Журналисты борются, чтобы остаться актуальными в возрасте полного наблюдения

1. Введение

Многие ветераны-журналисты, но не только они, наверняка заметили, что нас внезапно снова засыпали упоминаниями об Уотергейте. Такие книги, как 1984 Джорджа Оруэлла, выставлены в книжных магазинах, и атмосфера опасности для свободы слова и свободы прессы медленно распространяется, как темное облако, над Западным полушарием, вызывая старые страхи.

Когда американский действующий президент обвиняет бывшего президента в слежке; когда он препятствует доступу центральных американских СМИ - до сих пор всегда предоставлявшимся и принимаемым как должное - к проводимым им пресс-конференциям; и когда он непрерывно стучит и обвиняет средства массовой информации в том, что он является врагом номер один страны, неудивительно, что воспоминания о президенте Никсоне всплывают с каждым твитом-жалостью о SNL, и что даже сенаторы-республиканцы, такие как Джон Маккейн, выражают страх для будущего демократии.

И Маккейн не одинок. Многие журналисты, с которыми я недавно общался, выражали беспокойство по поводу всего, что ожидает свободу прессы. В то время, когда можно выразить следующее утверждение - «Дональд Трамп контролирует АНБ» - и не быть лжецом, все возможно. Добавьте это к тому факту, что последние новости о ЦРУ научили нас, что почти все системы шифрования могут быть скомпрометированы, если кто-то настойчиво взломает их - и вы на пути к представлению совершенно антиутопического мира, в котором вы даже не можете получить слишком удобную прокладку на вашем диване перед вашим собственным умным телевизором.

Хорошая новость заключается в том, что тем не менее можно затруднить кому-либо попытку перехватить ваши электронные письма, текстовые сообщения, которые вы отправляете, или ваши телефонные звонки. Вы можете принять меры, чтобы сделать жизнь тех, кто хочет раскрыть ваши источники и информацию, раскрывающуюся вам, намного сложнее. Конечно, степень усилий, которые вы готовы предпринять для защиты вашей конфиденциальности, анонимности ваших источников и безопасности ваших данных, должна соответствовать вероятности реальной угрозы, будь то взлом или шпионаж.

«Старомодные обещания - я не собираюсь раскрывать личность своего источника или отказываться от своих заметок - являются пустыми, если вы не предпринимаете шагов по защите вашей информации в цифровом виде», - говорит Бартон Геллман из Washington Post, чья Источник, бывший подрядчик АНБ Эдвард Сноуден, помог раскрыть масштабы операций АНБ и британского GCHQ своему интервьюеру Тони Локи, Сама Лоци, которая освещала американскую судебную систему для AP, The Washington Post и USA Today, и сама содержалась в неуважении к суду за отказ определить источники, вероятно, поддержит это.

Итак, что нужно сделать, чтобы обеспечить безопасность и надежность источников и данных журналиста? Grosso modo, советы можно описать как подпадающие под следующие категории:

1. Защита приложений и функций на устройстве Это известно как уменьшение «Поверхность атаки»т.е. ограничение установленных приложений до минимума, установка только из надежных источников, выбор приложений, которым требуются минимальные права, полное обновление и обновление системы и наличие как можно большего количества элементов управления безопасностью (основанных на последних технических документах) устройство.
2. Изоляция ваших устройств и / или их среды- Например, физическая изоляция компьютера с целью проверки файлов или использование мобильных устройств с предоплатой.
3. Действуя осторожно как в цифровом, так и в реальном мире Это во многом связано со здравым смыслом и немного меньше с программным обеспечением: например, никогда не записывайте имя источника, конечно, ни в каком приложении или в любом документе, который хранится на вашем компьютере - и, скорее всего, не в все, что хранится в облаке.

2. Общение с вашим источником и
защита конфиденциальных данных

Давайте начнем с перечисления того, что вы можете сделать, когда дело доходит до связи с источником, и хранения конфиденциальной информации, полученной из него:

