У меня есть важная информация для «Медузы», но я боюсь ее передавать. Как сделать это по-настоящему анонимно?
1.
Что случилось?
2.
И как этой системой воспользоваться?
3.
Что это за меры предосторожности?
4.
Готово. Так где там ваш SecureDrop? Как им пользоваться?
5.
Зачем нужно было запоминать кодовое имя?
6.
Зачем мне их удалять?
7.
А другим браузером я могу воспользоваться?
8.
А вдруг кто-то анонимный пришлет «Медузе» ложный донос на начальника?
9.
Кстати, про другие каналы. Как еще я могу связаться с «Медузой», если не хочу морочиться с SecureDrop?
Что случилось?
Мы завели себе SecureDrop — это такая специальная система для безопасной связи источников с журналистами. Многие важные журналистские расследования начинаются с писем людей, которые становятся свидетелями несправедливости или чего-то противозаконного. Но иногда они не могут просто написать об этом по электронной почте или рассказать по телефону — вдруг кто-то узнает и начнутся неприятности?
С помощью SecureDrop вы сможете отправлять «Медузе» сообщения и документы, сохраняя при желании полную анонимность. Мы решили установить такую систему, потому что нам очень важно, чтобы наши источники чувствовали себя в безопасности. SecureDrop используют многие авторитетные издания — Forbes, The Guardian, The New Yorker, Associated Press, The New York Times и другие.
И как этой системой воспользоваться?
Подождите. Для начала оцените риски и примите меры, необходимые для сохранения вашей анонимности.
Что это за меры предосторожности?
В первую очередь нужно понять, от кого вы хотите скрыть свое общение с «Медузой».
Если вы хотите скрыть свою личность от редакции, избавьтесь от метаданных в передаваемых документах. Конечно, мы и так бы не стали раскрывать личность анонимного источника, но если вам будет спокойнее решить этот вопрос технически — это ваше право.
Если вы не хотите, чтобы о вашем общении с «Медузой» узнал работодатель, не используйте корпоративный ноутбук.
Как пользоваться Tor и VPN?
Если вы опасаетесь внимания со стороны спецслужб, этих мер может оказаться недостаточно. Разработчики SecureDrop советуют в таких случаях купить себе отдельный ноутбук и флешку, расплатившись наличными. И не оставляйте следов, которые могут выдать, что вы передавали, — внимательно избавляйтесь от распечаток, копий документов на компьютере, внешнем диске или флешке.
Обычно для использования SecureDrop рекомендуют подключаться к публичному Wi-Fi, но в России это почти невозможно. Чуть ли не везде требуется авторизация через смс-сообщение, а сим-карты нельзя купить без паспорта — соответственно, при желании можно проследить, кто подключался к публичному Wi-Fi. Так что лучше воспользуйтесь Tor или VPN — это не вызовет ни у кого подозрений, потому что в России это популярный способ обхода блокировок.
Готово. Так где там ваш SecureDrop? Как им пользоваться?
- Скачайте и установите специальный Tor-браузер (это доработанная под определенные задачи версия Firefox)
- Запустите этот браузер и откройте в нем сайт kwgwd67ovgilrssisfvv2knjg3msdi6wlgzotqixoxywfocqebsn2yqd.onion
- Нажмите на кнопку Submit Documents.
- Перепишите (а лучше запомните) автоматически сгенерированное для вас кодовое имя. Это семь английских слов. Например, childish surfacing remark yin rubble jelly jump.
- Затем еще раз нажмите на кнопку Submit Documents.
- Наконец-то вы можете написать нам сообщение и отправить файл.
- Теперь нажмите кнопку Submit.
Готово! Ваше сообщение отправлено.
Зачем нужно было запоминать кодовое имя?
Чтобы мы могли связаться с вами и задать уточняющие вопросы.
- Подождите день-другой.
- Зайдите с помощью специального браузера на тот же сайт kwgwd67ovgilrssisfvv2knjg3msdi6wlgzotqixoxywfocqebsn2yqd.onion
- На этот раз нажмите на кнопку Check for a Response.
- Введите свое кодовое имя.
- Прочтите наше сообщение и ответьте на него.
