Dziennikarze walczą, aby pozostać istotnymi w dobie całkowitego nadzoru

1. Wstęp

Wielu dziennikarzy-weteranów, ale nie tylko, z pewnością zauważyło, że nagle jesteśmy ponownie bombardowani zewsząd na wzmiankach o Watergate. Książki takie jak 1984 George'a Orwella są wystawiane w księgarniach, a atmosfera niebezpieczeństwa dla wolności słowa i wolności prasy rozprzestrzenia się powoli jak ciemna chmura na półkuli zachodniej, budząc stare obawy.

Kiedy amerykański służący prezydent oskarża byłego prezydenta o inwigilację; kiedy uniemożliwia mediom z centralnych Stanów Zjednoczonych dostęp - jak dotąd zawsze przyznawany i przyjmowany za pewnik - na konferencjach prasowych, które organizuje; a kiedy nieustannie puka i oskarża media o bycie wrogiem numer jeden w kraju, nie jest zaskakujące, że wspomnienia prezydenta Nixona ujawniają się coraz bardziej z każdym użalającym się nad tweetem o SNL i że nawet senatorowie republikańscy, tacy jak John McCain, wyrażają strach dla przyszłości demokracji.

A McCain nie jest sam. Wielu dziennikarzy, z którymi ostatnio rozmawiałem, wyraziło zaniepokojenie tym, co nas czeka, na wolność prasy. W czasie, gdy można wyrazić następujące oświadczenie - „Donald Trump kontroluje NSA” - i nie być kłamcą, wszystko jest możliwe. Dodaj do tego fakt, że ostatnie wiadomości na temat CIA nauczyły nas, że prawie wszystkie systemy szyfrowania mogą zostać naruszone, jeśli ktoś ma wytrwałość, aby je złamać - i jesteś w drodze do wyobrażenia sobie całkowicie dystopijnego świata, w którym nie możesz nawet zbyt wygodnie się położyć na kanapie przed własnym inteligentnym telewizorem.

Dobrą wiadomością jest to, że mimo to możliwe jest utrudnienie innym próby przechwycenia wiadomości e-mail, wysyłanych wiadomości tekstowych lub połączeń telefonicznych. Możesz podjąć kroki, aby życie tych, którzy chcą odkryć twoje źródła i informacje, które ci zostaną ujawnione, będzie znacznie trudniejsze. Oczywiście stopień wysiłku, jaki jesteś gotów podjąć, aby chronić swoją prywatność, anonimowość źródeł i bezpieczeństwo danych, powinien być proporcjonalny do prawdopodobieństwa realnego zagrożenia, czy to hakowania czy szpiegowania.

„Staromodne obietnice - nie zamierzam ujawniać tożsamości mojego źródła ani rezygnować z notatek - są w pewnym sensie puste, jeśli nie podejmujesz kroków w celu cyfrowej ochrony swoich informacji”, mówi Barton Gellman z Washington Post, którego źródło, były kontrahent NSA, Edward Snowden, pomógł odkryć zakres działalności NSA i brytyjskiego GCHQ, jego ankieterowi Tony Loci. Sama Loci, która zajmowała się amerykańskim systemem sądowniczym dla AP, Washington Post i USA Today, i sama była potępiona przez sąd za odmowę identyfikacji źródeł, prawdopodobnie by to poparła.

Co zatem należy zrobić, aby źródła i dane dziennikarzy były bezpieczne i dobrze? Grosso modo, wskazówki można opisać jako należące do następujących kategorii:

1. Zabezpieczanie aplikacji i funkcji na urządzeniu Jest to znane jako zmniejszenie „Powierzchnia ataku”, tj. ograniczenie zainstalowanych aplikacji do absolutnego minimum, instalowanie tylko z zaufanych źródeł, wybieranie aplikacji wymagających minimalnych uprawnień, utrzymywanie systemu w pełni załatane i aktualizowane oraz zapewnienie tylu kontroli bezpieczeństwa (na podstawie najnowszych oficjalnych dokumentów) urządzenie.
2. Izolowanie urządzeń i / lub ich środowiska- Na przykład fizyczna izolacja komputera w celu sprawdzania plików lub korzystanie z przedpłaconych urządzeń mobilnych.
3. Ostrożnie działając zarówno w świecie cyfrowym, jak i rzeczywistym Ma to wiele wspólnego ze zdrowym rozsądkiem, a trochę mniej z oprogramowaniem: na przykład nigdy nie zapisuj nazwy źródła, na pewno nie w żadnej aplikacji ani w żadnym dokumencie przechowywanym na twoim komputerze - a na pewno nie w wszystko przechowywane w chmurze.

