Diverse Nederlandse media zijn samen met een klokkenluiderstichting een website gestart om klokkenluiders te faciliteren. De site moet onderzoeksjournalisten helpen door bronnen beter te beschermen. Klokkenluiders kunnen anoniem hun gegevens online overhevelen, is de opzet.

Voorzitter van de freelance-tak van de journalistenvakbond NvJ Brenno de Winter juicht het project toe, maar heeft wel twijfels bij de inrichting van het klokkenluidersinitiatief en de daaruit volgende veiligheid. “De software die wordt gebruikt, zegt weinig over de governance. Wat ik in het verhaal mis, is: hoe gaat de andere kant ermee om?”

Software GlobaLeaks en Tor

De site gebruikt de software GlobaLeaks om de anonimiteit van klokkenluiders te garanderen. Deze open source-software wordt wereldwijd gebruikt om anoniem gegevens te kunnen versturen en ontvangen. De software maakt gebruik van anonimiseringsnetwerk Tor.

Beveiligingsonderzoeker Matthijs R. Koot vraagt zich op Twitter af waarom het aanmeldingsscript van GlobaLeaks überhaupt JavaScript gebruikt. Bovendien is de vraag. Nu de NSA echt overal in zit, of anonimiteit online eigenlijk wel bestaat. Verder ontbreekt DNSSEC op het domein, waardoor certificaatvervalsing niet wordt geblokkeerd.

De laatste tijd zijn diverse voorbeelden opgedoken waaruit blijkt dat gebruikers voorzichtig moeten omgaan met Tor, om geen sporen achter te laten. Een gat in de Tor-browserbundel, die op Firefox is gebaseerd, zorgde er onlangs voor dat gebruikers konden worden geïdentificeerd. Gebruikers moeten voorzichtig zijn, waarschuwt PubLeaks.nl zelf ook, en bijvoorbeeld vers gepatchte software gebruiken maar juist daar wringt precies de schoen.

Klokkenluiders niet IT-savy

De handleiding over hoe een potentiële klokkenluider zijn sporen wist, is niet zo duidelijk, vindt ICT-journalist Brenno de Winter. “De gemiddelde ambtenaar is geen Edward Snowden, dus je moet heel goed uitleggen wat er gedaan moet worden.” Een link naar een Engelstalige handleiding over Tor vindt hij bijvoorbeeld onvoldoende.

“Deze sectie wordt nog uitgebreid”, licht PubLeaks-bestuurslid Mieke van Heesewijk toe. “Het is niet zo makkelijk en we beogen dan ook om dit duidelijk te maken. Mensen zullen zich moeten inlezen.” Volgens Van Heesewijk is het niet de bedoeling dat hier te luchtig over wordt gedaan met een versimpelde handleiding.

Servers in Nederland

Maar een groter probleem is de eventuele plaatsing van de PubLeaks-servers in Nederland. “Dat maakt het voor de overheid mogelijk om informatie te vorderen en druk uit te oefenen. En we weten dat de Nederlandse overheid niet terugdeinst voor het uitvoeren van zulke druk.” Het zou dus beter zijn als de serverdata niet in eigen land werden opgeslagen.

Over de vraag waar de servers precies staan en waarom bijvoorbeeld HTTPS niet meteen op de hoofdpagina wordt gebruikt, heeft Webwereld nog vragen uitstaan bij de Stichting Publeaks.nl. Wel zou een deel van de infrastructuur in het buitenland staan. Update: PubLeaks is nu bereikbaar via HTTPS, zo laat de organisatie weten. Ook wordt voor de overdracht van informatie een hidden service gebruikt en worden er geen data in Nederland of de VS opgeslagen.

Behoefte aan site

Diverse media zijn aangesloten bij PubLeaks, waaronder Nu.nl, RTL Nieuws en het Algemeen Nederlands Persbureau. Nu-adjunct-hoofdredactrice Wilma de Haan zegt op Nu.nl dat er grote behoefte is aan zo’n initiatief. “Het is mooi dat gevoelige documenten nu in een uiterst beveiligde omgeving kunnen worden uitgewisseld, waarbij de identiteit van de klokkenluider onbekend blijft”, aldus De Haan.

Niet alle journalisten zijn over het initiatief te spreken. Elsevier-hoofdredacteur Arend Joustra vindt dat klokkenluiders de journalist prima kunnen vinden en dat daarom een dergelijke site overbodig is. “Het is trouwens raar om te denken dat mensen die alles op straat gooien the good guys zijn. Je faciliteert hiermee mensen die regels overtreden”, aldus Joustra in de Volkskrant.

Goed idee

PubLeaks is een goed idee, vindt De Winter, die wel benadrukt dat er goed nagedacht moet worden over hoe lekken precies werkt. “Lekken van informatie kan heel grote gevolgen hebben voor de bron”, zegt De Winter. “Deze mensen besluiten niet om te gaan lekken om stoer te doen, maar omdat ze een misstand willen aantonen.”

Meer informatie over de werking van PubLeaks lees je op Computerworld.nl

Update 10.56 uur: Tweet technisch adviseur SIDN Marco Davids toegevoegd.

Update 11.15 uur: PubLeaks laat weten dat de site nu te bereiken is via HTTPS.

Update 12.28 uur: Over de plaatsing van de service doet de klokkenluiderorganisatie geen uitspraken, juist om te voorkomen dat de server in beslag wordt genomen. "Daarom draait hij ook als hidden service", aldus de organisatie.