Что проверить перед использованием инструментов для передачи сообщений о нарушениях
Такие инструменты, как SecureDrop, GlobaLeaks и OnionShare, могут быть полезны при сообщении о нарушениях и анонимной передаче информации.
Но перед тем как открывать инструмент, нужно кое-что проверить.
Можно ли доверять получателю? Не остались ли метаданные в материалах? Нельзя ли по содержанию догадаться о вас? Не используете ли вы рабочее устройство или рабочую сеть? Как вы будете проверять ответ после отправки?
До выбора инструмента нужно разобрать риски.
Инструмент защищает только точку приема
Инструменты для анонимной передачи информации используют, чтобы защитить точку приема для контакта и передачи материалов.
Однако они не стирают источник материалов, внутренние журналы, метаданные документов и выводы, которые можно сделать по содержанию.
| В чем помогает инструмент | Остающийся риск |
|---|---|
| Избежать почты с настоящим именем | В материалах остается имя автора |
| Избежать обычного облака | История доступа к файлам остается |
| Сделать источник подключения менее заметным | По содержанию сужается круг возможных людей |
| Отделить путь передачи | Плохая организация процесса на стороне получателя опасна |
Инструменты важны.
Но при сообщении о нарушениях "что отправлять" и "кому отправлять" иногда еще важнее.
Опасно увидеть названия SecureDrop, GlobaLeaks или OnionShare и подумать: "Если я этим воспользуюсь, я стану анонимным".
В зависимости от ситуации эти инструменты могут помочь передать материалы безопаснее, чем обычная электронная почта, личные сообщения в соцсетях или облачный доступ. Но инструмент не стирает автоматически ошибки поведения пользователя.
Если зайти с рабочего устройства, это останется в журналах управления устройством. Если зайти из рабочей сети, могут остаться записи прокси или DNS. Если в материалах остаются название отдела или имя автора, источник будет виден даже при безопасном пути передачи.
| Заблуждение | На самом деле |
|---|---|
| Анонимный инструмент делает безопасным | Нужно проверить также устройство, сеть, материалы и содержание |
| достаточно | Что-то может стать видно по отправляемым файлам и поведению после отправки |
| Шифрованной формы достаточно | Важны также порядок работы и способ хранения у получателя |
| Если не написать имя, это безопасно | По содержанию и времени сужается круг возможных людей |
Проверить получателя
Получателя выбирают осторожно.
Редакция, юрист, канал для защищенных сообщений о нарушениях, орган аудита, НКО, внешний канал: в зависимости от варианта меняются защита, реакция и риск.
| Пункт проверки | Причина |
|---|---|
| Кто управляет | Кто администрирует канал приема |
| Обращение с информацией | Кто может видеть материалы и содержание сообщения |
| Способ ответа | Не добавляет ли дальнейшая связь новые следы |
| Юридическая защита | Проверить связь с защищенными сообщениями о нарушениях и обязанностями конфиденциальности |
| Опыт и объяснения | Есть ли объяснение рисков и политика защиты источников |
Важно не доверять получателю только потому, что у него есть анонимная форма.
Смотрите на позицию и объяснения оператора.
Проверить отправляемые материалы
Материалы перед отправкой нужно обязательно проверить.
Смотрите текст, имя файла, метаданные, автора, историю редактирования, версию, область распространения, уведомления и сведения на экране в скриншотах.
| Пункт проверки | Зачем смотреть |
|---|---|
| Имя файла | В него попадают настоящее имя, название отдела, название дела |
| Сведения об авторе | Остается реальное имя или название организации |
| История изменений | Остаются редакторы или комментарии |
| Версия и область распространения | Сужается круг тех, кто имел доступ |
| Специфические сведения в тексте | Становится понятно, кто знает эту информацию |
Изменение материалов тоже может повлиять на доказательную ценность.
При высоком риске подумайте о том, чтобы не обрабатывать материалы самостоятельно, а проконсультироваться со специалистами в праве или журналистике.
Проверить среду использования
Опасно заходить в инструмент для передачи информации с рабочего устройства или из рабочей сети.
