Największa szwedzka gazeta zaliczyła właśnie spektakularną wpadkę. W poradniku opisującym, jak szyfrować za pomocą PGP poufne materiały przesyłane do redakcji, załączyła przez przypadek swój klucz prywatny. I to nie pierwszy raz.
Korespondencja między dziennikarzem a jego źródłem często musi pozostać w tajemnicy. Najciekawsze i najbardziej wartościowe publikacje zazwyczaj powstają w oparciu o materiały, które nie miały ujrzeć światła dziennego. Z pomocą przychodzi szyfrowanie – ale nie w takim wydaniu, jak w gazecie Aftonbladet.
Wpadka miesiąca
Szwedzka Gazeta Wieczorna (bo to właśnie oznacza jej nazwa) od kilku lat dba o prywatność komunikacji ze swoimi informatorami. W tym celu zamieściła na swoich stronach szczegółowy poradnik opisujący, jak przesyłane do niej informacje szyfrować za pomocą GPG zarówno na platformie Mac jak i PC. Wszystko było super, gdyby nie jeden drobny szczegół – w pliku, który miał zawierać jedynie klucz publiczny (już poprawiono zawartość), znalazł się również klucz prywatny gazety.
Kiedy gazeta zorientowała się, jaki popełniła błąd, szybko usunęła z sieci poradnik – zapomniała jednak usunąć załącznik, który był dostępny jeszcze przez ok. godzinę. Co ciekawe, identyczny błąd ta sama gazeta popełniła w roku 2012. Najwyraźniej za publikację kluczy ciągle odpowiada (a przynajmniej odpowiadała do wczoraj) ta sama osoba…
Konsekwencje
W sytuacji, kiedy wyciekł klucz prywatny gazety, można mieć tylko nadzieję, że był zabezpieczony naprawdę silnym hasłem. Jeśli jednak hasło nie było wystarczająco długie i skomplikowane, by oprzeć się próbom jego odgadnięcia (lub jeśli nie było go wcale), to posiadacz tego klucza może do momentu jego unieważnienia nie tylko podszywać się pod gazetę, uwiarygadniając swoją fałszywą tożsamość, ale także może odszyfrować wszystkie wiadomości zaszyfrowane w przeszłości za pomocą ujawnionego klucza. Jest to co prawda mało prawdopodobne, ale jednak stanowi poważne zagrożenie dla osób, które postanowiły podzielić się posiadanymi sekretami z redakcją.
Co można było zrobić, by tego uniknąć (oprócz oczywiście zachowania klucza prywatnego do wiadomości redakcji)? Od wielu miesięcy dostępny jest opisywany przez nas prawie 2 lata temu profesjonalnie zaprojektowany i wykonany system służący właśnie do anonimowej komunikacji z mediami o nazwie SecureDrop. W przeciwieństwie do PGP, oferuje nie tylko poufność treści komunikacji, ale także zachowuje w tajemnicy tożsamość informatora bez względu na jego umiejętności techniczne. Komunikacja poprzez pocztę elektroniczną wymaga ujawnienia adresu email nadawcy i może prowadzić do ujawnienia jego adresu IP – SecureDrop eliminuje to ryzyko przez użycie mechanizmów sieci Tor i anonimowych identyfikatorów.
Mamy nadzieję, że na przykładzie Aftonbladet media nauczą się, jak nie organizować komunikacji z informatorami. Przy okazji – znacie jakiekolwiek media w Polsce (oprócz Z3S i Niebezpiecznika), które publikują swoje klucze PGP lub oferują inną bezpieczną drogę komunikacji z redakcją?
Komentarze
A czy ktoś z naszych mediów korzysta z SecureDrop?
oko.press ma secure drop
wiem tylko, ze pewnie WPROST kiedyś opublikuje taki klucz.
oczywiście czyjś, nie swój. to tyle o polskich mediach. :D
Geniusz…. Wprost najpierw musiały wejść w posiadanie klucza prywatnego, więc prawdziwy właściciel takiego klucza już wtedy zaliczy faila…
Powinni go teraz odwołać, nie zrobili tego?
Takie wpadki były i będą, stąd też np. służbom opłaca się magazynować nawet zaszyfrowane dane, bo jeśli dziś czegoś nie da się złamać, to niewykluczone, że w przyszłości taka możliwość nastąpi, choćby przez taką właśnie wpadkę z wyciekiem klucza.
Odpowiedź na pytanie „kto jeszcze używa” – od kiedy pamiętam Piotr VaGla używał PGP i go popularyzował: http://prawo.vagla.pl/vagla
Na pewno redaktorzy Dziennika Internautów używają, ale niestety klucze nie są podane na stronie, są na publicznych serwerach, ale żeby w nich wyszukać trzeba znać adres do konkretnego redaktora, którego – znowu – nie ma podanego na stronie, jest tylko formularz kontaktowy… :P
W Fundacji Panoptykon dają!