По адресу http://vbmwh445kf3fs2v4.onion в скрытой сети Onion заработал сервер SecureDrop, запущенный газетой The Washington Post. Сайт предназначен для анонимной передачи в прессу документов для публикации. Например, им могут воспользоваться информаторы из спецслужб, других государственных служб и частных компаний, сообщая о преступлениях, которые скрывает их работодатель. Использование браузера Tor и соблюдение других мер предосторожности практически гарантируют анонимность.
Программа SecureDrop с открытым исходным кодом ранее была известна под названием DeadDrop. На базе программного обеспечения DeadDrop работала криптографически защищённая система Strongbox («Сейф») — один из последних проектов хакера Аарона Шварца.
С технической точки зрения «Сейф» представляет собой адрес в защищенной сети Onion. Информатор заходит туда через анонмимайзер и оставляет файлы. На сервере файлы шифруются, подписываются ключом PGP и отправляются на сторонний сервер, а для информатора генерируется случайное кодовое имя. Журналисты из редакции периодически проверяют удалённый сервер, подключаясь к нему по VPN. После скачивания файла их расшифровка и прочтение осуществляется только на отдельном ноутбуке, который не подключен к Сети и загружается с LiveCD. Редакция может оставить сообщение для информатора, открыть которое можно только если ввести на сайте SecureDrop кодовое имя, сгенерированное в прошлый раз.
В октябре 2013 года обязательства по развитию проекта взял на себя Фонд свободного программного обеспечения. Его специалисты помогли в установке «цифрового сейфа» The Washington Post.
Информаторам рекомендуют использовать меры безопасности при загрузке документов.
- Использовать безопасный компьютер, на котором нет корпоративных или вредоносных программ.
- Использовать надёжную операционную систему, такую как Tails.
- Выходить в интернет из общественного места, которым вы редко пользуетесь.
- Скачать и установить Tor (поставляется в комплекте с Tails).
- Удалить метаданные из отправляемых файлов.
- Удалить все следы коммуникаций после загрузки документов, в том числе копии сообщений и секретное имя, присвоенное сервисом SecureDrop для получения сообщений в будущем.