15 мая американский журнал The New Yorker объявил о запуске сервиса Strongbox (буквально — «сейф»), который обещает источникам и информаторам издания невиданные до сих пор возможности анонимности. В основе системы лежит сервис Tor, и, по заявлениям создателей, даже журналисты New Yorker при всем желании не смогут рассказать, кто предоставил им те или иные сведения.
Способность сохранить анонимность источников информации — одно из ключевых условий существования современных СМИ. Редкое журналистское расследование обходится без утечки или «слива», и чем большую общественную значимость имеет история, тем больше вероятность, что раскрытие источника чревато для него самыми неприятными последствиями — от суда и тюремного срока до физической расправы. Информаторы в таких делах всегда действуют на свой страх и риск, и гарантия анонимности является единственной защитой источника от корпораций, организаций и даже властных структур, которые не заинтересованы в утечке.
В США право журналиста не раскрывать источник информации оговорено в основных конституционных поправках и защищено так называемой «привилегией репортера» — сводом правил, которые не позволяют по каждому поводу подавать на СМИ в суд за отказ назвать имя осведомителя. Однако свод правил — это не закон, и время от времени журналистам, стремящимся сохранить анонимность информаторов, самим приходится расплачиваться лишением свободы (правда, в западных странах речь чаще всего идет о небольших сроках за неуважение к суду).
Кроме того, в последние годы обеспечить анонимность источников становится все сложнее технически. Если 40 лет назад журналист мог встретиться со своим информатором в темном углу подземной парковки и заботиться нужно было только о том, чтобы за участниками встречи не было хвоста, то теперь в распоряжении властей и других заинтересованных структур появилось множество способов отследить источник нежелательной публикации: камеры уличного наблюдения, электронная переписка, телефонные переговоры, жесткие диски.
В том, что всеми этими техническими средствами власти будут пользоваться без зазрения совести, можно не сомневаться — подобные стремления правительства всего мира обнаруживают с завидной регулярностью. Буквально в начале недели разгорелся скандал, когда агентство Associated Press обвинило Минюст США в незаконном и безосновательном прослушивании телефонов журналистов. Так что до сих пор самым надежным способом сохранить анонимность была проверенная схема: почтовое отправление с вымышленным обратным адресом.
Попыток обезопасить информаторов с помощью современных технических средств за последние два-три года предпринималось довольно много. От самых простых браузерных программ, позволяющих отправить в редакцию электронное письмо или файл по безопасному соединению (такой есть, например, у немецкой газеты Die Zeit), до сложных многоуровневых сервисов для осведомителей (к примеру, Safehouse, запущенный газетой The Wall Street Journal, или Transparency Unit телеканала «Аль-Джазира»). В 2011 году сообщалось, что похожую систему готовит The New York Times, но этот проект так и не был воплощен.
Однако эффективность существующих сервисов всегда вызывала сомнения. К примеру, и AJTU, и Safehouse, несмотря на обещания сохранять данные информаторов в тайне, оставляют за собой право передавать информацию об источнике властям, причем не только в случае официального запроса, но и просто если редакция посчитает нужным. В правилах пользования Safehouse говорится, что передать сведения об источнике властям можно будет в том случае, если предоставленная им информация «угрожает чьим-либо интересам». Формулировка, мягко говоря, неудачная: очевидно, что любая утечка угрожает чьим-то интересам уже потому, что смысл работы информатора (в идеале) — публикация сведений в ущерб той или иной организации, но на благо общества.
Наряду с этической проблемой есть и техническая: ни один из сервисов не мог обеспечить действительно безопасного соединения. К примеру, The Wall Street Journal требует, чтобы информаторы перед тем, как прислать свои сведения, направляли в издание официальный запрос о соблюдении конфиденциальности. Этот запрос не шифруется никак. Сервис «Аль-Джазиры» и вовсе оставляет в браузере информатора куки, отследить которые при желании не составит большого труда.
Представленный 15 мая Strongbox от New Yorker — это попытка решить обе описанные выше проблемы. При этом, если верить заявлениям создателей, решение нашлось весьма изящное.
Сервис Strongbox основан на технологии DeadDrop — ее разработал хакер и интернет-активист Аарон Шварц по просьбе бывшего хакера, а ныне редактора техноблога Wired Кевина Поулсена. В основе ее работы лежит принцип максимальной анонимности (полной анонимности, понятно, добиться невозможно, но разработчики уверяют, что предоставляют пользователям наиболее близкий к абсолютному механизм сокрытия данных).
Аарон Шварц работал над DeadDrop с 2011 года и, по словам Поулсена, закончил проект незадолго до самоубийства в январе 2013-го. В основе кода лежит сервис сетевой анонимности Tor — система маршрутизаторов, в которой информация передается по цепочкам прокси, каждый из которых напрямую связан лишь с соседними звеньями. Информация многократно шифруется, и отследить ее можно только на выходных узлах. Кроме того, анонимизатор позволяет пользователям держать у себя на компьютерах «скрытые сервисы» — ресурсы с доменом в виртуальной зоне «.onion», доступные только через сеть Tor.
«Сейф» The New Yorker является одним из таких скрытых сервисов. Для того чтобы им воспользоваться, информатору журнала потребуется установить специальный набор программ, зайти на Strongbox и отправить файлы. Дальше данные шифруются по технологии PGP (для расшифровки требуются два ключа, доступ к которым есть только у получателя; отправитель данных расшифровать информацию не сможет) и поступают на сервер издания.
Информатору присваивается уникальное кодовое имя из четырех случайных слов (к примеру, такое: bemeaning cleaning casualisms progress). Редактор The New Yorker, проверив «сейф» со специального компьютера, подключенного по VPN, загружает информацию на флешку и переносит на второй компьютер. Операционная система этого компьютера загружается с Live CD в оперативную память, которая полностью очищается при перезагрузке, и с внешним миром он никак не связан. На этом компьютере происходит расшифровка информации (с помощью второй флешки-ключа) и ведется вся работа с полученными материалами.
Дальнейшая связь с источником осуществляется в Tor, причем все, что известно о нем журналисту, — это кодовое имя из четырех слов. Создатели заверяют, что ни виртуальное (IP-адрес), ни физическое местоположение пользователя нигде не фиксируется. Strongbox не будет ни сохранять, ни передавать никакую информацию о браузере, операционной системе и компьютере пользователя и не будет оставлять в браузере никаких следов.
Кроме того, как заверяет Кевин Поулсен, серверы The New Yorker, связанные с работой сервиса, ни логически, ни географически не связаны с прочим оборудованием журнала. Если все это так, то Strongbox может стать первым сервисом, способным предоставить информаторам вразумительные гарантии безопасности данных и личной информации. А решив технически проблему анонимности, разработчики одновременно разобрались с этической стороной вопроса: полная неизвестность не только гарантирует безопасность источника, но и избавляет от головной боли журналиста.
Но еще важнее то, что код, созданный Шварцем, задумывался им как open source, то есть создать на базе DeadDrop собственный анонимный сервис сможет любое издание. The New Yorker стал первым — в силу множества причин: потому что в журнале очень сильна традиция журналистских расследований; потому что он входит в Conde Nast вместе с Wired, где работает Кевин Поулсен и Reddit, сооснователем которого был Аарон Шварц; потому что Поулсен смог убедить руководство в необходимости такого сервиса и уговорил создать под нужды Strongbox отдельную инфраструктуру.
Если в Strongbox все будет работать так, как обещают разработчики, то проект, презентованный спустя четыре месяца после смерти Шварца, станет главным достижением его жизни.