ما هو SecureDrop
SecureDrop آلية تستخدمها المؤسسات الإعلامية والمنظمات لتلقي معلومات مقدمة بصورة مجهولة.
إنه ليس مجرد خدمة لإرسال الملفات. إنه نظام لحماية المصادر يفترض أن يدخل مقدّم المعلومات باستخدام Browser، وأن تجهز جهة المؤسسة الإعلامية بيئة استقبال آمنة.
SecureDrop أساس عملي تستخدمه المؤسسات الإعلامية والمنظمات لتلقي معلومات مقدمة بصورة مجهولة. نقدمه هنا لأنه ليس مجرد نموذج إرسال، بل يفترض جهة مقدّم معلومات تستخدم Tor Browser، وجهة استقبال تعمل وهي تفكر في حماية المصادر.
URL : https://securedrop.org/
ينظم هذا المقال SecureDrop لا بوصفه "نموذج إرسال مريحًا"، بل بوصفه تشغيلًا لحماية المصادر.
أساسيات SecureDrop
SecureDrop نظام لتقديم المعلومات يتيح إرسال مواد ورسائل بصورة مجهولة.
في كثير من الحالات، تشغل جهة الاستقبال، مثل مؤسسة إعلامية أو منظمة غير حكومية، بيئة SecureDrop، ويدخل مقدّم المعلومات إلى صفحة SecureDrop الخاصة بتلك الجهة من Tor Browser.
| الموقع | الدور |
|---|---|
| مقدّم المعلومات | يستخدم Tor Browser لإرسال مواد ورسائل |
| المؤسسة الإعلامية | تشغل بيئة SecureDrop وتتلقى المواد المرسلة |
| الصحفي | يتحقق من المواد المستلمة ويتعامل معها مع مراعاة حماية المصادر |
| SecureDrop | يصبح بنية تمرير لتقديم المعلومات بصورة مجهولة |
يُستخدم SecureDrop لحماية التواصل الأولي بين المصدر والمؤسسة الإعلامية.
لكن استخدامه لا يزيل كل المخاطر تلقائيًا.
عادةً يدخل مقدّمو المعلومات الذين يستخدمون SecureDrop من Tor Browser. والغرض من ذلك هو أن يصعب على جهة الاستقبال رؤية عنوان IP الأصلي المعتاد مباشرة.
لكن حتى عند الدخول باستخدام Tor Browser، فإن استخدام جهاز عمل أو شبكة عمل يترك سجلات أخرى. كذلك، إذا كانت المواد التي ترسلها تحتوي على معلومات تدل عليك، يبقى الخطر حتى لو أخفيت مسار الاتصال.
SecureDrop آلية لإنشاء "مدخل مجهول". وهو ليس آلية تجعل محتوى المواد نفسه مجهولًا.
ما الذي صُمم لحمايته
ما يحاول SecureDrop حمايته أساسًا هو مسار التواصل بين مقدّم المعلومات وجهة الاستقبال.
في البريد الإلكتروني العادي أو الرسائل الخاصة على الشبكات الاجتماعية، تصبح حسابات المرسل، وعنوان IP، ووقت الإرسال، والملفات المرفقة، وسجلات مزود الخدمة مشكلات. يفترض SecureDrop استخدام Tor، ويتيح الإرسال بصيغة تجعل مصدر اتصال مقدّم المعلومات أصعب في الظهور مباشرة.
| ما يسهل حمايته | الشرح |
|---|---|
| عنوان IP المصدر | لأن الدخول يتم عبر Tor، يصعب على جهة الاستقبال رؤيته مباشرة |
| حساب الاسم الحقيقي | يمكن الإرسال من دون استخدام بريد إلكتروني أو حسابات شبكات اجتماعية |
| التواصل الأولي | يمكن تقديم المعلومات من دون استخدام وسيلة تواصل عادية منذ البداية |
| الرسائل المستمرة | يمكن تبادل الرسائل باستخدام اسم رمزي |
SecureDrop قوي بوصفه مدخلًا لتقديم المعلومات بصورة مجهولة.
لكن تبقى على حدة مخاطر الاستدلال على المصدر من محتوى الملفات، والبيانات الوصفية، وخصائص الكتابة، ومضمون المعلومات.
مخاطر تبقى حتى مع SecureDrop
استخدام SecureDrop لا يعني أن حماية المصادر انتهت.
دخل مقدّم المعلومات من جهاز العمل. بقي اسم المنشئ في المادة. تضمّن النص ظروفًا لا يعرفها إلا الشخص نفسه. بعد الإرسال مباشرة، بقيت سجلات عرض الملف داخل المنظمة. في مثل هذه الحالات، قد يُشتبه في المصدر من مسار آخر.
| الخطر الباقي | الشرح |
|---|---|
| البيانات الوصفية للملف | يبقى المنشئ، واسم المنظمة، وموقع التصوير، وسجل التحرير |
| الاستدلال العكسي من المحتوى | إذا كان عدد من يعرفون المعلومة قليلًا، تضيق قائمة المرشحين |
| الجهاز والبيئة | الاستخدام من أجهزة العمل أو الشبكات الخاضعة للمراقبة خطر |
| توقيت الإرسال | يُقارن مع سجلات داخلية أو أحداث |
| تشغيل جهة الاستقبال | يحدث التسرب من طريقة حفظ الصحفيين للمواد وعرضها ومشاركتها |
SecureDrop آلية تحمي جزءًا من مسار الاتصال.
لحماية المصادر، يلزم أيضًا فحص المواد، ومراعاة النشر، وتشغيل جهة الاستقبال.
ما ينبغي أن يفحصه مقدّم المعلومات
يحتاج مقدّم المعلومات أيضًا إلى الفحص قبل الإرسال.
من المهم خصوصًا ألا يدخل من جهاز في مكان العمل أو المدرسة، وألا يستخدم شبكة العمل، وألا يعمل وهو مسجل الدخول إلى حساب باسم حقيقي.
| عنصر التحقق | السبب |
|---|---|
| الجهاز | الأجهزة المُدارة تترك سجلات تشغيل |
| الشبكة | خطوط مكان العمل أو المدرسة تترك سجلات اتصال |
| المواد | يبقى المنشئ، وسجل التحرير، والعلامات المائية |
| النص | لا تكتب تفاصيل كثيرة لا يعرفها إلا أنت |
| فحص الردود | لا تدخل مرارًا من البيئة نفسها |
يكون SecureDrop ذا معنى عندما تكون المؤسسة الإعلامية قد جهزت قناة استقبال أكثر أمانًا. لكن إذا كانت بيئة مقدّم المعلومات نفسها منهارة، فلا تكفي حماية المدخل وحدها.
في تقديم المعلومات عالي المخاطر، اترك وقتًا قبل الإرسال وافحص المواد والبيئة.
مسؤولية جهة الاستقبال
لا ينتهي الأمر بتثبيت SecureDrop.
تحتاج المؤسسة الإعلامية إلى بنية تشغيل. تحدد من يفحص، وبأي جهاز تُعامل المواد، وأين تُحفظ، وكيف تُشارك داخل غرفة التحرير، وكيف تُفحص البيانات الوصفية قبل النشر.
| بند التشغيل | السبب |
|---|---|
| مسؤول الفحص | حصر من يمكنه الوصول إلى المواد المرسلة |
| بيئة مخصصة | عدم خلطها مع أجهزة العمل اليومية |
| حفظ المواد | تجنب المشاركة والنسخ غير الضروريين |
| فحص البيانات الوصفية | فحص المعلومات التي قد تربط المواد بالمصدر قبل النشر |
| قرار النشر | تجنب أن يُستدل على المصدر من المحتوى |
في حماية المصادر، أخطاء جهة الاستقبال تعرض المصدر للخطر.
