Ctrl+K

Poczta dla dziennikarza (i nie tylko)

Poczta dla dziennikarza (i nie tylko)#

Autor: Tomasz Kowalski

 

Jako dziennikarz próbujesz ujawnić największą historię w swojej karierze, jednocześnie chronić swoje źródła przed nikczemnymi siłami, które chcą tę historię wyciszyć (lub zupełnie ukryć).

Czy potrafisz dokonać właściwych wyborów, aby ocalić życie informatora?

Sygnalista (demaskator, ang. whistleblower)#

Każdy może znaleźć się w sytuacji, w której dostrzerze naruszenie prawa, korupcję, zagrożenie dla zdrowia, życia, środowiska lub finansów publicznych. Czując moralne zobowiązanie, aby działać w interesie publicznym były lub obecny pracownik, dostawca, podwykonawca może stać się sygnalistą.

 

Zerknij na https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20240000928 do Dz.U. 2024 poz. 928

Nawet jeśli czytanie aktów prawnych nie jest czymś czym zajmujesz się na codzień to wśród natłoku różnego rodzaju wtórnych opracować czasami warto zerknąć do źródła. Szczególnie wtedy, gdy sprawa jest niezmiernie ważna. Ustawa z dnia 14 czerwca 2024 r. o ochronie sygnalistów dotyczy właśnie takich kwestii, które kiedyś mogą mieć dla Ciebie osobiste znaczenie.

O potrzebie anonimowości#

Informowanie o nieprawidłowościach w miejscu pracy lub organizacji może oznaczać utratę pracy, szykany, dyskryminację, a nawet odpowiedzialność za ujawnienie informacji. Wobec tego może wydawać się, że zdrowa intuicja podpowiada wszystkim, że najlepiej zrobić to tak, aby pozostać anonimowym. Być może takie faktyczne pragnienie anonimowości pojawi się w tej sytuacji po raz pierwszy.

Pozostanie anonimowym w internecie to złożona kwestia wymagająca przede wszystkim zmiany bardzo wielu powszechnych nawyków. Nie jest to ładnie opakowany i łatwy w użyciu produkt.

 

Zerknij na https://www.fsf.org/resources/

Nierówna walka o prywatność, o zdrowo rozumianą wolność w cyberprzestrzeni zaczęła się dawno temu. W materiałach Free Software Foundation (FSF) znajdziesz wiele informacji na temat obecnego stanu rzeczy. Być może dasz się sprowokować do krytycznego przyjrzenia się temu, na ile Twój komputer jest faktycznie Twój i na ile Twoje dane faktycznie są tylko Twoje. FSF może podpowiedzieć Tobie jak mieć większą kontrolę nad Twoim cyfrowym życiem.

Czy jesteśmy szpiegowani?#

Ogólnie można powiedzieć “tak”, choć dokładna odpowiedź zależeć będzie od definicji. No bo czy naprawdę można nazwać “szpiegowaniem” jeśli ktoś wystawi coś na publiczny ogląd, a kto inny to zauważy?

  • Rządy i służby wywiadowcze

    • monitorują ruch internetowy,

    • zbierają dane w imię bezpieczeństwa narodowego,

    • stosują masową inwigilację (np. NSA, FSB).

  • Firmy technologiczne

    • gromadzą dane o użytkownikach w celach marketingowych,

    • śledzą aktywność online (Google, Meta, Amazon),

    • tworzą profile reklamowe.

  • Reklamodawcy i brokerzy danych

    • analizują kliknięcia, wyszukiwania, lokalizację,

    • sprzedają zebrane dane innym firmom.

  • Dostawcy internetu (ISP)

    • mogą rejestrować odwiedzane strony i czas aktywności,

    • często współpracują z organami państwowymi.

  • Aplikacje mobilne i strony internetowe

    • proszą o dostęp do lokalizacji, kontaktów, mikrofonu itp.,

    • śledzą zachowania użytkownika nawet poza aplikacją.

