SecureDrop

SecureDrop é uma plataforma open-source de entrega de documentos confidenciais por fontes anônimas. O sistema usa criptografia de forma a tornar a plataforma segura. Uma plataforma surge como uma ferramenta para tornar a comunicação entre jornalistas e “whistleblowers” mais segura. Whistleblower pode ser traduzido para o português como um delator ou dedo-duro. SecureDrop foi idealizado e implementado em sua primeira versão pelo falecido Aaron Swartz, sob o nome DeadDrop. A ONG Freedom of the Press Foundation adotou o projeto e o renomeou para SecureDrop.

Segurança

O código da plataforma foi auditado duas vezes^[1] por diversos especialistas na área de segurança e criptografia, de forma a assegurar que a arquitetura da plataforma é segura. O relatório da auditoria, assim como o próprio site da Freedom of the Press Foundation, deixam bastante claros que a plataforma, apesar de tornar a comunicação jornalista-delator mais segura, não é sob hipótese alguma 100% segura. O relatório ressalta ainda a falta de usabilidade da plataforma para usuários não técnicos e sem expertise em criptografia. Esse foi exatamente o ponto que a Freedom of the Press tem atacado, tentando tornar a plataforma o mais usável possível, a fim de mitigar possíveis fontes de erros por parte dos usuários que possam tornar o uso da plataforma inseguro. A ONG oferece também auxílio técnico a organizações de imprensa que queiram usar o sistema, bem como treinamento para jornalistas sobre melhores práticas de segurança. Além disso, possuem um projeto de crowdfunding para financiar o hardware necessário para instalar o SecureDrop e doar a instituições que não possuem condições financeiras de obter tal hardware. Qualquer organização pode instalar o SecureDrop de forma gratuita e fazer modificações que satisfaçam suas necessidades específicas. Qualquer desenvolvedor interessado pode também ajudar a melhorar o código do SecureDrop, tendo em vista a sua natureza open-source. A Freedom of The Press Foundation realizou inclusive uma série de Hackathons para melhorar o código da plataforma. A natureza open-source desta segue o 2^o princípio de Kerckhoffs:

“O sistema não deve requerer que a sua arquitetura ou que os seus algoritmos criptográficos sejam mantidos em segredo para garantir a sua segurança.”^[2]

Funcionamento da plataforma

A plataforma SecureDrop foi desenvolvida para funcionar da seguinte forma:

Uma organização instala SecureDrop em seus servidores;
Indivíduos que desejam entrar em contato com jornalistas da organização (delatores) devem possuir uma versão atualizada do Tor Browser e visitar a página do SecureDrop da organização (cujo endereço possui extensão .onion);
O delator recebe quatro palavras-chave aleatórias ao visitar a página SecureDrop da organização. Essas palavras-chave devem ser memorizadas;
Ao delator é mostrada uma página, onde é possível enviar mensagens ou documentos aos jornalistas. Todas as informações enviadas são criptografadas de forma que apenas os jornalistas tenham acesso a estas.

Passo a passo para jornalistas

Para recuperar os documentos postados por fontes anônimas, os jornalistas seguem os seguintes passos:

O jornalista acessa um site interno que o alerta da existência de novas mensagens. Os dados estão criptografados usando a chave GPG do jornalista;
O jornalista baixa os dados criptografados em um pendrive;
O jornalista transfere o pendrive para uma estação segura de visualização, onde este é inserido; e os dados são decriptados com a chave GPG do jornalista e analisados;
Após a análise, os dados decriptados são destruídos;
O jornalista retorna ao website interno e pode mandar uma mensagem de resposta para o delator. Esta é postada na caixa de mensagens anônima do receptor;
As mensagens deixadas por jornalistas são criptografadas e só podem ser visualizadas pelo delator usando as palavras-chave decoradas por ele.

Conceitualmente, SecureDrop cria caixas de email anônimas, que tanto a fonte (delator) quanto o jornalista podem usar para estabelecer comunicação. SecureDrop também usa uma série de técnicas para impedir que o jornalista descubra o endereço IP ou a localização geográfica do delator.

Open-source

SecureDrop é um software livre: ele pode ser redistribuído e modificado, desde que de acordo com os termos da licença GNU Affero General Public, como publicado pela Free Software Foundation, seja na versão 3 ou superior da licença. O projeto SecureDrop é distribuído com o intuito de ser útil a diversos indivíduos. Porém, não oferece quaisquer garantias.

Como contribuir para o projeto

Há algumas formas possíveis de contribuir com o projeto:

Doar dinheiro para manter o projeto vivo, ajudando a pagar, por exemplo, o desenvolvimento e manutenção da plataforma;
Contribuir diretamente com o código, mantido na página do GitHub do projeto;
Participar de listas de discussão para sugerir mudanças que tornem a plataforma SecureDrop mais segura e eficiente.

