Oberoende och ovetandes om de diskussioner som hållits här på listan och vid en fysisk träff har jag hållit på och planerat för en svensk whistleblowertjänst. Anledningen är att anonymitet och säkerhet är låg eller nästan obefintlig i de svenska initiativ som tagits till whistleblower-tjänster. Bl.a. några inom offentlig sektor samt på Sveriges radio. Om jag minns rätt nu så har jag hittat sammanlagt 7 sådana initiativ av olika slag.
Jag har gått i tankarna nu i ett drygt år om att starta en svensk tjänst, men först nyligen börjat göra tester och prata med folk om sponsring och fråga efter intresse. Anledningen är att man i min kommun diskuterat frågan i politiken och tillslut kommit fram till att man bara vill inrätta ett halvhjärtat försök till intern whistleblowing-service i kommunen, halvhjärtad därför att det inte går att vara anonym i praktiken och för att endast ett fåtal saker får rapporteras in om ett fåtal personer. Försöket är dock ett steg i rätt riktning som jag välkomnar och lovordar, det är inte många kommuner som ens tagit "bäbissteg" i rätt riktning. Det är få politiker som är tillräckligt tekniskt kunniga och säkerhetsmedvetna för att förstå eller kunna implementera en lösning som skyddar visselblåsaren. Eftersom jag är en av dessa få så bestämde jag mig för någon månad sedan att göra slag i saken och ordna en teknisk lösning för svenska visselblåsare med både anonymisering och kryptering som offentliga aktörer skulle kunna använda sig av om de så önskar.
Jag har kollat runt, testat och kommit fram till att GlobalLeaks är den mest effektiva lösningen sett ur relationen användbarhet genom antal arbetstimmar för mig. Det är allsidigt och tillåter många olika typer av syften och mottagare på en och samma server vilket möjliggör kompatibilitet med kommuner, medier, NGO:s och statliga myndigheter utöver eventuell egen mottagning av tips. Nackdelen är att GL-utvecklingen bara är i alfa-fasen, men GL verkar lovande och man har aktiva människor i projektet.
Eftersom jag blivit uppmärksammad på att det hållits en diskussion här i DFRI och fler verkar vara intresserade så tänkte jag att istället för att flera medlemmar ska uppfinna hjulet på nytt på olika håll så kan vi samarbeta både för föreningens och visselblåsarnas bästa. Finns det ett intresse av samarbete kring ett svenskt GlobaLeaks-projekt?
En prototyp som drivs i en hidden service har jag redan skapat och i princip skulle jag kunna lansera en tjänst inom ett par dagar. Men jag vill helst först köpa in dedikerad NY utrustning och låta programvaran arbeta under en längre tid och se om allt funkar vecka ut och vecka in, månad efter månad, med test från mig/oss och kanske allmänheten. Sedan skulle jag vilja göra intrångstester eller låta andra testa att göra intrång. Men i princip går det att lansera en tjänst väldigt snart om man inte bryr sig om att vara noggrann med säkerheten initialt, själv tror jag mer på att initialt testa tjänsten på ett sätt så att det är öppet för allmänheten att se hur det funkar.
För att sedan få en bättre och mer språkligt anpassad lösning så behöver vi hjälpa GlobalLeaks-projektet genom att skapa en svensk översättning. Att blanda svenska och engelska ser lite oproffsigt ut, men det funkar i en uppstartsfas. Man bör också försöka hitta sponsorer. Och sist men inte minst, man behöver få olika aktörer att ta emot tipsen via GlobaLeaks på ett säkert sätt. Alltså att utbilda kring säkerhet, t.ex. genom guider på webben eller föreläsningar för mottagarnas IT-anställda.
