I giornalisti combattono per rimanere rilevanti nell'età della sorveglianza totale

1. Introduzione

Molti giornalisti veterani, ma non solo questi, hanno sicuramente notato che siamo improvvisamente bombardati di nuovo dappertutto con menzioni di Watergate. Libri come 1984 di George Orwell sono in mostra nelle librerie e un'aria di pericolo per la libertà di parola e la libertà di stampa si sta diffondendo lentamente come una nuvola scura sull'emisfero occidentale, sollevando vecchie paure.

Quando un presidente in carica americano accusa un ex presidente di sorveglianza; quando impedisce l'accesso ai media degli Stati Uniti centrali - finora sempre concesso e dato per scontato - alle conferenze stampa che tiene; e quando bussa incessantemente e accusa i media di essere il nemico numero uno del paese, non sorprende che i ricordi del presidente Nixon emergano di più con ogni tweet di autocommiserazione su SNL e che anche i senatori repubblicani come John McCain esprimano paura per il futuro della democrazia.

E McCain non è solo. Molti giornalisti con cui ho parlato di recente, hanno espresso preoccupazione per ciò che attende la libertà di stampa. In un momento in cui è possibile esprimere la seguente dichiarazione - "Donald Trump controlla la NSA" - e non essere ritenuto un bugiardo, tutto è possibile. Aggiungilo al fatto che le recenti notizie sulla CIA ci hanno insegnato che quasi tutti i sistemi di crittografia possono essere compromessi, se qualcuno ha la perseveranza per decifrarli - e sei sulla buona strada per immaginare un mondo completamente distopico, dove non puoi nemmeno metterti troppo comodo in posa sul divano, davanti alla tua smart TV.

La buona notizia è che è comunque possibile rendere difficile per chiunque provare a intercettare le tue e-mail, i messaggi di testo che stai inviando o le tue telefonate. Puoi prendere misure per rendere la vita di coloro che vogliono scoprire le tue fonti e le informazioni che ti vengono rivelate, molto più difficili. Naturalmente, il grado di impegno che sei disposto a compiere per proteggere la tua privacy, l'anonimato delle tue fonti e la sicurezza dei tuoi dati, dovrebbe essere commisurato alla probabilità di una vera minaccia, sia che si tratti di hacking o spionaggio.

"Le vecchie promesse - non ho intenzione di rivelare l'identità della mia fonte o di rinunciare alle mie note - sono un po 'vuote se non stai prendendo provvedimenti per proteggere le tue informazioni in modo digitale", afferma Barton Gellman del Washington Post, il cui fonte, l'ex appaltatore della NSA Edward Snowden, ha aiutato a scoprire l'ambito delle operazioni della NSA e del GCHQ britannico, al suo intervistatore Tony Loci. Loci stessa, che copriva il sistema giudiziario americano per AP, The Washington Post e USA Today, ed era lei stessa disprezzata dalla corte per aver rifiutato di identificare le fonti, probabilmente l'avrebbe avallata.

Quindi, che cosa bisogna fare per garantire che le fonti e i dati di un giornalista siano sicuri e sicuri? Grosso modo, i suggerimenti possono essere descritti come appartenenti alle seguenti categorie:

1. Protezione di applicazioni e funzioni sul dispositivo Questo è noto come ridurre il "Superficie di attacco", vale a dire limitare le app installate al minimo indispensabile, installando solo da fonti attendibili, selezionando app che richiedono diritti minimi, mantenendo il sistema completamente patchato e aggiornato e avendo altrettanti controlli di sicurezza (basati sui recenti white paper sulle best practice) sul dispositivo.
2. Isolando i tuoi dispositivi e / o il loro ambiente- Ad esempio, l'isolamento fisico di un computer ai fini del controllo dei file o l'uso di dispositivi mobili prepagati.
3. Agire con cautela sia nel mondo digitale che in quello reale- Questo ha molto a che fare con il buon senso e un po 'meno con il software: ad esempio, non scrivere mai il nome della fonte, certamente non su nessuna app o su alcun documento archiviato sul tuo computer - e certamente non su qualsiasi cosa archiviata sul cloud.

2. Comunicare con la tua fonte e
salvaguardia dei dati sensibili

Cominciamo elencando cosa puoi fare quando si tratta di comunicare con una fonte e archiviare le informazioni sensibili ottenute:

