什么是 SecureDrop
SecureDrop 是新闻机构和组织用于接收匿名信息提交的机制。
它不是单纯的文件发送服务。它是以信息提交者使用 Browser 访问、新闻机构一侧准备安全接收环境为前提的信源保护系统。
SecureDrop 是新闻机构和组织接收匿名信息提交的实用基础平台。这里介绍它,是因为它不是单纯的提交表单,而是以使用 Tor Browser 的信息提交者一侧,以及考虑信源保护的接收方运营为前提。
URL : https://securedrop.org/
本文不把 SecureDrop 当作“方便的提交表单”,而是作为信源保护的运营来整理。
SecureDrop 的基础
SecureDrop 是用于匿名发送资料和消息的信息提交系统。
很多情况下,新闻机构或 NGO 等接收方运营 SecureDrop 环境,信息提交者从 Tor Browser 访问该组织的 SecureDrop 页面。
| 立场 | 角色 |
|---|---|
| 信息提交者 | 使用 Tor Browser 发送资料和消息 |
| 新闻机构 | 运营 SecureDrop 环境并接收提交 |
| 记者 | 核查收到的资料,并在考虑信源保护的情况下处理 |
| SecureDrop | 成为匿名信息提交的传递基础平台 |
SecureDrop 用于保护信源与新闻机构之间的初次接触。
但是,并不是用了它就会自动消除所有风险。
使用 SecureDrop 的信息提交者通常从 Tor Browser 访问。 这是为了让接收方不容易直接看到通常的连接源 IP 地址。
但是,即使使用 Tor Browser 访问,如果使用职场设备或工作网络,也会留下其他日志。 另外,如果发送的资料中包含指向本人的信息,即使隐藏了通信路径,危险仍然存在。
SecureDrop 是建立“匿名入口”的机制。 它不是“连资料内容也匿名化”的机制。
它是为了保护什么
SecureDrop 主要试图保护的是信息提交者与接收方之间的联系路径。
在普通邮件或 SNS 私信中,发送者账号、IP 地址、发送时间、附件、服务提供商一侧的记录都会成为问题。SecureDrop 以 Tor 为前提,让信息提交者能够以连接来源不容易被直接看到的形式提交。
| 较容易保护的内容 | 说明 |
|---|---|
| 连接源 IP | 因为通过 Tor 访问,所以接收方不容易直接看到 |
| 实名账号 | 不使用邮件或 SNS 账号也能发送 |
| 初次接触 | 不必一开始就使用普通联系方式也能提供信息 |
| 持续消息 | 可以使用代号进行往来 |
SecureDrop 作为匿名信息提交的入口很有力。
但是,仍会另行留下从文件内容、元数据、特征或信息内容推测信源的风险。
即使使用 SecureDrop 也会留下的风险
使用 SecureDrop 并不意味着信源保护已经完成。
信息提交者从职场设备访问了。资料中残留了创建者姓名。正文写了只有本人知道的情况。发送后不久,组织内部留下了文件查看日志。遇到这些情况时,信源会从其他路径被怀疑。
| 残留风险 | 说明 |
|---|---|
| 文件元数据 | 创建者、组织名、拍摄位置、编辑历史会留下 |
| 从内容反推 | 如果知道该信息的人很少,候选人会缩小 |
| 设备和环境 | 从职场设备或受监控网络使用很危险 |
| 发送时机 | 会与内部日志或事件进行比对 |
| 接收方运营 | 会因记者一侧的保存、查看、共享方式而泄露 |
SecureDrop 是保护通信路径一部分的机制。
要保护信源,还需要检查资料、在报道发布时谨慎处理,以及接收方的运营。
信息提交者要确认的事
信息提交者一侧也需要在发送前确认。
尤其重要的是,不要从职场或学校的设备访问,不要使用工作网络,不要在登录实名账号的状态下操作。
| 确认项目 | 理由 |
|---|---|
| 设备 | 受管理设备会留下操作日志 |
| 网络 | 职场或学校线路会留下连接记录 |
| 资料 | 创建者、编辑历史、水印会留下 |
| 正文 | 不要写入过多只有自己知道的情况 |
| 回复确认 | 不要从同一环境反复访问 |
SecureDrop 在新闻机构一侧准备了更安全的接收环境时才有意义。 但是,如果信息提交者一侧的环境存在问题,仅靠入口保护是不够的。
高风险信息提交中,发送前要留出时间,确认资料和环境。
接收方的责任
SecureDrop 不是安装好就结束。
新闻机构一侧需要运营体制。要决定谁来确认、用哪台设备处理、资料保存在哪里、在编辑部内部如何共享、发布前如何确认元数据。
| 运营项目 | 理由 |
|---|---|
| 确认负责人 | 限定可以访问提交内容的人 |
| 专用环境 | 不与日常工作设备混用 |
| 资料保存 | 避免不必要的共享和复制 |
| 元数据确认 | 发布前确认会连接到信源的信息 |
| 报道发布判断 | 避免从内容反推出信源 |
在信源保护中,接收方的失败会让信源陷入危险。
不能因为“对方是匿名发来的”就认为没问题。
另外,接收方需要清楚说明 SecureDrop 的存在。 要说明如何访问、可以发送什么、会留下哪些风险、如何确认回复。
说明含糊的窗口,会让信息提交者作出危险判断。 安全的机制不仅由技术构成,也包括能够传达给使用者的说明。
SecureDrop 适合的场景
SecureDrop 适合想在保护身份的同时,向新闻机构或具有公益性的调查提交资料和信息的场景。
另一方面,它可能不适合单纯咨询、一般性求助、紧急通报、需要立即回复的联系。 SecureDrop 不是普通聊天或邮件的替代品。
| 适合的场景 | 不适合的场景 |
|---|---|
| 提供具有公益性的内部资料 | 现在就需要帮助的紧急联系 |
| 需要信源保护的联系 | 一般咨询 |
| 想避开实名邮件的初次接触 | 需要快速往返沟通的咨询 |
| 高风险信息提交 | 提交目的地运营不明的窗口 |
使用前,要确认该窗口接收什么,以及如何回复。
总结
SecureDrop 是新闻机构和组织用于接收匿名信息提交的机制。
考虑 SecureDrop 时,要在官方网站确认面向信息提交者的说明、面向运营者的文档、导入前提。
URL : https://securedrop.org/
SecureDrop 以 Tor 为前提,可以用比普通邮件或 SNS 私信更不容易看到信源连接来源和实名账号的形式接收信息提交。
但是,单靠 SecureDrop 并不能完成信源保护。
文件元数据、从内容反推、发送时机、设备环境、接收方运营,都需要另行管理。
SecureDrop 是工具,信源保护是运营。
相关工具
Tor Project
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
SecureDrop
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://securedrop.org/
GlobaLeaks
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://globaleaks.org/