2. Komunikowanie się ze źródłem i
ochrona wrażliwych danych

Zacznijmy od wyszczególnienia, co możesz zrobić, jeśli chodzi o komunikację ze źródłem i przechowywanie wrażliwych informacji z nich uzyskanych:

1. Uważaj na wielkie nazwiska: Załóżmy, że systemy szyfrowania dużych firm, a być może nawet systemy operacyjne wielkich marek (oprogramowanie własne) mają tylne drzwi, do których mają dostęp tajne służby w ich kraju pochodzenia (przynajmniej w USA i Wielkiej Brytanii). Bruce Schneier, ekspert ds. Bezpieczeństwa, wyjaśnia to tutaj.
2. Zawsze szyfruj wszystko: Eksperci ds. Bezpieczeństwa używają prostej matematyki, aby wyrazić swoje zdanie: gdy podnosisz koszty odszyfrowywania plików (powiedzmy, dla agencji wywiadowczych takich jak NSA), automatycznie zwiększasz wysiłek włożony w śledzenie ciebie. Jeśli nie jesteś Chelsea Manning, Julian Assange lub Edward Snowden i jeśli nie byłeś zaangażowany w czynny nadzór wokół mieszkań Trump Tower, mogą zrezygnować z wysiłku, nawet jeśli twoja zaszyfrowana komunikacja była przechowywana. I jeśli ktoś zdecyduje się na śledzenie cię pomimo twoich wysiłków, bardziej kłopotliwe będzie użycie silnego szyfrowania, takiego jak AES (Advanced Encryption Standard) i narzędzi, takich jak PGP lub openVPN, które są najsilniej dostępnymi metodami szyfrowania (VPN są używane przez sam rząd USA) .Ale jeśli chcesz mieć kuloodporne zabezpieczenia, potrzebujesz czegoś więcej niż metody szyfrowania AES. PS, jeśli chcesz odkryć rok, w którym twoje informacje wylądowały w rękach NSA, po prostu rzuć okiem tutaj.
3. Wykonaj pełne szyfrowanie dysku: Odbywa się to na wypadek, gdyby ktoś dostał się w ręce twojego komputera lub telefonu. Pełne szyfrowanie dysku można wykonać za pomocą FileVault, VeraCryptor BitLocker. Przełączenie komputera w tryb uśpienia (zamiast wyłączenia lub hibernacji) może pozwolić osobie atakującej na ominięcie tej obrony. Tutaj, Mika Lee zawiera kompletny przewodnik dotyczący szyfrowania laptopa.
4. Unikaj rozmów ze źródłami w telefonie: Wszystkie firmy telefoniczne przechowują dane związane z numerami dzwoniącego i odbiorcy, a także lokalizacją urządzeń w momencie wykonywania połączeń. W Stanach Zjednoczonych i kilku innych krajach są one prawnie zobowiązane do ujawniania informacji o zarejestrowanych połączeniach, które posiadają. Co można zrobić? Powinieneś użyć bezpiecznej usługi połączeń, takiej jak ta, którą posiada aplikacja Signal - która była wielokrotnie testowana pod kątem bezpieczeństwa. Chociaż może to oznaczać, że zarówno źródło, jak i edytor muszą również pobrać aplikację, proces ten zajmuje tylko kilka minut. Tutaj jest poprowadzi jak go używać. Tylko na wszelki wypadek sprawdź, ilu z Twoich nie-dziennikarskich przyjaciół tam przebywa. Jednak decydujesz się na komunikację ze źródłem, nie zabieraj telefonu komórkowego na wrażliwe spotkania. Kup urządzenie jednorazowe i znajdź sposób, aby wcześniej przekazać jego numer do źródła. Źródło musi mieć także bezpieczne urządzenie jednorazowego użytku. Władze mogą śledzić Twój ruch za pośrednictwem sygnałów sieci komórkowej i zaleca się, aby trudniej było im zlokalizować cię z powrotem w dokładnie tej samej kawiarni, w której znajdowało się źródło. Jeśli nie zastosujesz się do tej zasady, wszystkie lokalne władze będą musiały poprosić (grzecznie i zgodnie z prawem) o film nakręcony przez kamerę bezpieczeństwa kawiarni w czasie spotkania.
