Допустим, вы решили стать осведомителем, информатором или — как говорят выросшие в СССР — "стукачом". Нет больше сил терпеть беззакония, творящиеся в вашей компании (или государственном учреждении), и вы решили действовать. Но как при этом остаться анонимным и не повторить судьбу 25-летней девушки, которая на прошлой неделе сделала глупейшую ошибку и испортила себе жизнь?
Оставим за скобками моральные аспекты доносительства. Об этом мы уже говорили, приводя в пример простой факт: судя по всему, потенциальные информаторы имели возможность предотвратить трагедию в Золитуде. Но люди предпочли "не стучать" — и случилось то, что случилось.
Оставим за скобками и юридическую сторону. Вы ведь и так уже знаете, что за недоносительство обстоятельств тяжких и особо тяжких преступлений предусмотрена уголовная ответственность? И про то, что за замалчивание аварий, утечек химикатов и прочих опасных для общества событий, предусмотрена административная ответственность — тоже знаете, верно? В любом случае — теперь знаете.
Мы же сосредоточимся на том, как чисто технически сообщить о происходящем беззаконии и сделать это максимально анонимно.
Кстати — а почему анонимно?
В Латвии любой человек совершенно открыто может стать информатором. Уже есть свод законов (и готовится еще один, большой и общий), которые регулируют этот процесс.
У информатора в нашей стране есть два пути: пойти в прессу или пойти в ответственные государственные учреждения. И в том, и в другом случае законом ему гарантирована защита. Журналисты имеют право не открывать его личность вообще никому, даже Верховному суду и спецслужбам. Чиновники обязаны хранить личность заявителя и сопутствующие заявлению факты в тайне, а новый закон вообще присваивает им статус "информация с ограниченным доступом", кара за раскрытие которой для чиновника весьма сурова.
И работодатель — будь это частный бизнесмен или государственная структура — даже если он узнает о том, что его сотрудник стал информатором, не имеет права реагировать на это. Более того: если работник почувствует, что его наказывают за то, что стал информатором, он может подать на работодателя в суд, где последнему придется доказывать, что он работника на самом деле никак не ущемлял. Это важный момент — не работник должен доказывать, что его наказывают, а работодатель — что он НЕ наказывает.
Однако, мы живем в Латвии, поэтому… Нет, не так. Мы живем в человеческом обществе, поэтому для личного спокойствия заявлять все же лучше анонимно. Все мы прекрасно понимаем, что у работодателя в любой стране мира, если он задастся целью, есть масса юридических уловок испортить жизнь работника. В спецслужбах, даже американских, всегда найдутся люди, которые в отместку разрушат жизнь информаторов.
И хотя журналисты имеют право не раскрывать личность своего источника, полиция всегда может в рамках уголовного дела провести обыск у него дома, изъять компьютеры — и найти все, что ей надо. Так было в деле "хакера Нео" в нашей стране. Пусть потом ЕСПЧ решит, что это было незаконным — это будет потом, а пока личность осведомителя раскрыта. Со всеми вытекающими для него последствиями.
Нет, как по нам, а ради собственного спокойствия становиться информатором надо анонимно. По крайней мере — принять все возможные меры к тому, чтобы никто и никогда об этом не узнал. Просто минимизировать риски, особенно если слава героя, легшего грудью на амбразуру дота, вам совсем не нужна.
Самое простое — просто сообщить. Но этого часто мало
Многие государственные структуры принимают просто анонимные сообщения о том, что "что-то происходит". Иногда, если беззаконие очевидно или творящий его не слишком умен, такого сообщения может хватить. "Кому надо" придет с проверкой, вскроет проблемы и — вуаля! — все хорошо.
Но если проблема лежит глубже или ее автор хорошо "шифруется", журналистам и даже спецслужбам могут потребоваться доказательства. Документы. Видео. Фотографии. Как их передать по возможности анонимно — мы поговорим позже. А пока о том, как просто "стукнуть куда надо" и не попасться.
Сообщить можно тремя способами: по телефону, по электронной почте и оставив сообщение на сайте организации (например, БПБК, СГД, просто полиции и т.д.). Все три способа не гарантируют анонимности — у организации, которая получит ваше сообщение, останутся следы.