1. Attenzione ai grandi nomi: Supponiamo che i sistemi di crittografia delle grandi aziende e forse anche i sistemi operativi di grandi nomi (software proprietario) abbiano porte secondarie a cui i servizi segreti nel loro paese di origine (almeno negli Stati Uniti e nel Regno Unito) possano accedere. Bruce Schneier, esperto di sicurezza, lo spiega qui.
2. Crittografa sempre tutto: Gli esperti di sicurezza usano la matematica semplice per chiarire il loro punto di vista: aumentando il costo della decrittazione dei file (ad esempio, per le agenzie di intelligence come la NSA), aumenti automaticamente il livello di sforzo speso per seguirti. Se non sei Chelsea Manning, Julian Assange o Edward Snowden e se non eri coinvolto nella sorveglianza attiva degli appartamenti Trump Tower, potrebbero rinunciare allo sforzo anche se le tue comunicazioni crittografate fossero archiviate. E se qualcuno dovesse decidere di rintracciarti nonostante i tuoi sforzi, sarebbe più un mal di testa se usi una crittografia avanzata come AES (Advanced Encryption Standard) e strumenti come PGP o openVPN, che sono i metodi di crittografia più potenti e ampiamente disponibili (le VPN sono utilizzate da lo stesso governo degli Stati Uniti). Ma se si desidera una sicurezza a prova di proiettile, sarà necessario più del metodo di crittografia AES. PS se vuoi scoprire l'anno in cui le tue informazioni sono arrivate per mano alla NSA, dai un'occhiata qui.
3. Esegui la crittografia del disco completo: Questo viene fatto nel caso in cui qualcuno metta le mani sul tuo computer o telefono. La crittografia completa del disco può essere eseguita utilizzando FileVault, veracryptor BitLocker. Mettere un computer in "sospensione" (anziché in spegnimento o ibernazione) può consentire a un attaccante di aggirare questa difesa. Qui, Mika Lee fornisce una guida completa per la crittografia del laptop.
4. Evita di chattare con le fonti al telefono: Tutte le compagnie telefoniche memorizzano i dati relativi al chiamante e ai numeri del destinatario, nonché la posizione dei dispositivi al momento in cui sono state effettuate le chiamate. Negli Stati Uniti e in molti altri paesi, sono tenuti per legge a divulgare le informazioni sulle chiamate registrate in loro possesso. Cosa si può fare? Dovresti utilizzare un servizio di chiamata sicuro, come quello che l'app Signal, che è stata testata ripetutamente per la sicurezza, possiede. Sebbene ciò possa significare che sia la fonte che l'editor devono scaricare anche l'app, il processo richiede solo pochi minuti. Ecco un guida su come usarlo. Solo per l'impiccagione, controlla quanti dei tuoi amici non giornalisti sono in giro lì. Tuttavia, se decidi di comunicare con la tua fonte, non portare il tuo cellulare a riunioni sensibili. Acquista un dispositivo usa e getta e trova un modo per trasmettere il suo numero alla fonte in anticipo. Anche la fonte deve avere un dispositivo sicuro usa e getta. Le autorità possono tracciare il tuo movimento attraverso i segnali della rete cellulare ed è consigliabile rendere più difficile localizzarti retroattivamente nello stesso caffè dove si trovava la fonte. Se non si segue questa regola, tutte le autorità locali saranno tenute a chiedere (educatamente e legalmente) il video girato dalla telecamera di sicurezza del bar al momento della riunione.
5. Scegli messenger sicuri: le tue chiamate (cellulari e fisse) possono essere monitorate dalle forze dell'ordine e ogni SMS è come una cartolina: tutto il testo è completamente visibile a chi lo intercetta. Pertanto, utilizza i messenger che consentono una chiamata end-to-end sicura: signal, già menzionata sopra, e Telegram sono considerati i più sicuri (sebbene Telegram e le app web di WhatsApp siano state compromesse una volta e poi riparate). Secondo alcuni esperti, puoi anche considerare di utilizzare SMSSecure, Threema e persino Whatsapp.Il protocollo Signal è stato effettivamente implementato in WhatsApp, Facebook Messengere Google Allo, effettuare conversazioni utilizzandole crittografate. Tuttavia, a differenza di Signal e WhatsApp, Google Allo e Facebook Messenger non crittografano per impostazione predefinita, né avvisano gli utenti che le conversazioni non sono crittografate, ma offrono la crittografia end-to-end in modalità opzionale. Tieni inoltre presente che Facebook Messenger e WhatsApp sono entrambi di proprietà di Facebook.Adium e Pidgin sono i client di messaggistica istantanea Mac e Windows più popolari che supportano il protocollo di crittografia OTR (Off the Record) e Tor, il miglior browser crittografato del Web, che vedremo in dettaglio più avanti (Vedi come abilitare Tor in Adium qui e in Pidgin qui). Naturalmente, potresti anche utilizzare Tor Messenger stesso, che è probabilmente il più sicuro di tutti. Due note finali sui messaggi di testo: un esperto di sicurezza informatica con cui ho discusso di questo, dice che dovresti anche avere un'ipotesi funzionante che il testo sia crittografato ma il fatto che questi due individui specifici stiano parlando, in questo momento, potrebbe non passare inosservato. La seconda nota è che dovresti anche ricordare di eliminare i messaggi nel tuo telefono (anche se questo potrebbe non essere sufficiente per resistere a un controllo forense), solo nel caso in cui il dispositivo cada nelle mani sbagliate, a evitare di esporre Loro.