I ett senare skede borde programvaran göras kompatibel med fler operativsystem än vad de erbjuder idag. Om vi får tid över så skulle portning till operativsystem kända för högre säkerhet vara ett bra sak att bidra med också till projektet. I dagsläget rekommenderar de enbart Ubuntu 12.04 LTS och deras val kanske beror mer på att det OS:et har 3-år av säkerhetsuppdateringar garanterade snarare än att det skulle hålla högsta möjliga säkerhet allt sammantaget. Men det är bara min gissning. Bugrapportering och granskning av koden skulle kunna vara något annat att hjälpa dem med som i längden skulle gynna programvaran men framförallt visselblåsarna.
Är det folk här på listan som också testat GL? För dem som funderar så kan jag säga att installationsanvisningarna och en del annat är bristfälligt, så ge inte upp om det låser sig utan sök i hjälpen eller på nätet efter lösningar om ni vill testa också.
Inget hindrar att andra i föreningen gör andra försök med annan tillgänglig open-source-kod eller egen kod parallellt och att vi drar slutsatser efter försöken. Har någon testat andra alternativ eller egenskapad kod för en whistleblowing-tjänst och har något intressant att rapportera?
Finns det ekonomi, intresse eller marknadsföringsresurser i föreningen för att driva denna typen av projekt i föreningens regi eller bör vi skapa en separat förening med mål att samla in egna pengar för whistleblower-tjänsten?
MVH, David
David Kronlid david@kronlid.net wrote Sat, 09 Nov 2013 03:23:44 +0100:
| Finns det ekonomi, intresse eller marknadsföringsresurser i föreningen | för att driva denna typen av projekt i föreningens regi eller bör vi | skapa en separat förening med mål att samla in egna pengar för | whistleblower-tjänsten?
Personligen tror jag inte att DFRI skall driva läcksajt. Vi kan vara med och tillhandahålla resurser till andra projekt som vi gillar dock.
Det finns juridiska fördelar med att driva det separat om någon skulle få för sig att stämma sajtens förening, och det finns PR-fördelar med att driva det i den befintliga föreningen eftersom tjänsten har mycket större sannolikhet att tilldra sig mediaintresse och kan generera goodwill. Man får väga för och nackdelar. En fördel med att driva det separat är också att man kan ge styrelseplatser till samarbetspartners (läckmottagare) och att den ideella organisationen som driver projektet då inte associeras med lobbyism och ideologier utan kan vara en ren teknikorganisation med neutral och öppen inriktning. DFRI kan då vara en av många mottagare/samarbetspartners för dem som anonymt vill dela material som kan intressera DFRI, utan att fördenskull stå som ägare. Men det finns som sagt för och nackdelar. Den 12 nov 2013 09:06 skrev "Linus Nordberg" linus@nordberg.se:
David Kronlid david@kronlid.net wrote Sat, 09 Nov 2013 03:23:44 +0100:
| Finns det ekonomi, intresse eller marknadsföringsresurser i föreningen | för att driva denna typen av projekt i föreningens regi eller bör vi | skapa en separat förening med mål att samla in egna pengar för | whistleblower-tjänsten?
Personligen tror jag inte att DFRI skall driva läcksajt. Vi kan vara med och tillhandahålla resurser till andra projekt som vi gillar dock.
