דף הבית   על אודות   צרו קשר  
2 בדצמבר2017

תיבת ההדלפות של b48.club

שירות ראשון מסוגו בעברית מאפשר להדליף חומרים בצורה אנונימית על גבי הרשת האפלה

אמ;לק: לבלוג יש תיבה אליה אפשר לשלוח חומרים באופן אנונימי, הכתובת של התיבה היא: leak4hiof3jcngfc.onion ואפשר לגשת אליה באמצעות רשת תור בלבד.

פרטיות

זה כמה שנים שאני מעביר סדנאות פרטיות (Online Privacy) במסגרת תנועת Cryptoparty. יחד עם שותפי לעשייה יובל העברנו סדנאות לציבור הרחב, לארגוני זכויות אדם, לעיתונאים, לאקטיביסטים (משני צידי הקו הירוק), ונתנו ייעוץ לשלל גופים וארגונים לגבי איך להתנהל נכון יותר ברשת ולצמצם את הסיכוי שהמידע הפרטי שלהם יגיע לידיים של אחרים. אנחנו לא לוקחים כסף על הסדנאות האלה ועושים אותן מתוך תחושת שליחות לפיה מידע ציבורי רוצה להיות חופשי, ועל מידע פרטי צריך להגן מפני עיניים חטטניות.

באותה מסגרת, ניסינו לפנות לכמה גופי תקשורת בארץ והצענו להם להפעיל מערכת הדלפות שנקראת סקיור דרופ (Secure Drop), שתאפשר לאנשים להדליף להם מידע בלי לסכן את עצמם. מסיבות שונות אף אחד מהגופים האלה לא הרים את הכפפה, והציבור הישראלי נותר בלי שום דרך אנונימית ובטוחה להעביר חומרים רגישים לפרסום מבלי שהדבר יקושר אליהם.

למה חשוב להדליף

כתבתי כאן מכתב פתוח למשתפי פעולה שמסביר מדוע צריך להפסיק לתת יד לפשעים שנעשים בשם המשטר. בלי מדליפים אמיצים לא היו יודעים את היקף הניטור שמשטרים דמוקרטים, כביכול, מפעילים נגד האזרחים שלהם ואזרחים ברחבי העולם. לא היינו יודעים על פשעים, רציחות, מעילות, ניצול לרעה של סמכות, מעורבות של השלטונות בסחר בסמים, בפשע מאורגן, והרשימה עוד ארוכה. אור השמש הוא חומר החיטוי הטוב ביותר. אתם יודעים את זה, וגם הארגונים שואהבים לעבוד באפילה יודעים את זה.

כמעט כל אחת ואחד מאיתנו נחשפנו להתנהלות בעייתית שהיתה נפסקת לו היה הדבר נחשף. לא כל דבר הוא קטסטרופה, ולא כל דבר הוא בעל עניין ציבורי, אבל חלק מהדברים האלה - בהחלט כן. לצורך כך הרמתי שירות נסתר ברשת תור שיאפשר לכם לשלוח מסמכים, תמונות, או ראיות אחרות, בלי שאני אדע מי אתן. ומה שאני לא יודע - לא אוכל לספר גם אם אחקר. בשביל לעשות את זה כמו שצריך יש לנקוט כמה אמצעי זהירות, שאותם אפרט בהמשך, אבל בגדול - כשאתם מתחברים לשירות דרך רשת תור - אתם לא יודעים איפה יושב האתר, והאתר לא יודע איפה אתם יושבים.

כמה שירותים אחרים מציעים לכם לשלוח מידע באופן אנונימי על גבי הרשת הגלויה, אבל האנונימיות היחידה שהם מספקים היא בשם בלבד, ושומר פרטיותו - ירחק. ניסיתי לפנות אליהם בעבר ולהזהיר אותם שהם מסכנים את מי שיתפתה להשתמש בשירותיהם, אבל לא זכיתי לתשובה רצינית, וחבל.

אז איך עובדת התיבה הזו?

