SecureDrop
SecureDrop é uma plataforma open-source de entrega de documentos confidenciais por fontes anônimas. O sistema usa criptografia de forma a tornar a plataforma segura. Uma plataforma surge como uma ferramenta para tornar a comunicação entre jornalistas e “whistleblowers” mais segura. Whistleblower pode ser traduzido para o português como um delator ou dedo-duro. SecureDrop foi idealizado e implementado em sua primeira versão pelo falecido Aaron Swartz, sob o nome DeadDrop. A ONG Freedom of the Press Foundation adotou o projeto e o renomeou para SecureDrop.
Segurança
editarO código da plataforma foi auditado duas vezes[1] por diversos especialistas na área de segurança e criptografia, de forma a assegurar que a arquitetura da plataforma é segura. O relatório da auditoria, assim como o próprio site da Freedom of the Press Foundation, deixam bastante claros que a plataforma, apesar de tornar a comunicação jornalista-delator mais segura, não é sob hipótese alguma 100% segura. O relatório ressalta ainda a falta de usabilidade da plataforma para usuários não técnicos e sem expertise em criptografia. Esse foi exatamente o ponto que a Freedom of the Press tem atacado, tentando tornar a plataforma o mais usável possível, a fim de mitigar possíveis fontes de erros por parte dos usuários que possam tornar o uso da plataforma inseguro. A ONG oferece também auxílio técnico a organizações de imprensa que queiram usar o sistema, bem como treinamento para jornalistas sobre melhores práticas de segurança. Além disso, possuem um projeto de crowdfunding para financiar o hardware necessário para instalar o SecureDrop e doar a instituições que não possuem condições financeiras de obter tal hardware. Qualquer organização pode instalar o SecureDrop de forma gratuita e fazer modificações que satisfaçam suas necessidades específicas. Qualquer desenvolvedor interessado pode também ajudar a melhorar o código do SecureDrop, tendo em vista a sua natureza open-source. A Freedom of The Press Foundation realizou inclusive uma série de Hackathons para melhorar o código da plataforma. A natureza open-source desta segue o 2o princípio de Kerckhoffs:
“O sistema não deve requerer que a sua arquitetura ou que os seus algoritmos criptográficos sejam mantidos em segredo para garantir a sua segurança.”[2]
Funcionamento da plataforma
editarA plataforma SecureDrop foi desenvolvida para funcionar da seguinte forma:
- Uma organização instala SecureDrop em seus servidores;
- Indivíduos que desejam entrar em contato com jornalistas da organização (delatores) devem possuir uma versão atualizada do Tor Browser e visitar a página do SecureDrop da organização (cujo endereço possui extensão .onion);
- O delator recebe quatro palavras-chave aleatórias ao visitar a página SecureDrop da organização. Essas palavras-chave devem ser memorizadas;
- Ao delator é mostrada uma página, onde é possível enviar mensagens ou documentos aos jornalistas. Todas as informações enviadas são criptografadas de forma que apenas os jornalistas tenham acesso a estas.
Passo a passo para jornalistas
editarPara recuperar os documentos postados por fontes anônimas, os jornalistas seguem os seguintes passos:
- O jornalista acessa um site interno que o alerta da existência de novas mensagens. Os dados estão criptografados usando a chave GPG do jornalista;
- O jornalista baixa os dados criptografados em um pendrive;
- O jornalista transfere o pendrive para uma estação segura de visualização, onde este é inserido; e os dados são decriptados com a chave GPG do jornalista e analisados;
- Após a análise, os dados decriptados são destruídos;
- O jornalista retorna ao website interno e pode mandar uma mensagem de resposta para o delator. Esta é postada na caixa de mensagens anônima do receptor;
- As mensagens deixadas por jornalistas são criptografadas e só podem ser visualizadas pelo delator usando as palavras-chave decoradas por ele.
Conceitualmente, SecureDrop cria caixas de email anônimas, que tanto a fonte (delator) quanto o jornalista podem usar para estabelecer comunicação. SecureDrop também usa uma série de técnicas para impedir que o jornalista descubra o endereço IP ou a localização geográfica do delator.
