search

Kritik af dansk lækagesite

En ny dansk hjemmeside for whistleblowers bliver kritiseret for manglende kildebeskyttelse. Organisationen bag siden afviser kritikken.

En ny dansk hjemmeside for whistleblowers bliver kritiseret for manglende kildebeskyttelse. Organisationen bag siden afviser kritikken.

Tidligere i dag kunne Journalisten.dk fortælle om en ny dansk hjemmeside, Whistleblowers.cc, der skal give mulighed for whistleblowere fra hele verden til at komme ud med hemmeligt materiale. Men hjemmesiden modtager nu kritik for ikke at passe godt nok på sine kilder. Udlandsredaktør på Information Lotte Folke Kaarsholm er ikke tryg ved sitet.

»Jeg vil gerne advare potentielle whistleblowere mod at tro, at denne side giver det samme, som WikiLeaks giver, nemlig anonymitet. Netop ideen om, at man helt anonymt kunne offentliggøre informationer, var WikiLeaks' store opfindelse. Men på dette site kan man ikke uploade noget uden at opgive email og navn. Dette site gør det modsatte af WikiLeaks – de indsamler informationer om dem, der lækker,« siger Lotte Folke Kaarsholm til Journalisten.dk.

Chefredaktøren for Whistleblowers.cc, Marwan G. Dalal, mener ikke, hjemmesiden har nogen problemer med kildebeskyttelsen.

»Man kan skrive et hvilket som helst brugernavn, og man kan bruge en hvilken som helst email. Vi ved intet om de personer, der sender materiale til os, hverken hvor de er henne i verden eller deres rigtige navn. Vi tjekker ikke personoplysninger. Vi er slet ikke interesserede i kilden, kun i materialet,« siger han til Journalisten.dk.

Marwan G. Dalal sætter samtidig spørgsmålstegn ved WikiLeaks' evne til at holde deres kilder anonyme og nævner fængslingen af Bradley Manning som eksempel. Bradley Manning er anklaget for at have lækket oplysninger til WikiLeaks, men organisationen har indtil videre nægtet ethvert kendskab til ham.

Lotte Folke Kaarsholm peger også på, at det nye whistleblower-site ikke gør noget nyt.

»Som sådan tilbyder de jo ikke noget, som alle mulige andre medier ikke tilbyder, nemlig at man kan lække hemmeligt materiale. Dette site har bare ikke den udvidede lovmæssige ret til kildebeskyttelse, som etablerede medier har,« mener hun.

Marwan G. Dalal mener derimod, at der er behov for en side som Whistleblowers.cc. Han mener generelt, at medier, ikke kun danske, får deres nyheder fra samme kilder og kan være bange for at udsende hemmelige oplysninger.

»Nyheder fra etablerede organisationer, som for eksempel WikiLeaks, er drevet af politik og kapital. Nogle medier har nogle økonomiske bagmænd, og derfor tør de ikke bringe visse oplysninger. Vi har ingen restriktioner – vi publicerer en historie, uanset hvem den handler om,« lyder det fra Marwan G. Dalal, som understreger, at denne kritik handler om medier generelt.

Kommentarer
14
Niels Riis Ebbesen
16.03.11 18:06
Re: Kritik af dansk lækagesite

Tja... et hurtigt tjek viser, at www.1leaks.org - bliver hostet af Cirtex Corp, 115 West 30th St., New York, NY 10001, og jeg er temmelig sikker  på, at de uden tøven klapper hælene sammen og udleverer web-serverens log-filer, hvis der pludselig står nogle herrer fra CIA, med en anklage om, at Cirtex Corp hoster et web-site, som truer statens sikkerhed. Og med en log-fil kan man uden videre se IP-adressen på hver eneste transaktion, der er udført web-serveren.

Med venlig hilsen

Niels Riis Ebbesen 

Fremhævet af Journalisten
Lotte Folke
16.03.11 20:54
Re: Kritik af dansk lækagesite

Hej Marwan,

Anklagen mod Bradley Manning bygger på, at han ifølge en Wired-klummist ved navn Adrian Lamo har indrømmet på en privat chat, at han står bag et stort læk til Wikileaks. Intet tyder på at den er baseret på informationer fra Wikileaks.

