разбор

У меня есть важная информация для «Медузы», но я боюсь ее передавать. Как сделать это по-настоящему анонимно?

9 карточек
  • Что случилось?
  • И как этой системой воспользоваться?
  • Что это за меры предосторожности?
  • Готово. Так где там ваш SecureDrop? Как им пользоваться?
  • Зачем нужно было запоминать кодовое имя?
  • Зачем мне их удалять?
  • А другим браузером я могу воспользоваться?
  • А вдруг кто-то анонимный пришлет «Медузе» ложный донос на начальника?
  • Кстати, про другие каналы. Как еще я могу связаться с «Медузой», если не хочу морочиться с SecureDrop?
1

Что случилось?

Мы завели себе SecureDrop — это такая специальная система для безопасной связи источников с журналистами. Многие важные журналистские расследования начинаются с писем людей, которые становятся свидетелями несправедливости или чего-то противозаконного. Но иногда они не могут просто написать об этом по электронной почте или рассказать по телефону — вдруг кто-то узнает и начнутся неприятности?

С помощью SecureDrop вы сможете отправлять «Медузе» сообщения и документы, сохраняя при желании полную анонимность. Мы решили установить такую систему, потому что нам очень важно, чтобы наши источники чувствовали себя в безопасности. SecureDrop используют многие авторитетные издания — Forbes, The Guardian, The New Yorker, Associated Press, The New York Times и другие.

2

И как этой системой воспользоваться?

Подождите. Для начала оцените риски и примите меры, необходимые для сохранения вашей анонимности.

3

Что это за меры предосторожности?

В первую очередь нужно понять, от кого вы хотите скрыть свое общение с «Медузой».

Если вы хотите скрыть свою личность от редакции, избавьтесь от метаданных в передаваемых документах. Конечно, мы и так бы не стали раскрывать личность анонимного источника, но если вам будет спокойнее решить этот вопрос технически — это ваше право.

Если вы не хотите, чтобы о вашем общении с «Медузой» узнал работодатель, не используйте корпоративный ноутбук.

Если вы опасаетесь внимания со стороны спецслужб, этих мер может оказаться недостаточно. Разработчики SecureDrop советуют в таких случаях купить себе отдельный ноутбук и флешку, расплатившись наличными. И не оставляйте следов, которые могут выдать, что вы передавали, — внимательно избавляйтесь от распечаток, копий документов на компьютере, внешнем диске или флешке.

Обычно для использования SecureDrop рекомендуют подключаться к публичному Wi-Fi, но в России это почти невозможно. Чуть ли не везде требуется авторизация через смс-сообщение, а сим-карты нельзя купить без паспорта — соответственно, при желании можно проследить, кто подключался к публичному Wi-Fi. Так что лучше воспользуйтесь Tor или VPN — это не вызовет ни у кого подозрений, потому что в России это популярный способ обхода блокировок.

4

Готово. Так где там ваш SecureDrop? Как им пользоваться?

  • Скачайте и установите специальный Tor-браузер (это доработанная под определенные задачи версия Firefox)
  • Запустите этот браузер и откройте в нем сайт xwt2mqq64h63ydp5.onion
  • Нажмите на кнопку Submit Documents.
  • Перепишите (а лучше запомните) автоматически сгенерированное для вас кодовое имя. Это семь английских слов. Например, childish surfacing remark yin rubble jelly jump.
  • Затем еще раз нажмите на кнопку Submit Documents.
  • Наконец-то вы можете написать нам сообщение и отправить файл.
  • Теперь нажмите кнопку Submit.

Готово! Ваше сообщение отправлено.

5

Зачем нужно было запоминать кодовое имя?

Чтобы мы могли связаться с вами и задать уточняющие вопросы.

  • Подождите день-другой.
  • Зайдите с помощью специального браузера на тот же сайт xwt2mqq64h63ydp5.onion
  • На этот раз нажмите на кнопку Check for a Response.
  • Введите свое кодовое имя.
  • Прочтите наше сообщение и ответьте на него.

После прочтения сообщения из переписки с редакцией лучше удалить!

6

Зачем мне их удалять?

Если записанное вами кодовое имя попадет в руки злоумышленника (ну вдруг!), ему не достанется никакой информации. Он и так не сможет понять, что вы написали и какие документы отправили, а без ответов редакции невозможно будет восстановить контекст переписки.

7

А другим браузером я могу воспользоваться?

Можете. Но не стоит этого делать, если вы дорожите своей анонимностью.

  • Телефоны на Android могут использовать связку приложений Orbot (мобильный Tor) и Orfox (защищенный браузер), но для них не проводили независимый аудит безопасности. Поэтому система SecureDrop покажет вам специальное предупреждение.
  • Технически подкованный человек может настроить свой персональный компьютер или роутер так, чтобы любой браузер мог открывать ссылки с псевдодоменом .onion. Но Tor-браузер имеет дополнительные средства защиты. Например, он постарается уберечь вас от отслеживания пользователей по косвенным признакам: используемой операционной системе, версии браузера, предустановленным на компьютере шрифтам, часовому поясу, языку, размеру экрана и другим. Чем меньше мы о вас сможем теоретически узнать — тем вам должно быть спокойнее.
  • Вы даже без особых ухищрений могли бы использовать сервисы Tor2web. Они работают как посредники и помогают в любом браузере открывать сайты, скрытые в сети Tor. Для этого обычно достаточно дописать окончание адреса, заменив .onion, например, на .onion.to или .onion.guide. Но это небезопасно — владелец такого сервиса может попытаться перехватить весь ваш трафик к нашему сервису.

В качестве более защищенной альтернативы вы можете использовать специальную операционную систему Tails (The Amnesiac Incognito Live System), которая загружается с флешки. Tам уже есть предустановленный Tor-браузер. После выключения или перезагрузки компьютера на нем не останется никаких «улик».

8

А вдруг кто-то анонимный пришлет «Медузе» ложный донос на начальника?

Такое бывает. Именно поэтому мы тщательно проверяем сообщения наших источников. Нам будет намного проще, если вы, став свидетелем чего-то незаконного или просто неправильного, подтвердите свой рассказ документами, видео- или аудиозаписью, фотографиями или каким-то другим образом. Вы можете сообщить нам контакты людей, которые могли бы подтвердить вашу историю. Когда будете отправлять свое письмо через SecureDrop, мысленно поставьте себя на место журналиста-расследователя — убедило бы вас ваше собственное послание? Пожалуйста, не стоит отправлять нам по SecureDrop подозрения, жалобы, отзывы на наши статьи и найденные опечатки — для этого есть другие каналы.

9

Кстати, про другие каналы. Как еще я могу связаться с «Медузой», если не хочу морочиться с SecureDrop?

Во-первых, вы можете просто нажать на кнопку «Напишите нам» — она есть под каждым материалом.

Во-вторых, вы можете написать на editorial@meduza.io — если вы хотите предложить идею или рассказать свою историю.

В-третьих, есть специальный адрес для жалоб (например, если вам кажется, что мы где-то ошиблись) — reports@meduza.io. Нашли опечатку — выделите это слово и нажмите Ctrl+Enter.

В-четвертых, вы можете написать нам в телеграм @meduzalovesyou. Если хотите, можете написать в «секретном чате», так будет безопаснее.

Редакция «Медузы»