5. Wybierz bezpiecznych komunikatorów: Twoje połączenia (komórkowe i stacjonarne) mogą być monitorowane przez organy ścigania, a każdy SMS jest jak pocztówka - cały tekst jest w pełni widoczny dla tych, którzy mogą go przechwycić. Dlatego używaj Komunikatorów, które pozwalają na bezpieczne połączenie od końca do końca: sygnał, o którym już wspomniano powyżej, i Telegram są uważane za najbezpieczniejsze (chociaż Telegram, a także aplikacje internetowe WhatsApp zostały raz naruszone, a następnie naprawione). Zdaniem niektórych ekspertów można również rozważyć użycie SMSSecure, Threema, a nawet Whatsapp. Protokół sygnału został faktycznie zaimplementowany w WhatsApp, Facebook Messenger, Google Allo, dzięki czemu rozmowy są szyfrowane. Jednak w przeciwieństwie do Signal i WhatsApp, Google Allo i Facebook Messenger nie szyfrują domyślnie, ani nie powiadamiają użytkowników, że rozmowy są niezaszyfrowane - ale oferują szyfrowanie typu end-to-end w trybie opcjonalnym. Pamiętaj również, że Facebook Messenger i WhatsApp są własnością Facebooka. Adium i Pidgin to najpopularniejsze klienty komunikatorów Mac i Windows obsługujące protokół szyfrowania OTR (Off the Record) oraz Tor - najlepiej zaszyfrowana przeglądarka internetowa, do których szczegółowo przejdziemy później (zobacz, jak włączyć Tora w Adium tutaj i w Pidgin tutaj). Oczywiście możesz również użyć samego Tora Messenger, który jest prawdopodobnie najbezpieczniejszym z nich wszystkich. Dwie końcowe uwagi na temat SMS-ów: ekspert ds. Bezpieczeństwa cybernetycznego, z którym rozmawiałem o tym, twierdzi, że powinieneś również wysunąć hipotezę, że tekst jest szyfrowany, ale fakt, że te dwie konkretne osoby rozmawiają w tej chwili, może nie pozostać niezauważony. Drugą uwagą jest to, że powinieneś również pamiętać o usunięciu wiadomości z telefonu (chociaż może to nie wystarczyć do wytrzymania kontroli kryminalistycznej), po prostu na wypadek, gdyby Twoje urządzenie wpadło w niepowołane ręce, do unikać narażania Im.
6. Nie używaj czatów organizacyjnych: Slack, Campfire, Skype i Google Hangouts nie powinny być używane do prywatnych rozmów. Łatwo się włamują i są narażeni na prośby o ujawnienie do sądu, aby rozwiązać problemy prawne w miejscu pracy. Dlatego najlepiej ich unikać, nie tylko w przypadku rozmów ze źródłami, ale także rozmów między współpracownikami, redaktorami itp., Gdy trzeba przekazać informacje otrzymane od źródła, których tożsamość musi być ukryta. Wiele popularnych usług VoIP, takich jak Jitsi, ma wbudowane funkcje czatu, a niektóre z nich zostały zaprojektowane tak, aby oferowały większość funkcji Skype, co czyni je świetnymi zamiennikami.
7. W skrajnych przypadkach rozważ użycie Blackphone: Ten telefon, który zapewnia doskonałą ochronę podczas surfowania po Internecie, połączeń, wiadomości tekstowych i e-maili, jest prawdopodobnie najlepszym zamiennikiem zwykłego telefonu, jeśli masz zamiar obalić swój rząd lub przygotować się do opublikowania tajnych plików wojskowych. Przyda się również kamizelka kuloodporna. Alternatywnie spróbuj obejść się bez telefonu komórkowego lub wybierz worek do blokowania sygnału RFID w telefonie komórkowym. Zawsze istnieje opcja, że ​​nawet telefon można śledzić za pomocą jego IMEI (identyfikator telefonu komórkowego).
