保护信源的威胁模型
在信源保护中,首先要建立威胁模型。
威胁模型是整理“要从谁那里、保护什么、保护到什么程度”的思考方式。
信源是公司员工、公务员、活动人士还是内部举报者,风险会不同。对方是个人骚扰者、企业调查部门还是国家机关,所需对策也会不同。
如果没有威胁模型就只选择工具,就会弄错真正需要保护的地方。
要从谁那里保护
首先,思考谁可能试图识别信源。
不同对象能看到的信息、可使用的手段、调查能力都不同。
| 对象 | 可能做的事 |
|---|---|
| 职场上司或同事 | 根据出勤记录、部门内部信息、谁知道此事来推测 |
| 企业或组织 | 查看访问日志、资料浏览历史,进行内部调查 |
| 诉讼对方 | 要求披露记录、向相关人员施压、收集证据 |
| 国家机关 | 调取通信记录、扣押设备、进行广泛调查 |
| 网络攻击者 | 收集发帖历史、SNS、图片、公开信息 |
不可能用同一套对策战胜所有对象。
先确定现实中的威胁,才能避免对策过度或不足。
要保护什么
接下来,把要保护的对象分开。
不是只保护“信源姓名”就够了。联系过的事实、接触过资料的事实、曾在特定部门的事实、拍摄地点、、时间,也都是保护对象。
| 保护对象 | 具体例子 |
|---|---|
| 身份 | 姓名、脸、所属、联系方式 |
| 接触事实 | 什么时候和谁联系过 |
| 资料来源 | 作者、查看者、访问权限 |
| 行动时间 | 发送时间、拍摄时间、登录时间 |
| 报道中的特征 | 内部情况、独特表达、立场 |
即使没有出现姓名,信源也可能被怀疑。
如果“能看到这份资料的只有几个人”,资料种类本身就是很强的线索。
会从哪些路径泄露
泄露路径不止一个。
通信、文件、报道内容、编辑部内部共享、发布后的反应。任何路径都可能让人接近信源。
| 路径 | 泄露的信息 |
|---|---|
| 联系方式 | 邮件、DM、通话记录、IP、时间 |
| 文件 | 元数据、作者、编辑历史、拍摄信息 |
| 云端 | 所有者、查看日志、共享历史、评论 |
| 报道正文 | 部门、时间线、证言内容、内部情况 |
| 发布后 | 谁作出反应、谁保持沉默、组织内部调查 |
对策要按泄露路径分别思考。
即使用 或 SecureDrop,如果报道正文让人看出信源是谁,也没有意义。
这里容易产生的误解,是认为只要保护通信路径就能保护信源。
安全的联系方式很重要。 但联系方式只是信源保护的一部分。
例如,即使信源通过匿名投稿表单发送资料,如果资料中保留了作者名、部门名、编辑历史、按分发对象设置的水印,来源仍会被缩小。
如果报道正文写着“据参加这次会议的人说”,组织内部可能会从参加者名单缩小候选范围。
| 以为已经保护的地方 | 残留危险 |
|---|---|
| 匿名表单 | 会从发送资料的元数据或内容看出 |
| 加密消息 | 会留下设备通知、联系时间、对方侧日志 |
| 假名邮件 | 会从文体、附件、创建环境看出 |
| 报道中匿名表述 | 会从证言内容或立场缩小候选范围 |
信源保护需要把联系路径、资料、正文和发布后反应放在一起看。
区分风险强度
并非所有采访都需要同等强度的对策。
地方上的轻量话题,与有组织犯罪、腐败、国家安全、内部举报,风险不同。
| 风险 | 情况 | 需要的思考方式 |
|---|---|---|
| 低 | 基于公开信息的采访 | 基本确认和同意 |
| 中 | 希望匿名的证言 | 管理联系路径、引用、属性信息 |
| 高 | 内部资料或不正当行为举报 | 专用路径、资料管理、防止从报道内容反推 |
| 非常高 | 涉及国家或强大组织 | 专业建议、环境分离、谨慎发布判断 |
高风险采访中,避免独断推进也很重要。
需要有可与编辑部、专家、法律顾问、安全负责人商量的机制。
采访前要决定的事
威胁模型不是采访后才做,而是在采访前建立。
一旦用实名邮件或 SNS DM 联系过,那些痕迹事后无法抹去。如果把资料上传到平时使用的云端,也会留下日志和共享历史。
| 采访前要决定的事 | 理由 |
|---|---|
| 联系方式 | 初次接触最容易成为痕迹 |
| 资料接收方式 | 管理元数据和共享历史 |
| 保存位置 | 限制编辑部内部访问范围 |
| 引用处理 | 避免反推出证言者 |
| 发布时间 | 避免与组织内部调查产生关联 |
在对信源说“先发给我吧”之前,应先决定接收方式。
成稿时要思考的事
信源保护不会在收到信息时结束。
写报道阶段,要决定保留多少指向信源的细节。 需要分开读者需要的信息,以及会让信源陷入危险的信息。
例如,为了说明内部举报内容,可能需要写出“医疗机构”“地方政府”“物流公司”等行业。 但是,未必需要写出具体分店名、会议日期、职位名、人数、公司内部才懂的叫法。
| 报道中的信息 | 需要确认的事 |
|---|---|
| 职位或部门 | 是否会把候选人缩小到几个人 |
| 日期或时间 | 是否会与访问日志或会议记录对上 |
| 资料外观 | 是否能看到按分发对象设置的水印或版本号 |
| 引用文 | 是否保留了本人特有的表达 |
| 发布时间 | 是否与组织内部调查或事件过于重合 |
为了保护信源而模糊信息时,报道说服力有时会下降。 这种情况下,应把保留什么、删除什么作为编辑判断来处理。
只写“要求匿名”是不够的。 必须整理成读者或相关人员无法反推出匿名者是谁的形式。
也要向信源说明
信源保护不能只由记者或编辑部完成。
如果信源本人使用危险的联系方式、发布后在 SNS 上反应、向周围人透露,保护就会变弱。 因此,高风险采访中,也要向信源说明最低限度的注意点。
| 说明内容 | 理由 |
|---|---|
| 避免使用平时的设备或职场网络 | 会留在内部日志或设备管理中 |
| 不要原样发送资料 | 会留下元数据或水印 |
| 发布后不要过度反应 | 会被怀疑为相关人员 |
| 不要向周围人透露 | 信息可能从咨询对象那里扩散 |
| 不要更换联系路径 | 离开安全路径会增加痕迹 |
要保护信源,就需要共享对方做什么会有危险。
总结
保护信源需要威胁模型。
要整理从谁那里保护、保护什么、会从哪些路径泄露、风险到什么程度。
即使没有出现姓名,信源也可能被怀疑。
联系时间、资料种类、报道细节、发布时间,都可能缩小候选范围。
在选择工具前,先确定要防范的对象和要保护的信息,这是信源保护的起点。
相关工具
SecureDrop
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://securedrop.org/
GlobaLeaks
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://globaleaks.org/