В случае телефонного звонка — у получателя останется ваш номер. Можно купить карту предоплаты (заплатив наличными, снятыми с карточки далеко от места продажи!), благо пока при их покупке документы не нужны (но это только пока: см. "Гюльчатай, покажи паспорт! Как в Латвии введут регистрацию карт предоплаты мобильной связи"). Однако, даже если вы смените "симку", но используете свой телефон, оператор связи будет знать о том, что с этого номера звонили именно вы. Ведь уникальный номер телефона (IMEI) вы сменить не сможете! Поэтому безопаснее будет купить (наличные!) и другой телефон, пусть и кнопочный за 15 евро. Если вы хотите "слить" что-то совсем серьезное, то рассмотрите возможность покупки краденой трубки "с рук". Хотя покупать краденое — поощрять воровство, в данном случае общественное благо может быть больше ущерба.
Звонить со стационарного телефона, особенно с места работы — играть с огнем. У работодателя может быть "умная" телефонная станция, которая фиксирует все исходящие звонки. Используете ее — и вам "конец".
Голос, разумеется, может выдать вас с головой. Его придется исказить. Тут уж действуйте, как подскажет фантазия.
В случае с формой интернет-сайта все еще проще — у сайта-получателя есть возможность узнать ваш IP-адрес, а также вычислить вас по "кукам" и попутно собрать массу другой информации (об операционной системе, о разрешении экрана, типе браузера и т.д.). То есть пользоваться этой формой можно только будучи в публичной Wi-Fi сети, не находясь при этом в пределах видимости камер наблюдения. При этом на сайт надо заходить в режиме "инкогнито" в браузере. И, что особенно важно — нельзя предварительно заходить на сайт с этой машины без этого режима или из домашней или рабочей сети. Разумеется, делать с работы этого тоже нельзя ни в коем случае!
Наконец, электронная почта. Если решили сообщить с ее помощью — используйте "левый", специально заведенный для этой цели адрес. Он должен быть случайным, никак не связанным с вами. Письма также пишите, подключившись к Сети в каком-нибудь публичном месте (но не под камерами), потому что все почтовые сервисы сохраняют IP-адреса. Помните, что любые, в том числе латвийские, спецслужбы могут попросить крупные почтовые сервисы выдать всю имеющуюся у них информацию — и те в большинстве случаев выполняют эти запросы.
И еще раз повторим — не пишите, не звоните и не заходите на "ненужные" сайты с рабочего места! Кому-то этот призыв может показаться избыточным, однако, когда неделю информатор в АНБ раскрыла прессе информацию о российских хакерских атаках на выборы президента США, она общалась с журналистами с рабочего компьютера. Эта глупейшая ошибка обойдется ей в годы заключения за решеткой.
Что ж, основные моменты процесса "просто сообщить куда надо" мы осветили. Теперь поговорим о сложном — как анонимно передать что-то большее, чем просто текст.
Как даже подготовка может выдать вас с головой
Представьте, что переданная вами информация нашла адресата и у работодателя теперь проблемы. Он начнет искать, изучать все, что у него есть. Например, ваш компьютер или даже историю вашего интернет-броузинга. Что он найдет? Что вы читали эту статью с рабочего компьютера? Упс!
Само по себе чтение ничего не доказывает — статья специально размещена в рабочее время на популярном латвийском новостном портале. Так что ее уже прочитали и еще прочитают десятки тысяч людей в стране. Но это уже тревожный звоночек для вашего босса. Лучшее, что вы можете сделать — побудить ваших коллег прочитать ее прямо сейчас, чтобы замести следы. Если ее прочитают "все", то вы уже ничем не выделяетесь из толпы!
Собственно, ваша задача номер один при подготовке — ничем не выделяться и нигде не наследить. Если вы всерьез задумались о передаче из организации документов или иных файлов, то вы наверняка пойдете еще "гуглить" дополнительную информацию о том, как это сделать (глупо полагаться только на одну статью в таком серьезном деле). Выше мы как бы намекаем — не надо делать это с машины, которая контролируется вашим работодателем. Не надо делать это также на личном компьютере или смартфоне, подключенные к рабочим Wi-Fi или VPN.
