SecureDrop

Logo da SecureDrop

SecureDrop é uma plataforma open-source de entrega de documentos confidenciais por fontes anônimas. O sistema usa criptografia de forma a tornar a plataforma segura. Uma plataforma surge como uma ferramenta para tornar a comunicação entre jornalistas e “whistleblowers” mais segura. Whistleblower pode ser traduzido para o português como um delator ou dedo-duro. SecureDrop foi idealizado e implementado em sua primeira versão pelo falecido Aaron Swartz, sob o nome DeadDrop. A ONG Freedom of the Press Foundation adotou o projeto e o renomeou para SecureDrop.

Segurança

O código da plataforma foi auditado duas vezes[1] por diversos especialistas na área de segurança e criptografia, de forma a assegurar que a arquitetura da plataforma é segura. O relatório da auditoria, assim como o próprio site da Freedom of the Press Foundation, deixam bastante claros que a plataforma, apesar de tornar a comunicação jornalista-delator mais segura, não é sob hipótese alguma 100% segura. O relatório ressalta ainda a falta de usabilidade da plataforma para usuários não técnicos e sem expertise em criptografia. Esse foi exatamente o ponto que a Freedom of the Press tem atacado, tentando tornar a plataforma o mais usável possível, a fim de mitigar possíveis fontes de erros por parte dos usuários que possam tornar o uso da plataforma inseguro. A ONG oferece também auxílio técnico a organizações de imprensa que queiram usar o sistema, bem como treinamento para jornalistas sobre melhores práticas de segurança. Além disso, possuem um projeto de crowdfunding para financiar o hardware necessário para instalar o SecureDrop e doar a instituições que não possuem condições financeiras de obter tal hardware. Qualquer organização pode instalar o SecureDrop de forma gratuita e fazer modificações que satisfaçam suas necessidades específicas. Qualquer desenvolvedor interessado pode também ajudar a melhorar o código do SecureDrop, tendo em vista a sua natureza open-source. A Freedom of The Press Foundation realizou inclusive uma série de Hackathons para melhorar o código da plataforma. A natureza open-source desta segue o 2o princípio de Kerckhoffs: 

“O sistema não deve requerer que a sua arquitetura ou que os seus algoritmos criptográficos sejam
mantidos em segredo para garantir a sua segurança.”[2]

Funcionamento da plataforma

A plataforma SecureDrop foi desenvolvida para funcionar da seguinte forma:

  1. Uma organização instala SecureDrop em seus servidores;
  2. Indivíduos que desejam entrar em contato com jornalistas da organização (delatores) devem possuir uma versão atualizada do Tor Browser e visitar a página do SecureDrop da organização (cujo endereço possui extensão .onion);
  3. O delator recebe quatro palavras-chave aleatórias ao visitar a página SecureDrop da organização. Essas palavras-chave devem ser memorizadas;
  4. Ao delator é mostrada uma página, onde é possível enviar mensagens ou documentos aos jornalistas. Todas as informações enviadas são criptografadas de forma que apenas os jornalistas tenham acesso a estas.

Passo a passo para jornalistas

Para recuperar os documentos postados por fontes anônimas, os jornalistas seguem os seguintes passos:

  1. O jornalista acessa um site interno que o alerta da existência de novas mensagens. Os dados estão criptografados usando a chave GPG do jornalista;
  2. O jornalista baixa os dados criptografados em um pendrive;
  3. O jornalista transfere o pendrive para uma estação segura de visualização, onde este é inserido; e os dados são decriptados com a chave GPG do jornalista e analisados;
  4. Após a análise, os dados decriptados são destruídos;
  5. O jornalista retorna ao website interno e pode mandar uma mensagem de resposta para o delator. Esta é postada na caixa de mensagens anônima do receptor;
  6. As mensagens deixadas por jornalistas são criptografadas e só podem ser visualizadas pelo delator usando as palavras-chave decoradas por ele.