  • Złośliwe oprogramowanie (malware, spyware)

    • może przechwytywać hasła, rozmowy, dane z kamery lub klawiatury,

    • a przecież często instalowane bez wiedzy lub świadomej zgody użytkownika.

Masowa inwigilacja#

W większości wymienionych wcześniej przypadków o tzw. śledzeniu użytkownika można dowiedzieć się wprost z regulaminu, ale skąd wiemy co działaniach agencji rządowych?

Przykładowo w 2013 roku za sprawą Edwarda Snowdena doszło do ujawnienia tajnych dokumentów amerykańskiej Agencji Bezpieczeństwa Narodowego (NSA).

Co ujawniono?

  • NSA prowadzi masową inwigilację obywateli USA i zagranicy

  • podsłuchiwano rozmowy telefoniczne, zbierano e-maile, dane z internetu

  • szpiegowano również sojuszników USA (np. Niemcy, Francję)

Jakimi metodami prowadzono inwigilację?

  • program PRISM: dostęp do danych z serwerów Google, Facebooka, Apple itd.

  • zbieranie metadanych połączeń telefonicznych

  • łamanie zabezpieczeń szyfrujących

Snowdena oskarżono o szpiegostwo w USA i pozbawiono paszportu.

 

Zerknij na https://spyscape.com/article/15-top-nsa-spy-secrets-revealed-by-snowden

Skala inwigilacji ujawnionej przez Edwarda Snowdena była ogromna i słusznie wywołało to falę społecznego oburzenia. Może kojarzysz hasła takie jak: Prism, Tempora, XKeyscore‍, JTRIG, Nymrod, …? Jeśli nie to tym artykule prasowym znadziesz pewną listę metod używanych przez służby, które poznaliśmy dzięki ujawnionym dokumentom. Znając nazwę narzędzia, programu lub metody odszukasz dalsze informacje na ich temat.

O potrzebie poufności#

Poufna komunikacja przez internet jest potrzebna i nie chodzi jedynie o przeciwstawienie się masowej inwigilacji, ale także na przykład o:

  • wypełnieni wymogów prawa (np. RODO nakazuje zabezpieczanie danych osobowych),

  • ochronę tajemnicy biznesowej (zabezpiecza informacje handlowe, strategie, umowy),

  • zapobieganie nadużyciom (oszustwa, szantaż, kradzież tożsamości),

  • umożliwienie wolność wypowiedzi, ochronę prywatności, budowanie zaufania.

 

Zerknij na https://www.dailymail.co.uk/news/article-2628082/The-Edward-Snowden-guide-encryption-Fugitives-12-minute-homemade-video-ahead-leaks-explaining-avoid-NSA-tracking-emails.html

Ten artykuł prasowy pozwoli Ci dowiedzieć się jaka była największa początkowa trudność w ujawnieniu dokumentów dotyczących publicznej inwigilacji, a więc o tym czy i jak możliwe jest przesłanie poufnej wiadomości od sygnalisty do dziennikarza (i odwrotnie).

Jak działa email?#

Przesyłki papierowe#

 

Czy zdarzyło Ci się otrzymać przesyłkę listową? Może było to coś osobistego - zdjęcie, odręczna notatka, a może coś firmowego - umowa, wyciąg operacji, a może coś urzędowego - pismo z urzędu lub sądu.

Czy informacje zawarte w tej papierowej przesyłce pozostały poufne? Dlaczego sądzisz, że tak? Gdzie i jak łatwo poufność informacji mogłaby zostać naruszona?

Zwykle przesyłki zabezpieczone są w pewnym stopniu przed cudzą ciekawością. Paczki oklejone są ciemną folią, a listy umieszczone w zaklejonej kopercie; a wszystkie dostarczane od nadawcy do odbiorcy przez jedną firmę.

