SecureDrop

Origem: Wikipédia, a enciclopédia livre.
Ir para: navegação, pesquisa


Logo da SecureDrop

SecureDrop é uma plataforma open-source de entrega de documentos confidenciais por fontes anônimas. O sistema usa criptografia de forma a tornar a plataforma segura. Uma plataforma surge como uma ferramenta para tornar a comunicação entre jornalistas e “whistleblowers” mais segura. Whistleblower pode ser traduzido para o português como um delator ou dedo-duro. SecureDrop foi idealizado e implementado em sua primeira versão pelo falecido Aaron Swartz sob o nome DeadDrop. A ong Freedom of the Press Foundation adotou o projeto e o renomeou para SecureDrop.

Segurança[editar | editar código-fonte]

O código da plataforma foi auditado duas vezes [1] por diversos especialistas na área de segurança e criptografia de forma a assegurar que a arquitetura da plataforma é segura. O relatório da auditoria assim como o próprio site da Freedom of the Press Foundation deixam bastante claros que a plataforma apesar de tornar a comunicação jornalista-delator mais segura, não é sob hipótese alguma 100% segura. O relatório ressalta ainda a falta de usabilidade da plataforma para usuários não técnicos e sem expertise em criptografia. Esse foi exatamente o ponto que a Freedom of the Press tem atacado, tentando tornar a plataforma o mais usável possível a fim de mitigar possíveis fontes de erros por parte dos usuários que possam tornar o uso da plataforma inseguro. A ong oferece também auxílio técnico a organizações de imprensa que queiram usar o sistema bem como treinamento para jornalistas sobre melhores práticas de segurança. Além disso possuem um projeto de crowdfunding para financiar o hardware necessário para instalar o SecureDrop e doar a instituições que não possuem condições financeiras de obter tal hardware. Qualquer organização pode instalar o SecureDrop de forma gratuita e fazer modificações que satisfaçam suas necessidades específicas. Qualquer desenvolvedor interessado pode também ajudar a melhorar o código do SecureDrop tendo em vista a sua natureza open-source. A Freedom of The Press Foundation realizou inclusive uma série de Hackathons para melhorar o código da plataforma. A natureza open-source da plataforma segue o 2o princípio de Kerckhoffs:

“O sistema não deve requerer que a sua arquitetura ou que os seus algoritmos criptográficos sejam
mantidos em segredo para garantir a sua segurança.”  [2]

Funcionamento da plataforma[editar | editar código-fonte]

A plataforma SecureDrop foi desenvolvida para funcionar da seguinte forma:

  1. Uma organização instala SecureDrop em seus servidores
  2. Indivíduos que desejam entrar em contato com jornalistas da organização (delatores) devem possuir uma versão atualizada do Tor Browser e visitar a página do SecureDrop da organização (página cujo endereço possui extensão .onion )
  3. O delator recebe quatro palavras-chave aleatórias ao visitar a página SecureDrop da organização. Essas palavras-chave devem ser memorizadas
  4. O delator é mostrado uma página onde é possível enviar mensagem ou documentos aos jornalistas. Todas as informações enviadas são criptografadas de forma que apenas os jornalistas tenham acesso a elas.

Passo a passo para jornalistas[editar | editar código-fonte]

Para recuperar os documentos postados por fontes anônimas jornalistas seguem os seguintes passos:

  1. O jornalista acessa um site interno que o alerta da existência de novas mensagens. Os dados estão criptografados usando a chave GPG do jornalista.
  2. O jornalista baixa os dados criptografados em um pendrive
  3. O jornalista transfere o pendrive para uma estação segura de visualização onde o pendrive é inserido, os dados são decriptados com a chave GPG do jornalista e analisados.
  4. Após análise, os dados decriptados são destruidos.
  5. O jornalista retorna ao website interno e pode mandar uma mensagem de resposta para o delator. Essa resposta é postada na caixa de mensagens anônima do delator.
  6. As mensagens deixadas por jornalistas são criptogradas e só podem ser visualizadas pelo delator usando as palavras-chave decoradas por ele.

Conceitualmente SecureDrop cria caixas de email anônimas que tanto a fonte (delator) quanto o jornalista podem usar para estabelecer comunicação. SecureDrop também usa uma série de técnicas para impedir que o jornalista descubra o endereço IP ou a localização geográfica do delator.

SecureDrop é open source[editar | editar código-fonte]

SecureDrop é um software livre: ele pode ser redistribuído e modificado desde que de acordo com os termos da licensa GNU Affero General Public como publicado pela Free Software Foundation, seja na versão 3 ou superior da licensa. O projeto SecureDrop é distribuído com o intuito de ser útil a diversos indivíduos porém não oferece quaisquer garantias.

Como contribuir para o projeto[editar | editar código-fonte]

Há algumas formas possíveis de contribuir com o projeto:

  1. Doar dinheiro para manter o projeto vivo ajudando a pagar, por exemplo, o desenvolvimento e manutenção da plataforma.
  2. Contribuir diretamente com o código, mantido na página do GitHub do projeto
  3. Participar de listas de discussão para sugerir mudanças que tornem a plataforma SecureDrop mais segura e mais eficiente.

Organizações prominentes usando SecureDrop[editar | editar código-fonte]

A organização Freedom of the Press Foundation mantém em seu site uma lista de organizações que usam o SecureDrop

Nome da organização Data de Implementação Endereço Web
The New Yorker 15 de maio de 2013 https://projects.newyorker.com/strongbox/ Tor: strngbxhwyuu37a3.onion
Forbes[3][4][5] 29 de outubro de 2013 https://safesource.forbes.com/ Tor: bczjr6ciiblco5ti.onion
Bivol[6] 30 de outubro 2013 https://www.balkanleaks.eu/ Tor: dtsxnd3ykn32ywv6.onion
ProPublica[7][8] 27 de janeiro de 2014 https://securedrop.propublica.org/ Tor: pubdrop4dw6rk3aq.onion
The Intercept[9] 10 de fevereiro de 2014 https://firstlook.org/theintercept/securedrop/ Tor: y6xjgkgwj47us5ca.onion
San Francisco Bay Guardian[10] 18 de fevereiro de 2014 Tor: l7rt5kabupal7eo7.onion
The Washington Post[11] 5 de junho de 2014 https://ssl.washingtonpost.com/securedrop Tor: vbmwh445kf3fs2v4.onion
The Guardian 6 de junho de 2014 https://securedrop.theguardian.com/ Tor: 33y6fjyhs3phzfjj.onion
  1. [1]
  2. «The Official SecureDrop Directory». Freedom of the Press Foundation. Consultado em 13 de dezembro de 2014 
  3. Kirchner, Lauren. «When sources remain anonymous». Columbia Journalism Review. Consultado em 28 de janeiro de 2014 
  4. Timm, Trevor. «Forbes Launches First Updated Version of SecureDrop Called SafeSource». Freedom of the Press Foundation. Consultado em 28 de janeiro de 2014 
  5. Greenberg, Andy. «Introducing SafeSource, A New Way To Send Forbes Anonymous Tips And Documents». Forbes. Consultado em 28 de janeiro de 2014 
  6. Chavkin, Sasha. «Initiatives seek to protect anonymity of leakers». The International Consortium of Investigative Journalists. Consultado em 28 de janeiro de 2014 
  7. Tigas, Mike. «How to Send Us Files More Securely». ProPublica. Consultado em 28 de janeiro de 2014 
  8. Timm, Trevor. «ProPublica Launches New Version of SecureDrop». The Freedom of the Press Foundation. Consultado em 28 de janeiro de 2014 
  9. «How to Securely Contact The Intercept». The Intercept. Consultado em 9 de fevereiro de 2014 
  10. Bowe, Rebecca (18 de fevereiro de 2014). «Introducing BayLeaks». San Francisco Bay Guardian. Consultado em 20 de fevereiro de 2014 
  11. «Q&A about SecureDrop on The Washington Post». The Washington Post. 5 de junho de 2014