maandag 9 september 2013

Anoniem klokkenluiden is niet zo simpel

Klokkenluiders hebben een public relations probleem. Ze worden meestal verguisd door hun directe omgeving en gewaardeerd door mensen die veraf staan. Dat is geen benijdenswaarde situatie. Het is begrijpelijk dat sommige klokkenluiders anoniem willen blijven.

Vandaag (9 september 2013) hebben een aantal nieuwsmedia de handen ineen geslagen en een web-site opgezet waar klokkenluiders anoniem documenten kunnen aanleveren; Publeaks.nl. Een opmerkelijk initiatief. Maar is het veilig?

Aanleveren via Internet

Het veilig anoniem verzenden van documenten via Internet is bijzonder lastig. De NSA kan hoogstwaarschijnlijk elke PC kraken die met Internet verbonden is. De Publeaks web site biedt een mogelijkheid voor de ontvangende journalisten om een bericht aan te maken dat alleen door de klokkenluider gelezen kan worden. Dat betekent dat de klokkenluider regelmatig opnieuw contact moet maken; linke soep dus... Publeaks kan state-of-the-art beveiliging hebben, maar de verbindingen ernaartoe gaan via TOR. De bedenkers van TOR geven zelf aan dat de resulterende veiligheid niet 100% kan zijn. Maar zelfs als het volkomen onmogelijk zou zijn de route die een document gevolgd heeft in omgekeerde volgorde te volgen zal de klokkenluider die anoniem wil blijven heel voorzichtig moeten zijn. Van veel documenten is namelijk vast te stellen op welke computer ze zijn gemaakt, of bewerkt.

Het is daarom verstandig een wegwerpcomputer te gebruiken en een netwerkverbinding die niet naar de klokkenluider is te herleiden. De computer moet je contant betalen bij aanschaf, thuis nooit verbinden met Internet, uitsluitend gebruiken voor het overzenden van de documenten en daarna zo snel mogelijk vernietigen. Om de documenten over te zenden gebruik je een open draadloos netwerk (bijvoorbeeld bij McDonalds, Starbucks, of een groot NS station) in een plaats waar ze je niet kennen (en waar je je consumpties contant afrekent). Het draadloze netwerk registreert het MAC adres van je computer. Je moet er maar op vertrouwen dat pogingen om de klokkenluider te identificeren pas beginnen als je al lang weg bent. Maar zelfs dan nog loopt de klokkenluider risico herkenbaar te zijn op bewaarde beelden van beveiligingscamera's rond het tijdstip waarop je je data verzond.

Kortom, aanleveren in electronische vorm is niet 100% veilig.

Aanleveren per post

Voor aanleveren per post doe je de documenten in een doodgewone envelop, adres er op, voldoende frankeren en dan in een brievenbus ver van je eigen woonplaats. De envelop kan papieren documenten bevatten, maar ook een USB stick met computerdocumenten. Aanleveren per post is bij Publeaks helaas niet mogelijk. Maar je kunt zelf een journalist uitzoeken waar je wel vertrouwen in hebt en de envelop sturen naar die journalist op het adres van de redactie waar hij of zij werkt. Met een handgeschreven adres staat je handschrift op de envelop. Beter is het adres met een printer op de envelop te drukken, maar let dan wel weer op het onderstaande.

Papieren documenten

Met afdrukken van electronische documenten is het ook oppassen geblazen. Sommige printers voegen stiekem informatie toe waarmee het mogelijk is de printer te achterhalen waarop het document is afgedrukt. Een lijst van printers die dit niet doen is te vinden op https://www.eff.org/pages/list-printers-which-do-or-do-not-display-tracking-dots. Maar printers laten ook onbedoeld kenmerken achter die uniek zijn voor de printer (een subtiele beschadiging op een rubber rol, een slecht werkend spuitmondje van een ink-jet printer, een krasje, vlekje, of vingerafdruk op de fotogeleider van een laserprinter, enz.). Gebruik dus nooit een printer van de organisatie waartegen het klokkenluiden is gericht. Overweeg een wegwerpprinter te gebruiken.

Aanleveren op USB stick

Koop de USB stick met contant geld. Gebruik liever geen USB stick die bij het eerste gebruik allerlei programma's op je computer wil installeren.

Eigen documenten en zelf bewerkte documenten

Bij veel documenten die op een PC zijn bewerkt of aangemaakt is het kinderlijk eenvoudig te achterhalen op welke PC dat was. Documenten gemaakt met Microsoft Office bevatten de naam van de computergebruiker, de naam van de computer, de naam van de harde schijf of netwerk schijf, enz.. De klokkenluider die een zelfgeschreven electronisch document meestuurt dat gemaakt is met office software kan zijn anonymiteit wel vergeten als de journalist dat document laat inspecteren door de organisatie waartegen het klokkenluiden is gericht. Digitale foto's bevatten standaard het merk en type van de camera, datum en tijd. Vertrouw niet op de computer-deskundigheid van een journalist. Gebruik een tekst-editor voor platte tekst (bijvoorbeeld notepad op Microsoft Windows). Zo'n tekst ziet er niet zo gelikt uit, maar je weet precies wat je meestuurt.

Als je nog iets moet nasturen?

Soms zal het nodig zijn later iets toe te voegen aan eerdere documenten. Dan moet de ontvangende journalist wel zeker weten dat de afzender dezelfde is. Bij Publeaks is daaraan gedacht (maar dan kun je de gebruikte computer niet vernietigen). Bij toezenden per post moet de klokkenluider in de eerste zending iets toevoegen waaraan de echtheid van een eventuele vervolgzending te herkennen is. De ontvangende journalist moet dit geheim houden; dat moet de klokkenluider dus goed duidelijk maken in een begeleidend document. Er zijn vele mogelijkheden:
  • De eerste zending bevat een paar ruw afgescheurde vellen papier; elke volgende zending moet de rest van één van die vellen bevatten.
  • Een toevallige rij cijfers (werp twintig keer een dobbelsteen en schrijf de geworpen cijfers op); elke zending bevat een documentje met deze rij cijfers.
De klokkenluider moet zijn echtheidskenmerk natuurlijk zorgvuldig bewaren en geheimhouden.