Een positief voorbeeld van Tor netwerk gebruik is Publeaks. Hoe veilig en anoniem is het eigenlijk om deze site te gebruiken?
Kan het veiliger? Ligt dat aan Tor, aan PubLeaks of aan de gebruikers?


Inleidend

Tor & de Media
Tor heeft de laatste tijd weer de nodige media aandacht.
Zoals gewoonlijk genereert dat voor een deel weer negatieve beeldvorming rondom gebruik, de gebruikers en vermeend gebrek aan security.

Positief voorbeeld
PubLeaks is misschien een goed voorbeeld om als positief voorbeeld aan te dragen, een tegenhanger bij al die negatieve beeldvorming :
- de site wordt in ieder geval breed gedragen door algemeen geaccepteerde media uit alle maatschappelijke invalshoeken
- de site is niet illegaal, zij dient een positief maatschappelijk doel met medewerking van indieners en beoordelende media
- de site vereist gebruik van de veilig veronderstelde Torbrowser om het anonieme webadres op het Onion domein te kunnen bezoeken en daarbij te trachten de informatie en de aangever van informatie optimaal in haar anonimiteit te beschermen.
Bij het versturen van de informatie wordt gebruikers gewezen op veilig gebruik van Tor.
Ontvangende media hebben mogelijkheden als gebruiker de veiligheid optimaal te configureren.

Techniek en de gebruiker
Het Tor netwerk is een technische toepassing waarin getracht wordt de anonimiteit van gebruikers te beschermen.
Die anonimiteit kan in veel gevallen ook zorgen voor een versterking van de veiligheid van gebruikers.

Echter, de techniek alleen kan de veiligheid en anonimiteit niet geheel garanderen, het vereist de actieve medewerking van de gebruikers met het in acht nemen van gebruiksaanbevelingen, de do's en de dont's.
Dat vereist weer enige kennis en de wil van gebruikers en geïnteresseerden om die kennis te krijgen ('gebruiksaanwijzing' lezen) en toe te passen!
Door het veilig configureren van de Torbrowser bijvoorbeeld.
Let er maar eens op, bekijk de afbeeldingen van Torbrowser bij artikelen en zie hoe vaak zelfs de veronderstelde experts en artikelschrijvers niet de moeite genomen hebben de Torbrowser goed te configureren (of een juiste voorbeeldafbeelding te kiezen).
Te zien aan het NoScript icoon met het uitroepteken, NoScript nagenoeg uitgeschakeld, helaas de standaardsetting waarmee Torbrowser wordt geleverd.

Goed gebruik
Wanneer iedereen van die security aanbevelingen kennis zou nemen en ook daadwerkelijk in acht zou nemen bij gebruik van, het berichten of het oordelen over het Tor netwerk en de Torbrowser zou dat :
- de veiligheid van gebruikers zelf ten goede komen
- onnodige verwarring in de media, bij gebruikers en niet gebruikers verminderen doordat iedereen helder is wat het netwerk doet, wat daarvoor de vereisten zijn, en welke security ongelukken gevolg zijn van verkeerd gebruik van Tor.
- de security discussie en berichtgeving ten goede komen, een meer heldere scheiding tussen de techniek en de wijze van gebruik door gebruikers.

Drie punten die mijns inziens nog kunnen groeien in de berichtgeving en oordeelvorming over Tor.
Voel je vooral aangesproken, check het nog eens voor jezelf : Als gebruiker, als mening hebbende, als journalist.


Een (open) voorbeeld - voor journalist & media

Hoewel Publeaks een goed voorbeeld lijkt van positief gebruik van Tor, deze site bewust ook aangehaald in relatie tot de actualiteit; kritische noten aangaande de veiligheid van Tor in de berichtgeving.

Hoe gaan de media daar in voorkomende gevallen zelf met het gebruik van Tor en security om?
Het lijkt erop dat zij zich in dat geval soms wat dubbel verhouden tot Tor.
Dat kan per ongeluk zijn, onkunde of een bewuste keuze.
Vragen waarop die media alleen zelf het antwoord weten, om te beginnen met deze vragen te stellen.


• De website : PubLeaks - GlobalLeaks

Anoniem informatie doorgeven aan media en journalisten



• Sectie : Selecteren van ontvangers

http://yn6ocmvu4ok3k3al.onion/#/submission

Verheugend is de brede interesse die PubLeaks geniet door vele media.
Wat vooral opvalt is hoe die media deelnemen als het gaat om veiligheid en security.
Twee in het oog springende deelname categorieën daarin te onderscheiden :

a) "Deze ontvanger heeft de encryptie sleutel geconfigureerd"
b) "Deze ontvanger heeft de encryptie sleutel nog niet geconfigureerd" ("Uitgeschakeld")


• Overzicht van deelnemende media gesorteerd naar wel en niet ingestelde encryptie sleutel

a) Encryptie sleutel geconfigureerd

Algemeen Dagblad
AT5
Binnenlands Bestuur
BNR
De Correspondent
De GroeneAmsterdammer
De Persdienst
De Volkskrant
HDC Media
Limburg 1
Nieuwsuur
NOS
NRC Handelsblad
Omroep Brabant
Omroep Gelderland
Omroep West
Omrop Fryslân
RTVNoord

b) Uitgeschakelde encryptie sleutel, niet geconfigureerd

ANP
Dagblad van het Noorden
Eenvandaag
Flakkee Nieuws
Follow The Money
Hart van Nederland
Het Financieele Dagblad
Het Parool
Leeuwarder Courant
Novum
Nu.nl
Pownews
Rambam TV
Tros Radar
Trouw
Tweakers
Villamedia
Vrij Nederland