1. Остерегайтесь громких имен: Предположим, что системы шифрования крупных компаний и, возможно, даже громкие операционные системы (проприетарное программное обеспечение) имеют задние двери, к которым могут получить доступ секретные службы в их стране происхождения (по крайней мере, в США и Великобритании). Брюс Шнайер, эксперт по безопасности, объясняет это здесь.
2. Всегда шифруйте все: Эксперты по безопасности используют простую математику, чтобы высказать свою точку зрения: когда вы повышаете стоимость расшифровки ваших файлов (скажем, для спецслужб, таких как АНБ), вы автоматически увеличиваете степень усилий, затрачиваемых на то, чтобы следовать за вами. Если вы не «Челси Мэннинг», «Джулиан Ассанж» или «Эдвард Сноуден», и если вы не участвовали в активном наблюдении за квартирами Trump Tower, они могут отказаться от усилий, даже если ваши зашифрованные сообщения были сохранены. И если кто-то решит отследить вас, несмотря на ваши усилия, будет больше головной боли, если вы будете использовать надежное шифрование, такое как AES (Advanced Encryption Standard), и такие инструменты, как PGP или openVPN, которые являются наиболее сильными широко доступными методами шифрования (VPN используются само правительство США). Но если вам нужна пуленепробиваемая безопасность, вам потребуется больше, чем метод шифрования AES. PS Если вы хотите узнать год, когда ваша информация попала в руки АНБ, просто взгляните здесь.
3. Выполните полное шифрование диска: Это делается на тот случай, если кто-то попадет в ваш компьютер или телефон. Полное шифрование диска может быть сделано с помощью FileVault, VeraCryptor BitLocker, Перевод компьютера в спящий режим (вместо выключения или спящего режима) может позволить злоумышленнику обойти эту защиту. Вот, Мика Ли дает полное руководство по шифрованию вашего ноутбука.
4. Избегайте общения с источниками по телефону: Все телефонные компании хранят данные, относящиеся к номерам звонящего и получателя, а также местонахождение устройств во время совершения звонков. В США и некоторых других странах по закону они обязаны раскрывать информацию о зарегистрированных звонках, которыми они владеют. Что можно сделать? Вам следует использовать службу безопасного вызова, такую ​​как та, которая есть в приложении Signal, которая неоднократно проверялась на безопасность. Хотя это может означать, что и источник, и редактор также должны загрузить приложение, процесс занимает всего несколько минут. Вот руководство о том, как его использовать. Просто для ознакомления проверьте, сколько ваших друзей, не являющихся журналистами, там общаются. Если вы решите общаться со своим источником, не приносите свой мобильный телефон на конфиденциальные встречи. Купите одноразовое устройство и найдите способ заранее сообщить его номер источнику. У источника тоже должно быть одноразовое безопасное устройство. Власти могут отслеживать ваше движение по сигналам сотовой сети, и рекомендуется, чтобы им было труднее найти вас задним числом в том же кафе, где находился источник. Если вы не соблюдаете это правило, все местные органы власти должны будут попросить (вежливо и законно) снять видео, снятое камерой безопасности кафе во время вашей встречи.
5. Выберите безопасных мессенджеров: ваши звонки (сотовые и стационарные) могут отслеживаться правоохранительными органами, и каждое SMS-сообщение похоже на открытку - весь текст полностью виден тем, кто может его перехватить. Поэтому используйте мессенджеры, которые обеспечивают безопасный сквозной вызов: сигнал, о котором уже упоминалось выше, и Telegram считаются самыми безопасными (хотя Telegram, а также веб-приложения WhatsApp были однажды взломаны, а затем исправлены). По мнению некоторых экспертов, вы также можете рассмотреть возможность использования SMSSecure, Threema и даже Whatsapp. Протокол Signal был фактически реализован в WhatsApp, Facebook, и Google Алловедение разговоров с использованием их в зашифрованном виде. Однако, в отличие от Signal и WhatsApp, Google Allo и Facebook Messenger не шифруют по умолчанию и не уведомляют пользователей о том, что разговоры не зашифрованы, но предлагают сквозное шифрование в дополнительном режиме. Вы также должны помнить, что Facebook Messenger и WhatsApp принадлежат Facebook. Адиум и Pidgin - самые популярные клиенты для обмена мгновенными сообщениями Mac и Windows, поддерживающие протокол шифрования OTR (Off the Record) и Tor - лучший зашифрованный браузер в Интернете, о котором мы подробно расскажем позже (смотрите, как включить Tor в Adium здесь и в пиджине здесь). Естественно, вы также можете использовать Tor Messenger, который, вероятно, является самым безопасным из них. Два заключительных замечания о текстовых сообщениях: эксперт по кибербезопасности, с которым я обсуждал это, говорит, что у вас должна быть рабочая гипотеза о том, что текст зашифрован, но тот факт, что эти конкретные два человека разговаривают, в настоящее время не может остаться незамеченным. Второе замечание: вы также должны помнить об удалении сообщений в вашем телефоне (хотя этого может быть недостаточно, чтобы выдержать судебную проверку), просто если ваше устройство попадет в чужие руки, избегать разоблачения их.