ראשית, הגישה לתיבה אפשרית בעזרת רשת תור בלבד. על איך עובדת רשת תור כתבתי בעבר, אבל בגדול היא מאפשרת למשתמשים לגשת בצורה אנונימית לשירותים נסתרים מבלי שהשירותים ידעו מי הם ומאיפה הם מגיעים. הרשת הזו, המכונה בחיבה “הרשת האפלה”, נמצאת מתחת לרדאר של אמצעי הניטור המופעלים על ידי משטרים רבים בעולם, ולמיטב ידיעת קהילת הפרטיות, הרשת הזו עדיין לא “פוצחה”.

b48.club leakbox

  1. על מנת להשתמש ברשת תור, כל מה שצריך הוא להוריד דפדפן. הורדתם, התקנתם, והפעלתם? ברכותי, אתם משתמשים ברשת תור.
  2. עכשיו כשאתם בדפדפן שהורדתם והתקנתם, גלשו לכתובת: leak4hiof3jcngfc.onion בדף הבית יש הוראות מפורטות, וזה הולך בערך ככה:
  3. אתם מעלים קובץ ומשאירים הודעה (אל תשאירו מייל, אל תכתבו את שמכם).
  4. המערכת תתן לכם קוד. שמרו את הקוד הזה.
  5. מפעילי הבלוג (אני וידידי) נעבור על החומרים ששלחתם, ונשאיר לכם הודעה להמשך הטיפול
  6. התחברו שוב לשירות הנסתר של תיבת ההדלפות (באותה כתובת: leak4hiof3jcngfc.onion) והזינו את הקוד שקיבלתם כשהעליתם את הקבצים שלכם
  7. ככה נוכל להתכתב בלי שום צד שלישי, בלי מיילים, שמות, או כל דבר שיכול לגלות את זהותכם.
  8. במידה והמידע שהעברתם מעניין, אמין, ומתאים לפרסום, הוא יועבר לפרסום או בבלוג או בחו”ל, במידת הצורך.

בלי קובץ המערכת לא תתן לכם להמשיך. הקבצים נדרשים כדי לתמוך בטענות שתעלו, והם צריכים להיות בעלי תוכן משמעותי. בשלב הראשון אין צורך להעלות כל מה שברשותכם, אלא רק דוגמה בגודל של עד 10 מגהבייט. במידה ונמצא בכך עניין, נבקש שתשלחו את השאר.

ממה צריך להיזהר

הדבר החשוב ביותר הוא בטחונכם. אם אתם מוכנים לצאת בגלוי, אין טעם להשתמש במערכת. צרו קשר עם עיתונאי, וזהותכם כמעט בטוח שתיוודא לגורמים המתאימים תוך זמן קצר. מקרה ענת קם למשל עדיין טרי בזיכרון. לו היתה משתמשת במערכת כזו - סיכוי נמוך יותר שהיו מגלים את זהותה ומשליכים אותה לכלא. לו העיתונאי אורי בלאו לא היה יודע את זהותה - הוא לא היה יכול לחלוק אותה עם חוקריו.

הדבר החשוב ביותר הוא בטחונכם. אל תציינו שום פרט שיכול לרמוז על זהותכם, כי אם מפעילי הבלוג לא ידעו מי אתם, מפעילי הבלוג לא יוכלו לספר לאף אחד. עם זאת - זו לא הדרך היחידה בה זהותכם יכולה להחשף. אם המידע שאתם משתפים מוגבל למספר אנשים בלבד, כשהוא יפורסם, אותם האנשים להם היתה נגישות למידע - יחקרו. אם המידע שאתם משתפים נסרק בצבע מחומר שהודפס במדפסת צבעונית - אפשר יהיה לדעת מתי הוא הודפס ואיפה. אם אתם שולחים את המידע ממקום העבודה שלכם - הארגון שלכם יוכל לאתר מי השתמש ברשת תור.

ושוב - הדבר החשוב ביותר הוא בטחונכם. שימו לב שאתם מגינים על עצמכם כראוי.

ואם אני ממש ממש חרד לפרטיותי?

