Novo recurso Strongbox do The New Yorker afirma ser um cofre on-line para os denunciantes a apresentar documentos de forma segura e anônima. O sistema, baseado em software DeadDrop open source desenvolvido pelo falecido Aaron Swartz, convidou comparações com Wikileaks.
Strongbox pode realmente cumprir as suas promessas? Ele pode ser tão bem sucedido e seguro como o sistema de "Wikileaks foi?
"Eu acho que Wikileaks é o padrão ouro, por razões que a maioria dos outros sistemas de vazamento dificilmente entendem", disse Jacob Appelbaum, um hacker famoso que tem vindo a trabalhar com Julian Assange durante anos.
O sistema de submissão do Wikileaks tem estado offline desde o final de 2010, quando o misterioso hacker que o desenvolveu - conhecido como "O Arquiteto" - deixou o Wikileaks e levou o sistema com ele.
Strongbox, assim como o sistema de submissão antigo do Wikileaks, tenta alcançar dois objetivos: primeiro, dar fontes com informações incendiárias uma maneira de entregá-lo aos jornalistas, sem revelar sua identidade. Em segundo lugar, encontrar um equilíbrio entre segurança e usabilidade, dando fontes e repórteres de um sistema que não precisam ser gênios de computador para entender.
"Para mim, é inútil", disse Fabio Pietrosanti, um engenheiro de segurança italiano, que está trabalhando em seu próprio software Wikileaks estilo chamado GlobalLeaks.
Pietrosanti foi especificamente referindo-se à forma como os jornalistas devem saltar através de cinco ou seis aros para gerenciar e ler documentos depois que os arquivos são enviados para o servidor. Para ele, este é "um exagero" e um pesadelo para os jornalistas sem as habilidades técnicas ou tempo para tomar todas as precauções.
Tim May, um dos líderes do movimento Cypherpunk na década de 1990, concorda com Pietrosanti. Maio também foi a mente por trás Blacknet, o primeiro conceito de um sistema de submissão anônima alimentado por criptografia.
"Parece que o sistema do New Yorker é muito mais complicada do que a maioria das pessoas tendem a lidar", escreveu ele em um longo comentário sobre o Strongbox na Forbes.
"Essa é uma boa prática, não uma obrigação", disse Kevin Poulsen, o editor da revista Wired e coordenador do Strongbox, sobre as etapas de advertência jornalistas têm de tomar para download, descriptografar e revisar os materiais vazados. O processo envolve o uso de uma Rede Privada Virtual (VPN), um laptop nem com uma conexão de Internet nem disco rígido e dois drives USB diferentes.
Desde que o DeadDrop é open source, qualquer publicação pode personalizá-lo para suas próprias necessidades, talvez tornando-o menos complicado. Poulsen, no entanto, argumenta que pode querer pensar duas vezes antes de sacrificar qualquer dos seus recursos de segurança.
"Se houver grandes organizações de notícias que pensam que o processo é um exagero de um ponto de vista da segurança, só temos que esperar até que eles estão invadido pela China, mais um par de vezes e eu espero que eles vão mudar a sua música", disse ele .
Para as fontes, o sistema é relativamente simples. Um pretenso delator só precisa usar o Tor, uma ferramenta de navegação anônima e criptografa o tráfego web dos usuários, e então fazer o upload dos documentos, que são criptografados e transmitidos a um servidor especial.
Acho Strongbox acerta justamente o equilíbrio entre usabilidade e segurança. A parte que os usuários vêem parece bastante simples de usar ", disse o MC McGrath, um estudante da Universidade de Boston e pesquisador do MIT Media Labs que estudou vazando e denúncia, em um e-mail para Mashable.
Apesar disso, ambos podem e Jacob Harris, arquiteto de software sênior do New York Times, sugeriu que uma fonte que realmente quer ser anônimo poderia ser melhor para o envio de documentos via correio tradicional. Harris escreveu em um e-mail para notícias Fonte da Knight-Mozilla que essa abordagem não é "útil para os jornalistas, e decididamente antiquado com uma pequena chance de sucesso, mas não há outra opção é de baixo risco".
Quando perguntado sobre essa possibilidade, Poulsen pode notar que tal sistema e old-school "coloca a proteção da fonte inteiramente nele", e que o envio de correio anonimamente não é tão fácil quanto parece. Truques caracol correio usando fontes devem adotar incluem deixando celulares rastreável em casa, garantindo impressões digitais não são colocados em envelopes, e evitando as câmeras de vigilância. Tudo o que deixar de fora a falha mais óbvia: o delator está enviando os documentos através de "um canal criptografado pertence e é operado pelo governo dos EUA, literalmente", disse Pousen.
Independentemente da sua segurança, talvez a maior questão é se Strongbox ou DeadDrop do New Yorker, implementado por outra organização de notícias, já vai entregar o maciço que Wikileaks vinha fazendo de forma segura e anonima.
"A grande questão que paira sobre todo o 'dropbox seguro', você vai obter todas as dicas úteis? São leakers anônimos e comuns lá fora, ou foi Bradley Manning um cisne negro?" Harris escreveu.
Outros já tentaram replicar Wikileaks. OpenLeaks, um Wikileaks spin-off fundada pelo antigo aliado de Assange, Daniel Domscheit-Berg, apesar de um monte de fanfarra, nunca foi totalmente lançado. Próprio dropbox da Al Jazeera - chamado de Trasparency Unit - ainda tem de marcar um grande furo de reportagem. E SafeHouse do Wall Street Journal foi amplamente criticada como inseguro.
No final do dia, no entanto, Poulsen argumenta que este não é o ponto de projeto em tudo.
"É um erro pensar nisso como uma máquina caça-níqueis que pode pagar um jackpot grande de notícia. É sobre como lidar com uma deficiência de arquitetura, como não ter uma rampa para cadeiras de rodas na porta de entrada para uma loja de varejo", disse Poulsen. "The New Yorker tem agora uma porta para as fontes de risco, projetado a partir do zero para protegê-los."