لا يكفي القول: "أرسل الطرف الآخر بصورة مجهولة، إذن لا مشكلة".
كذلك تحتاج جهة الاستقبال إلى شرح وجود SecureDrop بوضوح. توضح كيف يتم الدخول، وما الذي يمكن إرساله، وما المخاطر التي تبقى، وكيف تُفحص الردود.
النافذة ذات الشرح الغامض تدفع مقدّم المعلومات إلى قرارات خطرة. النظام الآمن لا يقوم على التقنية وحدها، بل يشمل أيضًا شرحًا يصل إلى المستخدمين.
الحالات التي يناسبها SecureDrop
يناسب SecureDrop الحالات التي يراد فيها إيصال مواد أو معلومات إلى مؤسسة إعلامية أو تحقيق ذي مصلحة عامة، مع حماية الهوية.
في المقابل، قد لا يناسب الاستفسارات البسيطة، أو الاستشارات العامة، أو بلاغات الطوارئ، أو التواصل الذي يحتاج إلى رد فوري. SecureDrop ليس بديلًا للمحادثات أو البريد الإلكتروني العادي.
| حالات مناسبة | حالات غير مناسبة |
|---|---|
| تقديم مواد داخلية ذات مصلحة عامة | تواصل طارئ يحتاج إلى مساعدة فورية |
| تواصل يحتاج إلى حماية المصادر | استفسار عام |
| تواصل أولي تريد فيه تجنب بريد باسم حقيقي | استشارة تحتاج إلى تبادل سريع للرسائل |
| تقديم معلومات عالي المخاطر | نافذة لا يُعرف تشغيل جهة الاستقبال فيها |
قبل استخدامه، افحص ما الذي تقبله تلك النافذة، وكيف ترد.
الخلاصة
SecureDrop آلية تستخدمها المؤسسات الإعلامية والمنظمات لتلقي معلومات مقدمة بصورة مجهولة.
عند النظر في SecureDrop، افحص في الموقع الرسمي شروح مقدّمي المعلومات، ووثائق المشغلين، ومتطلبات الاعتماد.
URL : https://securedrop.org/
يفترض SecureDrop استخدام Tor، ويتيح تلقي المعلومات بصورة تجعل مصدر اتصال المصدر وحساب الاسم الحقيقي أصعب في الظهور مقارنة بالبريد الإلكتروني العادي أو الرسائل الخاصة على الشبكات الاجتماعية.
لكن SecureDrop وحده لا يُكمل حماية المصادر.
يجب إدارة البيانات الوصفية للملفات، والاستدلال العكسي من المحتوى، وتوقيت الإرسال، وبيئة الجهاز، وتشغيل جهة الاستقبال، كلًا على حدة.
SecureDrop أداة، وحماية المصادر تشغيل.
أدوات ذات صلة
Tor Project
مورد خارجي مرتبط بهذه المقالة. افتحه فقط إذا كان مناسبًا لوضعك ولنموذج التهديد لديك.
سبب إدراجه هنا: قد يساعد في موضوع المقالة، لكنه خارج Anonymity Sense وينبغي التحقق منه قبل استخدامه.
SecureDrop
مورد خارجي مرتبط بهذه المقالة. افتحه فقط إذا كان مناسبًا لوضعك ولنموذج التهديد لديك.
سبب إدراجه هنا: قد يساعد في موضوع المقالة، لكنه خارج Anonymity Sense وينبغي التحقق منه قبل استخدامه.
URL : https://securedrop.org/
GlobaLeaks
مورد خارجي مرتبط بهذه المقالة. افتحه فقط إذا كان مناسبًا لوضعك ولنموذج التهديد لديك.
سبب إدراجه هنا: قد يساعد في موضوع المقالة، لكنه خارج Anonymity Sense وينبغي التحقق منه قبل استخدامه.
URL : https://globaleaks.org/