После прочтения сообщения из переписки с редакцией лучше удалить!
Зачем мне их удалять?
Если записанное вами кодовое имя попадет в руки злоумышленника (ну вдруг!), ему не достанется никакой информации. Он и так не сможет понять, что вы написали и какие документы отправили, а без ответов редакции невозможно будет восстановить контекст переписки.
А другим браузером я могу воспользоваться?
Можете. Но не стоит этого делать, если вы дорожите своей анонимностью.
- Телефоны на Android могут использовать связку приложений Orbot (мобильный Tor) и Tor Browser для Android (защищенный браузер), но для них не проводили независимый аудит безопасности. Поэтому система SecureDrop покажет вам специальное предупреждение.
- Технически подкованный человек может настроить свой персональный компьютер или роутер так, чтобы любой браузер мог открывать ссылки с псевдодоменом .onion. Но Tor-браузер имеет дополнительные средства защиты. Например, он постарается уберечь вас от отслеживания пользователей по косвенным признакам: используемой операционной системе, версии браузера, предустановленным на компьютере шрифтам, часовому поясу, языку, размеру экрана и другим. Чем меньше мы о вас сможем теоретически узнать — тем вам должно быть спокойнее.
- Вы даже без особых ухищрений могли бы использовать сервисы Tor2web. Они работают как посредники и помогают в любом браузере открывать сайты, скрытые в сети Tor. Для этого обычно достаточно дописать окончание адреса, заменив .onion, например, на .onion.to или .onion.guide. Но это небезопасно — владелец такого сервиса может попытаться перехватить весь ваш трафик к нашему сервису.
В качестве более защищенной альтернативы вы можете использовать специальную операционную систему Tails (The Amnesiac Incognito Live System), которая загружается с флешки. Tам уже есть предустановленный Tor-браузер. После выключения или перезагрузки компьютера на нем не останется никаких «улик».
А вдруг кто-то анонимный пришлет «Медузе» ложный донос на начальника?
Такое бывает. Именно поэтому мы тщательно проверяем сообщения наших источников. Нам будет намного проще, если вы, став свидетелем чего-то незаконного или просто неправильного, подтвердите свой рассказ документами, видео- или аудиозаписью, фотографиями или каким-то другим образом. Вы можете сообщить нам контакты людей, которые могли бы подтвердить вашу историю. Когда будете отправлять свое письмо через SecureDrop, мысленно поставьте себя на место журналиста-расследователя — убедило бы вас ваше собственное послание? Пожалуйста, не стоит отправлять нам по SecureDrop подозрения, жалобы, отзывы на наши статьи и найденные опечатки — для этого есть другие каналы.
Кстати, про другие каналы. Как еще я могу связаться с «Медузой», если не хочу морочиться с SecureDrop?
Во-первых, вы можете просто нажать на кнопку «Напишите нам» — она есть под каждым материалом.
Во-вторых, вы можете написать на editorial@meduza.io — если вы хотите предложить идею или рассказать свою историю.
В-третьих, есть специальный адрес для жалоб (например, если вам кажется, что мы где-то ошиблись) — reports@meduza.io. Нашли опечатку — выделите это слово и нажмите Ctrl+Enter.
В-четвертых, вы можете написать нам в телеграм @m_needs_you. Если хотите, можете написать в «секретном чате», так будет безопаснее.
Редакция «Медузы»
Кодовое имя (codename)
Передача файлов
С каждым сообщением можно отправить всего один файл, размером до 500 мегабайт. То есть несколько мелких файлов проще всего заранее упаковать в архив. Если вам потребуется отправить намного больше данных, напишите нам об этом. Можно будет воспользоваться OnionShare — это специальный инструмент для анонимной отправки файлов без ограничения их размера.
Очистка метаданных
Существуют различные приложения, которые помогут вам удалить из фотографий так называемые Exif-метки с датой съемки, моделью используемой камеры или телефона и точными географическими координатами. Проверьте свойства офисных документов — там может оказаться ваше полное имя или подразделение, в котором вы работаете. Отсканированные распечатки файлов могут содержать невидимые желтые точки — закодированную информацию, которая может выдать информатора.