Готовиться надо на личных устройствах. Причем если вы задумали что-то действительно серьезное, в результате чего для вашего поиска могут быть задействованы спецслужбы, а перспектива обыска дома не является фантастикой — то и вообще на отдельном "чистом" устройстве. Купите в Литве или Эстонии дешевый ноутбук или простенький смартфон, используйте известный и массовый бренд, платите наличными, пользуйтесь ими только в публичных сетях. После того, как дело будет сделано — уничтожьте.
В любом случае — загодя узнайте побольше про Tor, про PGP-шифрование и продумайте каждый шаг. Ищите всю нужную информацию не с рабочей машины, не в рабочей и — по возможности — даже не из своей домашней сети! Не верьте никому, даже вашему домашнему провайдеру.
Известны случаи, когда людей выдавал даже сам факт использования или неиспользования чего-то. Например, если спецслужбы или нанятые вашим работодателям специалисты поймут, что кто-то в офисе использовал Tor для поиска или передачи данных, то уже сам факт его использования именно вами станет косвенной уликой. Ведь остальные ваши коллеги обычно Tor не используют, верно? Вы его использованием выделились — и попались. И не важно, что они ну будут точно знать, как и зачем вы использовали Tor. В этом деле хватит и косвенных улик, а потом уж можно "нажать" на человека и использовать другие методы.
И — важное! — если задумали стать информатором, не жалуйтесь на работодателя загодя в социальных сетях. Даже в режиме "только для друзей", особенно если в друзьях у вас незнакомые вам лично люди, а то и вообще коллеги. Латвия — страна маленькая, никогда не знаешь, кто кого через кого знает. И что на уме у всех этих людей.
Получить информацию и остаться в жив… не найденным. Или не найденной
Мы подошли к самому сложному — как получить документы или их копии так, чтобы не попасться. Ключ к анонимности и тут — не выделяться. Но это только первый шаг.
Надо понимать, что ваш работодатель скорее всего увидит причину, по которой у него возникли проблемы. Хороший журналист перед публикацией попросит комментарий и может даже прислать сам документ как доказательство своих обвинений/вопросов. Если утечка произошла в адрес правоохранительных органов, то документ будет приложен к уголовному делу. Так что даже не сомневайтесь — что бы вы ни переслали "куда следует", работодатель рано или поздно это увидит. И ваша задача — сделать так, чтобы увидев это, он не связал утечку с вашим именем.
Прежде всего стоит хорошо подумать, к чему вы хотите получить доступ и переслать это из организации. Если это компьютерный файл, то где он лежит? Сколько людей и как часто открывают его или копируют? Ведь если это часто используемый многими документ — получение его не вызовет особых подозрений. Если же это старый файл, который обычно никому не нужен, то тот факт, что именно вы скопировали или открыли его, вызовет ненужные подозрения у тех, кто попробует расследовать утечку.
Кстати, говоря о файлах — многие программы, например, Microsoft Word, при сохранении документа, случайном или намеренном, "впечатывают" в него информацию о том, кто последний это сделал. Вроде мелочь, а многие о ней забывают, причем даже в ситуациях, когда организуют утечку для ресурсов уровня WikiLeaks. А потом имеют дело с последствиями забывчивости.
И как конкретно вы собираетесь его вынести из организации? Если будете печатать или копировать — знаете ли вы, что все лазерные цветные принтеры оставляют невидимые простому глазу следы, позволяющие идентифицировать устройство, с которого документ печатался? Те люди, которые этого не знают — попадают в тюрьму. Если уж решились печатать прямо на принтере организации, то прежде чем отсылать куда-либо, сделайте черно-белую копию.
Копировать документ на флешку — тоже не самая блестящая идея. Во-первых, это часто бывает невозможно физически. Во-вторых, если это и возможно, на рабочих машинах может стоять специально ПО, которое отслеживает подобное копирование и ведет логи. Если вы не знаете наверняка — стоит такой защитный комплекс или нет, то считайте, что стоит. Особенно если работаете в организации, в которой есть секреты и их принято хранить.
