non sto capendo molto in generale le dinamiche di questa conversazione
e le argomentazioni.
ho visto che qualcuno ha piacere di sapere qualche dettaglio su
GlobaLeaks e ha espresso qualche giustificato dubbio tecnico; mi fa
piacere rispondere in aggiunta a quanto ha detto Michele; se avete
altre domande magari spostiamoci in un thread separato che tratti
l'argomento; per le precedenti domande rispondo di seguito:
- prima piattaforma: abbastanza, ovviamente non in assoluto; ma solo
come free software / opensource che fa uso di Tor e protocolli
crittografici aperti nonche' in generale di sole tecnologie open.
software closed sources invece esistono da sempre, soprattuto negli
ambiti di protezione del lavoratore e mondo bancario e non e' chiaro
come garantiscano l'anonimato; per questo si prova a creare una
alternativa di pubblico dominio.
noi nasciamo nel 2011 molto prima di DeadDrop se questo e' il paragone
di vostro interesse. (e' stato nominato aaron swartz come autore di
securedrop; bene con aaron ci stavamo direttamente lavorando, su
Tor2web progetto suo che gia' quando era in vita ci ha affidato in
quanto la sua prima versione aveva grossi limiti prestazionali che con
una riscrittura in python abbiamo superato. ricordavo poi che
addirittura aaron avesse un fork di GlobaLeaks sul suo repo github con
cui potervi evidenziare che probabilmente le sue idee nascono dalla
nostra collaborazione, ma ora qualcuno ci ha messo mano e lo ha
rimosso (potrei sbagliarmi eh ma credo di ricordare bene).
e in generale per chi avesse interesse a sapere come sono i nostri
rapporti, non c'e' nessuna competizione neanche con il team di
Securedrop; i software sono diversi perche' gli obbiettivi sono
diversi, ma abbiamo addirittura collaborato in vari hackaton
organizzati dai nostri finanziatori al fine di unire lo sforzo sui
fronti di lavoro comune e siamo soliti supportarci sui ticket laddove
ci sia ancora da analizzare qualche aspetto comune o fruire l'uno dei
risultati dell'altro.
- metatati; e' sempre in giusta discussione (anche da parte nostra)
quale sia il trattamento migliore da farne.
se ti serve avere una prova per aiutare la fonte a perseguire il suo
fine sociale con cui fa la sua segnalazione quei metadati sono
fodamentali. servono gli originali di un file per provare qualcosa in
un procedimento legale.
inizialmente pensavamo di rimuoverli; automaticamente; trovate i
riferimenti su github dove nominavamo mat (
https://mat.boum.org/) e
altro; poi ogni rapporto con i giornalisti ci ha portato a cambiare
idea dato che tutti hanno dichiarato che per loro non proprio senso
rimuoverli e quindi la vision sui metadati e' cambiata.
per ora sono mantenuti; e' il ricevente del material che deve
provvedere da best practices (generalmente indicate nei training) a
rimuoverli se esporta il documento e proteggerli nell'ambito della sua
attivita'. (e il whistleblower e' informato di questo; ogni iniziativa
lo chiarisce e filtrarli fa piu parte di un processo manuale che il
segnalante deve fare personalmente se necessario.)
da roadmap invece (in generale tutto il nostro processo di scrittura
del software e' pubblico) c'e' l'intenzione di 1) segnalare al
whistleblower clientside della presenza dei metatati rilevati
chiedendo se sa riconoscere quali sono critici in qualche modo e
rimuoverli/marcarli in qualche modo con allegato un chiarimento 2)
preparare gia' per il giornalista ricevente una doppia copia dei file;
una che sia archiviata come originale e prottetta; una gia bella e
pronta filtrata (per tutti i metatati che e' possibile rilevate
automaticamente, non per tutti e' possibile) che il giornalista possa
usare in maggiore sicurezza.
capisco tutti i dubbi espressi, e il fatto che tecnici pensiate che
possa non essere ancora maturo (e di fatto c'e' ancora un grosso
percorso da farsi su tanti fronti; e' un progetto di ricerca continuo
che nessuno di noi ha dichiarato perfetto o terminato e come dice
michele se vedete dei limiti ben vengano i suggerimenti e per chi ha
voglia c'e' possibilita' di lavorare su un progetto interessante) ma
vi riporto sulla realta pratica che molti di voi hanno sicuramente
presente, che delle tante delle iniziative, attivisti ecc con che
stanno usando GlobaLeaks o si stanno preparando ad usarlo nell'anno
del signree 2015 stavano usando email o siti wordpress senza neanche
HTTPS per le stesse finalita e in scenari anche molto critici per cui
la necessita' di creare strumenti di questo tipo, rimane altamente
giustificata.