 

Zerknij na https://bip.uke.gov.pl/raporty/raport-o-stanie-rynku-pocztowego-w-2024-r-,99.html

Nie tylko Poczta Polska świaczy usługi pocztowe. Z tego raportu Urzędu Komunikacji Elektronicznej (UKE) dowiesz się, że na polskim rynku funkcjonuje także 97 operatorów pocztowych nieświadczących usług powszechnych.

Bez folii, koperty lub kartonu#

W kilku prostych krokach działanie poczty elektronicznej można przedstawić następująco:

  1. Utworzenie wiadomości

    Użytkownik pisze wiadomość w programie pocztowym, a więc w aplikacji desktopowej (np. Thunderbird), mobilnej (np. Outlook) lub webowej (np. Gmail).

  2. Wysłanie wiadomości

    Aplikacja łączy się z serwerem SMTP (Simple Mail Transfer Protocol) nadawcy, a ten zajmie się przesłaniem wiadomości dalej.

  3. Przekazywanie przez internet

    Wiadomość trafia przez sieć do serwera SMTP odbiorcy lub kolejnych serwerów pośredniczących.

  4. Odbiór wiadomości

    Serwer odbiorcy przechowuje wiadomość. Na skrzynce pocztowej odbiorcy działa protokół POP3 (wiadomości są pobierane i zwykle usuwane z serwera) lub IMAP (wiadomości są synchronizowane i zwykle pozostają na serwerze).

     

    Czy usuwasz starsze wiadomości ze skrzynki? Jak wiele dowie się o Tobie ktoś kto uzyska dostęp do Twojej skrzynki?

    Mam nadzieję, że dobrze chronisz dostęp do tej wieloletniej historii Twoich finansów, zakupów, pracy zawodowej, realacji osobistych.

  5. Odczytanie wiadomości

    Odbiorca łączy się z serwerem przez program pocztowy wiadomość jest pobierana i wyświetlana.

Wiadomość e-mail składa się z nagłówka (adresy, temat, data) i treści (tekst, załączniki).

E-mail może być zaszyfrowany, ale standardowo nie jest — co oznacza, że można go przechwycić po drodze, jeśli nie ma dodatkowych zabezpieczeń.

 

Sprawdź jak naprawdę wygląda mail w Twojej skrzynce i jaką drogą do Ciebie przybył.

W każdej aplikacji taka funkcjonalność nazywa się inaczej. Chodzi o “szczegóły wiadomości”, “źródło wiadomość”, “nagłówki wiadomości” lub coś podobnego.

Dla przykładu:

  • w outlook.office.com otwórz maila, kliknij wielokropek przy wiadomości i znajdź menu “Widok”, a w nim “Wyświetl szczegóły wiadomości”,

  • w gmail.com otwórz maila, kliknij wielokropek przy wiadomości i znajdź “Pokaż oryginał”.

Nagłówki e-mail zawierają techniczne informacje o wiadomości. Dość oczywistymi są:

  1. From – adres nadawcy,

  2. To – adres odbiorcy,

  3. Subject – temat wiadomości,

  4. Date – data i godzina wysłania,

  5. Message-ID – unikalny identyfikator wiadomości,

  6. Reply-To – adres, na który należy odpowiedzieć (jeśli inny niż „From”).

Ale warto zauważyć także:

  1. Return-Path – adres zwrotny dla niedostarczonych wiadomości,

  2. MIME-Version – wersja formatu wiadomości,

  3. Content-Type – typ treści (np. tekst, HTML, załączniki),

  4. Content-Transfer-Encoding – sposób kodowania treści (np. base64),

  5. User-Agent lub X-Mailer – program pocztowy użyty do wysłania wiadomości.

Szczególnie interesujące z perspektywy spamu i phishigu są:

  1. Received – lista serwerów, przez które przeszła wiadomość (kolejność od dołu do góry),

  2. DKIM-Signature – podpis kryptograficzny nadawcy (jeśli używany),

  3. SPF i DMARC – informacje o autoryzacji nadawcy i zgodności z polityką domeny.

 

Czy treść wiadomość jest chroniona przed nieuprawnionymi zmianami?

