Ero alla ricerca di leader, ma mi sono reso conto che leadership significa essere il primo ad agire – Edward Snowden

PROTOCOLLO DI SICUREZZA PER IL WHISTLEBLOWER

Le linee guida per la tua sicurezza in qualità di whistleblower.

Quando invii informazioni sensibili devi sempre considerare i rischi legati al voler rivelare la verità in quanto potresti essere oggetto di ritorsioni da parte di chi non vuole che tu parli.

Quando stai pensando di ‘soffiare il fischietto’ tieni ben presente i possibili rischi associati al farlo. Le persone che non vogliono che tu dica la verità potrebbero ritorcersi contro di te.

Per questa ragione devi fare tutto ciò che è possibile per preservare la tua anonimità.

Devi essere consapevole dei rischi che corri a livello informatico e sociale e prendere le giuste contromisure per proteggerti. Le strategie di protezione più appropriate dipendono dal singolo contesto in cui uno si trova soprattutto per quanto riguarda i rischi legati al proprio ambiente sociale.

Rischi legati al proprio ambiente sociale

Prima di inviare qualsiasi informazione considera bene che cosa potrebbe accadere dopo che quell’informazione è stata inviata e la notizia dei fatti ad essa collegata raggiungerà l’attenzione dei media e dell’opinione pubblica.

Poniti le seguenti domande per capire quali potrebbero essere i rischi effettivi:

  • Sei l’unica persona o una delle poche ad avere accesso alle informazioni che vuoi inviare?
  • Dopo che l’informazione raggiungerà l’attenzione dell’opinione pubblica, pensi che qualcuno ti chiederà qualcosa a riguardo?
  • Ti senti in grado di gestire lo ‘stress’ di un’inchiesta interna o esterna (qualcuno che ti domandi qualcosa) sul leak in questione?

Ti chiediamo di leggere con attenzione e riflettere su questi punti prima di fare una segnalazione attraverso la nostra piattaforma GlobaLeaks.

Rischi legati all’ambito informatico

Devi essere consapevole del fatto che quando usi un computer e internet per scambiare informazioni, la maggior parte delle tue azioni lascia delle tracce (dati informatici) che possono portare un investigatore a identificare dove sei e chi sei.

Per questa ragione devi prendere molte precauzioni e considerare varie strategie che riducano i rischi ed evitino di lasciare tracce delle tue azioni sul computer.

Puoi lasciare tracce informatiche nel fare le seguenti azioni:

  • Fare ricerche online collegate alle informazioni che vuoi inviare
  • Acquisire le informazioni che vuoi inviare
  • Leggere questa pagina web
  • Inviarci informazioni
  • Scambiare dati con i riceventi del tuo leak

Tutte queste azioni possono lasciare tracce mettendo completamente a repentaglio la tua sicurezza, ma con pochi passaggi a livello informatico è possibile minimizzare i rischi.

Protezione sul piano sociale

Nella prospettiva di una maggiore protezione sul piano sociale dovresti almeno intraprendere le seguenti azioni:

  • Prima di inviare un leak, non parlare della tua intenzione con nessuno
  • Dopo aver inviato il leak, non dire a nessuno cosa hai fatto
  • Dopo che la notizia della segnalazione appare sui media, fai molta attenzione nell’esprimerti a riguardo con chiunque
  • Accertati che non ci siano sistemi di sorveglianza (telecamere o altro) nel posto dove acquisisci e invii l’informazione
  • Non cercare sui motori di ricerca o sui siti di informazione quello che hai segnalato (questo rivelerebbe che ne eri già a conoscenza prima)

Queste sono solo alcune precauzioni da prendere in considerazione sul piano sociale.

Protezione sul piano informatico

Le azioni da compiere per proteggersi sul piano informatico potrebbero essere un po’ più difficoltose vista la complessità di fondo dei sistemi informatici e di rete oggi esistenti.

Per essere sicuri al 100% dal punto di vista tecnico bisogna essere esperti di computer così da capire interamente tutti i rischi.

Seguendo comunque rigorosamente le seguenti procedure e indicazioni dovresti già essere abbastanza sicuro:

  • Invia le informazioni usando il software di navigazione anonima per il web Tor Browser Bundle (è facile, usalo!)
  • Non inviare le informazioni dal tuo computer personale fornito dal tuo datore di lavoro (meglio usarne uno che non usa nessuno)
  • Conserva in un luogo sicuro la ricevuta di invio della segnalazione e distruggila non appena non ti serve più
  • Non tenere una copia delle informazioni che hai inviato
  • Quando acquisisci le informazioni che vuoi inviare, assicurati di non lasciare nessuna traccia nel sistema informatico che possa ricondurre alla tua identità (eg: raccogli i file nella tua chiave USB, e quando hai finito l’invio, cancella i file e riempi la pennetta con qualcosa di tuo: film, foto, musica)
  • Tieni presente che dei “meta data” potrebbero comunque essere presenti nei dati che hai inviato.
  • Considera di far pulizia dei meta data usando strumenti tipo MAT in combinazione con TAILS linux live CD.
  • Valuta di convertire tutti i dati che stai inviare in un formato PDF standard

Mettendo in pratica le procedure descritte sopra dovresti essere abbastanza sicuro.

Abbastanza sicuro non vuol dire 100% sicuro.

Per migliorare notevolmente la tua sicurezza informatica dovresti leggere il progetto Security in a Box , che spiega la maggior parte dei rischi e le relative contromisure.