הצעדים שאזכיר כאן נועדו לשימוש אידיאלי במערכת, אבל הם בהחלט לא חובה. אתם יכולים לבחור מה מהם לאמץ ועל מה לוותר, מכיוון שהם בהחלט עלולים להקשות עליכם:

  1. אל תשתמשו במערכת מהעבודה או מהבית. אל תשתמשו בחיבור של הטלפון הנייד שלכם. מצאו רשת אלחוטית פתוחה במקום רחוק, ובדקו שאין בו מצלמות.
  2. כדי לוודא שאין על המחשב שלכם רוגלות או רושעות שמקליטות את פעולותיכם, הפעילו אותו באמצעות מערכת ההפעלה Tails מדיסק-און-קי. אם אתם ממש חרדים לפרטיותכם, עשו זאת ממחשב חדש שמעולם לא הפעלתם קודם ומעולם לא התחבר לרשת.

אז למה לא סקיור דרופ?

סקיור דרופ זו מערכת מצוינת שתוכננה על ידי אהרון שוורץ זצוק”ל ומתוחזקת על ידי Freedom of the Press Foundation. המערכת הזו מותקנת אצל כלי תקשורת גדולים ומכובדים ברחבי העולם, כמו הניו יורק טיימס, האינטרספט, הגארדיאן, ואחרים. היא מורכבת ממספר מחשבים שדורשים מקום פיזי, מחשבים “מנותקים” (Air gapped), ופרוטוקולים נוקשים של תפעול.

נקודת ההנחה של כלי התקשורת האלה היא שהמדינה לא תעז לפשוט על משרדיהם באישון לילה, ונקודת ההנחה של מי ששולח להם מידע היא שהם לא משתפים פעולה עם השלטונות. אצלנו בארץ, למרבה האימה, זה לחלוטין לא המצב. עיתונאים רבים חולקים מידע עם “רשויות הביטחון”, ואותן רשויות לא מתביישות לפלוש למשרדי עיתונים וכלי תקשורת ולהחרים משם ציוד.

מכיוון שנדרשת גישה פיזית למכונות האלה, ומכיוון שגם אם ארים בארץ כמה מכונות שיריצו את המערכת, אין שום דבר שימנע מהרשויות להיכנס אלי הביתה. המחשב שמריץ את השירות הנסתר של תיבת ההדלפות של הבלוג נמצא במדינה מרוחקת שאין לה חיבה יתרה לממשלת ישראל או לדרישות נוגסות פרטיות באופן כללי, ומוגן (במידת האפשר) במפתחות הצפנה חזקים. בנוסף, החיבור אליו מתאפשר רק ממיקום ספציפי שנמצא מחוץ לישראל (והחיבור אליו גם מוגבל), יש בו מנגנון למחיקה בטוחה של התכנים במקרה של זיהוי כניסה לא מותרת, וישנם אמצעי בקרה ואבטחה נוספים שזה לא המקום לפרטם. זה לא אידיאלי, אבל זה בהחלט “מספיק טוב” לכמעט כל הדברים שתרצו להעביר. אם בכל זאת זה לא נראה לכם מספיק (וזה לגמרי בסדר), יש כ-15 מערכת סקיור דרופ המופעלות על ידי עיתונים בחו”ל.

דיסקליימר

להדליף מידע זה עסק מלוכלך ומסוכן. אם אתם בוחרים לעשות את זה, קחו בחשבון שיכול להיות לזה מחיר. אני לא אומר את זה כדי להרתיע אתכם, זו פשוט המציאות. אני וידידי העוסקים במלאכה הזו נעשה הכל כדי לשמור על פרטיותכם. עם זאת, אין ולא יכולה להיות לנו אחריות על בטחונכם. יש פה עניין של אמון הדדי, שאני מקווה ששנים של אקטיביזם בנושאי פרטיות וזכויות אדם עומדים לצידי בעניין הזה. אנחנו נטפל במידע שלכם בדיסקרטיות ובזהירות, ואם נרגיש שלא נוכל להבטיח את פרטיותכם - זה מה שנגיד, ואתם תבחרו איך להמשיך.

כמו כן, אתם מתבקשים לא לספר לנו מי אתם, ולא לספק כל פרט מידע שיכול להוביל לחשיפתכם. זה לטובתנו כמו שזה לטובתכם - מה שאנחנו לא יודעים אנחנו לא יכולים לספר. עם זאת, אנחנו ננסה לאמת את המידע תוך שמירה על מקורו.

זהו, עד כאן. עכשיו תורכם.