SecureDrop
SecureDrop — это свободное программное обеспечение с открытым исходным кодом, предназначенное для анонимной передачи файлов и сообщений между источниками информации (информаторами, разоблачителями) и журналистами или редакциями. Система разработана для защиты конфиденциальности отправителя, получателя и содержания переписки, используя многоуровневую архитектуру безопасности, включающую сеть Tor, шифрование и изолированные серверные компоненты.
История
Проект был основан в 2013 году под названием DeadDrop разработчиком Аароном Шварцем и активистом Кевином Пуланом. После самоубийства Шварца в январе 2013 года Пулан продолжил разработку совместно с организацией Freedom of the Press Foundation (Фонд свободы прессы). В октябре 2013 года проект был переименован в SecureDrop.
Первая публичная версия (0.1) вышла в 2014 году. С тех пор SecureDrop неоднократно обновлялся, включая переход на более современные технологии шифрования и улучшение пользовательского интерфейса. В 2016 году проект был выделен в отдельную некоммерческую организацию SecureDrop Foundation, которая занимается его поддержкой и развитием.
Архитектура и принцип работы
SecureDrop построен на принципе «изолированных сред» и минимизации точек сбора метаданных. Система состоит из трёх основных компонентов:
1. Сервер приложений (Application Server)
На этом сервере работает веб-интерфейс, доступный только через сеть Tor. Он принимает файлы и сообщения от источников, шифрует их и временно хранит. Сервер не имеет доступа к открытому интернету и не хранит IP-адреса отправителей.
2. Сервер мониторинга (Monitor Server)
Этот сервер отвечает за безопасность: он отслеживает целостность системы, регистрирует попытки взлома и отправляет оповещения администраторам. Он также не подключён к интернету напрямую, а использует Tor для выхода.
3. Рабочая станция журналиста (Journalist Workstation)
Это отдельный компьютер (часто на базе Tails OS — операционной системы, ориентированной на анонимность), который используется редакцией для проверки и обработки полученных материалов. Он подключается к серверу приложений только через Tor и не имеет постоянного соединения с ним.
Процесс передачи данных:
- Источник заходит на скрытый сервис (onion-адрес) редакции через браузер Tor.
- Он загружает файл или пишет сообщение, не указывая никаких личных данных.
- Сервер приложений шифрует данные с помощью GPG-ключа редакции и сохраняет их.
- Журналист периодически подключается к серверу через Tor, загружает зашифрованные файлы, расшифровывает их на своей рабочей станции и отвечает источнику (если тот указал одноразовый псевдоним).
Ключевые особенности безопасности
- Анонимность источника: SecureDrop не требует регистрации, не собирает IP-адреса, не использует cookies и не сохраняет метаданные о времени загрузки.
- Шифрование: Все данные шифруются на стороне сервера до того, как они будут сохранены. Даже если сервер взломан, злоумышленник не сможет прочитать файлы без ключа редакции.
- Изоляция: Сервер приложений и сервер мониторинга физически разделены и не имеют прямого доступа к интернету. Это снижает риск атак через уязвимости в веб-интерфейсе.
- Использование Tor: Весь трафик проходит через сеть Tor, что скрывает местоположение как источника, так и редакции.
- Одноразовые псевдонимы: Источник может создать одноразовый псевдоним для обратной связи с журналистом, но этот псевдоним не связан с реальной личностью.
Применение
SecureDrop используется преимущественно медиаорганизациями и правозащитными группами, которые хотят получать конфиденциальную информацию от источников, не подвергая их риску. Среди известных пользователей:
- The New York Times (США)
- The Guardian (Великобритания)
- The Washington Post (США)
- ProPublica (США)
- Der Spiegel (Германия)
- Le Monde (Франция)
- Русская служба Би-би-си (Великобритания) — организация признана в РФ иностранным агентом
- Международная организация «Репортёры без границ» (Франция) — организация признана в РФ нежелательной
По состоянию на 2025 год, по данным официального сайта, более 70 редакций по всему миру используют SecureDrop.
Критика и ограничения
Несмотря на высокий уровень безопасности, SecureDrop не является абсолютно неуязвимым. Основные критики и ограничения:
- Человеческий фактор: Журналист может случайно раскрыть личность источника, например, опубликовав файл с метаданными (EXIF, история изменений). SecureDrop не удаляет метаданные из загружаемых файлов — это должна делать редакция.
- Сложность настройки: Установка и поддержка SecureDrop требуют технических знаний. Многие редакции нанимают специалистов по безопасности.
- Атаки на уровне сети: Если злоумышленник контролирует выходные узлы Tor, он может попытаться провести атаку «человек посередине» (MITM), хотя это сложно из-за шифрования.
- Юридические риски: В некоторых странах (включая Россию) использование Tor и анонимных каналов связи может привлекать внимание правоохранительных органов. В России с 2017 года действует закон о запрете анонимайзеров, что формально ограничивает использование Tor, но на практике сеть продолжает работать.
- Ограниченная функциональность: SecureDrop не поддерживает мгновенный обмен сообщениями (чат), только асинхронную передачу файлов и текста.
Интересные факты
- Исходный код SecureDrop написан на Python и доступен на GitHub под лицензией AGPLv3.
- В 2014 году проект получил премию «Freedom of the Press Award» от организации «Репортёры без границ».
- В 2020 году была выпущена версия 2.0, которая полностью переписана на более современную архитектуру и использует Docker для упрощения развёртывания.
- В 2022 году, после начала войны в Украине, количество запросов на установку SecureDrop от российских и украинских журналистов резко возросло.
Источники
- Официальная документация SecureDrop (securedrop.org)
- Freedom of the Press Foundation (freedom.press)
- «The Guardian» — статья о запуске SecureDrop (2014)
- «The New York Times» — руководство для источников по использованию SecureDrop
- Материалы конференций по безопасности (DEF CON, CCC) — доклады об архитектуре SecureDrop
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →