President Donald Trump heeft geen goede gevoelens voor klokkenluiders.
Tijdens zijn eerste termijn voerde het ministerie van Justitie van Trump een clandestiene spionageoperatie uit om te proberen lekers te vangen. Op het campagnespoor dreigde Trump bij meerdere keren journalisten te arresteren die hun bronnen niet onthullen – en stelden voor dat ze in de gevangenis moesten worden verkracht totdat ze namen opgeven.
Voor degenen die zich willen uitspreken tegen wangedrag binnen de Amerikaanse regering, is het nog nooit zo kritisch geweest om stappen te ondernemen om zichzelf veilig te houden. Dus we hebben deze best practices samengesteld voor het lekken van informatie in publieke belangstelling onder de Trump -administratie.
Bel of sms niet
Telefoongesprekken en sms -berichten zijn handig, maar ze zijn niet veilig voor klokkenluiders. Zoals uiteengezet in een rapport in december van het kantoor van de inspecteur-generaal, gebruikte het ministerie van Justitie in de eerste termijn van Trump herhaaldelijk “verplichte processen”-waaronder dagvaardingen, zoekbevelen en gerechtelijke bevelen-om “niet-inhoudelijke communicatie-records” van telefooncarriers te vragen die journalisten bedienen bij CNN, de New York Times en de Washington Post. De verzoeken waren voor zowel de werknummers van de verslaggevers als hun persoonlijke nummers.
Niet-content records bevatten niet de communicatie zelf-zoals kopieën van sms-berichten of voicemails. In plaats daarvan wilden de overheidsonderzoekers metadata metadata verzamelen met betrekking tot de communicatie: bijvoorbeeld die een bericht stuurde of een telefoontje belde naar de telefoon van een journalist en op welk tijdstip.
Zelfs als de inhoud van het gesprek niet wordt opgenomen, legt de metagegevens duidelijke verbanden tussen partijen tot stand.
Als een metadata -zoekopdracht bewijs opdrijft van communicatie met journalisten of rechtengroepen, kan dit alleen al onthullen wie achter een lek zit.
E -mail niet
Gebruik nooit een werk- of persoonlijk e -mailadres bij het communiceren met journalisten.
In zijn poging om lekken uit te roeien tijdens de eerste termijn van Trump, zocht het ministerie van Justitie ook niet-inhoudelijke informatie met betrekking tot e-mailcommunicatie van verslaggevers van hun e-mailserviceproviders. Ze wilden details zoals de tijd dat een e -mail werd verzonden en ontvangen, evenals het e -mailadres van de afzender.
Hoewel e -mailcoderingstechnologie de hoofdtekst van het e -mailbericht kan coderen en in sommige gevallen ook onderwerpregels, worden de e -mailadressen zelf en datums en tijden die e -mails worden verzonden en ontvangen, niet gecodeerd.
Dit betekent dat het voor onderzoekers niet moeilijk is om e -mailrecords te gebruiken om een duidelijke lijn te trekken tussen een journalist en hun bron – zelfs als ze niet kunnen bepalen welke informatie specifiek is uitgewisseld.
Een afzonderlijk e -mailaccount instellen volledig voor communicatie met journalisten of rechtengroepen is een optie, maar er zijn een aantal potentiële gotcha’s. Er moet bijvoorbeeld voor worden gezorgd om geen identificerende informatie te onthullen bij het instellen van een brander-e-mailaccount: gebruik uw telefoonnummer niet voor tweefactor-authenticatie, kies een wegwerpersnaam die op geen enkele manier aan u is gekoppeld en selecteer een VPN of het TOR-netwerk om uw IP-adres te maskeren. Gezien al deze obstakels, is het vaak het beste om e -mail helemaal te vermijden.
De eigenaren van de grootste sociale mediaplatforms van Tech hebben verschillende mate van trouw aan de Trump -administratie laten zien. Deze genot omvatten Mark Zuckerberg die de DEI-programma’s beëindigt bij Meta, Andy Yen, de CEO van “privacy-first” e-mailprovider Proton, gaande over hoe de Republikeinse partij vandaag staat voor “The Little Guys” en Elon Musk, de eigenaar van X, die schoten noemt als een “speciale regeringsmedewerker”.
Het feit dat de rijkste fan van Trump ook een populair sociale mediaplatform bezit, moet pauzeren over het gebruik van X om gevoelige informatie te delen. Er is geen overactieve verbeelding nodig om een scenario te zien waarin de bedrijven die communicatiekanalen bezitten bereid zijn om gebruikersinformatie te verstrekken aan een overheid die ze graag willen behagen.
Hoewel directe sociale media-directe berichten over het algemeen standaard worden versleuteld, bieden sommige sociale mediaplatforms nu optionele end-to-end gecodeerde berichten, hoewel deze functie handmatig moet worden ingeschakeld. X Direct -berichten kunnen bijvoorbeeld worden gecodeerd als beide partijen geverifieerde gebruikers zijn, en Facebook Messenger kan ook worden gebruikt om gecodeerde DM’s te verzenden. Maar de metadata, of niet-inhoudelijke informatie, zou nog steeds onthullen dat uw account in contact was met het account van een verslaggever.