Men det er godt du interesserer dig for sagen. For Manning er lige præcis et eksempel på, at whistleblowere kan komme seriøst galt afsted, hvis deres anonymitet ikke er sikret. Det vil formodentlig blive ret afgørende for hans retssag, at der ikke ligger tekniske spor der peger mod ham på Wikileaks' servere.

VH Lotte

Fremhævet af Journalisten
Marwan G. Dalal
16.03.11 23:17
Re: Kritik af dansk lækagesite

Til Niels Riis Ebbesen

Tak for din kommentar.

1) Det er fuldstændig ligegyldigt hvor hosting firma ligger i verden når ICANN, som er en amerikansk organisation, kontrollere alle domænenavne i verden, og de kan, gennem deres autoriserede agenter, får log-filer og alle de oplysninger de vil på hver eneste DNS i verden.

2) IP-adressen pejer ikke nødvendigvis på en bestemt person eller afsenderen. IP-adressen kan være i en internet cafe eller på en "public access" POP, hvor det er umuligt at identificere brugeren.

3) Vores sever log-filer har ingen betydning, hvis en bruger har registreret med et falske navn og med en falske email adresse, kan vi ikke verificere det. Vi sender ikke en email bekræftelse efter registrering, man kan login med det samme. Så på den måde, brugeren er altid anonym og ukendt.

4) Når CIA beslutter sig til at undersøge noget eller nogen, venter de ikke på en hosting firma til at levere oplysninger eller log-filer, de kan selv opnå disse oplysninger via deres spionage-teknologi. CIA er ret god til det.

Med venlig hilsen

Marwan

Fremhævet af Journalisten
Marwan G. Dalal
17.03.11 01:10
Re: Kritik af dansk lækagesite

Hej Lotte

1) Som en journalist-kollega, vil jeg bede dig om at undersøge sagen dybere og nærmere før du hopper til konklusioner. Du kender ikke vores system i One Leaks, du kender ikke organisationen, og du har ingen ide om hvor meget arbjede har vi lagt ind i det, nemlig for at sikre vores whistleblowers anonymitet, og for at beskytte vores kilder samt vores platform. Vores system er baseret på Barracuda web-teknologi inkl. Cross Site Scripting (XSS). Du kan sagtens spørge en it-expert som kan forklare om den type teknologi.

2) Registreringsform på vores hjemmeside er designet på en måde at brugeren kan selv bestemmer om de udfyldte oplysninger er korrekt eller falsk. Vi tjekker aldrig efter brugeren, vi arbejder kun med de materialer som brugeren uploader. Der ligger værdien.   

3) Wikileaks har aldrig haft en sikret web online platform som kan modtage materialer fra afsenderen. De har haft to modtagelse muligheder, den ene gennem en post adresse i Australien, og den anden gennem en email online form. Derfor var det meget nemt at hacke deres hjemmeside og udlægger deres web filer.

4) FYI, Sagen mod Bradley Manning startede læng før hans chat session med Adrian Lamo d.20 maj 2010. Bradley Manning var under DIA (Defence Intelligence Agency) observation (i samarbjedet med den 205th Military Intelligence Brigade i Iraq hvor Manning har serveret), siden december 2009 og januar 2010 efter flere samtaler mellem Manning og hans partner Tyler Watkins bliver optaget af DIA. I løbet af disse samtaler, Manning fortalt Watkins at han har lækket følsomme materialer som han fundet på SIPR-Net.

4) Wikileaks har i December 2010 bidraget med $20.000 til Bradley Manning Defence Fund gennem Wau Holland Foundation som administrere Wikileaks penge. Der er forhandlinger på nuværende tidspunkt og siden Januar 2011 mellem Mannings advokater og Wikileaks til at bidrage med flere penge. Der er talt om $75.000 ekstra betaling til at dække de forskellige udgifter advokaterne har. Når Wikileaks betaler penge til Mannings advokater, bekræfter de forbindelsen mellem Manning og Wikileaks.