Jag vill gärna utveckla kompetensen som behövs, och DFRI skulle kunna tjäna på att utveckla expertis i området - men tidningarna borde driva det själva, de har ett juridiskt skydd som DFRI inte har, och IANAL, men jag tror det är bra den dagen SÄPO är sura på en läcka att hela systemet driftas av tidningen. Eller den dagen man vill komma in i USA ;-) On Nov 12, 2013 10:46 AM, "David Kronlid" david@kronlid.net wrote:
Det finns juridiska fördelar med att driva det separat om någon skulle få för sig att stämma sajtens förening, och det finns PR-fördelar med att driva det i den befintliga föreningen eftersom tjänsten har mycket större sannolikhet att tilldra sig mediaintresse och kan generera goodwill. Man får väga för och nackdelar. En fördel med att driva det separat är också att man kan ge styrelseplatser till samarbetspartners (läckmottagare) och att den ideella organisationen som driver projektet då inte associeras med lobbyism och ideologier utan kan vara en ren teknikorganisation med neutral och öppen inriktning. DFRI kan då vara en av många mottagare/samarbetspartners för dem som anonymt vill dela material som kan intressera DFRI, utan att fördenskull stå som ägare. Men det finns som sagt för och nackdelar. Den 12 nov 2013 09:06 skrev "Linus Nordberg" linus@nordberg.se:
David Kronlid david@kronlid.net wrote Sat, 09 Nov 2013 03:23:44 +0100:
| Finns det ekonomi, intresse eller marknadsföringsresurser i föreningen | för att driva denna typen av projekt i föreningens regi eller bör vi | skapa en separat förening med mål att samla in egna pengar för | whistleblower-tjänsten?
Personligen tror jag inte att DFRI skall driva läcksajt. Vi kan vara med och tillhandahålla resurser till andra projekt som vi gillar dock.
Exakt så. Det finns en annan aspekt av varför medieföretagen borde drifta det själva, en vinkel som de själva nog är snabba med att framhålla: det är en benhård konkurrens mellan exempelvis de olika morgon- och kvällstidningarna som övertrumfar fördelarna med en centraliserad tjänst a la Globalleaks. Även om det från ett teknisk perspektiv skulle fungera, så skulle jag bedöma sannolikheten att exvis Svd och DN skulle dela på en så viktig it-tjänst som extremt låg. Däremot har mediemarknaden sedan flera år som bekant utvecklats på ett sådant sätt att antalet frilansare ständigt ökar och mängden fast anställda minskar. För de frilansande mediearbetare som vill vara tillgängliga för uppgiftslämnare, och omvänt, de journalister som jobbar på avslöjande reportage de ännu inte sålt in, så borde en "gemensam" tjänst vara till stor nytta. Som nämnts tidigare är det ett kommunikativt problem om en sådan tjänst drivs av något eller några som inte de som ska använda tjänsten känner till och litar på. Då finns risken att tjänsten helt enkelt inte används.
/Mvh /Hasse
Mr. Hans Erik Nilsson | Voice: +46 73 6636331 | Standard disclaimer file active | "There are many futures and only one status quo" - Brian Eno
12 nov 2013 kl. 10.57 skrev Emil Tullstedt:
Jag vill gärna utveckla kompetensen som behövs, och DFRI skulle kunna tjäna på att utveckla expertis i området - men tidningarna borde driva det själva, de har ett juridiskt skydd som DFRI inte har, och IANAL, men jag tror det är bra den dagen SÄPO är sura på en läcka att hela systemet driftas av tidningen. Eller den dagen man vill komma in i USA ;-)
On Nov 12, 2013 10:46 AM, "David Kronlid" david@kronlid.net wrote: Det finns juridiska fördelar med att driva det separat om någon skulle få för sig att stämma sajtens förening, och det finns PR-fördelar med att driva det i den befintliga föreningen eftersom tjänsten har mycket större sannolikhet att tilldra sig mediaintresse och kan generera goodwill. Man får väga för och nackdelar. En fördel med att driva det separat är också att man kan ge styrelseplatser till samarbetspartners (läckmottagare) och att den ideella organisationen som driver projektet då inte associeras med lobbyism och ideologier utan kan vara en ren teknikorganisation med neutral och öppen inriktning. DFRI kan då vara en av många mottagare/samarbetspartners för dem som anonymt vill dela material som kan intressera DFRI, utan att fördenskull stå som ägare. Men det finns som sagt för och nackdelar.
