Anonym, kryptert varsling

Her kan du dele filer og tips med oss på en sikker måte, og anonymt dersom du ønsker det. «Vanlige» tips, der det ikke er noen fare for represalier, sendes til oss på redaksjon@morgenbladet.no.

Slik tipser du oss:

  1. Bruk din egen datamaskin og et offentlig nettverk – ikke arbeidsgiverens.
  2. Installer Tor-nettleseren fra https://torproject.org. Start den opp.
  3. I Tor-nettleseren, kopier adressen og gå til varslersiden g4wmrmqxpj5bnvml.onion.
  4. Send inn tipset ditt. Noter ned kodenavnet ditt – og sjekk jevnlig om du har fått svar fra oss.

Siden du kommer til, skal se omtrent slik ut:

Mer informasjon

Varslertjenesten bruker SecureDrop. Tjenesten er utviklet for å sikre anonym, kryptert kommunikasjon som vanskelig lar seg spore.

Hvis du aldri har brukt SecureDrop før, les denne siden nøye.

Lovgivningen
  • Norsk lovgivning og rettspraksis gir betydelig vern til varslere.
  • Arbeidsmiljøloven § 2-4, 1) sier at «Arbeidstaker har rett til å varsle om kritikkverdige forhold i virksomheten.»
  • Arbeidsmiljøloven § 2-5, 1) sier at «Gjengjeldelse mot arbeidstaker som varsler i samsvar med § 2-4 er forbudt.»
  • Lovverket gir også pressen rett til å nekte å oppgi sine kilder, det såkalte kildevernet. Straffeprosessloven § 125: «Redaktøren av et trykt skrift kan nekte å svare på spørsmål om hvem som er forfatter til en artikkel eller melding i skriftet eller kilde for opplysninger i det. Det samme gjelder spørsmål om hvem som er kilde for andre opplysninger som er betrodd redaktøren til bruk i hans virksomhet.»

Morgenbladet beskytter sine kilder, og norske lover og rettspraksis gir også et sterkt kildevern. Men selve varslingen kan ofte spores, enten på grunn av metadata eller ved direkte overvåkning av dataene. SecureDrop gir deg anledning til å dele dokumenter og meldinger, og å kommunisere med oss, på en måte som sikrer din anonymitet – selv fra oss.

Alle filer og meldinger du sender blir kryptert før lagring, og kan bare åpnes i vår redaksjon, med en nøkkel som ligger på en maskin som er fysisk frakoblet internett.

Selve tjenesten er bare tilgjengelig via Tor-nettverket. Tor-nettverket er et sett med tjenere som anonymiserer trafikk og gjør den svært vanskelig å spore.

Viktig informasjon om sikkerhet

SecureDrop
  • SecureDrop ble opprinnelig utviklet av Aaron Swartz, og i dag er kildekoden forvaltet og videreutviklet av Freedom of the Press Foundation (freedom.press; kopier adressen og lim inn i Tor-browseren).
  • Det finnes en katalog over installasjoner, vedlikeholdt av dem, på securedrop.org/directory (kopier denne adressen og lim den inn i Tor-browseren).
  • SecureDrop bruker GnuPG og Tor-nettverket. Filer og meldinger krypteres med GnuPG, og kilden obfuskeres gjennom Tor-nettverket.
  • Dokumenter som lastes opp, kan bare åpnes med den hemmelige nøkkelen, og denne finnes bare på datamaskiner helt uten nettverkskort og harddisker. Disse maskinene er igjen beskyttet av sterk kryptering. Selv ved en politirazzia eller et innbrudd vil innholdet være praktisk sett umulig å dekryptere uten at Morgenbladet samarbeider.
  • I tillegg til det tekniske, er det et sentralt poeng ved SecureDrop at de sensitive dokumentene skilles helt av fra nettverket i redaksjonen, der det er høy aktivitet, mye dokumenter fra eksterne aktører og vanskelig å garantere for sikkerheten.

SecureDrop-tjenerne er fysisk plassert i Morgenbladets redaksjon, og er under vår direkte kontroll. Serverne logger ikke ip-adresser, nettlesere, operativsystemer og lagrer ingen informasjonskapsler.

Tor-forbindelsen sikrer at tilkoblingen er kryptert og anonymisert. En angriper med full tilgang til nettverkstrafikken din vil likevel ikke kunne se hva du gjør og hvem du kommuniserer med mens du bruker Tor.

Meldinger og filer blir kryptert før de lagres hos oss. De kan bare dekrypteres ved hjelp av krypteringsnøkler som er lagret på datamaskiner uten noen kontakt med internett. Krypteringen er meget sterk (4096 bit RSA). Selv om noen gjorde datainnbrudd eller fysisk innbrudd og stjal innholdet på serveren, ville de likevel ikke få tilgang til dokumentene.

Ingen systemer kan garantere 100 % sikkerhet. Selv om SecureDrop er grundig gjennomgått av sikkerhetseksperter, kan det finnes programfeil eller andre svakheter. Vi oppdaterer SecureDrop med nye versjoner når de er tilgjengelige for å holde tritt med eventuelle hull.

Det er viktig å merke seg at dersom datamaskinen du bruker til å sende dokumenter allerede er kompromittert, kan det være at en angriper har tilgang til dokumenter, hva du skriver på tastaturet, osv. Som kilde må du selv vurdere trusselbildet og ta passende grep. En enkel forholdsregel er å aldri bruke arbeidsgiverens nettverk eller utstyr for å håndtere sensitiv informasjon. Et farligere trusselbilde kan for eksempel bety at varsleren bør gå til anskaffelse av nytt utstyr, koble til via et offentlig nettverk (på internettkafé eller lignende), osv.

Denne nettsiden er kryptografisk signert med nøkkelen som brukes i vår installasjon av SecureDrop, 67D1CDC5829C1E35. Du kan laste ned signaturen fra https://morgenbladet.no/sites/morgenbladet.no/varsle.asc.

Råd før opplasting

Til slutt, noen råd før du laster opp:

  1. Ikke bruk arbeidsgiverens nettverk eller datautstyr.
  2. Nettverkstilknytningen blir maskert av Tor-nettverket, men det er likevel tryggest å bruke et nettverk som ikke kan knyttes til deg. Tor-tilkoblingen er kryptert, så du kan relativt trygt bruke Wifi-hotspots, biblioteker, kafeer osv.
  3. Pass på kameraovervåkning og folk som kikker over skulderen din. Avhengig av hvem du anser som trussel, kan det også være viktig å unngå å legge igjen spor om du må betale for noe.
  4. Dokumenter inneholder ofte metadata, for eksempel lokasjonsdata i et bilde eller skribentinformasjon og endringshistorikk i en Wordfil. Vi har sofistikerte verktøy for å fjerne dette, men det er tryggest å fjerne dem selv.
  5. Tails (https://tails.boum.org) er et «operativsystem med hukommelsessvikt» som du kan installere på en minnepinne. Det kommer installert med Tor, verktøy for fjerning av metadata og sterk beskyttelse mot spionprogramvare. I tillegg sletter det alle spor av det du har gjort når du skrur av datamaskinen. Vi anbefaler å bruke Tails når du laster opp og håndterer lekkede dokumenter.

Se gjerne også NRK og The Intercept, som har gode guider om hvordan man bør gå frem for å varsle.

Sist oppdatert 23. oktober 2017.