8. Ochrona danych na twoim komputerze: Łamanie zwykłych haseł jest bardzo łatwe, ale łamanie haseł może zająć lata - tzn. Losowe kombinacje słów. Zalecamy wypróbowanie narzędzi do bezpiecznego zarządzania hasłami, takich jak: LastPass i 1Password i KeePassX. Musisz zapamiętać tylko jedno hasło, w przeciwieństwie do zbyt wielu haseł. Mimo to podczas obsługi ważnych usług, takich jak poczta e-mail, nie polegaj na menedżerach haseł: pamiętaj tylko, aby zapamiętać hasło. wywiad Arjen Kamphuis, ekspert ds. bezpieczeństwa informacji, polecił Alastairowi Reidowi z dziennikaism.co.uk.co.uk, że w przypadku szyfrowanych dysków twardych, bezpiecznych wiadomości e-mail i odblokowywania laptopów należy wybrać hasło zawierające ponad 20 znaków. Oczywiście, im dłuższe hasło, tym trudniej jest je złamać - ale tym trudniej je zapamiętać. Dlatego zaleca użycie hasła. „To może być cokolwiek, na przykład linia twojej ulubionej poezji”, mówi Kamphuis, „może linia z czegoś, co napisałeś, gdy miałaś dziewięć lat, o którym nikt inny się nie dowie”. Reid donosi, że ta kalkulacja prowokuje do myślenia, Kalkulator siły hasła Gibson Research Corporation: Hasło, takie jak „F53r2GZlYT97uWB0DDQGZn3j2e”, z generatora losowych haseł, wydaje się bardzo silne i rzeczywiście, biorąc 1.29 sto miliardów bilionów stuleci, aby wyczerpać wszystkie kombinacje, nawet gdy oprogramowanie robi sto trylionów zgadnięć na sekundę.
9. Uwierzytelnianie dwuskładnikowe to również bardzo dobry pomysł. W zwykłym dwuetapowym uwierzytelnianiu logujesz się za pomocą hasła i otrzymujesz drugi kod, często w wiadomości tekstowej na smartfona. Możesz użyć Yubikey, a także tokenów sprzętowych, aby dodatkowo zabezpieczyć poufne pliki na swoim komputerze. Aby uzyskać więcej informacji, przeczytaj Złote zasady 7 dotyczące bezpieczeństwa hasła.
10. Przypisz komputer do kontroli podejrzanych plików / załączników: Najprostszym sposobem na rozpowszechnianie złośliwego oprogramowania i programów szpiegujących jest instalacja przez USB lub załączniki i łącza e-mail. Dlatego zaleca się używanie jednego komputera z przerwami powietrznymi do badania tych zagrożeń w kwarantannie. Za pomocą tego komputera możesz swobodnie korzystać z USB i pobierać pliki z Internetu, ale nie przesyłać plików na zwykły komputer ani ponownie używać tego USB.
11. Jak kupić własny zabezpieczony komputer: Ekspert ds. Bezpieczeństwa Arjen Kamphuis zaleca zakup pre-2009 IBM ThinkPad X60 lub X61. Są to jedyne wystarczająco nowoczesne laptopy z nowoczesnymi systemami oprogramowania, które umożliwiają zastąpienie oprogramowania niskiego poziomu. Inną kwestią, którą należy wziąć pod uwagę, jest to, że nie należy kupować komputera przez Internet, ponieważ może on zostać przechwycony podczas dostawy. Kamphuis zaleca kupowanie go w sklepie z używanymi towarami za gotówkę. Wskazuje również, że należy znieść wszelką łączność: Usuń wszystkie możliwości sieci Ethernet, modemu, Wi-Fi lub Bluetooth. Osobiście znam ekspertów od bezpieczeństwa, którzy nie ufaliby takiemu komputerowi.

Możesz zobaczyć wersję eBook tego przewodnika tutaj.

Przeczytaj całą historię tutaj…