Whistleblowing guide: Hvordan beskytte kildene dine

[ware_item id=33][/ware_item]

Hvordan beskytte en varsler.


** Dette er del tre av ExpressVPNs varslingsveiledning. **

Del 1: Fløyteveiledning: Å blåse fløyta er tøft
Del 2: Veiledningsveiledning: Hvordan være anonym når du blåser fløyta
Del 4: Whistleblowing guide: Hvorfor du bør fjerne metadataene

Vil bare ha tl; dr?

En journalist, regulator eller vakthund har en plikt til å beskytte sine kilder.

Selv om kilder noen ganger kan gis lovlig beskyttelse i visse sektorer eller land, er det en sjanse for at denne beskyttelsen er verdiløs eller dekker ikke denne spesielle forekomsten.

I tillegg til informasjonssikkerhetsrådene i denne artikkelen, kan det vel være verdt å lære seg lovligheten av varsling i ditt område. Noen beskyttelse finnes bare under spesielle omstendigheter, og hvordan du kommuniserer eller håndterer dokumenter kan bety forskjellen mellom en kildes frihet og tortur.

Gjør deg tilgjengelig til en kilde

Hver potensielle kilde vil ha en annen forståelse av teknologi, lov og organisasjon. Det er din plikt å åpne deg og bli så tilgjengelig som mulig og å utdanne kilden til hvordan sikker kommunikasjon fungerer.

SecureDrop

Utviklet av Aaron Swartz og Kevin Poulson, dusinvis av nyhetsorganisasjoner over hele verden bruker SecureDrop som en digital postkasse for sensitivt materiale.

Slik fungerer SecureDrop:

Varsleren bruker Tor-nettleseren for å navigere til SecureDrops .onion-adresse, der de kan laste opp dokumenter.

Etter opplasting vil kilden få et passord, som de kan bruke til å se etter svar på dokumentene.

Du kan hente kildens dokumenter fra SecureDrop-serveren. Filer er kryptert med PGP-nøkkelen slik at bare du kan åpne dem. For ytterligere sikkerhet, bruk en bærbar datamaskin med operativsystemet TAILS for å inspisere dokumentene.

SecureDrop anses som gullstandarden for aksept av lekkasjer og sensitivt materiale, men kan være vanskelig å sette opp for en person. Det er også viktig for varslere å vite at de bør unngå å bruke Tor Browser på arbeidsdatamaskiner, eller på en hvilken som helst datamaskin som er koblet til arbeidsnettverket deres..

  • Vanskelig å sette opp for en individuell eller liten organisasjon
  • SecureDrop krever nesten ingen teknisk kunnskap fra varsleren

Jabber / XMPP med OTR-kryptering

Jabber (også kalt XMPP) -tjenester er mindre vanlige (Facebook og Google har droppet dem til fordel for mer sentraliserte, og mindre sikre, alternativer), de er fremdeles relativt enkle å sette opp anonymt - spesielt når de blir dirigert gjennom Tor-nettverket ( Se ExpressVPNs praktiske guide.

To nyopprettede anonyme jabberkontoer som kommuniserer gjennom Tor med OTR-kryptering har en liten mulighet for å oppdage, selv gjennom metadata.

  • Ikke mye brukt, vanskelig å bruke på mobile enheter
  • Kan ikke håndtere bilder eller vedlegg godt
  • Laveste sjanse for oppdagelse blant alle messengeralternativer

Signal

Den krypterte meldingsappen, Signal, er tilgjengelig for Android og iOS og gjør det mulig å ikke bare utveksle krypterte meldinger med et minimalt metadataspor, men også kommunisere med stemme. Signal er bredt godkjent av informasjonssikkerhetssamfunnet.

  • Krever et telefonnummer for å registrere deg (som kanskje ikke er en god ide)
  • Enkelt å sette opp på mobile enheter og tillater krypterte taleanrop

Postadresse

All post blir vanligvis fotografert (på utsiden), veid, og har hentepunktet og destinasjonen registrert. Imidlertid er det fortsatt mulig å sende fysisk post anonymt - å kjøpe frimerker gir ikke (ennå) mistanke ved disken.

En pakke som sendes til en regulator eller nyhetsorganisasjon kan ikke skille seg ut, og hvis den er postet fra et travelt sted i samme by som mottakeren, gir den liten innsikt for de som ser på (selv om varsleren må være forsiktig med håndskrevne konvolutter).

Når dokumenter eksisterer i fysisk form, kan det være langt tryggere å sende dem direkte, i stedet for å digitalisere dem. Som mottaker av e-post er det viktig å la potensielle kilder vite hvordan du håndterer e-post i organisasjonen din. Blir e-post adressert til deg personlig eller åpnet av noen andre, for eksempel? Eller føres poster om hvem som mottar hva?

  • E-post logges strengt i noen land eller organisasjoner
  • Høye juridiske beskyttelser eksisterer fortsatt for post

Telefon og e-post

E-post og telefon er enkle å avskjære og produsere enorme mengder metadata. Krypterte e-poster med PGP kan fungere, men vil etterlate metadata som kan være svært verdifulle (med mindre du og varsleren er dyktige til å gjøre disse metadataene verdiløse).

Forsikre deg om at kilder kan bekrefte deg

Når du tilbyr deg selv som en trygg mottaker, må du sørge for at en potensiell kilde alltid kan bekrefte at kommunikasjonen er fra deg og ikke en anbudsgiver.

Send bilder av deg selv

Hvis du møter en kilde i offentligheten, må du forsikre deg om at de vet hvordan du ser ut og ikke kan bli lurt av en vederlag. Sikkerhetstiltak kan inneholde kodeord hvis du har hatt sikker kommunikasjon før møtet.

Bruk kryptografiske nøkler

Det er sannsynlig at du har en sterk tilstedeværelse på sosiale medier eller i det minste en biografi som er vert på det offisielle nettstedet til organisasjonen din. Bruk profilene dine til å være vertskap for dine offentlige nøkler og ta med fingeravtrykk av alle nøkler du bruker i kommunikasjonen din (Signal, OTR, PGP). Nøkler på offentlig post vil gjøre det lettere å bekrefte en ny identitet, for eksempel fordi du må bytte konto.

Hvordan beskytte kildene dine TL; DR

  • Være tilgjengelig på anerkjente, krypterte kanaler
  • Gjør det enkelt å bekrefte korrespondansen
Whistleblowing guide: Hvordan beskytte kildene dine
admin Author
Sorry! The Author has not filled his profile.