Veilig lekken doe je analoog

Vandaag lanceerde  ‘stichting Publeaks de website publeaks.nl. Mooi initiatief, gesteund door groot aantal media. En als je echt big data te leaken hebt, is het waarschijnlijk een onmisbare tool. Maar toch. Ik heb niets te lekken, maar als ik wat zou hebben, dan zeker niet via publeaks.nl. Even een paar notities over het fenomeen lekken. Als je site ‘staatsgeheim.com’ heet kun je daar niet omheen.

Misschien ben ik ouderwets. Maar lekken naar ‘zomaar’ een krant of een tv-zender vind ik niets. Ten eerst, weet je hoe goed journalisten zijn in het bewaren van geheimen? Nou, HEEL SLECHT. Hoe dat in de praktijk werkt: journalist heeft twee biertjes op en iemand vraagt in de kroeg ‘zeg pik, heb je al wat lekken binnen via publeaks.nl’ Reken maar dat 9,9 van de 10 journalisten toch geheel vrijwillig en uit zichzelf weer -een beetje- verklikt.

Ten tweede, wie leest de boodschap? Komt je hete lek binnen bij het erudiete journalistieke talent van je uitgekozen medium, of toch gewoon de de ingeslapen stagiaire van de brievenrubriek? Je weet het niet.

Verder. Ik zou lekken naar de journalist waarvan ik weet wat zijn portefeuille is. Iemand die je volgt via zijn berichten, zijn Twitter en waarvan je zodoende weet waar hij het over heeft. Helaas heeft publeaks die mogelijkheid nog niet, dat kiezen op persoon.

 

Journalisten en internet en computers en security: Onmogelijke combinatie

En een gemiddelde journalistencomputer is een vieze gore oude laptop met vermoedelijk bakken spyware. En anders is het wel een Macbook waar de beveiligingsupdates al tijdens de aanschaf ervan, steevast weggeklikt worden.

Bedenk ook, een journalist is net een mens, alleen in 50% van de gevallen zijn ze op computergebied iets achterlijker dan gemiddeld. Loop op een redactie, en je verzamelt binnen 1 minuut al zo 10 post-it notes met wachtwoorden, ja anno 2013. Zelfs al heeft de bewuste journalist een goed wachtwoord, dan is er altijd nog de  slecht beveiligde smartphone waar alle e-mail realtime op binnenloopt. Ga verder van het gemak vanuit dat het bedrijfsnetwerk van elke redactie standaard wordt afgeluisterd, ook al overdrijf ik.

Maar geef zo’n journalist een oldskool papieren brief met geheimen en hij zal ‘m bewaken met z’n leven.

Dus tot die tijd, hier een goede manier om redelijk  anoniem te lekken. Ik ga er vanuit dat je staatsgevoelige informatie wilt lekken. Dus je wilt een organisatie ontlopen die ALLES kan controleren. Dus ALLE beveilingscamera’s bij ALLE winkels. Een organisatie die ALLE telefoongesprekken kan afluisteren en je positie kan traceren. Een organisatie die zonder al teveel gedoe ook je-mail, twitter, skype en al die andere zaken kan afluisteren. Dan zit er maar één ding op. Ga analoog. Precies, Publeaks is voor luie armleuninglekkers, jij bent klaar voor het echte werk.

Dus je wilt lekken?

Blijkbaar heb je dan de afweging al gemaakt om je hete info door iemand anders te laten publiceren. Je hebt de gebruiksaanwijzingen voor TOR gelezen en je bent tot de overweging gekomen dat zelf die zooi op internet plempen te gevaarlijk is, of anders, te ingewikkeld om anoniem te doen. Heel goed, laat anderen het maar voor je doen. Waarom zou je zo moeilijk doen alles op internet te kwakken, je bent via internet toch wel te achterhalen.

De voorbereiding

We gaan uit van twee scenario’s: analoog lekken van digitale informatie, en analoog lekken van gedrukte informatie.