Open-source
editarSecureDrop é um software livre: ele pode ser redistribuído e modificado, desde que de acordo com os termos da licença GNU Affero General Public, como publicado pela Free Software Foundation, seja na versão 3 ou superior da licença. O projeto SecureDrop é distribuído com o intuito de ser útil a diversos indivíduos. Porém, não oferece quaisquer garantias.
Como contribuir para o projeto
editarHá algumas formas possíveis de contribuir com o projeto:
- Doar dinheiro para manter o projeto vivo, ajudando a pagar, por exemplo, o desenvolvimento e manutenção da plataforma;
- Contribuir diretamente com o código, mantido na página do GitHub do projeto;
- Participar de listas de discussão para sugerir mudanças que tornem a plataforma SecureDrop mais segura e eficiente.
Organizações proeminentes que usam SecureDrop
editarA organização Freedom of the Press Foundation mantém em seu site uma lista de organizações que usam o SecureDrop.
Nome da organização | Data de Implementação | Endereço Web |
---|---|---|
The New Yorker | 15 de maio de 2013 | https://projects.newyorker.com/strongbox/ Tor: strngbxhwyuu37a3.onion |
Forbes[3][4][5] | 29 de outubro de 2013 | https://safesource.forbes.com/ Tor: bczjr6ciiblco5ti.onion |
Bivol[6] | 30 de outubro 2013 | https://web.archive.org/web/20140421000039/https://www.balkanleaks.eu/ Tor: dtsxnd3ykn32ywv6.onion |
ProPublica[7][8] | 27 de janeiro de 2014 | https://securedrop.propublica.org/ Tor: pubdrop4dw6rk3aq.onion |
The Intercept[9] | 10 de fevereiro de 2014 | https://firstlook.org/theintercept/securedrop/ Tor: y6xjgkgwj47us5ca.onion |
San Francisco Bay Guardian[10] | 18 de fevereiro de 2014 | Tor: l7rt5kabupal7eo7.onion |
The Washington Post[11] | 5 de junho de 2014 | https://ssl.washingtonpost.com/securedrop Tor: vbmwh445kf3fs2v4.onion |
The Guardian | 6 de junho de 2014 | https://securedrop.theguardian.com/ Tor: 33y6fjyhs3phzfjj.onion |
Referências
- ↑ «SecureDrop Undergoes Second Security Audit». Freedom of the Press. Consultado em 28 de março de 2022
- ↑ «The Official SecureDrop Directory». Freedom of the Press Foundation. Consultado em 13 de dezembro de 2014. Arquivado do original em 2 de janeiro de 2015
- ↑ Kirchner, Lauren. «When sources remain anonymous». Columbia Journalism Review. Consultado em 28 de janeiro de 2014
- ↑ Timm, Trevor. «Forbes Launches First Updated Version of SecureDrop Called SafeSource». Freedom of the Press Foundation. Consultado em 28 de janeiro de 2014
- ↑ Greenberg, Andy. «Introducing SafeSource, A New Way To Send Forbes Anonymous Tips And Documents». Forbes. Consultado em 28 de janeiro de 2014
- ↑ Chavkin, Sasha. «Initiatives seek to protect anonymity of leakers». The International Consortium of Investigative Journalists. Consultado em 28 de janeiro de 2014
- ↑ Tigas, Mike. «How to Send Us Files More Securely». ProPublica. Consultado em 28 de janeiro de 2014
- ↑ Timm, Trevor. «ProPublica Launches New Version of SecureDrop». The Freedom of the Press Foundation. Consultado em 28 de janeiro de 2014
- ↑ «How to Securely Contact The Intercept». The Intercept. Consultado em 9 de fevereiro de 2014
- ↑ Bowe, Rebecca (18 de fevereiro de 2014). «Introducing BayLeaks». San Francisco Bay Guardian. Consultado em 20 de fevereiro de 2014
- ↑ «Q&A about SecureDrop on The Washington Post». The Washington Post. 5 de junho de 2014