Conceitualmente, SecureDrop cria caixas de email anônimas, que tanto a fonte (delator) quanto o jornalista podem usar para estabelecer comunicação. SecureDrop também usa uma série de técnicas para impedir que o jornalista descubra o endereço IP ou a localização geográfica do delator.

Open-source

SecureDrop é um software livre: ele pode ser redistribuído e modificado, desde que de acordo com os termos da licença GNU Affero General Public, como publicado pela Free Software Foundation, seja na versão 3 ou superior da licença. O projeto SecureDrop é distribuído com o intuito de ser útil a diversos indivíduos. Porém, não oferece quaisquer garantias.

Como contribuir para o projeto

Há algumas formas possíveis de contribuir com o projeto:

  1. Doar dinheiro para manter o projeto vivo, ajudando a pagar, por exemplo, o desenvolvimento e manutenção da plataforma;
  2. Contribuir diretamente com o código, mantido na página do GitHub do projeto;
  3. Participar de listas de discussão para sugerir mudanças que tornem a plataforma SecureDrop mais segura e eficiente.

Organizações proeminentes que usam SecureDrop

A organização Freedom of the Press Foundation mantém em seu site uma lista de organizações que usam o SecureDrop.

Nome da organização Data de Implementação Endereço Web
The New Yorker 15 de maio de 2013 https://projects.newyorker.com/strongbox/ Tor: strngbxhwyuu37a3.onion
Forbes[3][4][5] 29 de outubro de 2013 https://safesource.forbes.com/ Tor: bczjr6ciiblco5ti.onion
Bivol[6] 30 de outubro 2013 https://web.archive.org/web/20140421000039/https://www.balkanleaks.eu/ Tor: dtsxnd3ykn32ywv6.onion
ProPublica[7][8] 27 de janeiro de 2014 https://securedrop.propublica.org/ Tor: pubdrop4dw6rk3aq.onion
The Intercept[9] 10 de fevereiro de 2014 https://firstlook.org/theintercept/securedrop/ Tor: y6xjgkgwj47us5ca.onion
San Francisco Bay Guardian[10] 18 de fevereiro de 2014 Tor: l7rt5kabupal7eo7.onion
The Washington Post[11] 5 de junho de 2014 https://ssl.washingtonpost.com/securedrop Tor: vbmwh445kf3fs2v4.onion
The Guardian 6 de junho de 2014 https://securedrop.theguardian.com/ Tor: 33y6fjyhs3phzfjj.onion

Referências

  1. «SecureDrop Undergoes Second Security Audit». Freedom of the Press. Consultado em 28 de março de 2022 
  2. «The Official SecureDrop Directory». Freedom of the Press Foundation. Consultado em 13 de dezembro de 2014. Arquivado do original em 2 de janeiro de 2015 
  3. Kirchner, Lauren. «When sources remain anonymous». Columbia Journalism Review. Consultado em 28 de janeiro de 2014 
  4. Timm, Trevor. «Forbes Launches First Updated Version of SecureDrop Called SafeSource». Freedom of the Press Foundation. Consultado em 28 de janeiro de 2014 
  5. Greenberg, Andy. «Introducing SafeSource, A New Way To Send Forbes Anonymous Tips And Documents». Forbes. Consultado em 28 de janeiro de 2014 
  6. Chavkin, Sasha. «Initiatives seek to protect anonymity of leakers». The International Consortium of Investigative Journalists. Consultado em 28 de janeiro de 2014 
  7. Tigas, Mike. «How to Send Us Files More Securely». ProPublica. Consultado em 28 de janeiro de 2014 
  8. Timm, Trevor. «ProPublica Launches New Version of SecureDrop». The Freedom of the Press Foundation. Consultado em 28 de janeiro de 2014 
  9. «How to Securely Contact The Intercept». The Intercept. Consultado em 9 de fevereiro de 2014 
  10. Bowe, Rebecca (18 de fevereiro de 2014). «Introducing BayLeaks». San Francisco Bay Guardian. Consultado em 20 de fevereiro de 2014 
  11. «Q&A about SecureDrop on The Washington Post». The Washington Post. 5 de junho de 2014