Denk eens een avondje na hoe je precies te achterhalen zou zijn. Voorbeeld: Maak je  zelf een documentje? Ga dan niet plaatjes bij elkaar lopen googlen om het wat mooier te maken. Stel dat je document in verkeerde handen valt. Een beetje speurneus kijkt waar je je plaatje vandaan hebt gehaald (in 90% van de gevallen pagina 0 van google image search) En dan is het heel eenvoudig om je ip-nummer en daarna je adres te achterhalen.

Kortom, maak een lekplan van aanpak. Dus bedenk bij welke winkels je onderstaande dingen gaat kopen. Koop niet in een winkelstraat, waar er tegenwoordig meer camera’s te vinden zijn dan winkelend publiek, koop op een plek waarvan je weet dat de winkel geen camera heeft, of in ieder geval geen omringende camera’s.

Zorg voor cash. Bouw een voorraadje op. Contant geld trek je uit de muur, maar doe het wel een aantal weken voordat je gaat lekken, wissel de te grote briefjes bij winkels (koop iets van 5 euro, betaal met 50) en krijg er nóg anoniemer  geld voor terug.

Koop rubberen wegwerphandschoentjes bij de Action ofzo. En pak je postzegels alleen beet met die handschoenen. Wrijf de postzegels wel schoon, want het kan best dat de verkoper een strafblad heeft, (of een paspoort) en z’n vingerafdruk er op achter heeft gelaten.

Koop postzegels. Geen limited edition of tijdsgebonden postzegels, maar zelfklevende generieke postzegels.

Je weet misschien nog niet waarom, maar voor de zekerheid koop je ergens anders een envelop. Geen oude uit je gore bureau pakken, want grote kans dat die envelop meer DNA bevat dan je lief is.

Of gebruik juist een hele oude envelop zodat niet is na te gaan aan de hand van de envelop wat de productiedatum en waar ‘ie in de winkels heeft gelegen op een bepaald moment. Maar reinig de oude envelop, check ‘m op haren, ontvet ‘m lichtjes met een ontvetter om vingerafdrukken te verwijderen. en ga er niet aan lopen likken.

De informatie

Je wilt de informatie zo anoniem mogelijk aan de ontvanger verzenden. Dan is het handig om te weten dat elke printer z’n eigen unieke ‘vingeradruk’ heeft. En elke rechercheur of spion weet dat. Er zijn twee manieren om printers te identificeren aan de hand van wat ze uitprinten. De eerste mogelijkheid is dat je printer een z’n unieke identificatiecode print in een microscopisch klein formaat. Serieus! Sommige merken printen kleine stipjes op elk vel dat ze printen zodat opsporingsinstanties lekker makkelijk kunnen achterhalen waar je printer is gekocht, en uiteindelijk ook door wie (door jou, ongelukkige lekker!)

De tweede manier waarop printers zijn te achterhalen is door het unieke (niet met het blote oog zichtbare) patroon van de inkt of toner op het papier. Afhankelijk van hoe graag ‘de man’ je wilt achterhalen kunnen ze een chemische analyse van de inkt en het papier doen. Mocht je via een andere manier gepakt worden, dan is onomstotelijk vast te stellen dat het geprinte lekdocument geprint is met die printer die bij je thuis of op het werk staat.

gebruikte printers

Volgens mij is de beste manier om ergens op het platteland bij een kringloopwinkel een stel printers te kopen. En koop als je enige kennis hebt, een ooit populair type printer). Scharrel ook her en der wat papier bij elkaar. Ofwel, steel ergens A4’tjes zodat ze niet te herleiden zijn. Gebruik geen watermerkpapier of -gestolen- papier met wat voor merktekens dan ook. Denk na over waar je je papier steelt. Ergens bij een ziekenhuis, waar een printer staat is een goede plek. Steel niet meer dan je nodig hebt en vernietig wat je over hebt.

Natuurlijk heb je ook bij gebruikte printers het risico dat je net eentje hebt die heel zeldzaam is en waarvan via-via zelfs de eigenaar gevonden werd, die wist te melden dat ze zijn afgeleverd bij een kringloopwinkel. Koop er dan eentje tijdens koniginnedag of wees onherkenbaar voor camera’s als je die bewuste printer cash(!) afrekent. 

