匿名传递文件前要确认的事项
匿名传递文件时,只检查正文并不够。
文件名、元数据、创建者信息、编辑历史、共享链接、上传目的地、对方看到的所有者名称。 这些周边信息有时会显示文件来源或创建环境。
尤其是在信源保护、内部告发、活动资料共享中,传递文件这个行为本身会变成高风险行为。 因为文件可能不仅传递内容,也会同时传递创建过程和共享路径。
本文整理匿名传递文件前需要确认的流程。
首先不要直接传递原始文件
第一个原则是,不要把原始文件原样传递出去。
原始文件中可能残留创建者名称、编辑历史、评论、位置信息、拍摄日期时间、云端历史、内部文件名等。 另外,原始文件有时也需要为了证据价值而保管。
制作一份用于公开或提交的副本,并检查这份副本。
| 文件 | 处理方式 |
|---|---|
| 原始文件 | 必要时保存在安全位置 |
| 确认用副本 | 检查元数据和内容 |
| 提交副本 | 删除不必要信息后再传递 |
| 记录用备忘 | 为自己留下修改了什么的记录 |
如果直接触碰并覆盖原始文件,之后可能会不知道自己改动了什么。 对于高风险资料,要把原本和提交用文件分开处理。
确认文件名
文件名是最先可见的线索。
其中可能包含真实姓名、公司名、学校名、项目名、日期、地点、内部代码、连续编号。 即使删除正文和元数据,来源也可能通过文件名暴露。
| 文件名要素 | 风险 |
|---|---|
| 真实姓名 | 直接知道创建者或相关人员 |
| 公司名、学校名 | 所属单位会被知道 |
| 项目名 | 内部资料或相关部门会被推测 |
| 日期 | 与行动时间或资料取得时间关联起来 |
| 连续编号 | 其他文件的存在会被推测 |
文件名应改成简短、一般性的名称。 但是,有些格式会在内部保留变更历史或原文件名,因此不要因为只改了文件名就安心。
确认元数据
文件中会残留看不见的信息。
如果是图片,可能有 GPS、拍摄日期时间、相机型号。 如果是 PDF,可能有创建者、创建软件、注释。 如果是 Office 文档,可能有变更历史、评论、公司名、隐藏工作表。 如果是视频或音频,可能有拍摄日期时间、位置信息、标签、编辑应用。
| 格式 | 要确认的信息 |
|---|---|
| 图片 | GPS、拍摄日期时间、相机型号 |
| 创建者、注释、嵌入文件 | |
| Office | 变更历史、评论、公司名、隐藏工作表 |
| 视频 | 拍摄日期时间、位置、设备信息、声音 |
| 音频 | ID3 标签、录音环境、背景声 |
| 压缩文件 | 内部文件名、文件夹名、不必要文件 |
ExifTool 这类本地工具可用于确认多种格式的元数据。
ExifTool 是一种代表性工具,可以在自己手边确认和编辑图片、视频、文档等文件的元数据。对于需要匿名性的文件,重要的是先保留本地确认这一选择,而不是上传到在线转换网站。 URL : https://exiftool.org/
用工具确认后,如果转换成其他格式,还要再次确认。 因为转换或编辑可能会附加新的元数据。
确认内容
即使删除了元数据,如果文件内容中仍有线索,匿名性也会变弱。
照片背景、屏幕反光、通知、文件边缘、PDF 正文中的专有名词、视频中的声音、Office 的评论、压缩文件内的文件夹名。 这些内容即使用工具删除元数据也会保留下来。
| 内容中的线索 | 例子 |
|---|---|
| 背景 | 建筑、招牌、制服、桌面 |
| 反光 | 脸、设备、房间、拍摄者 |
| 正文 | 专有名词、部门名、时间线 |
| 声音 | 声音、背景声、车站或店铺的声音 |
| 通知 | 账号名、联系人、时间 |
匿名传递文件前,要以第三方会为了识别身份而查看的前提来确认。 对自己来说普通的背景,对知情者来说有时会暴露地点。
确认共享路径
如何传递文件也很重要。
如果使用实名云端、工作账号、个人邮件、平常使用的通讯工具,身份可能不是从文件本身,而是从共享路径中暴露。 在云端共享中,对方有时能看到所有者名称、电子邮件地址、头像、浏览历史、编辑历史。
| 共享方式 | 注意点 |
|---|---|
| 实名云端 | 所有者名称或邮件地址会被看到 |
| 工作账号 | 所属单位和管理日志会留下 |
| 个人邮件 | 会通过发件人信息关联起来 |
| SNS 私信 | 对方可以保存或转发 |
| 匿名提交表单 | 文件元数据仍需另行确认 |
即使安全地整理了文件,如果传递位置选错,匿名性也会崩塌。
思考交给对方之后的情况
文件交给对方之后,自己就无法控制。
对方可能会保存、转发、截图、上传到其他服务,或者进行分析。 考虑匿名性时,要连“交给对方后,对方能做什么”一起考虑。
在高风险的信息提供中,发送文件前要确认对方是否可信、发送目的地是否有安全流程、咨询对象是否合适。 不要只凭本文判断。必要时考虑专家或可信的支持联系对象。
常见失败
匿名传递文件时的失败,不只是技术性的元数据问题。
匆忙发送。 使用平常的云端服务。 不确认对方会看到的画面。 这些运营上的失误会削弱匿名性。
| 失败 | 会发生什么 |
|---|---|
| 发送实名云端链接 | 所有者名称或邮件地址会被看到 |
| 原样发送原始文件 | 创建者或编辑历史会残留 |
| 未确认就发送截图 | 通知或账号名会出现在图中 |
| 不确认压缩文件 | 不必要文件或文件夹名混入其中 |
| 发送后慌忙删除 | 无法阻止对方保存或转发 |
发送前几分钟可以防止很多失败。 在文件发送中,匆忙本身就是风险。
发送前检查
| 确认项目 | 理由 |
|---|---|
| 是否没有直接传递原始文件 | 为了保护原本并进行确认 |
| 是否确认了文件名 | 避免真实姓名、组织名、日期暴露 |
| 是否确认了元数据 | 确认创建者和位置信息 |
| 是否确认了内容 | 查看背景、声音、专有名词 |
| 是否确认了共享路径 | 避免实名云端和工作账号 |
| 是否确认了对方侧显示 | 查看所有者名称或邮件地址是否可见 |
如果还有无法判断的项目,不要急着发送。 文件发送是在公开后难以收回的行为。
总结
匿名传递文件前,不仅要确认正文,还要确认文件名、元数据、内容、共享路径和对方侧显示。
不要直接传递原始文件,要制作提交副本,并按格式检查。 即使删除了元数据,背景、声音、专有名词、通知、云端所有者名称等仍会另行残留。
传递文件这个行为,可能不仅传递信息本身,也传递创建环境和共享路径。 在高风险场景中,不要匆忙;要确认,并在必要时考虑可信的咨询对象。
相关工具
ExifTool
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://exiftool.org/
MAT2
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
SecureDrop
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://securedrop.org/
GlobaLeaks
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://globaleaks.org/
OnionShare
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://onionshare.org/