Czy można sfałszować któryś z nagłówków, np. From?

 

Wyeksportuj kontakty z Twojej poczty, wyodrębnij z domenę z adresów, posortuj i podlicz z iloma operatorami email kontaktuje się operator Twojej skrzynki.

W naszym kraju tylko Poczta Polska jest powszechnym operatorem usług pocztowych. Popatrz co jest za “@” w adresach Twoich kontaktów.

Ile różnych podmiotów zaagażowanych jest w Twoją komunikację? Czy ufasz im? Czy wszyscy oni operują w tych samych ramach prawnych?

Szyfrowanie end-to-end#

Aby dane nie mogły być odczytane lub zmodyfikowane przez dostawcę usługi lub osoby trzecie konieczne jest tzw. szyfrowanie end-to-end (E2EE).

To metoda zabezpieczania komunikacji, w której:

  1. Tylko nadawca i odbiorca mogą odczytać wiadomość

  2. Wiadomość jest szyfrowana na urządzeniu nadawcy

  3. Wiadomość jest przesyłana w formie zaszyfrowanej

  4. Odszyfrowanie następuje dopiero na urządzeniu odbiorcy

Co to oznacza:

  • Dostawca usługi (np. serwer e-mail, komunikator) nie ma dostępu do treści

  • Hakerzy lub służby, które przechwycą dane po drodze, zobaczą tylko zaszyfrowaną treść

  • Klucze szyfrujące są przechowywane lokalnie u użytkowników, nie na serwerach

Być może nieświadomie używasz usług z E2EE (np. Signal, WhatsApp), ale co z mailami?

Szyfrowanie poczty#

Aby zaszyfrować e-mail, można użyć jednej z dwóch głównych metod:

  1. PGP / GPG (Pretty Good Privacy / GNU Privacy Guard),

  2. S/MIME (Secure/Multipurpose Internet Mail Extensions).

Choć metody te mają ten sam cel — ochronę treści wiadomości:

  • wszystkie szyfrują wiadomość tak, że tylko odbiorca może ją odczytać,

  • używają kryptografii asymetrycznej (klucz publiczny + prywatny),

  • chronią przed przechwyceniem treści przez osoby trzecie,

  • pozwalają na podpisywanie wiadomości (weryfikacja nadawcy).

Jednak różnią się w działaniu, wymaganiach i (niestety) kompatybilności:

  • GPG dostępne jest jako darmowe i wolne (ang. free) oprogramowanie, może być użyte z dowolną skrzynką i daje Tobie pełną kontrolę, choć konfiguracja może być z początku trudna,

  • S/MIME wymaga certyfikatu, najczęściej odpłatnego (jeśli do użytku służbowego to najczęściej jest to koszt pracodawcy), dobrze integruje się z korporacyjnymi skrzynkami i aplikacjami, a przez to być może jest łatwiejsze do użycia.

Kryptografia asymetryczna w pigułce#

Kryptografia asymetryczna to metoda szyfrowania, która używa dwóch różnych kluczy:

  1. Klucz publiczny

    • służy do szyfrowania danych,

    • może być swobodnie udostępniany innym.

  2. Klucz prywatny

    • służy do odszyfrowania danych,

    • musi być utrzymywany w tajemnicy.

Działa to tak, że:

  • Nadawca szyfruje wiadomość kluczem publicznym odbiorcy.

  • Odbiorca odszyfrowuje wiadomość swoim kluczem prywatnym.

  • Działa tylko w jedną stronę — co zaszyfrowane kluczem publicznym, można odszyfrować tylko kluczem prywatnym.

W zależności od zastosowania należy użyć odpowiedniego klucza:

  • Szyfrowanie wiadomości – nadawca szyfruje dane kluczem publicznym odbiorcy, a odbiorca weryfikuje je kluczem publicznym nadawcy.