Med venlig hilsen

Marwan

Fremhævet af Journalisten
Sebastian Gjerding
17.03.11 07:50
Re: Kritik af dansk lækagesite

Hej Marwan,

Jeg må indrømme, at jeg undrer mig over dine henvisninger til ICANN og logfiler som jeg helt ærligt tvivler på du selv har forstået noget af. Har i seriøst lavet et lækagesite uden at overveje sikkerhedssituationen?

1. I oplyser ikke om, at man skal lave en fake-email adresse. Det vil gøre, at mange brugere bare bruger den, de har i forvejen og allerede der har i et kæmpe sikkerhedshul. Hvorfor kræve og logge en emailadresse, når i påstår, at i vil sikre kildens anomymitet? Du siger de kan gøre det fra en netcafé - men det vil så kræve at de altid gør det - da så snart de én gang har gjort det hjemmefra vil der ligge en IP hos emailudbyderen. Pointen med at lave en sikker platform er jo netop at sikre kildens anonymitet. I lokker personfølsomme oplysninger ud af kilden og satser så på en ekstrem grad af sikkerhedsforståelse og selvdisciplin hos kilden. Det er uansvarligt.

2. Hvad gør i med logfilerne?

3. Det du skriver om Wikileaks passer ikke. Hvad er det for en "email form" du taler om, og hvornår blev det hacket og deres "webfiler-udlagt"?

4. Hvad er det der gør jeres submission form sikker? Umiddelbart ligner det noget standard halløj i har integreret uden at tænke nærmere over det. Ret mig gerne hvis jeg tager fejl.

5. Der er intet på jeres side der tyder på nogen form for sikkerhed. Hvordan skal man have tillid til jer?

Problemet er, at i direkte opfordrer folk til at gøre noget som kan være ulovligt og strafbart uden at tage ansvar for den sikkerhedsrisiko i sætter dem i. Det er dårlig stil.

Fremhævet af Journalisten
Niels Riis Ebbesen
17.03.11 09:50
Re: Kritik af dansk lækagesite

Marwan G. Dalal skrev: "1) Det er fuldstændig ligegyldigt hvor hosting firma ligger i verden når ICANN, som er en amerikansk organisation, kontrollere alle domænenavne i verden, og de kan, gennem deres autoriserede agenter, får log-filer og alle de oplysninger de vil på hver eneste DNS i verden."

Det er godt nok en gang sludder, det er helt åbenlyst, at du ikke ved noget om web-hoteller og drift af web-servere. 

Enhver web-server generer en meget detaljeret log-fil, som rummer oplysninger over hver eneste transaktion, som der er sket på serveren.

Og jeg vil mene, at USA er det dårligst tænkelige land at få hostet et lækagesite, derovre vil ejeren af web-hotellet næppe forsøge at stritte i mod, hvis myndighederne står med et krav om at få udleveret Jeres log-filer.

Med venlig hilsen

Niels Riis Ebbesen 

Fremhævet af Journalisten
Marwan G. Dalal
17.03.11 10:02
Re: Kritik af dansk lækagesite

Hej Sebastian

Det er uansvarligt når man argumentere for noget man mangler viden og ekspertise på området.

1) Jeg har henviste til ICANN i forbindelse med en diskussion om hosting firma, domænenavnet, og adgang til log-filer. Hvis du laver lidt reserach, kan du finde ud af hvad ICANN er og hvilken indfludelse de har på domænenavne i verden og på "registrar", og dermed på DNSer (Domain Name Server).

2) Vi kræver ikke noget følsomme oplysninger, et hvad som helst navn og email adr er ikke følsomme oplysninger, og vi er overbevist om, at en whistleblower der vil sende en historie kommer aldrig til at gøre det hjemmefra. Det er en fornærmelse at underminere folks intelligens.

3) Du har skrevet at vores submission form er en standard halløj vi har integreret og at den er usikkert. Hvad kender du selv til submission forms? Hvad kender du til system sikkerhed? Jeg må desværre skuffe dig.. Vores submission form er ikke en standard halløj, det er en del af et system som er udviklet af nogen af de bedste og mest professionelt mennesker i IT-idustri. Sikkerheden er ikke noget man kan tydelig se på en hjemmeside, sikkerheden er noget der er bygget på backend, på serveren, på web applikationer, på netværk, og firewall. Backenden er ikke visuelt til en slutbruger.

