Anoniem redactie tippen, kan met Apache SecureDrop

Bram Souffreau
Een schematische voorstelling van de werking van SecureDrop (Bron: SecureDrop)
Een schematische voorstelling van de werking van SecureDrop (Bron: SecureDrop)
Apache SecureDrop

Bronnen staan centraal in degelijke onderzoeksjournalistiek. Zonder goede bronnen, geen goed verhaal. Maar soms wensen bronnen zichzelf niet -onmiddellijk- kenbaar te maken. Denk maar aan Edward Snowden (NSA), Hervé Falciani (HSBC), Chelsea Manning (Wikileaks cables) of Antoine Deltour (Luxleaks). Zij brachten gevoelige informatie naar buiten en deden de maatschappij op haar grondvesten daveren. Maar eens ze in de schijnwerpers traden, moesten ze daar ook zwaar voor boeten. Anderen, zoals 'John Doe' die de Panama Papers naar buiten bracht, konden anoniem blijven.

Klokkenluiders doen vaak een beroep op de spreekwoordelijke bruine envelop om informatie anoniem bij een redactie te brengen. Ze stoppen de nieuwswaardige documenten of een cd-rom met de gevoelige informatie in een onopvallende envelop en versturen het naar de redactie. Zonder de afzender te vermelden. Gebust op een wildvreemde plaats. Volledig anoniem.

SecureDrop: een digitale bruine envelop

Apache SecureDrop is -eenvoudig gesteld- de webversie van die bruine envelop. Eveneens anoniem, maar via digitale weg verstuurd. De open source software heeft als extra voordeel dat de klokkenluider en de journalist nadien, en nog steeds anoniem en in een versleutelde omgeving, met elkaar kunnen communiceren.

SecureDrop doet een beroep op het Tor-netwerk om de anonimiteit van de communicatie te vrijwaren. De software zelf versleutelt de informatie zodat niet om het even wie deze kan inkijken. De servers staan bovendien op een geheime locatie, waardoor derden, zoals een hostingbedrijf, er geen toegang toe hebben.

Anoniem informatie via het internet versturen, vormt geen evidentie. SecureDrop maakt het wel mogelijk.

Wijlen Aaron Swartz, een Amerikaanse geëngageerde softwareschrijver en internet hacktivist, schreef samen met de Amerikaanse Wired-journalist/hacker Kevin Poulsen de voorloper van SecureDrop, genaamd DeadDrop. Ze ontwikkelden een softwaretool waarmee de communicatie tussen klokkenluiders, journalisten en nieuwsorganisaties gefaciliteerd kon worden. Sinds 2013 ondersteunt de Amerikaanse organisatie Freedom of the Press Foundation de verdere uitbouw van SecureDrop. De non-profit kan rekenen op de steun van klokkenluider Edward Snowden, journalist Glenn Greenwald van The Intercept en Xeni Jardin, co-hoofdredacteur van Boing Boing. Kwaliteitsmedia zoals The New Yorker, The Guardian, The Intercept, ProPublica, Vice en The Washington Post werken met SecureDrop.

Complex IT-systeem

Om de anonimiteit van de gebruikers te garanderen, werkt SecureDrop met een ingewikkelde IT-infrastructuur en versleuteling van de informatie op verschillende niveaus en rekent het ook op de oplettendheid van zowel journalist als klokkenluider. Anoniem informatie via het internet versturen, vormt immers geen evidentie. Maar SecureDrop maakt het wel mogelijk.

SecureDrop doet een beroep op de hidden services van het Tor-netwerk, het zogenaamde dark internet waar je amper sporen op achterlaat. Via een beveiligde website op het Tor-netwerk, enkel raadpleegbaar met een Tor-browser, kan de klokkenluider informatie aan een redactie doorspelen. Volledig anoniem.

De gegevens komen dan terecht op servers die ergens staan waar enkel wij aan kunnen. De locatie is belangrijk. Een hostingbedrijf dat voor het herbergen van nieuwssites vaak wordt ingeschakeld, komt er dus niet aan te pas. Daardoor kunnen alvast zij niet in de gegevens neuzen. Bovendien geniet Apache ook speciale bescherming dankzij de wet op het bronnengeheim.

De server versleutelt onmiddellijk de ontvangen documenten en gegevens. Een journalist kan deze enkel ontsleutelen en inkijken op een andere computer die volledig offline staat. Zelfs de printer die aan die computer hangt, is er eentje zonder wifi-connectie. Op die manier is er geen enkel gevaar op een lek of een hack.

De informatie van de server naar de offline computer overbrengen, gebeurt met een beveiligde USB-stick.

Een schematische voorstelling van de werking van SecureDrop (Bron: SecureDrop)
Een schematische voorstelling van de werking van SecureDrop. Klik voor een leesbare versie. (Bron: SecureDrop)

Anoniem communiceren

SecureDrop geeft de klokkenluider een sleutelwoord waarmee hij of zij later opnieuw en geheel anoniem kan inloggen. In tegenstelling tot de bruine envelop kunnen klokkenluider en journalist dus nadien nog steeds met elkaar communiceren. De reporter kan bijvoorbeeld extra informatie bij de klokkenluider opvragen of interpretaties aftoetsen. Zolang de klokkenluider zijn naam niet zegt, gebeurt alles anoniem.

De voorbije week hebben we bij Apache SecureDrop geïnstalleerd. De klokkenluiderstool staat sinds deze morgen online en is open voor gebruik. Enkele onderzoeksjournalisten kregen een degelijke opleiding en fristen ook de veiligheids- en privacyrisico's van het internet op. Zij zullen met de input van de klokkenluiders aan de slag gaan. Door de complexe werking van Apache SecureDrop voor de redactie worden journalisten er overigens telkens aan herinnerd dat ze met gevoelige informatie werken en geheimhouding in een webomgeving meer aandacht vereist dan bij een klassiek notaboekje.

Op de Apache SecureDrop-webpagina staat alle uitleg over de klokkenluiderstool en vind je ook nuttige tips om jouw anonimiteit bij het delen van vertrouwelijke documenten met de redactie te vergroten. SecureDrop heeft ook een uitgebreide vragenlijst voor klokkenluiders. Het gebruik van de Apache SecureDrop is volledig op eigen risico.

LEES OOK
Redactie Apache / 13-04-2021

Franse nieuwssite Mediapart blijft journalistieke bakens verzetten

Mediapart zette de voorbije jaren kwaliteits- en onderzoeksjournalistiek opnieuw op de kaart. Leden van Apache zullen vanaf nu geregeld (vertaalde) bijdragen van Mediapart kunnen…
plenel
Jan Walraven / 26-03-2021

Europese organisaties vragen actie tegen juridische intimidatie van kritische stemmen

Meer dan honderd organisaties roepen de Raad van Europa op om op te treden tegen de groeiende dreiging van rechtszaken tegen kritische berichtgeving en opinies.
Press-freedom
Tom Cochez / 21-12-2020

Openbaar ministerie vraagt vrijspraak voor Fornuisfilmpje

Het openbaar ministerie vraagt de vrijspraak van hoofdredacteur Karl van den Broeck en journalist Stef Arends naar aanleiding van de klacht die lobbyist Erik Van der Paal indiende…
Screen Shot 2017-11-17 at 16.30.15