什么是 GlobaLeaks
GlobaLeaks 是用于建立匿名举报和信息提交窗口的开源基础平台。
它不仅可能被新闻机构使用,也可能被 NGO、企业、公共机构、审计和合规窗口等使用。这里介绍它,是因为它便于把内部举报和公益举报的受理,作为包含负责人管理和回复的持续窗口来运营,而不是一次性的提交表单。
URL : https://globaleaks.org/
本文不把 GlobaLeaks 简化成“安全的举报表单”一句话,而是从使用者一侧和运营者一侧两方面整理。
GlobaLeaks 的基础
GlobaLeaks 是信息提交者访问窗口并发送消息或资料的机制。
接收方确认举报内容,并设计负责人和案件管理的流程。组织建立内部举报制度或公益举报窗口时,有时会把它作为基础平台使用。
| 立场 | 角色 |
|---|---|
| 举报者 | 访问窗口并发送信息或资料 |
| 运营组织 | 设置窗口,并决定接收方式和负责人 |
| 负责人 | 确认举报内容,并进行必要应对 |
| GlobaLeaks | 成为举报受理的系统基础平台 |
GlobaLeaks 是用于建立举报流程的工具。
运营组织如何设置、如何处理,会变得重要。
这里重要的是,GlobaLeaks 不是会自动完成匿名性的箱子。 它是整理举报受理机制的基础平台,实际安全性取决于运营。 谁来管理,谁能阅读举报,如何处理日志,如何回复举报者,这些都很重要。
举报者一侧也是一样,如果从职场设备或工作网络访问,就会留下其他痕迹。 即使窗口重视匿名性,也不会自动保护使用者的环境。
与 SecureDrop 的区别
SecureDrop 多用于新闻机构信息提交窗口的语境,GlobaLeaks 多用于举报受理和组织化窗口的语境。
| 项目 | GlobaLeaks | SecureDrop |
|---|---|---|
| 主要语境 | 内部举报、公益举报、组织窗口 | 向新闻机构提供信息 |
| 运营者 | 企业、NGO、公共机构、团体等 | 新闻机构、NGO 等 |
| 强项 | 举报流程和负责人管理 | 重视信源保护的信息提交 |
| 注意点 | 对运营组织的信任很重要 | 接收方的专业运营很重要 |
这不是哪一个总是更好的问题。
它们按用途和运营体制来选择。
关于 SecureDrop,另一篇文章也会从向新闻机构提供信息和信源保护的语境中介绍。 GlobaLeaks 也用于企业、团体、公共机构等建立举报受理流程的场景。 因此,比较时不只看功能名,也要看运营者和目的。
如果读者是使用者,就确认窗口的运营主体。 如果读者是设置方,就不仅要导入技术,也要设计保护举报者的运营。
举报者一侧的注意点
即使使用 GlobaLeaks 的窗口,举报者一侧的注意点仍然存在。
如果使用职场设备、实名账号、工作网络、带有元数据的文件,身份可能会从其他路径被发现。
| 注意点 | 理由 |
|---|---|
| 访问环境 | 职场设备和工作网络会留下日志 |
| 提交文件 | 作者、组织名、编辑历史会留下 |
| 举报内容 | 知道该信息的人很少时,候选人会缩小 |
| 发送时刻 | 会与内部事件或访问日志进行比对 |
| 回复确认 | 持续往来也会留下痕迹 |
即使窗口重视匿名性,也不会自动保护举报者的环境。
举报内容也很重要。 即使不写姓名,也会因为看过哪些资料、知道哪些会议、在什么时刻发送而缩小候选人。 如果资料中残留作者信息、组织名、修改历史、文档编号、水印,来源会在提交路径之外显现。
举报前,要确认正文、附件、发送环境、发送时刻。 高风险内部举报中,不要只根据文章判断,要考虑可信的咨询对象。
运营者一侧的责任
设置 GlobaLeaks 的一侧负有很强的责任。
向举报者说明会记录什么。限制谁可以查看。安全处理资料。不要轻率地识别举报者。不要在举报后的应对中泄露会导致报复的信息。
| 运营项目 | 理由 |
|---|---|
| 访问权限 | 限定可以查看举报内容的人 |
| 日志方针 | 明确记录什么 |
| 资料管理 | 谨慎处理文件和元数据 |
| 联系方法 | 不要通过回复或追加提问让举报者陷入危险 |
| 说明责任 | 向举报者传达风险和处理方式 |
匿名举报窗口不是设置了就有意义。
如果运营粗糙,就会让举报者陷入危险。
运营者要准备举报者容易理解的说明。 会记录哪些信息。 谁能阅读举报。 如何回复。 如何处理附件的元数据。 为了防止报复会采取哪些步骤。
另外,也需要设计成让负责人不会轻率地试图识别举报者。 在调查举报内容的过程中,如果把信息在组织内扩散得太广,举报者就会被怀疑。 要把技术基础平台和运营规则作为一组来考虑。
导入前要确认的事
导入 GlobaLeaks 的一侧,要在设置前决定运营方式。
| 要确认的事 | 理由 |
|---|---|
| 运营主体 | 明确谁负责 |
| 访问权限 | 限制可以查看举报内容的人 |
| 日志方针 | 决定记录什么、不记录什么 |
| 附件管理 | 为了处理元数据和证据价值 |
| 回复规则 | 为了不因追加提问让举报者陷入危险 |
导入后,也需要持续进行负责人教育、权限管理、审计、面向举报者的说明。 举报窗口不是做好就结束。
重新审视窗口
像 GlobaLeaks 这样的举报窗口,要一边运营一边重新审视。 负责人是否增加过多。 旧账号是否仍然存在。 面向举报者的说明是否难以理解。 附件元数据确认是否已纳入运营。 回复是否让举报者陷入危险。
匿名举报窗口的差异,更多来自持续运营,而不是技术。 要定期确认权限、日志、说明文、资料管理、应对步骤。
总结
GlobaLeaks 是用于建立匿名举报和信息提交窗口的开源基础平台。
考虑 GlobaLeaks 时,要在官方网站确认导入、运营、举报流程、面向管理员的信息。
URL : https://globaleaks.org/
它可能用于内部举报、公益举报、组织化的信息提交流程。
但是,使用 GlobaLeaks 并不会自动变得安全。
举报者一侧的设备、网络、文件元数据、发送内容、发送时刻,都需要另行注意。
运营者一侧也需要谨慎设计访问权限、日志方针、资料管理、回复方法。
相关工具
SecureDrop
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://securedrop.org/
GlobaLeaks
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://globaleaks.org/