Guida alle segnalazioni: come proteggere le tue fonti

[ware_item id=33][/ware_item]

Come proteggere un informatore.


** Questa è la terza parte della guida alle segnalazioni di ExpressVPN. **

Parte 1: Whistleblowing guide: soffiare il fischio è duro
Parte 2: Guida alle segnalazioni: come rimanere anonimi quando si fischia
Parte 4: Guida alle segnalazioni: perché dovresti rimuovere i metadati

Voglio solo il tl; dr?

Un giornalista, un regolatore o un cane da guardia ha il dovere di proteggere le proprie fonti.

Sebbene a volte alle fonti possa essere garantita la protezione giuridica in determinati settori o paesi, esiste la possibilità che queste protezioni siano prive di valore o non coprano questo caso specifico.

Oltre ai consigli sulla sicurezza delle informazioni contenuti in questo articolo, potrebbe valere la pena imparare la legalità del whistleblowing nella tua zona. Alcune protezioni esistono solo in circostanze particolari e il modo in cui comunichi o gestisci i documenti potrebbe significare la differenza tra la libertà e la tortura di una fonte.

Renditi raggiungibile da una fonte

Ogni potenziale fonte avrà una diversa comprensione della tecnologia, della legge e della tua organizzazione. È tuo dovere aprirti e diventare il più raggiungibile possibile ed educare la tua fonte su come funzionano le comunicazioni sicure.

SecureDrop

Sviluppate da Aaron Swartz e Kevin Poulson, decine di organizzazioni giornalistiche in tutto il mondo usano SecureDrop come cassetta postale digitale per materiale sensibile.

Come funziona SecureDrop:

Il whistleblower utilizza Tor Browser per navigare all'indirizzo .onion di SecureDrop, dove possono caricare documenti.

Dopo il caricamento, l'origine riceverà un passcode, che potranno utilizzare per controllare le risposte ai loro documenti.

Puoi recuperare i documenti della fonte dal tuo server SecureDrop. I file sono crittografati con la chiave PGP in modo che solo tu puoi aprirli. Per ulteriore sicurezza, utilizzare un laptop con il sistema operativo TAILS per ispezionare i documenti.

SecureDrop è considerato il gold standard per l'accettazione di perdite e materiale sensibile, ma può essere difficile da configurare per un individuo. È anche importante che gli informatori sappiano che dovrebbero evitare di utilizzare Tor Browser su computer di lavoro o su qualsiasi computer collegato alla loro rete di lavoro.

  • Difficile da configurare per una singola o piccola organizzazione
  • SecureDrop non richiede quasi alcuna conoscenza tecnica da parte del whistleblower

Jabber / XMPP con crittografia OTR

I servizi di Jabber (noto anche come XMPP) sono meno comuni (Facebook e Google li hanno abbandonati a favore di alternative più centralizzate e meno sicure), sono ancora relativamente facili da configurare in modo anonimo, specialmente quando instradati attraverso la rete Tor ( Consulta la pratica guida di ExpressVPN).

Due account jabber anonimi di nuova creazione che comunicano tramite Tor con la crittografia OTR hanno scarse possibilità di essere scoperti, anche attraverso i metadati.

  • Non ampiamente utilizzato, difficile da usare su dispositivi mobili
  • Non è possibile gestire bene immagini o allegati
  • Minima possibilità di scoperta tra tutte le opzioni di messaggistica

Segnale

L'app di messaggistica crittografata, Signal, è disponibile per Android e iOS e consente non solo di scambiare messaggi crittografati con una traccia minima di metadati, ma anche di comunicare con la voce. Signal è ampiamente supportato dalla comunità della sicurezza delle informazioni.

  • Richiede un numero di telefono per iscriversi (che potrebbe non essere una buona idea)
  • Facile da configurare su dispositivi mobili e consente chiamate vocali crittografate

Indirizzo postale

Tutta la posta viene solitamente fotografata (all'esterno), pesata e ha il punto di raccolta e la destinazione registrati. Tuttavia, è ancora possibile inviare posta fisica in forma anonima: l'acquisto di francobolli non (ancora) genera sospetti allo sportello.

Un pacco spedito a un regolatore o a un'agenzia di stampa potrebbe non sporgere e, se inviato da un luogo affollato nella stessa città del destinatario, offre scarse informazioni a chi guarda (anche se l'informatore deve fare attenzione con le buste scritte a mano).

Quando i documenti esistono in forma fisica, potrebbe essere molto più sicuro spedirli direttamente, piuttosto che digitalizzarli. In quanto destinatario della posta, è importante far conoscere a potenziali fonti come gestisci la posta nella tua organizzazione. La posta ti viene indirizzata di persona o aperta da qualcun altro, ad esempio? O sono conservate le registrazioni su chi riceve cosa?

  • La posta viene registrata rigorosamente in alcuni paesi o organizzazioni
  • Esistono ancora protezioni legali elevate per la posta

Telefono ed e-mail

Email e telefono sono facili da intercettare e producono grandi quantità di metadati. Le e-mail crittografate con PGP potrebbero funzionare ma lasceranno metadati che potrebbero essere estremamente preziosi (a meno che tu e il tuo informatore non siate abili nel rendere inutili questi metadati).

Assicurati che le fonti possano verificarti

Quando ti offri come destinatario sicuro, assicurati che una potenziale fonte possa sempre verificare che le tue comunicazioni provengano da te e non da un impostore.

Invia foto di te stesso

Se incontri una fonte in pubblico, assicurati che sappiano che aspetto hai e che non possono essere ingannati da un impostore. Le misure di sicurezza potrebbero includere parole in codice se hai avuto comunicazioni sicure prima della riunione.

Usa le chiavi crittografiche

È probabile che tu abbia una forte presenza sui social media o almeno una biografia ospitata sul sito ufficiale della tua organizzazione. Usa i tuoi profili per ospitare le tue chiavi pubbliche e includi le impronte digitali di tutte le chiavi che usi nelle tue comunicazioni (Signal, OTR, PGP). Le chiavi nei registri pubblici renderanno più semplice la verifica di una nuova identità, ad esempio perché è necessario cambiare account.

Come proteggere le tue fonti TL; DR

  • Essere disponibili su canali affidabili e crittografati
  • Semplifica la verifica della tua corrispondenza
Guida alle segnalazioni: come proteggere le tue fonti
admin Author
Sorry! The Author has not filled his profile.