6. Non utilizzare le chat organizzative: Slack, Campfire, Skype e Google Hangouts non devono essere utilizzati per conversazioni private. Sono facili da irrompere e sono esposti a richieste di divulgazione per l'uso da parte dei tribunali, per risolvere questioni legali sul luogo di lavoro. Pertanto, è meglio evitarli, non solo quando si tratta di conversazioni con le fonti, ma anche di conversazioni tra colleghi, redattori, ecc., Quando è necessario trasmettere le informazioni ricevute dalla propria fonte, la cui identità deve essere tenuta nascosta. Molti servizi VoIP popolari come Jitsi hanno funzionalità di chat integrate e molti di questi sono progettati per offrire la maggior parte delle funzionalità di Skype, che li rendono un ottimo sostituto.
7. In casi estremi, considerare l'utilizzo di a Blackphone: Questo telefono, che si sforza di fornire una protezione perfetta per la navigazione web, le chiamate, i messaggi di testo e le e-mail, è probabilmente il miglior sostituto per un normale telefono se stai per rovesciare il tuo governo o ti stai preparando a pubblicare file militari segreti. Un giubbotto antiproiettile può anche tornare utile. In alternativa, prova a fare a meno di un telefono cellulare o opta per un sacchetto di blocco del segnale RFID per telefono cellulare. C'è sempre un'opzione per cui anche il Blackphone può essere monitorato usando il suo IMEI (l'ID del telefono cellulare).
8. Protezione dei dati sul tuo computer: È molto facile violare le password regolari, ma possono essere necessari anni per violare le passphrase, ovvero combinazioni casuali di parole. Ti consigliamo di provare strumenti di gestione sicura delle password come: LastPass e 1Password e KeePassX. Dovrai ricordare solo una password, rispetto a troppe password. Eppure, quando gestisci servizi importanti come la tua e-mail, non fare affidamento sui gestori di password: assicurati solo di ricordare la password. colloquio a Alastair Reid su journalism.co.uk, Arjen Kamphuis, un esperto di sicurezza delle informazioni, ha raccomandato che per i dischi rigidi crittografati, la posta elettronica sicura e i computer portatili di sblocco, si dovrebbe scegliere una password di oltre 20 caratteri. Certo, più lunga è la password, più difficile è decifrare, ma più difficile è anche ricordare. Ecco perché raccomanda l'uso di una passphrase. "Può essere qualsiasi cosa, come una linea della tua poesia preferita", dice Kamphuis, "forse una linea da qualcosa che hai scritto quando avevi nove anni di cui nessun altro saprà nulla". Riferito che questo pensiero stimola il calcolo, usando il Calcolatore della sicurezza della password della Gibson Research Corporation: Una password come "F53r2GZlYT97uWB0DDQGZn3j2e", da un generatore di password casuali, sembra molto forte, e in effetti lo è, prendendo 1.29 cento miliardi di miliardi di secoli per esaurire tutte le combinazioni anche quando il software sta facendo centinaia di miliardi di miliardi al secondo.
9. Autenticazione a due fattori è anche un'ottima idea. In una normale autenticazione in due fasi, accedi con la tua password e ricevi un secondo codice, spesso tramite un messaggio di testo al tuo smartphone. Puoi utilizzare Yubikey, così come i token hardware per proteggere ulteriormente i file sensibili sul tuo computer. Per ulteriori informazioni, leggi il 7 regole d'oro per la sicurezza delle password.
10. Assegnare un computer per l'ispezione di file / allegati sospetti: Il modo più semplice per distribuire malware e spyware è attraverso l'installazione tramite USB o tramite allegati e collegamenti e-mail. Si consiglia pertanto di utilizzare un computer con intercapedine d'aria per esaminare queste minacce in quarantena. Con questo computer, è possibile utilizzare liberamente una USB e scaricare file da Internet, ma non trasferire i file sul computer normale o riutilizzare quella USB.
11. Come acquistare il tuo computer sicuro: Esperto di sicurezza Arjen Kamphuis raccomanda l'acquisto di un IBM ThinkPad X2009 o X60 pre-61. Questi sono gli unici laptop abbastanza moderni con moderni sistemi software, che consentono di sostituire software di basso livello. Un altro punto da tenere in considerazione è che non è necessario acquistare il computer online, poiché potrebbe essere intercettato durante la consegna. Kamphuis consiglia di acquistarlo in un negozio di seconda mano per contanti. Sottolinea inoltre che è necessario abolire tutta la connettività: rimuovere tutte le funzionalità Ethernet, modem, Wi-Fi o Bluetooth. Personalmente, conosco esperti di sicurezza che non si fidano di un simile computer.

Puoi vedere la versione PDF dell'eBook di questa guida qui.

Leggi la storia completa qui ...