У меня есть важная информация для «Медузы», но я боюсь ее передавать. Как сделать это по-настоящему анонимно?
1. Что случилось?
Мы завели себе SecureDrop — это такая специальная система для безопасной связи источников с журналистами. Многие важные журналистские расследования начинаются с писем людей, которые становятся свидетелями несправедливости или чего-то противозаконного. Но иногда они не могут просто написать об этом по электронной почте или рассказать по телефону — вдруг кто-то узнает и начнутся неприятности?
С помощью SecureDrop вы сможете отправлять «Медузе» сообщения и документы, сохраняя при желании полную анонимность. Мы решили установить такую систему, потому что нам очень важно, чтобы наши источники чувствовали себя в безопасности. SecureDrop используют многие авторитетные издания — Forbes, The Guardian, The New Yorker, Associated Press, The New York Times и другие.
2. И как этой системой воспользоваться?
Подождите. Для начала оцените риски и примите меры, необходимые для сохранения вашей анонимности.
3. Что это за меры предосторожности?
В первую очередь нужно понять, от кого вы хотите скрыть свое общение с «Медузой».
Если вы хотите скрыть свою личность от редакции, избавьтесь от метаданных в передаваемых документах. Конечно, мы и так бы не стали раскрывать личность анонимного источника, но если вам будет спокойнее решить этот вопрос технически — это ваше право.
Если вы не хотите, чтобы о вашем общении с «Медузой» узнал работодатель, не используйте корпоративный ноутбук.
Если вы опасаетесь внимания со стороны спецслужб, этих мер может оказаться недостаточно. Разработчики SecureDrop советуют в таких случаях купить себе отдельный ноутбук и флешку, расплатившись наличными. И не оставляйте следов, которые могут выдать, что вы передавали, — внимательно избавляйтесь от распечаток, копий документов на компьютере, внешнем диске или флешке.
Обычно для использования SecureDrop рекомендуют подключаться к публичному Wi-Fi, но в России это почти невозможно. Чуть ли не везде требуется авторизация через смс-сообщение, а сим-карты нельзя купить без паспорта — соответственно, при желании можно проследить, кто подключался к публичному Wi-Fi. Так что лучше воспользуйтесь Tor или VPN — это не вызовет ни у кого подозрений, потому что в России это популярный способ обхода блокировок.
4. Готово. Так где там ваш SecureDrop? Как им пользоваться?
- Скачайте и установите специальный Tor-браузер (это доработанная под определенные задачи версия Firefox)
- Запустите этот браузер и откройте в нем сайт kwgwd67ovgilrssisfvv2knjg3msdi6wlgzotqixoxywfocqebsn2yqd.onion
- Нажмите на кнопку Submit Documents.
- Перепишите (а лучше запомните) автоматически сгенерированное для вас кодовое имя. Это семь английских слов. Например, childish surfacing remark yin rubble jelly jump.
- Затем еще раз нажмите на кнопку Submit Documents.
- Наконец-то вы можете написать нам сообщение и отправить файл.
- Теперь нажмите кнопку Submit.
Готово! Ваше сообщение отправлено.
5. Зачем нужно было запоминать кодовое имя?
Чтобы мы могли связаться с вами и задать уточняющие вопросы.
- Подождите день-другой.
- Зайдите с помощью специального браузера на тот же сайт kwgwd67ovgilrssisfvv2knjg3msdi6wlgzotqixoxywfocqebsn2yqd.onion
- На этот раз нажмите на кнопку Check for a Response.
- Введите свое кодовое имя.
- Прочтите наше сообщение и ответьте на него.
После прочтения сообщения из переписки с редакцией лучше удалить!
6. Зачем мне их удалять?
Если записанное вами кодовое имя попадет в руки злоумышленника (ну вдруг!), ему не достанется никакой информации. Он и так не сможет понять, что вы написали и какие документы отправили, а без ответов редакции невозможно будет восстановить контекст переписки.
7. А другим браузером я могу воспользоваться?
Можете. Но не стоит этого делать, если вы дорожите своей анонимностью.
- Телефоны на Android могут использовать связку приложений Orbot (мобильный Tor) и Tor Browser для Android (защищенный браузер), но для них не проводили независимый аудит безопасности. Поэтому система SecureDrop покажет вам специальное предупреждение.
- Технически подкованный человек может настроить свой персональный компьютер или роутер так, чтобы любой браузер мог открывать ссылки с псевдодоменом .onion. Но Tor-браузер имеет дополнительные средства защиты. Например, он постарается уберечь вас от отслеживания пользователей по косвенным признакам: используемой операционной системе, версии браузера, предустановленным на компьютере шрифтам, часовому поясу, языку, размеру экрана и другим. Чем меньше мы о вас сможем теоретически узнать — тем вам должно быть спокойнее.
- Вы даже без особых ухищрений могли бы использовать сервисы Tor2web. Они работают как посредники и помогают в любом браузере открывать сайты, скрытые в сети Tor. Для этого обычно достаточно дописать окончание адреса, заменив .onion, например, на .onion.to или .onion.guide. Но это небезопасно — владелец такого сервиса может попытаться перехватить весь ваш трафик к нашему сервису.
В качестве более защищенной альтернативы вы можете использовать специальную операционную систему Tails (The Amnesiac Incognito Live System), которая загружается с флешки. Tам уже есть предустановленный Tor-браузер. После выключения или перезагрузки компьютера на нем не останется никаких «улик».
8. А вдруг кто-то анонимный пришлет «Медузе» ложный донос на начальника?
Такое бывает. Именно поэтому мы тщательно проверяем сообщения наших источников. Нам будет намного проще, если вы, став свидетелем чего-то незаконного или просто неправильного, подтвердите свой рассказ документами, видео- или аудиозаписью, фотографиями или каким-то другим образом. Вы можете сообщить нам контакты людей, которые могли бы подтвердить вашу историю. Когда будете отправлять свое письмо через SecureDrop, мысленно поставьте себя на место журналиста-расследователя — убедило бы вас ваше собственное послание? Пожалуйста, не стоит отправлять нам по SecureDrop подозрения, жалобы, отзывы на наши статьи и найденные опечатки — для этого есть другие каналы.
9. Кстати, про другие каналы. Как еще я могу связаться с «Медузой», если не хочу морочиться с SecureDrop?
Во-первых, вы можете просто нажать на кнопку «Напишите нам» — она есть под каждым материалом.
Во-вторых, вы можете написать на editorial@meduza.io — если вы хотите предложить идею или рассказать свою историю.
В-третьих, есть специальный адрес для жалоб (например, если вам кажется, что мы где-то ошиблись) — reports@meduza.io. Нашли опечатку — выделите это слово и нажмите Ctrl+Enter.
В-четвертых, вы можете написать нам в телеграм @meduzalovesyou. Если хотите, можете написать в «секретном чате», так будет безопаснее.
Редакция «Медузы»