  • Podpisy cyfrowe – nadawca podpisuje dane swoim kluczem prywatnym, a odbiorca weryfikuje je kluczem publicznym nadawcy.

Jeśli chcesz dowiedzieć się więcej Wikipedia w temacie kryptografii klucza publicznego jest bardzo pomocna niezależnie od tego czy potrzebujesz obrazowego wyjaśnienia procesu, pewnego opisu matematycznego lub szczegółów technicznych. W każdym przypadku referecje poniżej tego artykułu są wartościowe.

Public-key cryptography

Certyfikat a para kluczy#

Certyfikat S/MIME i para kluczy GPG/PGP to nie to samo, chociaż służą podobnym celom: szyfrowaniu i podpisywaniu e-maili.

S/MIME

  • Opiera się na certyfikatach X.509.

  • Certyfikat zawiera: klucz publiczny, dane właściciela, podpis urzędu certyfikacji (CA).

  • Wymaga zaufanego urzędu certyfikacji (CA), który potwierdza tożsamość.

GPG/PGP:

  • Opiera się na standardzie OpenPGP.

  • Tworzysz parę kluczy samodzielnie: klucz publiczny i prywatny.

  • Nie wymaga urzędu certyfikacji — opiera się na modelu „web of trust”.

Konsekwencje korzystania z E2EE#

Zastosowanie szyfrowania end-to-end oznaczać będzie pewne zmiany w działaniu niektórych funkcji Twojej skrzynki lub aplikacji do jej obsługi.

  • Wiadomości w folderze „Wysłane” są także szyfrowane; bez odpowiedniego klucza prywatnego nie można ich odczytać.

  • Ten sam klucz musi być używany na wszystkich urządzeniach, na których chcesz odczytywać zaszyfrowane wiadomości.

  • Brak kompatybilności z innymi programami może wymagać dodatkowej konfiguracji — np. w przypadku korzystania z telefonu.

  • Utrata klucza prywatnego uniemożliwia odczyt treści przyszłych i archiwalnych wiadomości.

  • Funkcja wyszukiwania w treści zaszyfrowanych wiadomości często działa niepoprawnie lub wcale.

Jak zacząć? (Thunderbird)#

Być może najłatwiej będzie z użyciem Thunderbird. Jest to darmowy i otwartoźródłowy klient poczty e-mail.

Jego główne funkcje to:

  1. Odbieranie i wysyłanie e-maili.

  2. Obsługa wielu kont (IMAP, POP3, SMTP).

  3. Zarządzanie kalendarzem (z dodatkiem Lightning).

  4. Filtrowanie spamu i wiadomości.

  5. Dodawanie załączników, etykiet, reguł wiadomości.

  6. Obsługa podpisów i szyfrowania (S/MIME i GPG).

  7. Obsługa różnych wtyczek i rozszerzeń.

Aplikacja jest dostępna także w języku polskim i na różne platformy.

Thunderbird — Uwolnij swoją pocztę

Jedną z cech Thunderbird, którą warto odnotować jest doskonała dokumentacja.

Znaleźć tam można m. in. ogólne wprowadzenie do szyfrowania E2EE i tego jak jest realizowane w Thunderbird. Autorzy przekonują, że bez tej ochrony dostęp do treści mogą mieć administratorzy sieci, dostawcy poczty czy służby państwowej. I choć można mieć pewność, że tylko nadawca i odbiorca mogą odczytać wiadomość to jednak wprost zostajemy ostrzeżeni, że:

  • wymagana jest ostrożności po obu stronach; pojedynczy błąd może naruszyć bezpieczeństwo,

  • metadane (np. adresy, temat, data) nie są szyfrowane i pozostają widoczne.

Wprowadzenie do szyfrowania end-to-end w Thunderbirdzie | Pomoc dla programu Thunderbird

Thunderbird obsługuje większość szczegółów technicznych:

  • Użytkownik generuje parę kluczy: publiczny i prywatny.