Den 12 nov 2013 09:06 skrev "Linus Nordberg" linus@nordberg.se: David Kronlid david@kronlid.net wrote Sat, 09 Nov 2013 03:23:44 +0100:
| Finns det ekonomi, intresse eller marknadsföringsresurser i föreningen | för att driva denna typen av projekt i föreningens regi eller bör vi | skapa en separat förening med mål att samla in egna pengar för | whistleblower-tjänsten?
Personligen tror jag inte att DFRI skall driva läcksajt. Vi kan vara med och tillhandahålla resurser till andra projekt som vi gillar dock.
Jag har tidigare i Journalistförbundets yttrandefrihetsgrupp tagit upp frågan om förbundet skulle kunna engagera sig i att ta fram olika verktyg för att skydda källor, som exempelvis någon form av läcksajt. (var också med och skrev .SEs guide Digitalt källskydd som kom ut för ett år sedan)
Läcksajtsidén lades i malpåse för att vi inte såg några möjligheter att genomföra detta hyfsat säkert utan extremt krångel - dvs det var enklare (nåja, det är inte lätt heller för många av mina journalistkolleger) att lära sig att kryptera sina mejl. Jag kollade litet på Globalleaks då, som såg intressant ut men var alldeles för ofärdigt för att kunna bedömas på allvar. Andra problem handlar ju också om vem som bäst skulle driva en sån här sajt - det är en hel del juridiskt funderande som krävs innan man kan köra.
OM Globalleaks har kommit längre skulle det kanske vara värt att lyfta frågan igen?
Jag är gärna med och för en diskussion om detta!
Sus Andersson sus.andersson@farad.se 070-953 0166 skype sus_andersson_farad
David Kronlid skrev 2013-11-12 10:46:
Det finns juridiska fördelar med att driva det separat om någon skulle få för sig att stämma sajtens förening, och det finns PR-fördelar med att driva det i den befintliga föreningen eftersom tjänsten har mycket större sannolikhet att tilldra sig mediaintresse och kan generera goodwill. Man får väga för och nackdelar. En fördel med att driva det separat är också att man kan ge styrelseplatser till samarbetspartners (läckmottagare) och att den ideella organisationen som driver projektet då inte associeras med lobbyism och ideologier utan kan vara en ren teknikorganisation med neutral och öppen inriktning. DFRI kan då vara en av många mottagare/samarbetspartners för dem som anonymt vill dela material som kan intressera DFRI, utan att fördenskull stå som ägare. Men det finns som sagt för och nackdelar.
Den 12 nov 2013 09:06 skrev "Linus Nordberg" <linus@nordberg.se mailto:linus@nordberg.se>:
David Kronlid <david@kronlid.net <mailto:david@kronlid.net>> wrote Sat, 09 Nov 2013 03:23:44 +0100: | Finns det ekonomi, intresse eller marknadsföringsresurser i föreningen | för att driva denna typen av projekt i föreningens regi eller bör vi | skapa en separat förening med mål att samla in egna pengar för | whistleblower-tjänsten? Personligen tror jag inte att DFRI skall driva läcksajt. Vi kan vara med och tillhandahålla resurser till andra projekt som vi gillar dock.
Tidigare diskussion, bl.a. om säkerhet finns på http://comments.gmane.org/gmane.org.user-groups.dfri/809 On Nov 12, 2013 11:44 AM, "Sus Andersson" sus.andersson@farad.se wrote:
Jag har tidigare i Journalistförbundets yttrandefrihetsgrupp tagit upp frågan om förbundet skulle kunna engagera sig i att ta fram olika verktyg för att skydda källor, som exempelvis någon form av läcksajt. (var också med och skrev .SEs guide Digitalt källskydd som kom ut för ett år sedan)
Läcksajtsidén lades i malpåse för att vi inte såg några möjligheter att genomföra detta hyfsat säkert utan extremt krångel - dvs det var enklare (nåja, det är inte lätt heller för många av mina journalistkolleger) att lära sig att kryptera sina mejl. Jag kollade litet på Globalleaks då, som såg intressant ut men var alldeles för ofärdigt för att kunna bedömas på allvar. Andra problem handlar ju också om vem som bäst skulle driva en sån här sajt - det är en hel del juridiskt funderande som krävs innan man kan köra.
