tor-webbläsaren för att navigera till SecureDrops .onion-adress, där de kan ladda upp dokument.

Efter att ha laddat upp får källan ett lösenord, som de kan använda för att leta efter svar på sina dokument.

Du kan hämta källans dokument från din SecureDrop-server. Filer är krypterade med din PGP-nyckel så att bara du kan öppna dem. För ytterligare säkerhet, använd en bärbar dator med operativsystemet TAILS för att inspektera dokumenten.

SecureDrop anses vara guldstandarden för godkännande av läckor och känsligt material men kan vara svårt att skapa för en individ. Det är också viktigt för visselpipor att veta att de bör undvika att använda Tor Browser på arbetsdatorer eller på vilken dator som är ansluten till deras arbetsnätverk..

  • Svårt att skapa för en individuell eller liten organisation
  • SecureDrop kräver nästan ingen teknisk kunskap från visselpipan

Jabber / XMPP med OTR-kryptering

Jabber (även kallad XMPP) -tjänster är mindre vanliga (Facebook och Google har tappat dem till förmån för mer centraliserade och mindre säkra alternativ), de är fortfarande relativt enkla att ange anonymt - särskilt när de dirigeras genom Tor-nätverket ( Se ExpressVPNs praktiska guide).

Två nyligen skapade anonyma jabberkonton som kommunicerar via Tor med OTR-kryptering har en liten chans att upptäcka, även genom metadata.

  • Inte allmänt använt, svårt att använda på mobila enheter
  • Det går inte att hantera bilder eller bilagor bra
  • Lägsta möjliga upptäckt bland alla messenger-alternativ

Signal

Den krypterade meddelanden-appen Signal är tillgänglig för Android och iOS och gör det möjligt att inte bara utbyta krypterade meddelanden med ett minimalt metadataspår, utan också kommunicera med röst. Signalen är allmänt godkänd av informationssäkerhetsgemenskapen.

  • Kräver ett telefonnummer för att registrera dig (vilket kanske inte är en bra idé)
  • Lätt att installera på mobila enheter och tillåter krypterade röstsamtal

Postadress

All post är vanligtvis fotograferad (på utsidan), vägd och har hämtningspunkten och destinationen registrerad. Det är emellertid fortfarande möjligt att skicka fysisk post anonymt - att köpa frimärken väcker (ännu) inte misstank vid räknaren.

Ett paket som skickas till en tillsynsmyndighet eller nyhetsorganisation kanske inte sticker ut och, om det är postat från en upptagen plats i samma stad som mottagaren, erbjuder liten insikt för de som tittar (men visselpipan måste vara försiktig med handskrivna kuvert).

När dokument finns i fysisk form kan det vara mycket säkrare att skicka dem direkt, snarare än att digitalisera dem. Som mottagare av e-post är det viktigt att låta potentiella källor veta hur du hanterar e-post i din organisation. Är e-post adresserad till dig personligen eller öppnas av någon annan, till exempel? Eller hålls register över vem som får vad?

  • E-post loggas strikt i vissa länder eller organisationer
  • Höga juridiska skydd finns fortfarande för post

Telefon och e-post

E-post och telefon är lätt att fånga upp och producera stora mängder metadata. Krypterade e-postmeddelanden med PGP kan fungera men lämnar metadata som kan vara mycket värdefulla (såvida du och visselpipan är skicklig på att göra dessa metadata värdelösa).

Se till att källor kan verifiera dig

När du erbjuder dig själv som en säker mottagare ska du se till att en potentiell källa alltid kan verifiera att dina kommunikationer kommer från dig och inte en ansträngare.

Skicka bilder av dig själv

Om du möter en källa offentligt, se till att de vet hur du ser ut och inte kan luras av en fördrivare. Säkerhetsåtgärder kan inkludera kodord om du har haft säker kommunikation före mötet.

Använd kryptografiska nycklar

Det är troligt att du har en stark närvaro på sociala medier eller åtminstone en biografi som finns på den officiella webbplatsen för din organisation. Använd dina profiler för att vara värd för dina offentliga nycklar och inkludera fingeravtryck på alla nycklar du använder i din kommunikation (Signal, OTR, PGP). Nycklar på offentligt register gör det lättare att verifiera en ny identitet, till exempel eftersom du behöver byta konto.

Hur du skyddar dina källor TL; DR

  • Var tillgänglig på ansedda, krypterade kanaler
  • Gör det enkelt att verifiera din korrespondens
Whistleblowing guide: Hur du skyddar dina källor
admin Author
Sorry! The Author has not filled his profile.