  • Nadawca szyfruje wiadomość kluczem publicznym odbiorcy. Tylko odbiorca może ją odszyfrować swoim kluczem prywatnym.

 

Pamiętaj, że ujawnienie klucza prywatnego lub brak weryfikacji klucza publicznego naraża komunikację na ataki.

  • Klucz prywatny musi być bezpieczny — jego utrata lub ujawnienie uniemożliwia odzyskanie wiadomości.

  • Należy zweryfikować autentyczność klucza publicznego odbiorcy (np. przez porównanie odcisku palca klucza).

  • Thunderbird pokazuje odcisk palca klucza — użytkownik powinien go potwierdzić z odbiorcą w sposób niezależny (np. telefonicznie lub osobiście).

Generalnie, aby skonfigurować e2ee (OpenPGP) w Thunderbirdzie należy wykonać niewielką ilość czynności:

  1. W ustawieniach konta (w zakładce „szyfrowanie end‑to‑end”) skonfiguruj klucz osobisty.

  2. Dla każdego adresu e-mail, z którego chcesz mieć możliwość szyfrowania lub podpisywania wiadomości, musisz wygenerować lub zaimportować klucz.

    Klucze warto tworzyć raz, eksportować i zabezpieczyć silnym hasłem, a następnie importować na innych urządzeniach — dzięki temu zachowasz jedną parę kluczy i synchronizację.

  3. Klucz publiczny możesz dołączać do wysyłanych wiadomości (Thunderbird oferuje opcję „dołącz mój klucz publiczny”). Odbiorcy mogą go wtedy łatwo zaimportować.

 

W razie trudność naprawdę warto zerknąć na artykuł: https://support.mozilla.org/pl/kb/openpgp-w-thunderbirdzie-howto-i-faq

GnuPG#

Szyfrowane i podpisywane mogą być dowolne pliki - archiwa, dokumenty, zdjęcia.

Przyjemnie jest mieć taką możliwość zitegrowaną z ulubioną aplikacją, ale jeśli takiego udogodnienia brakuje to zawsze można pracować wprost z plikami.

GNU Privacy Guard (GnuPG) to darmowe i otwartoźródłowe narzędzie do kryptografii asymetrycznej, które służy do:

  1. szyfrowania danych i plików,

  2. podpisywania cyfrowego wiadomości i dokumentów,

  3. zarządzania kluczami kryptograficznymi.

The GNU Privacy Guard

 

Gdy odwiedzisz stronę projektu GnuPG zerknij na cytat w akapicie “Reconquer your privacy”.

Może zainteresuje Cię polecana tam strona https://emailselfdefense.fsf.org/

GnuPG może być używane z poziomu wiersza poleceń lub przez aplikacje. Warto więc zerknąc na pewną listę oprogramowania (aplikacji, narzędzi, bibliotek) dostępną na https://www.gnupg.org/software/index.html

A może lepiej użyć XYZ?#

Threema, Wire, Session, Element (Matrix), Signal, ProtonMail, Tutanota, Mailfence, Posteo, Keybase, CryptPad, …

Jest bardzo wiele produktów i projektów oferujących E2EE i trudno je tu porównać np. pod kątem stopnia prywatności, jurysdykcji lub modelu biznesowego.

Dla nietechnicznych organizacji osiągnięcie bezpiecznej komunikacji to trudne zadanie. PGP/GPG miał przełomowe znaczenie, ale wysoki poziom bezpieczeństwa można połączyć także z łatwością użycia i minimalnymi wymaganiami technicznymi.

 

GPG to nie panaceum.

Mając zrozumienie zasady działania z pewnością wybierzesz oprogramowanie najlepiej odpowiadające Twoim potrzebom.

Pomocne mogą być dobre dyskusje i porównania konkretnych rozwiązań np. https://5blockchains.com/posts/pgp-vs-signal/

Zawartość