Soortgelijke metagegevensrisico’s zijn van toepassing op berichtenplatforms zoals Telegram en WhatsApp. Telegram biedt codering, maar het is niet standaard ingeschakeld en wordt geleverd met een aantal beperkingen. WhatsApp codert standaard berichten, maar onthult desalniettemin een verscheidenheid aan metagegevens over communicatie zelf.
Gezien de manier waarop overheidsonderzoekers doorgaans niet-inhoudelijke communicatiegegevens eisen, maskeert end-to-end codering alleen niet of iemand al dan niet met journalisten of andere entiteiten praat.
Beveiligde communicatiehulpmiddelen zoals signaal en sessie minimaliseren de hoeveelheid metadata en gebruikersinformatie waartoe platformoperators zelf toegang hebben.
Signaal kan de datum identificeren die een bepaald account is aangemaakt, evenals wanneer de account voor het laatst toegang heeft tot de service. Het kan ook een telefoonnummer identificeren dat is gekoppeld aan een actieve gebruikersnaam, die veel minder metadata is dan andere berichtenplatforms verzamelen.
Als u zich zorgen maakt over uw gebruikersnaam die is gekoppeld aan uw telefoonnummer, wijzigt u uw gebruikersnaam met regelmatige tussenpozen, waardoor u gebruikersnamen zou voorkomen dat er in het verleden aan uw telefoonnummer wordt gebonden.
Signaal plaatst routinematig kopieën van de verzoeken om gebruikersinformatie die het van de overheid ontvangt. Deze openbaarmakingen tonen aan dat signaal de neiging heeft om alleen te delen wanneer een bepaald account voor het laatst werd toegankelijk en eerst werd aangemaakt. Overheidsverzoeken om informatie van dienstverleners kunnen echter worden geleverd met niet-openbaarmakingsopdrachten die wettelijk kunnen voorkomen dat operators een kennisgeving van deze eisen op hun transparantiepagina’s stellen en hen mogelijk verbergen om de getroffen gebruikers zelf op de hoogte te stellen.
Sessie, een boodschapper waarvan de slogan “berichten verzenden, niet metagegevens”, vermindert de hoeveelheid informatie die het over zijn gebruikers opslaat, bijvoorbeeld door geen gecentraliseerde servers te gebruiken om berichten door te geven.
Niets is een vervanging voor OPSEC
Maar de beste end-to-end codering en metadata-minimalisatie houdt u niet veilig zonder basisoperatie.
Logboeken voor digitale toegang kunnen onthullen wie een kopie van het bestand heeft bekeken, afgedrukt of gedownload en wanneer. Hoe meer bestanden u toegang heeft, hoe groter de kans is dat u misschien wel de enige gewone persoon bent die al die bestanden heeft geopend.
Vermijd klokkenluiderscommunicatie terwijl ze fysiek aanwezig zijn op het werk. Afgezien van iemand die uw scherm ziet, kan uw werkgever mogelijk ook identificeren dat u toegang hebt gehad tot een bepaalde communicatieservice terwijl u op een bedrijfsnetwerk bent.
In geen geval mocht u ook werkapparaten gebruiken bij het communiceren met of het overbrengen van gegevens naar verslaggevers of rechtengroepen.
Even riskant zijn persoonlijke apparaten met eventuele werk-toegewezen apparaatbeheer-apps geïnstalleerd. Het lijkt misschien ouderwets, maar in plaats van een screenshot van een specifiek document of chatrecord op een werkapparaat te maken, maak je een foto van het scherm met een apart eenmalig gebruik telefoon of op zijn minst een persoonlijk apparaat.
Maak aan iedereen die u zou kunnen waarschuwen voor wangedrag dat gelekte foto’s of documenten in het algemeen niet in hun geheel mogen worden gepubliceerd. Dat komt omdat bronmateriaal mogelijk kan worden gekoppeld aan het specifieke apparaat waarmee het is vastgelegd.
Een foto met een bestand op uw computermonitor kan bijvoorbeeld een vlek of een vlek van vuil op het scherm bevatten. Meer geavanceerde forensische technieken, zoals watermerk, kunnen worden gebruikt om de oorsprong van een gelekte e -mail of videoconferentie te traceren.
Zelfs e -mails die schijnbaar naar een groot aantal ontvangers worden verzonden, kunnen individueel worden gemarkeerd, waarbij elk bericht een unieke wijziging bevat die kan worden herleid tot een enkele ontvanger. Daarom is het het veiligst voor journalisten om e -mails niet letterlijk te reproduceren en in plaats daarvan te vertrouwen op selectieve citaten of samenvattingen.
Zorg er na het communiceren met externe partijen voor dat er geen archieven van gevoelige communicatie aanhouden. Zorg ervoor dat u niet alleen specifieke berichten verwijdert, maar de hele chatgeschiedenis van alle gekoppelde apparaten waarop uw keuze -app naar keuze is geïnstalleerd. Vraag dat iedereen met wie u gevoelige informatie deelt hetzelfde doet. Vergeet niet om elkaar ook niet op te slaan in uw contactenlijsten.
Het fluiten kan een echte impact hebben op de wereld, maar het brengt ook risico’s met zich mee – de dreiging van vervolging of het verliezen van uw baan onder hen. Hoewel lekonderzoeken opnieuw een prioriteit kunnen worden in de Trump -administratie, kunnen deze DOS en Don’S helpen de kansen te verminderen om jezelf bloot te stellen wanneer je licht op wangedrag schijnt.
Bron: theintercept.com