6. Не используйте организационные чаты: Slack, Campfire, Skype и Google Hangouts не должны использоваться для личных разговоров. Их легко взломать, и они подвергаются запросам о раскрытии для использования судами для решения юридических вопросов на рабочем месте. Поэтому лучше избегать их, не только когда речь идет о беседах с источниками, но также и разговорах между коллегами, редакторами и т. Д., Когда вам нужно передать информацию, полученную из вашего источника, личность которого должна быть скрыта. Многие популярные VoIP-сервисы, такие как Jitsi, имеют встроенные функции чата, и некоторые из них предназначены для предоставления большинства функций Skype, что делает их отличной заменой.
7. В крайних случаях рассмотрите возможность использования Blackphone: Этот телефон, который стремится обеспечить идеальную защиту для веб-серфинга, звонков, текстовых сообщений и электронных писем, вероятно, является лучшей заменой обычному телефону, если вы собираетесь свергнуть свое правительство или готовитесь опубликовать секретные военные файлы. Жилет против пули также может пригодиться. В качестве альтернативы, попробуйте обойтись без сотового телефона, или выберите сотовый телефон RFID-мешок для блокировки сигнала. Всегда есть возможность, что даже Blackphone можно отслеживать, используя его IMEI (идентификатор мобильного телефона).
8. Защита данных на вашем компьютере: Очень легко взломать обычные пароли, но могут потребоваться годы, чтобы взломать пароли - то есть случайные комбинации слов. Мы рекомендуем попробовать безопасные инструменты управления паролями, такие как: LastPass и 1Password и KeePassX. Вам нужно будет запомнить только один пароль, а не слишком много паролей. И все же при работе с такими важными службами, как ваша электронная почта, не полагайтесь на менеджеры паролей: просто убедитесь, что вы помните пароль. интервью Alastair Reid в journalism.co.uk, эксперт по информационной безопасности Арьен Кампуйс (Arjen Kamphuis) порекомендовал, чтобы для зашифрованных жестких дисков, защищенной электронной почты и разблокировки ноутбуков выбирался пароль из символов 20. Конечно, чем длиннее пароль, тем сложнее его взломать, но сложнее его тоже запомнить. Вот почему он рекомендует использовать фразу-пароль. «Это может быть что угодно, например, строка вашей любимой поэзии, - говорит Кампуис, - может быть, строка из того, что вы написали, когда вам было девять лет, о котором никто не узнает». Рейд сообщает об этой мысли, провоцирующей расчеты, используя Калькулятор надежности пароля Gibson Research Corporation: Пароль типа «F53r2GZlYT97uWB0DDQGZn3j2e» от генератора случайных паролей кажется очень сильным, и действительно, 1.29 требует сотни миллиардов триллионов столетий для исчерпания всех комбинаций, даже когда программное обеспечение создает сто триллионов догадок в секунду.
9. Двухфакторная аутентификация тоже очень хорошая идея. При обычной двухэтапной аутентификации вы входите в систему со своим паролем и получаете второй код, часто в виде текстового сообщения на свой смартфон. Вы можете использовать Yubikey, а также аппаратные токены для дальнейшей защиты конфиденциальных файлов на вашем компьютере. Для получения дополнительной информации прочтите Золотые правила 7 для безопасности паролей.
10. Назначьте компьютер для проверки подозрительных файлов / вложений: Самый простой способ распространения вредоносных и шпионских программ - через установку через USB или через вложения и ссылки на электронную почту. Поэтому рекомендуется использовать один компьютер с воздушным зазором для проверки этих угроз в карантине. С этим компьютером вы можете свободно использовать USB и загружать файлы из Интернета, но не переносить файлы на обычный компьютер и не использовать этот USB повторно.
11. Как купить собственный защищенный компьютер: Эксперт по безопасности Арьен Кампуис рекомендует приобретение IBM ThinkPad до 2009 до X60 или X61. Это единственные достаточно современные ноутбуки с современными программными системами, которые позволяют заменить программное обеспечение низкого уровня. Еще один момент, который следует учитывать, это то, что вы не должны покупать свой компьютер через Интернет, поскольку он может быть перехвачен во время доставки. Kamphuis рекомендует покупать его в магазине подержанных товаров за наличные. Он также указывает, что вы должны отменить все подключения: удалить все возможности Ethernet, модема, Wi-Fi или Bluetooth. Лично я знаю экспертов по безопасности, которые не будут доверять такому компьютеру.

Вы можете увидеть электронную книгу PDF-версию этого руководства здесь.

Прочитайте полную историю здесь…