Можно сделать скриншот документа, но… скриншоты — те же файлы, их надо распечатать или передать себе. Вы же не собираетесь использовать для этого рабочую электронную почту?! Можно ы задействовать личную почту, однако делать это можно только в том случае, если работа с Gmail (например) — то, что вы делаете часто. Иначе сам факт ее использования может вызвать вопросы.
Самый надежный вариант — сделать фотографию документа на экране или в бумажном виде, причем не на смартфон, а на фотоаппарат типа мыльницы. Только убедитесь в том, что звук затвора и вспышка отключены. Иначе, если в офисе есть камеры, пусть и не направленные на вас, они могут запечатлеть "интересные" отсветы и звуки.
Фотографируя также надо дважды подумать о фоне и о любых мелочах, которые могут вас выдать. Видна ли на снимке часть офиса, по которой можно предположить точку съемки? А что насчет всяких надписей? Например, если в офисе все пользуются ноутбуками или мониторами разных брендов, случайное попадание в кадр ненужного названия может многое рассказать о том, кто фотографировал.
Наконец, если фотографируете, то перед отправкой фото "кому надо" удалите EXIF-данные, в которых прописывается время и дата съемки (а если камера продвинутая или фото делается на смартфон — то и GPS-координаты). Опять же — мелочь, а как много людей она подвела под монастырь!
После того, как фотографии отправлены по назначению, карту памяти в фотоаппарате надо как минимум отформатировать, а как максимум — отформатировать и выбросить. По этой же причине не рекомендуется делать фото на смартфон — с него сложнее (или неудобнее) вычищать следы фотографий. Хотя тоже возможно — для этого надо полностью его "обнулить", так чтобы пришлось все настраивать и устанавливать заново. Да, это неудобно и занимает какое-то время, но если вас вычислят, то неудобств и потерянного времени будет в разы больше.
Доставка — проще, чем кажется
Информация, которую вы хотите передать, может быть двух видов — это или цифровой файл, или физическая копия (бумажные документы, фото).
В первом случае читайте раздел "Самое простое — просто сообщить. Но этого часто мало" выше и пользуйтесь сервисом SecureDrop, специально созданным для информаторов и тех, кто хочет получить от них данные. Он с открытым исходным кодом и управляется международной организацией Freedom of the Press Foundation, объединяющей как журналистов, так и известных в прошлом информаторов. Эти дамы и господа знают толк в информировании!
Главное — не используйте его с рабочего компьютера! Сам факт обращения к нему — большой "красный флаг" для работодателя.
Если мы говорим про физические документы, то есть старую добрую бумагу, то лучше не относить документы лично, а попросту отослать их по почте. Фотографии хорошо держат "пальчики" — имейте это в виду. И, отправляя документы по почте, используйте очень стандартные конверты и марки — вам по-прежнему не надо выделяться.
Обратный адрес тоже надо указать, только, разумеется, не свой. Адрес какого-нибудь общественного здания подойдет как нельзя более лучше. Если хотите совсем запутать следы, отправьте письмо из Литвы или Эстонии, только отправляясь туда, оставьте телефон дома — его местоположение рассказывает спецслужбам о вас намного больше, чем вы думаете.
Кто предупрежден — тот вооружен
Если вам кажется, что мы перебарщиваем с советами и пишем так, будто спецслужбы спят и во сне видят, как бы только поймать информаторов, то… вам только кажется. В статье мы не выдаем никаких особых секретов — все это почти прописные истины для законченных параноиков людей, которые интересуются темой безопасности и слежки, но… не все ими интересуются так же, как мы. Информаторами в реальной жизни становятся самые разные люди, в том числе и очень-очень далекие от информационных технологий.
Мы будем рады, если они для себя вынесут хотя бы то, что, выполняя акт информирования о серьезных общественных проблемах и беззаконии, нельзя пользоваться ресурсами той организации, о критических проблемах которой они сообщают. Нельзя пользоваться ни казенным компьютером, ни телефоном, ни Wi-Fi, ни принтерами — ничем. В подавляющем большинстве случаев этого будет вполне достаточно для сохранения анонимности.
А все остальное — для тех, кто затеял действительно серьезную игру.