SecureDrop

aus Wikipedia, der freien Enzyklopädie
Dies ist eine alte Version dieser Seite, zuletzt bearbeitet am 2. September 2016 um 10:27 Uhr durch Kleinfeller (Diskussion | Beiträge) (→‎Audits: Grammatik korrigiert). Sie kann sich erheblich von der aktuellen Version unterscheiden.
Zur Navigation springen Zur Suche springen
SecureDrop

SecureDrop Logo
Screenshot der SecureDrop Ansicht für Whistleblower.
Screenshot der Ansicht für Whistleblower.
Basisdaten

Hauptentwickler Freedom of the Press Foundation
Entwickler Aaron Swartz[1][2], Freedom of the Press Foundation[3], Kevin Poulsen, James Dolan
Erscheinungsjahr 2013
Aktuelle Version 0.3.6[4]
(28. Oktober 2015[4])
Betriebssystem Linux, Tails
Programmiersprache Shell, Python
Lizenz AGPL[5]
deutschsprachig nein
securedrop.org

SecureDrop (englisch ‚Sicherer Einwurf‘) ist eine freie Plattform zur sicheren Kommunikation zwischen Journalisten und Whistleblowern. Die Webanwendung wurde ursprünglich unter dem Namen DeadDrop von Aaron Swartz und Kevin Poulsen entwickelt.[6]

Die erste Instanz der Plattform wurde am 14. Mai 2013 unter dem Namen Strongbox von The New Yorker eingeführt.[7] Nach dem Tod von Aaron Swartz, wurde das Projekt im Oktober 2013 von der Freedom of the Press Foundation übernommen und unter dem Namen SecureDrop fortgeführt.[5] Inzwischen gibt es Installationen von verschiedenen Organisationen,[8] darunter sind auch The Guardian[9], The Washington Post[10] und The Intercept.[11]

Sicherheit

SecureDrop verwendet das Tor-Netzwerk zur Anonymisierung; es soll eine sichere Kommunikation zwischen Whistleblowern und Journalisten ermöglicht werden.[6] Installationen von SecureDrop sind deswegen nur als versteckte Dienste des Tor Netzwerkes mit einer .onion-Adresse erreichbar. Beim Upload der sensiblen Dokumente, wird dem Whistleblower ein zufällig generierter Code-Name zugewiesen. Mit diesem können die Journalisten Nachrichten an den Whistleblower hinterlassen. Die Nachrichten können nur durch SecureDrop und mit dem richtigen Code-Namen abgerufen werden.[7]

Audits

Vor der Veröffentlichung jeder Hauptversion wird, von einem sich jedes Mal ändernden externen Expertenteam, ein Sicherheitsaudit durchgeführt.[4]

Im August 2013 wurde der erste Sicherheitsaudit von einem Team der University of Washington, zu dem unter anderem Bruce Schneier und Jacob Appelbaum gehörten, durchgeführt. Sie empfanden SecureDrop als ein technisch anständiges System, bemängelten aber die technische Kompetenz, die von Journalisten vorausgesetzt wird. Fehler in der Anwendung von Journalisten könnten die Anonymität der Quellen gefährden.[12]

Der Quelltext der Version 0.2.1 wurde vor der Veröffentlichung von der deutschen Sicherheitsfirma Cure53 überprüft.[13] In der Zusammenfassung des Penetrationstest-Reports wurde angegeben, dass keine kritischen Fehler gefunden wurden. Zudem wird SecureDrop als gut gesicherte Anwendung mit geringen Angriffsmöglichkeiten beschrieben.[14]

Vor der Veröffentlichung der Version 0.3 wurde ebenfalls ein Sicherheitsaudit von dem Sicherheitsunternehmen iSECpartners, unter der Leitung von Valentin Leon und Jonathan Chittenden, durchgeführt. Es wurden dabei zwei Schwachstellen entdeckt, welche jedoch als „schwer ausnutzbar“ eingestuft wurden und vor der Veröffentlichung ausgebessert wurden. Keine der entdeckten Schwachstellen wurde als kritisch eingestuft.[4]

Funktionsweise

Die bereitgestellten Dokumente werden mit OpenPGP verschlüsselt und zu einem abgetrennten Spiegelserver übertragen. Journalisten greifen mit einer Verbindung durch das Tor-Netzwerk auf den Server zu und speichern die verschlüsselten Dokumente auf einem USB-Stick. Ein vom Internet getrennter Computer wird mit einer Live-CD gestartet; vor jeder Benutzung werden alle Daten komplett von diesem Computer gelöscht. Die zur Entschlüsselung benötigten Schlüssel sind auf einem weiteren USB-Stick gespeichert. Die Dokumente können jetzt entschlüsselt und für die Veröffentlichung vorbereitet werden.[5][6][7]

Weblinks

Quellen

  1. github.com.
  2. freedom.press.
  3. freedom.press. (abgerufen am 30. Januar 2015).
  4. a b c d Garret Robinson: Announcing the new version of SecureDrop, with the results from our third security audit. 23. März 2015, abgerufen am 23. März 2015 (englisch).
  5. a b c Freedom of the Press Foundation: SecureDrop. Abgerufen am 31. Juli 2014 (englisch).
  6. a b c Michael Kassner: Aaron Swartz legacy lives on with New Yorker’s Strongbox: How it works. TechRepublic, 20. Mai 2013, abgerufen am 31. Juli 2014 (englisch).
  7. a b c Amy Davidson: Introducing Strongbox. The New Yorker, 14. Mai 2013, abgerufen am 31. Juli 2014 (englisch).
  8. Freedom of the Press Foundation: The Official SecureDrop Directory. Abgerufen am 31. Juli 2014 (englisch).
  9. James Ball: Guardian launches SecureDrop system for whistleblowers to share files. The Guardian, 5. Juni 2014, abgerufen am 31. Juli 2014 (englisch).
  10. Washington Post: Q&A about SecureDrop on The Washington Post. Washington Post, 5. Juni 2014, abgerufen am 12. September 2014 (englisch).
  11. Micah Lee: How to Securely Contact The Intercept. The Intercept, 3. Februar 2014, abgerufen am 31. Juli 2014 (englisch).
  12. Alexei Czeskis, David Mah, Omar Sandoval, Ian Smith, Karl Koscher, Jacob Appelbaum, Tadayoshi Kohno, Bruce Schneier: DeadDrop/StrongBox Security Assessment. (PDF) University of Washington, 11. August 2013, S. 20, abgerufen am 4. August 2014 (englisch).
  13. Garrett Robinson: 0.2.1 Released! Abgerufen am 31. Juli 2014 (englisch).
  14. Dr.-Ing. Mario Heiderich, Nikolai K., Fabian Fäßler: Pentest-Report SecureDrop 12.2013. (PDF) Cure53, , S. 14, abgerufen am 4. August 2014 (englisch).
Abgerufen von „https://de.wikipedia.org/w/index.php?title=SecureDrop&oldid=157593271