使用 SecureDrop 前要确认的事项
SecureDrop 是内部告发者和信息提供者用于向新闻机构等更安全地发送资料的机制。
但是,使用 SecureDrop 并不会自动变得安全。提交内容、文件元数据、访问时间、组织内部日志、现实中的行动、提交目的地的可信度都会相关。
在高风险的信息提供中,使用工具前的准备很重要。
本文整理使用 SecureDrop 前需要确认的事项。实际提交时,请务必确认提交目的地的官方说明。
什么是 SecureDrop
SecureDrop 是一种开源内部告发平台,新闻机构等用它从信息提供者那里更安全地接收资料。
在 SecureDrop 官方网站,可以确认机制、采用组织和文档。
URL : https://securedrop.org/
| 要素 | 含义 | 注意点 |
|---|---|---|
| 提交目的地 | 新闻机构或团体 | 确认是否真的是官方窗口 |
| 使用 | 保护通信路径的设计 | 不要错误使用 Tor |
| 资料提交 | 发送文件 | 确认元数据和内容 |
| 回复确认 | 与提交目的地往来 | 确认时间和内容会成为线索 |
| 法律风险 | 与提交内容相关 | 必要时咨询专家 |
SecureDrop 只有在可信的提交目的地和正确运营同时存在时才有意义。
确认提交目的地
使用 SecureDrop 前,要确认提交目的地是真的。
不要直接相信在搜索结果或 SNS 上找到的链接。要从新闻机构或团体的官方网站进入说明页面。
| 要确认的事 | 理由 |
|---|---|
| 是否从官方网站进入 | 避免假链接 |
| 提交目的地的运营者是谁 | 查看对方是否可信 |
| 接收什么内容 | 避免不适当的提交 |
| 回复方式是什么 | 理解之后的确认步骤 |
| 是否有风险说明 | 查看是否考虑提交者风险 |
在匿名性中,提交目的地也是信任模型的一部分。
不仅要确认工具,也要确认对方。
确认文件和内容
提交前,要确认文件的元数据和内容。
Office 文档、PDF、图片、视频、音频中,可能残留创建者、公司名、位置信息、编辑历史、评论。从正文内容中,也可能推测出谁能够访问这份资料。
| 确认项目 | 理由 |
|---|---|
| 创建者信息 | 个人名或组织名会残留 |
| 文件名 | 案件名或部门名会暴露 |
| 编辑历史 | 相关人员会被知道 |
| 正文中的特定信息 | 信源会被反推 |
| 能够访问的人群范围 | 提交者候选范围会缩小 |
在内部告发中,内容本身有时会成为最强的线索。
即使删除了元数据,如果能看到资料的人很少,候选范围也会缩小。
整理访问前的环境
使用 SecureDrop 时,访问环境也很重要。
从工作场所或学校网络、配发设备、受监控设备访问是危险的。组织内部日志、设备管理、监控摄像头、出入记录、打印历史都可能相关。
| 要确认的事 | 理由 |
|---|---|
| 是否没有使用配发设备 | 管理日志会留下 |
| 是否没有使用组织网络 | 连接记录会留下 |
| 资料访问历史是否没有留下 | 候选范围会缩小 |
| 现实中的移动记录是否不存在 | 会与摄像头或支付记录关联 |
| 是否决定了提交后的确认方法 | 避免反复访问而显眼 |
高风险情况下,不要只凭本文判断。
如果存在法律风险或身体危险,就需要咨询律师或可信的支持对象。
也要预先决定提交后的行动
使用 SecureDrop 时,提交后的行动也会关系到匿名性。
反复去确认、在工作场所搜索相关新闻、试探同事、用实名 SNS 作出反应。这些行为有时会成为比提交前更危险的线索。
| 提交后的行动 | 风险 | 替代做法 |
|---|---|---|
| 频繁确认 | 出现通信时间模式 | 决定确认频率 |
| 在工作场所搜索 | 留在组织内部日志中 | 在安全环境中确认 |
| 和相关人员交谈 | 信源候选增加 | 限定在必要的咨询对象内 |
| 用实名 SNS 反应 | 与本人产生关联 | 不作出反应 |
| 追加发送资料 | 元数据和内容风险增加 | 追加前再次确认 |
信息提供并不会在发送的瞬间结束。
要把提交前、提交中、提交后作为一个整体运营来考虑。
SecureDrop 以外也有选择
信息提供的方法不只有 SecureDrop。
根据新闻机构不同,可能准备了 Signal、邮寄、专用表单、面对面咨询、其他匿名提交系统。哪种方法更好,会根据资料性质、风险、提交目的地、法律状况而变化。
| 方法 | 注意点 |
|---|---|
| SecureDrop | 确认官方窗口,使用 Tor,并确认资料 |
| Signal | 查看电话号码和联系人如何处理 |
| 邮件 | 头部和发件人信息会留下 |
| 邮寄 | 考虑监控摄像头、邮戳、指纹、购买记录 |
| 面对面咨询 | 考虑移动记录和同行者 |
在高风险的信息提供中,不是选择“能发送的方法”,而是选择“能安全处理的方法”。
阅读提交目的地的官方说明;如果迷茫,就咨询可信的专家或支持对象。
不仅保护自己,也保护信源
在使用 SecureDrop 的场景中,需要保护的不只是自己,也包括与资料相关的人。
从资料内容中,有时会反推出谁能够访问、谁参加了会议、谁创建了资料、谁处于能够发送的位置。
| 查看的信息 | 风险 |
|---|---|
| 资料的浏览权限 | 提交者候选范围会缩小 |
| 创建者名 | 相关人员会直接可见 |
| 编辑历史 | 会知道谁参与过 |
| 时间线 | 会与访问日志核对 |
| 内容的稀有性 | 知情者范围有限 |
在信息提供中,不仅通信路径重要,从内容进行反推也非常重要。
提交前,要整理能够看到资料的人数、接触资料的时间、能够保存资料的地点。
这种整理本身也会成为机密信息,因此要注意不要保存在实名云端或工作设备上。
SecureDrop 会帮助提交路径,但提交内容的安全性需要另行确认。
总结
SecureDrop 是用于更安全地连接信息提供者与新闻机构等的重要机制。
但是,使用 SecureDrop 并不会自动变得安全。
提交目的地的可信度、文件元数据、从内容反推、访问环境、组织内部日志、现实记录都会相关。
使用前,要确认官方说明,确认资料,并整理哪些行动可能会导致自己或相关人员被识别。
在高风险信息提供中,重要的是不要过度独自判断。
相关工具
Tor Project
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
ExifTool
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://exiftool.org/
SecureDrop
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://securedrop.org/
GlobaLeaks
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://globaleaks.org/