18.05.2013 | 22:11

Adam Haertle

Jak zbudować bezpieczny system dla anonimowych informatorów

Po tym jak pod koniec roku 2010 Wikileaks wyłączyło formularz przesyłania danych przez informatorów, kilka organizacji próbowało, bez wielkich sukcesów, skonstruować podobne mechanizmy. Udało się to dopiero magazynowi The New Yorker.

Współczesne media warte są tyle, ile wiedzą – i zechcą ujawnić – ich informatorzy. Bez szerokiej sieci kontaktów każdemu dziennikarzowi trudno stworzyć oryginalną treść. Czasem jednak informatorzy nie chcą ujawniać swojej tożsamości nawet zaufanemu dziennikarzowi. Niektóre redakcje próbowały ułatwić informatorom zachowanie anonimowości. Kiedy swój serwis pod nazwą SafeHouse udostępnił Wall Street Journal, krytycy nie zostawili na nim suchej nitki. Wskazywali między innymi na brak mechanizmu Strict Transport Security, narażający informatorów na taki typu MiTM, czy też możliwość wybrania wielu, niekoniecznie najlepszych, algorytmów szyfrowania w ramach połączenia SSL. Prawdziwym kuriozum były też warunki użytkowania serwisu, w których informator zobowiązywał się, że ma prawo dysponować przekazywaną informacją a jej treść nie narusza niczyich interesów, z kolei zaś sam serwis zastrzegał sobie prawo do wydania organom ścigania wszystkich danych swoich użytkowników.

Jak to zrobić poprawnie

Tych błędów najwyraźniej ustrzegł się serwis STRONGBOX magazynu The New Yorker. Zagwarantowali to między innymi jego współautorzy – Kevin Poulsen, redaktor magazynu Wired, należącego do tego samego wydawnictwa co The New Yorker, oraz Aaron Swartz, zmarły niedawno aktywista internetowy, zajmujący się między innymi kwestiami prywatności. Jak zatem działa STRONGBOX?

Pierwszym krokiem, który musi wykonać potencjalny informator, jest instalacja pakietu TOR, pobranego ze strony Tor Project. Sam serwis jest dostępny jedynie jako ukryta usługa w sieci TOR pod adresem http://tnysbtbxsf356hiy.onion. To rozwiązanie zapewnia, że nawet gdyby ktoś chciał skorzystać ze swojego domowego łącza internetowego, by przesłać gazecie informacje, jego adres IP zostanie ukryty przez łańcuch połączeń wewnątrz sieci TOR, a połączenie zostanie zaszyfrowane.

Strona główna serwisu

Strona główna serwisu

W kolejnym etapie każdy potencjalny informator otrzymuje swój własny, unikatowy kod, składający się z 4 losowych wyrazów. Kod ten jest niezbędny do ewentualnego nawiązania dwustronnej, bezpiecznej komunikacji z redaktorami czasopisma. Ostatnim etapem po stronie nadawcy jest wysłanie plików lub wiadomości przez odpowiedni formularz. Tu kończy się pierwszy etap komunikacji – ale kolejne są całkiem ciekawe.

Jak ochronić dane?

Jak gazeta zabezpiecza otrzymane materiały? Zarówno pliki jak i wiadomości szyfrowane są za pomocą algorytmu PGP i przekazywane na serwer, który nie ma połączenia z siecią wydawnictwa i znajduje się w wydzielonej, dodatkowo zabezpieczonej lokalizacji (działa pod kontrolą Linuxa z łatą grsecurity). Dwóch redaktorów gazety od czasu do czasu łączy się z serwerem przy użyciu dedykowanego laptopa oraz sieci VPN, zabezpieczonej dwuskładnikowym uwierzytelnieniem Google’a. Jeśli zauważą nowe materiały, pobierają je z serwera w zaszyfrowanej formie i nagrywają na nośnik USB.

Do czytania materiałów używany jest inny, dedykowany komputer, który nigdy nie jest podłączany do żadnej sieci. Komputer ten nie ma dysku twardego i jest uruchamiany każdorazowo z płyty CD, dzięki czemu żaden złośliwy program dołączony do przesłanych dokumentów nie może w nim zagościć dłużej, niż na czas jednej sesji. Do komputera podłączany jest napęd USB z pobranymi danymi oraz drugi napęd USB, zawierający klucze PGP. Wszystkie dokumenty przepuszczane są przez oprogramowanie usuwające metadane, mogące zidentyfikować nadawcę. Redaktorzy czytają odszyfrowane wiadomości i mogą utworzyć i zaszyfrować wiadomość zwrotną dla nadawcy. Informator może w dowolnym momencie zalogować się do serwisu za pomocą swojego kodu składającego się z 4 wyrazów, który otrzymał przy pierwszej wizycie i sprawdzić, czy czekają na niego jakieś wiadomości.

Wygląda na to, że system został zaprojektowany tak, by zapewnić maksimum anonimowości informatorom oraz bezpieczeństwo przekazywanym przez nich danym. Żadne rozwiązanie nie daje jednak 100% gwarancji – wszystko zależy również chociażby od bezpieczeństwa komputerów używanych przez informatorów czy też od możliwości wyśledzenia źródła informacji w oparciu o jej treść.

Ty też możesz postawić taką skrzynkę

Całe oprogramowanie, użyte w tym projekcie, zostało opublikowane na wolnej licencji w serwisie GitHub pod nazwą DeadDrop. Oczywiście projektowi towarzyszy dokładna dokumentacja oraz instrukcja konfiguracji – być może skorzysta z nich jakaś polska redakcja.

Powrót

Komentarze

  • 2013.05.18 22:51 #PollyPocket#

    Świetnie, ale zawsze zostaje „copy and paste”, a dowiedziono już, że to użytkownik stanowi największe zagrożenie dla systemu. Wątpię by redaktor przepisywał kilkunasto stronicowy materiał.

    Odpowiedz
  • 2013.05.18 23:32 MarcinM

    Ciekawe. A co się dzieje z polskim serwisem tego typu (zapomniałem jak się nazywał)?

    Odpowiedz
    • 2013.05.19 07:42 Adam

      Zależy o który pytasz.
      PolandLeaks.org opublikował trochę materiałów, głównie śledczych (np. dot. sprawy Olewnika) i zamilkł w zeszłym roku.
      Wyciek.org zapowiada start na 1 czerwca (chociaż np. zapowiadał też przejście na https 1 maja, a nie miało to miejsca).

      Odpowiedz
      • 2013.06.09 06:01 marsjaninzmarsa

        No i nie wystartowali.

        Odpowiedz
      • 2013.06.16 14:29 Ghost

        Pewnie dostali 3 lata za obrazę prezydenta :D

        Odpowiedz
  • 2014.01.30 02:58 polo

    pisanie o linkach do nie sprawdzonych linków bezcenne…

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Jak zbudować bezpieczny system dla anonimowych informatorów

Komentarze