Ga je voor hardcore geheimblijven, vernietig na gebruik ook de printers. haal ze uit elkaar met je handschoenen aan. Smelt de delen en/of gooi ze in verschillende afvalbakken. Verbrand typenummer- en serienummerplaatjes.

Als je de bewuste journalist aanschrijft. Vraag ‘m dan of ie na ontvangst een teken wil geven. Een leesbevestiging. Dat kan -zoals in x-files-, lekker spannend, met een kruis op het raam. Maar je kan de persoon ook verzoeken om een bepaald woord te facebooken of te tweeten: “De wei is groen voor de haas”

Als je een usb- of cd-rom op wil sturen geldt eigenlijk hetzelfde, alleen let erop dat veel high security overheidsdocumenten vaak onzichtbaar gemerkt zijn. Dat wil zeggen dat vertrouwelijke pdf’s een UID hebben, het document is gekoppeld aan de naam van de ontvanger of de afdeling.

Denk verder ook na waar je je brief op de post gooit. Ergens achteraf kan, maar als je vanuit je woonplaats in bijvoorbeeld Amsterdam, je brief post in Noord-Groningen, zijn er een miljoenmiljard bewijzen dat je naar Noord-Groningen bent geweest. Dankzij het kopen van een kaartje, dankzij snelwegcamera’s, dankzij je pinbetaling bij de benzinepomp en ga zo maar door. Ja, het is allemaal overdreven, maar het gaat erom dat het technisch kan. En we speelden dat je zeer belangrijke overheidsgeheimen wilde lekken, dus als je hier over zeurt, dan ben je nu af.

Wat dan wel? In ieder geval telefoon uit als je je brief gaat posten. En als je naar een drukke plek gaat, bij een station bijvoorbeeld, is het handig om vooraf bij -een andere- kringloop verhullende kleding te kopen. Kleding die je na gebruik weggooit uiteraard.

CD-ROM

Ga er niet vanuit dat je cd-rom anoniem is. Misschien dat sommige brandprogramma’s geheime ‘identifiers’ meesturen. Soms zitten er verborgen bestandjes in je map waardoor je te achterhalen bent. Gebruik het liefst een anonieme computer voor je anonieme bezigheden. Voorkom dat een speurneus toch ergens C:/Mijn Documenten/Jan De Vries/ uit een obscuur, toevallig meegebrand bestandje weet te peuren.

USB

Gebruik het liefst een anonieme, zo populair mogelijke usb-stick iets van sandisk bijvoorbeeld. Gebruik in ieder geval geen USB-drive met teksten als ‘relatiegeschenk defensie, uitgedeeld op 1 januari 2013 tijdens de x-men borrel. Nou ja, een usb-stick die te herleiden is tot een bedrijf, evenment of locatie. Lees je ook in als het gaat om het veilig wissen van gebruikte USB-drives.

 

Overwegingen

Hoe briljant je ontvangende journalist ook is, je wilt zo lang mogelijk voorkomen dat hij/zij de enige buffer is tussen vrijheid van informatie en je persoonlijke onvrijheid van achter de tralies zitten. Met andere woorden, zelfs al zou de journalist de informatie persoonlijk aan de hoogste baas van de NSA geven (wat verder onzin is natuurlijk) Dan nog zou je niet te achterhalen moeten zijn.

Hoop gedoe dus, dat lekken. Geef je info aan iemand met een goede vibe. Of doe gewoon mee met de rest. Luister naar je baas. Betaal je hypotheek van je onderwaterhuis, stel geen vragen.

 

Update: 9 sept 19:04 uur

Verklaring van Zembla en Argos en Reporter snijdt hout en draait Publeaks eigenlijk al de nek om voordat ze goed en wel bestaan. Nou ja blijft een leuke extra uitlaatklep voor het nujij.nl publiek. “Wij hebben aan Publeaks gevraagd hoe ze zich proberen te wapenen tegen een mogelijke inval van Justitie (op hun computers staat straks wellicht heel veel gevoelige informatie) en infiltratiepogingen. We hebben geen serieus inhoudelijk antwoord gekregen op onze vragen. En dat stemt ons zorgelijk.”