[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[DFRI-listan] Whistleblower-sajt med GlobaLeaks



Oberoende och ovetandes om de diskussioner som hållits här på listan och
vid en fysisk träff har jag hållit på och planerat för en svensk
whistleblowertjänst. Anledningen är att anonymitet och säkerhet är låg
eller nästan obefintlig i de svenska initiativ som tagits till
whistleblower-tjänster. Bl.a. några inom offentlig sektor samt på
Sveriges radio. Om jag minns rätt nu så har jag hittat sammanlagt 7
sådana initiativ av olika slag.

Jag har gått i tankarna nu i ett drygt år om att starta en svensk
tjänst, men först nyligen börjat göra tester och prata med folk om
sponsring och fråga efter intresse. Anledningen är att man i min kommun
diskuterat frågan i politiken och tillslut kommit fram till att man bara
vill inrätta ett halvhjärtat försök till intern whistleblowing-service i
kommunen, halvhjärtad därför att det inte går att vara anonym i
praktiken och för att endast ett fåtal saker får rapporteras in om ett
fåtal personer. Försöket är dock ett steg i rätt riktning som jag
välkomnar och lovordar, det är inte många kommuner som ens tagit
"bäbissteg" i rätt riktning. Det är få politiker som är tillräckligt
tekniskt kunniga och säkerhetsmedvetna för att förstå eller kunna
implementera en lösning som skyddar visselblåsaren. Eftersom jag är en
av dessa få så bestämde jag mig för någon månad sedan att göra slag i
saken och ordna en teknisk lösning för svenska visselblåsare med både
anonymisering och kryptering som offentliga aktörer skulle kunna använda
sig av om de så önskar.

Jag har kollat runt, testat och kommit fram till att GlobalLeaks är den
mest effektiva lösningen sett ur relationen användbarhet genom antal
arbetstimmar för mig. Det är allsidigt och tillåter många olika typer av
syften och mottagare på en och samma server vilket möjliggör
kompatibilitet med kommuner, medier, NGO:s och statliga myndigheter
utöver eventuell egen mottagning av tips. Nackdelen är att
GL-utvecklingen bara är i alfa-fasen, men GL verkar lovande och man har
aktiva människor i projektet.

Eftersom jag blivit uppmärksammad på att det hållits en diskussion här i
DFRI och fler verkar vara intresserade så tänkte jag att istället för
att flera medlemmar ska uppfinna hjulet på nytt på olika håll så kan vi
samarbeta både för föreningens och visselblåsarnas bästa. Finns det ett
intresse av samarbete kring ett svenskt GlobaLeaks-projekt?

En prototyp som drivs i en hidden service har jag redan skapat och i
princip skulle jag kunna lansera en tjänst inom ett par dagar. Men jag
vill helst först köpa in dedikerad NY utrustning och låta programvaran
arbeta under en längre tid och se om allt funkar vecka ut och vecka in,
månad efter månad, med test från mig/oss och kanske allmänheten. Sedan
skulle jag vilja göra intrångstester eller låta andra testa att göra
intrång. Men i princip går det att lansera en tjänst väldigt snart om
man inte bryr sig om att vara noggrann med säkerheten initialt, själv
tror jag mer på att initialt testa tjänsten på ett sätt så att det är
öppet för allmänheten att se hur det funkar.

För att sedan få en bättre och mer språkligt anpassad lösning så behöver
vi hjälpa GlobalLeaks-projektet genom att skapa en svensk översättning.
Att blanda svenska och engelska ser lite oproffsigt ut, men det funkar i
en uppstartsfas.
Man bör också försöka hitta sponsorer.
Och sist men inte minst, man behöver få olika aktörer att ta emot tipsen
via GlobaLeaks på ett säkert sätt. Alltså att utbilda kring säkerhet,
t.ex. genom guider på webben eller föreläsningar för mottagarnas
IT-anställda.

I ett senare skede borde programvaran göras kompatibel med fler
operativsystem än vad de erbjuder idag. Om vi får tid över så skulle
portning till operativsystem kända för högre säkerhet vara ett bra sak
att bidra med också till projektet. I dagsläget rekommenderar de enbart
Ubuntu 12.04 LTS och deras val kanske beror mer på att det OS:et har
3-år av säkerhetsuppdateringar garanterade snarare än att det skulle
hålla högsta möjliga säkerhet allt sammantaget. Men det är bara min
gissning.
Bugrapportering och granskning av koden skulle kunna vara något annat
att hjälpa dem med som i längden skulle gynna programvaran men
framförallt visselblåsarna.


Är det folk här på listan som också testat GL? För dem som funderar så
kan jag säga att installationsanvisningarna och en del annat är
bristfälligt, så ge inte upp om det låser sig utan sök i hjälpen eller
på nätet efter lösningar om ni vill testa också.

Inget hindrar att andra i föreningen gör andra försök med annan
tillgänglig open-source-kod eller egen kod parallellt och att vi drar
slutsatser efter försöken. Har någon testat andra alternativ eller
egenskapad kod för en whistleblowing-tjänst och har något intressant att
rapportera?

Finns det ekonomi, intresse eller marknadsföringsresurser i föreningen
för att driva denna typen av projekt i föreningens regi eller bör vi
skapa en separat förening med mål att samla in egna pengar för
whistleblower-tjänsten?

MVH,
David
-- 
David Kronlid
GPG/PGP: 0xB2987053
GnuPG, säker e-post, fri programvara

-- 
DFRI-listan är öppen för alla.
Listan arkiveras och publiceras öppet på internet.
http://dir.gmane.org/gmane.org.user-groups.dfri