4) Når du spørge om hvornår Wikileaks er blevet hacket.... kan jeg kun henvise dig til verdens media siden december 2010. Det undere mig at du stiller det spørgsmål..

5) Hvor ved du det fra, at vi ikke tager ansvar for sikkerhedsrisiko vi sætter folk i? Er det ikke en dårlig stil og dårlig attitude at bedømme andre uden at kende dem, uden at kende noget til deres arbejdsmetoder og deres sikkerhedsprocedure?

Fremhævet af Journalisten
Lotte Folke
17.03.11 10:41
Re: Kritik af dansk lækagesite

hej Marwan,

ad 1 og 2) begge dele er jo lige meget, alene fordi I beder dem indtaste personlig identifikation. Det er det I beder om på sitet. 

ad 3) øh jo. En sikret online indleveringsplatform var jo lige præcis det Wikileaks lavede. Det du skriver om deres indleveringsmuligheder er simpelthen forkert - hvor mon du har det fra?

ad 4) og 4) det er irrelevant i forhold til at du brugte Manningsagen til at sige at Wikileaks' system var usikkert. De eventuelle fejl der er begået i forbindelse med Manning har intet med Wikileaks' indleveringssystem at gøre.

Endelig bør du også være opmærksom på det problem jeg påpegede med at kun pressen har udvidet kildebeskyttelse. Det vil sige at det øjeblik, I har lokket nogen til at lække noget lovstridigt hos jer og ikke beskyttet deres identitet godt nok, er de langt dårligere stillet lovmæssigt, end hvis deres oplysninger var blevet viderebragt af et etableret medie. Det kan man mene er uretfærdigt, men sådan er loven. Og det bør I efter min mening oplyse om på jeres site.

vh Lotte

Fremhævet af Journalisten
Niels Riis Ebbesen
17.03.11 11:49
Re: Kritik af dansk lækagesite
Marwan G. Dalal skrev: "Det er uansvarligt når man argumentere for noget man mangler viden og ekspertise på området.

1) Jeg har henviste til ICANN i forbindelse med en diskussion om hosting firma, domænenavnet, og adgang til log-filer. Hvis du laver lidt reserach, kan du finde ud af hvad ICANN er og hvilken indfludelse de har på domænenavne i verden og på "registrar", og dermed på DNSer (Domain Name Server)."

Hold da helt op hvor du vrøvler, i modsætning til dig, så ved ved jeg en hel del om drift af web-servere og Internettet, ja jeg har faktisk mere en 10 års erfaring med drift af web-servere, og DNS-systemet er jo blot de databaser, som brugernes web-browsere slår op i, så de kan kalde den IP-adresse som en give hjemmeside har.

Med venlig hilsen

Niels Riis Ebbesen 

Fremhævet af Journalisten
Marwan G. Dalal
17.03.11 11:51
Re: Kritik af dansk lækagesite

Hej Lotte

Igen, skriver du at vi ikke er et etableret medie, og her tager du fejl igen uden at vide noget om os... Vi er et etableret medie og vi har andre etableret medier udover One Leaks, det hav vi haft i over 20 år.

Fremhævet af Journalisten
Marwan G. Dalal
17.03.11 12:11
Re: Kritik af dansk lækagesite

Niels

Dine kommentarer er fuldstændig irrelevant..rene vrøvl. Jeg forstå ikke hvad formålet er med den type kommentar.. Du er ikke den eneste it-ekspert selv om du arbjedet i 10 år, og dit fokus på IP-adressen har ikke noget betydning. Vi har nogen meget professionelt it-eksperter med en lang karriere bag dem og masser af udførte projekter med store succe. Jeg er ikke selv it-ekspert, men vi ved allesammen at en IP-adresse kan identificeres geografiske, uden at man nødvendigvis identificere brugeren. Der er ikke noget der hedder god web-hosting setder og dårlige web-hosting steder, det her drejer sig om netværk struktur og sikkerhedsprocedure samt backup planlægning. Hvis du tror at vi har kun et web-hotel i USA tager du stor fejl, hvis du tror at vi kun har et domænenavn, tager du også fejl.. Vores projekt er et produkt af flere månedes research, programmering, samarbjede, og "field work". Det er ikke noget der er kommet ud af det blå.