OM Globalleaks har kommit längre skulle det kanske vara värt att lyfta frågan igen?
Jag är gärna med och för en diskussion om detta!
Sus Andersson sus.andersson@farad.se 070-953 0166 skype sus_andersson_farad
David Kronlid skrev 2013-11-12 10:46:
Det finns juridiska fördelar med att driva det separat om någon skulle få för sig att stämma sajtens förening, och det finns PR-fördelar med att driva det i den befintliga föreningen eftersom tjänsten har mycket större sannolikhet att tilldra sig mediaintresse och kan generera goodwill. Man får väga för och nackdelar. En fördel med att driva det separat är också att man kan ge styrelseplatser till samarbetspartners (läckmottagare) och att den ideella organisationen som driver projektet då inte associeras med lobbyism och ideologier utan kan vara en ren teknikorganisation med neutral och öppen inriktning. DFRI kan då vara en av många mottagare/samarbetspartners för dem som anonymt vill dela material som kan intressera DFRI, utan att fördenskull stå som ägare. Men det finns som sagt för och nackdelar.
Den 12 nov 2013 09:06 skrev "Linus Nordberg" <linus@nordberg.se mailto:linus@nordberg.se>:
David Kronlid <david@kronlid.net <mailto:david@kronlid.net>> wrote Sat, 09 Nov 2013 03:23:44 +0100: | Finns det ekonomi, intresse eller marknadsföringsresurser iföreningen
| för att driva denna typen av projekt i föreningens regi eller börvi
| skapa en separat förening med mål att samla in egna pengar för | whistleblower-tjänsten? Personligen tror jag inte att DFRI skall driva läcksajt. Vi kan varamed
och tillhandahålla resurser till andra projekt som vi gillar dock.-- DFRI-listan är öppen för alla. Listan arkiveras och publiceras öppet på internet. http://dir.gmane.org/gmane.org.user-groups.dfri
Med en styrelse så kan saker bli helt annorlunda, och om DFRI tar över det jag påbörjat så kan inriktningen ändras också, men om mina ursprungliga tankegångar kommer att styra implementering av projektet så kommer det att vara en renodlad öppen vidareförmedlingssajt som skickar krypterad information mer eller mindre direkt till av visslaren vald mottagare (till exempel medier, myndigheter och människorättsorganisationer). Det enda stället som informationen kan snappas upp i globaleaks är i RAM-minnet på servern (om man medvetet installerar en korrupt programvara), i sändkedjan som helhet kommer de verkligt svaga länkarna dock att vara säkerhetsOmedvetna sändare eller säkerhetsOmedvetna mottagande nyhetsredaktioner/myndigheter/NGOs. Utbildning av mottagare kommer vara det viktigaste och svåraste ur säkerhetsynpunkt tror jag.
Jag har funderat kring behovet av att skydda sig genom att arbeta med projektet under någon nyhetsredaktion eller advokatfirma, men har kommit fram till att även om det passerar genom en globaleaks-server så är det ju egentligen bara en anonymiserings- & krypteringstjänst som inte alls får tillgång till något material om man installerar programvaran rätt och konfigurerar den så att man som organisation/admin inte själva tar emot materialet. I grunden blir det då ur laglig synvinkel inte så mycket annorlunda mot att köra en Tor-relä som tar emot krypterad information och skickar vidare krypterad information. Jag vill dock diskutera saken med både en och två jurister för att försäkra mig om att jag tänkt rätt, för att bli indragen i rättegångar är inte riktigt vad jag drömmer om att få göra framöver i livet så om möjligt vill jag undvika onödiga risker. :-) Men det är sannolikt att flera parter kan komma att vilja pröva lagligheten i ett sånt projekt genom rättssystemet ändå så man får nog i förebyggande syfte diskutera igenom alla tänkbara sätt som ogillande parter kan komma att sätta käppar i hjulet och finna goda lösningar för att skydda sig mot deras käppar. T.ex. att låta dem med högre "mänskliga fri- & rättigheter" än oss vanliga dödliga formellt äga ett sådant projekt (journalister, advokater och präster om jag minns rätt). Men det roligaste vore om projektet kunde drivas i en oberoende ideell organisation tätare eller lösare kopplad till en människorättsorganisation som DFRI. Vi får dock diskutera vidare och se vad vi kommer fram till.