Niet de minste media
Onder de media met Uitgeschakelde encryptie sleutel bevinden zich niet de 'minste' media.
Media die een hoog publieksbereik hebben, juist over digitale media berichten, politiek zeer kritisch volgen, specifieke aandacht hebben voor het openbaren van misstanden, of specifiek berichten over Tor gebruik en security.

PubLeaks vervolgt

• Sectie : Versturen (extra Tor gebruik waarschuwingen bij de laatste stap)
Serieus aandacht voor veiligheid

Op PubLeaks lijkt serieus aandacht te zijn besteed aan een zo veilig mogelijk gebruik van Tor om gebruikers en informatie zo goed als mogelijk te beschermen.
Goed bedoelde adviezen op basis van goedbedoelde techniek die, als eerder geconstateerd, het best kans van slagen heeft als gebruikers de 'best practices' ook toepassen.

Dat lijkt nog niet helemaal het geval aan nota bene de media kant (?), ondanks dat PubLeaks al geruime tijd bestaat en er voldoende gelegenheid lijkt te zijn geweest aan het optimaliseren van de bijbehorende veiligheid te werken.


Vragen

• Vragen bij de PubLeaks site en deelnemende media

A) Welke consequenties heeft het niet instellen van de encryptie sleutel voor de informatie, de ontvanger, de verzender?

B) Zou het een goed idee zijn de encryptie sleutel wel te configureren?

C) Welke maatregelen zouden betreffende media nog meer kunnen nemen om de informatie veilig binnen te halen?
Zouden zij deze aanvullende maatregelen wel in acht nemen?

D) Wat zou de reden kunnen zijn voor een deel van deze media om wel deel te nemen en daarbij de encryptie sleutel niet te configureren?

E) Wat zegt het juist wel instellen van encryptie sleutels over de media die dat wel hebben gedaan?
Zou dat invloed hebben op de keuze van media bij gebruik van PubLeaks?


Kan het beter? Doe het beter (s.v.p.)

Aan 'de journalist', betreffende media
Hoewel de reikwijdte van het niet volledig benutten van de veiligheidsmaatregelen op PubLeaks door sommige deelnemende media (mij) niet geheel duidelijk is, is te hopen dat zij bereid is de kansen en verantwoordelijkheden maximaal op te pakken die bij het gebruik van het Tor netwerk en een dergelijke nieuwsbron site hoort.
Voor de overtuiging en het vertrouwen bij nieuwsvergaring en verslaggeving, bijvoorbeeld.

Aan PubLeaks
PubLeaks zou mogelijk nog duidelijker kunnen toelichten wat de verschillen in de praktijk betekenen tussen de groep die wel de encryptie sleutels heeft gegenereerd en welke niet.

Op de goede 'afloop'
Op een veilig Tor netwerk, een veilig en verantwoordelijk (nuchter ;) gebruik ervan.
Laten we er op zijn minst gezamenlijk aan werken.
Hopelijk leidt dat uiteindelijk tot meer Tor security en meer goed onderbouwde opinievorming op basis van relevante Tor informatie en de 'bekende' 'best practices' rondom Tor gebruik.


Veel secure & anonymous Tor gebruik toegewenst


- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Aanzetje tot informatie - 'linkjes'

De Tor website
https://www.torproject.org

"Want Tor to really work?"
https://www.torproject.org/download/download-easy.html

Tor is Not Foolproof
https://www.eff.org/deeplinks/2014/07/7-things-you-should-know-about-tor


Op http://securityinabox.org te vinden

Security in a box heeft Torbrowser 3.5.3 als voorbeeld genomen, Torbrowser 4 is gerestyled en verschilt op punten qua functies en layout in het verbinding config panel.

Tor Browser - Digital Anonymity and Circumvention
https://securityinabox.org/tor_main

How to extract the Tor Browser
https://securityinabox.org/tor_extract

How to access the Internet using the Tor Browser
https://securityinabox.org/tor_anonymitynetwork

Using the Tor Browser
https://securityinabox.org/tor_vidaliacontrol

Tor Browser FAQ
https://securityinabox.org/tor_faq


Tor FAQ TorProject
https://www.torproject.org/docs/faq.html.en


Last but not least !

How to Use the NoScript Add On (Firefox sectie en een korte uitleg)
https://securityinabox.org/firefox_noscript

Warning! Under no circumstances should you ever select the Allow Scripts Globally (dangerous) option.

As far as possible, avoid selecting the Allow all from this page option. Occasionally, you may have to permit all scripts; in this situation, ensure that you only do this temporarily for sites you really trust, that is, until the end of your on-line session.

It only takes a single injection of malicious code to compromise your on-line privacy and safety.

Noscript settings doornemen voordat je de Torbrowser gaat gebruiken!