Hvis du betragter dig selv som ekspert på området, skal du komme med et konkrete kritik kombineret med et konkrete forslag, og forklare hvorfor er det sådan, og giv noget "case studies" der kan støtte din mening. Ellers denne type kommentar er destruktivt og kan ikke bruges til noget... Desværre.

Jeg kommer ikke til at svare på dine kommentarer mere, med mindre du kommer med noget relevant, konstruktivt, og konkrete!

 

Fremhævet af Journalisten
Niels Riis Ebbesen
17.03.11 12:58
Re: Kritik af dansk lækagesite

Marwan G. Dalal skrev: "Jeg er ikke selv it-ekspert"

Jeg synes vi skal slutte her, for jeg vil ikke spilde min tid med at forklare dig, hvorfor du tager fejl. 

Med venlig hilsen

Niels Riis Ebbesen 

Fremhævet af Journalisten
Marwan G. Dalal
17.03.11 13:14
Re: Kritik af dansk lækagesite

Det godt at du slutter her.. Lige som om du er it-ekspert.. du er fotograf og grafiker, så skal du ikke komme med en vurdering om sikkerheden på en hjemmeside og giv indtryk for at du er en it-ekspert. Tak!

 

Fremhævet af Journalisten
Niels Riis Ebbesen
17.03.11 20:48
Re: Kritik af dansk lækagesite

Hej Marwan G. Dalal, jeg troede egenlig, at vi var enige om, at det er frugteløst at forsætte debatten, men jeg kan se, at du lige vil forsøge dig med noget mudderkastning.

Ja, jeg er oprindeligt uddannet grafiker og fotograf, og derfor har jeg haft mit virke i den branche, hvor der først blev indført EDB.

Jeg startede med at arbejde med computere allerede i slutningen af 70'erne, det er sikkert længe før end der blev tænkt på dig. Og da jeg netop har haft min erhvervsmæssige karriere i en periode, hvor EDB er blevet introduceret og har udviklet til at blive en ret betydelig faktor i forbindelse med kommunikation, så kan jeg faktisk ikke se, at det er spor unaturligt, at jeg har valgt, at blive en aktiv spiller i den udvikling.

Det er i øvrigt ikke spor usædvanligt, at fotografer og har stor viden om EDB, pressefotografforbundets webmaster Jens Tønnesen er både fotojournalist og web-programmør.

Min viden om web-servere blev grundlagt for over ti år siden, da fik etableret en fast Internetforbindelse, dengang koblede de fleste sig på Internettet via et modem. Den faste forbindelse gjorde, at jeg kunne opstillede min egen web-server, hvorfra jeg med skiftende hardware helt frem til nu har drevet et on-line fotoarkiv http://www.photo-gallery.dk

Og hvis jeg skulle være i tvivl om noget, så har jeg en voksen søn, der læser til dataingeniør på DTU, og for at det ikke skal være løgn, så fotografere han også, og så driver han et større web-hostingfirma sammen med to studiekammerater.

Det er dig der ikke ved noget om web-servere og log-filer, for hvis du havde en minimal viden om hvor meget en Apache web-server logger, så ville du placere dit lækage-site et sted, hvor du kan være helt sikker på, at der ikke er mulighed for, at nogle myndighedspersoner kan komme og beslaglægge logfilerne.

Alternativt kan der laves nogle ændringer i Apaches konfigurationsfil, så der slet ikke bliver skrevet nogen log-fil, men da Jeres lækage-site ligger på en maskine sammen med 7 andre hjemmesider, så kan du næppe overbevise Cirtex om, at de skal stoppe med at logge de transaktioner der foregår på webserveren.

Hvis man undlader at logge trafikken på en web-server, så afskærer man sig også fra at kunne spore kilderne til evt. forsøg på misbrug og hærvæk mod hjemmesiden.

Med venlig hilsen 

Niels Riis Ebbesen 

Fremhævet af Journalisten

Husk at skrive dit fulde navn og en gyldig mail-adresse i felterne ovenfor, ellers vil din kommentar blive fjernet. Du kan se Journalistens regler for kommentarer her.
Tak fordi du deltager i debatten!

keyboard_arrow_up
Tilbage til toppen