Organizações proeminentes que usam SecureDrop

A organização Freedom of the Press Foundation mantém em seu site uma lista de organizações que usam o SecureDrop.

Nome da organização	Data de Implementação	Endereço Web
The New Yorker	15 de maio de 2013	https://projects.newyorker.com/strongbox/ Tor: strngbxhwyuu37a3.onion
Forbes^[3]^[4]^[5]	29 de outubro de 2013	https://safesource.forbes.com/ Tor: bczjr6ciiblco5ti.onion
Bivol^[6]	30 de outubro 2013	https://web.archive.org/web/20140421000039/https://www.balkanleaks.eu/ Tor: dtsxnd3ykn32ywv6.onion
ProPublica^[7]^[8]	27 de janeiro de 2014	https://securedrop.propublica.org/ Tor: pubdrop4dw6rk3aq.onion
The Intercept^[9]	10 de fevereiro de 2014	https://firstlook.org/theintercept/securedrop/ Tor: y6xjgkgwj47us5ca.onion
San Francisco Bay Guardian^[10]	18 de fevereiro de 2014	Tor: l7rt5kabupal7eo7.onion
The Washington Post^[11]	5 de junho de 2014	https://ssl.washingtonpost.com/securedrop Tor: vbmwh445kf3fs2v4.onion
The Guardian	6 de junho de 2014	https://securedrop.theguardian.com/ Tor: 33y6fjyhs3phzfjj.onion

Referências

↑ «SecureDrop Undergoes Second Security Audit». Freedom of the Press. Consultado em 28 de março de 2022
↑ «The Official SecureDrop Directory». Freedom of the Press Foundation. Consultado em 13 de dezembro de 2014. Arquivado do original em 2 de janeiro de 2015
↑ Kirchner, Lauren. «When sources remain anonymous». Columbia Journalism Review. Consultado em 28 de janeiro de 2014
↑ Timm, Trevor. «Forbes Launches First Updated Version of SecureDrop Called SafeSource». Freedom of the Press Foundation. Consultado em 28 de janeiro de 2014
↑ Greenberg, Andy. «Introducing SafeSource, A New Way To Send Forbes Anonymous Tips And Documents». Forbes. Consultado em 28 de janeiro de 2014
↑ Chavkin, Sasha. «Initiatives seek to protect anonymity of leakers». The International Consortium of Investigative Journalists. Consultado em 28 de janeiro de 2014
↑ Tigas, Mike. «How to Send Us Files More Securely». ProPublica. Consultado em 28 de janeiro de 2014
↑ Timm, Trevor. «ProPublica Launches New Version of SecureDrop». The Freedom of the Press Foundation. Consultado em 28 de janeiro de 2014
↑ «How to Securely Contact The Intercept». The Intercept. Consultado em 9 de fevereiro de 2014
↑ Bowe, Rebecca (18 de fevereiro de 2014). «Introducing BayLeaks». San Francisco Bay Guardian. Consultado em 20 de fevereiro de 2014
↑ «Q&A about SecureDrop on The Washington Post». The Washington Post. 5 de junho de 2014

[1] «SecureDrop Undergoes Second Security Audit». Freedom of the Press. Consultado em 28 de março de 2022

[SecureDrop_Directory-2] «The Official SecureDrop Directory». Freedom of the Press Foundation. Consultado em 13 de dezembro de 2014. Arquivado do original em 2 de janeiro de 2015

[3] Kirchner, Lauren. «When sources remain anonymous». Columbia Journalism Review. Consultado em 28 de janeiro de 2014

[4] Timm, Trevor. «Forbes Launches First Updated Version of SecureDrop Called SafeSource». Freedom of the Press Foundation. Consultado em 28 de janeiro de 2014

[5] Greenberg, Andy. «Introducing SafeSource, A New Way To Send Forbes Anonymous Tips And Documents». Forbes. Consultado em 28 de janeiro de 2014

[6] Chavkin, Sasha. «Initiatives seek to protect anonymity of leakers». The International Consortium of Investigative Journalists. Consultado em 28 de janeiro de 2014

[7] Tigas, Mike. «How to Send Us Files More Securely». ProPublica. Consultado em 28 de janeiro de 2014

[8] Timm, Trevor. «ProPublica Launches New Version of SecureDrop». The Freedom of the Press Foundation. Consultado em 28 de janeiro de 2014

[9] «How to Securely Contact The Intercept». The Intercept. Consultado em 9 de fevereiro de 2014

[10] Bowe, Rebecca (18 de fevereiro de 2014). «Introducing BayLeaks». San Francisco Bay Guardian. Consultado em 20 de fevereiro de 2014

[11] «Q&A about SecureDrop on The Washington Post». The Washington Post. 5 de junho de 2014

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]