Kolla gärna in globaleaks.org och testa deras demo. Det är inte alls som med Wikileaks att de som driver sajten behöver bli mottagare av material. Det går att konfigurera som en ren vidareförmedlingstjänst där en admin bara kan se att saker delas men inte vad. Den 12 nov 2013 11:44 skrev "Sus Andersson" sus.andersson@farad.se:
Jag har tidigare i Journalistförbundets yttrandefrihetsgrupp tagit upp frågan om förbundet skulle kunna engagera sig i att ta fram olika verktyg för att skydda källor, som exempelvis någon form av läcksajt. (var också med och skrev .SEs guide Digitalt källskydd som kom ut för ett år sedan)
Läcksajtsidén lades i malpåse för att vi inte såg några möjligheter att genomföra detta hyfsat säkert utan extremt krångel - dvs det var enklare (nåja, det är inte lätt heller för många av mina journalistkolleger) att lära sig att kryptera sina mejl. Jag kollade litet på Globalleaks då, som såg intressant ut men var alldeles för ofärdigt för att kunna bedömas på allvar. Andra problem handlar ju också om vem som bäst skulle driva en sån här sajt - det är en hel del juridiskt funderande som krävs innan man kan köra.
OM Globalleaks har kommit längre skulle det kanske vara värt att lyfta frågan igen?
Jag är gärna med och för en diskussion om detta!
Sus Andersson sus.andersson@farad.se 070-953 0166 skype sus_andersson_farad
David Kronlid skrev 2013-11-12 10:46:
Det finns juridiska fördelar med att driva det separat om någon skulle få för sig att stämma sajtens förening, och det finns PR-fördelar med att driva det i den befintliga föreningen eftersom tjänsten har mycket större sannolikhet att tilldra sig mediaintresse och kan generera goodwill. Man får väga för och nackdelar. En fördel med att driva det separat är också att man kan ge styrelseplatser till samarbetspartners (läckmottagare) och att den ideella organisationen som driver projektet då inte associeras med lobbyism och ideologier utan kan vara en ren teknikorganisation med neutral och öppen inriktning. DFRI kan då vara en av många mottagare/samarbetspartners för dem som anonymt vill dela material som kan intressera DFRI, utan att fördenskull stå som ägare. Men det finns som sagt för och nackdelar.
Den 12 nov 2013 09:06 skrev "Linus Nordberg" <linus@nordberg.se mailto:linus@nordberg.se>:
David Kronlid <david@kronlid.net <mailto:david@kronlid.net>> wrote Sat, 09 Nov 2013 03:23:44 +0100: | Finns det ekonomi, intresse eller marknadsföringsresurser iföreningen
| för att driva denna typen av projekt i föreningens regi eller börvi
| skapa en separat förening med mål att samla in egna pengar för | whistleblower-tjänsten? Personligen tror jag inte att DFRI skall driva läcksajt. Vi kan varamed
och tillhandahålla resurser till andra projekt som vi gillar dock.-- DFRI-listan är öppen för alla. Listan arkiveras och publiceras öppet på internet. http://dir.gmane.org/gmane.org.user-groups.dfri
-
David Kronlid -
Emil Tullstedt -
Hasse Nilsson -
Linus Nordberg -
Sus Andersson