Управление устройством, прокси, DNS, файрвол, журналы и программы наблюдения могут оставлять записи.
| Пункт проверки | Причина |
|---|---|
| Устройство | Не является ли оно устройством под управлением работодателя |
| Сеть | Не является ли это рабочим Wi-Fi или внутренним каналом |
| Состояние входа | Не выполнен ли вход в аккаунт с настоящим именем |
| Синхронизация файлов | Не сохраняется ли все автоматически в облако или резервную копию |
| Уведомления | Не появляются ли сведения в демонстрации экрана или скриншоте |
Разделение среды является предпосылкой для использования инструмента.
Если разделить среду невозможно, возможно, отправлять еще рано.
Сократить содержание до необходимого минимума
При сообщении о нарушениях чем больше информации, тем выше убедительность, но тем выше и риск идентификации.
Перед тем как отправлять все материалы сразу, подумайте, что действительно нужно получателю для оценки. Особенно при первом контакте безопаснее не раскрывать лишний раз свою личность или внутреннюю позицию.
| Информация | Риск чрезмерного раскрытия при первом контакте |
|---|---|
| Название отдела | Круг возможных людей резко сужается |
| Подробные рабочие дни | Сопоставляются со сменами или журналами входа и выхода |
| Исходный файл | Остаются автор, история редактирования, водяной знак |
| Внутренние термины | Видны отдел или стаж |
| Личные эмоции | По стилю и отношениям появляется личная узнаваемость |
Конечно, чтобы сообщить о серьезном нарушении, нужна конкретика. Проблема в том, чтобы с самого начала раскрывать все.
Иногда безопаснее передавать информацию постепенно после проверки надежности получателя, организации канала связи и понятного порядка обращения с материалами.
При сообщении о нарушениях спешная отправка из чувства справедливости оставляет следы, которые потом нельзя забрать обратно.
Если есть сомнения, не спешить с отправкой
Чем опаснее сообщение о нарушениях, тем сильнее желание "побыстрее сообщить". Но спешная отправка увеличивает число ошибок.
Не проверить файлы. Использовать рабочую сеть. Работать, оставаясь в аккаунте с настоящим именем. Не читать, как работает получатель.
Такие ошибки после отправки становятся следами, которые трудно отменить.
| Ситуация, когда нужно остановиться | Причина |
|---|---|
| Вы не прочитали объяснения получателя | Неизвестно, как обращаются с информацией |
| Метаданные материалов не проверены | Остаются автор или история редактирования |
| Доступно только рабочее устройство | Это останется в журналах управления |
| Вы спешите эмоционально | Легче раскрыть лишнюю информацию |
| Юридические последствия велики | Нужна консультация специалиста |
Решение не отправлять тоже является частью обеспечения безопасности. Если подготовки не хватает, сначала настройте среду и выберите получателя.
Думать и после отправки
После отправки риск продолжается.
Проверка ответов, отправка дополнительных материалов, внутреннее расследование после публикации, общение с журналистами, реакция в соцсетях. На каждом этапе может возникать корреляция.
| Поведение после отправки | На что обратить внимание |
|---|---|
| Проверка ответов | Не заходить много раз из той же среды |
| Дополнительные материалы | Увеличиваются новые метаданные и временные корреляции |
| Реакция внутри организации | Не вызывать подозрения неестественным поведением |
| Высказывания после публикации | Не реагировать чрезмерно в соцсетях или на работе |
| Продолжение консультации | Поддерживать безопасный канал связи |
Сообщение о нарушениях не заканчивается кнопкой отправки.
Думайте и о поведении после публикации.
Итоги
Перед использованием инструмента для передачи информации человек, сообщающий о нарушениях, проверяет получателя, материалы, среду и поведение после отправки.
Такие инструменты, как SecureDrop, GlobaLeaks и OnionShare, полезны, но они не стирают автоматически источник материалов, внутренние журналы, метаданные и выводы по содержанию.
Не считайте ситуацию безопасной только потому, что есть анонимная форма.
Проверьте, кто управляет каналом, что записывается, кто видит материалы и как поддерживать связь после отправки.
Проверка перед использованием инструмента сильно влияет на безопасность сообщения о нарушениях.
Связанные инструменты
Tor Project
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
ExifTool
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
URL : https://exiftool.org/
MAT2
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
SecureDrop
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
URL : https://securedrop.org/
GlobaLeaks
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
URL : https://globaleaks.org/
OnionShare
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
URL : https://onionshare.org/