在她职业生涯的大部分时间里,黑客 Runa Sandvik 一直致力于保护记者和新闻编辑室免受强大对手的侵害,这些对手想要让不法行为和腐败远离公众视线。记者和活动家越来越多地成为寻求隐藏真相的富有和足智多谋的人的目标,从入侵记者收件箱的民族国家黑客到部署移动间谍软件以窥探他们最直言不讳的批评者的政府。
很少有人比土生土长的挪威人山特维克更了解记者面临的威胁。她为纽约时报的新闻编辑室辩护,免受黑客和民族国家对手的攻击,训练记者在 Tor 项目中匿名掩盖他们的在线活动,并帮助新闻自由基金会等组织构建允许记者使用的工具,比如我们在 TechCrunch ,安全地与源通信并接收敏感的源文件。山特维克还是著名的黑客和安全研究人员,最近还是一位创始人。
凭借她的新创业公司,以山特维克为主要负责人的Granitt旨在帮助处于危险中的人,如记者和活动家,以及政治家、律师、难民和人权捍卫者,使其免受工作面临的威胁。
“在任何时候,有人发现自己处于这样一个类别中,他们所做的任何事情都可能会受到一些影响,这是我认为‘有风险’的事情,我可以提供帮助,”山特维克告诉我,当我们本周在纽约市发表讲话。
山特维克告诉我她的工作和她的新创业公司,领导者应该如何优先考虑他们的网络安全工作,以及她会给每个人都应该知道的安全建议。
接下来是我们的聊天,为了清楚起见,我们对其进行了轻微的编辑和浓缩。
ZW:在过去的十年里,你一直在为 Granitt 奠定基础。告诉我你是怎么来的。
RS:如果你看看十年前我在 Tor 项目工作并且他们获得资金时,我们开始教记者如何使用 Tor 浏览器。并且很快意识到,如果他们不熟悉良好的密码、双因素身份验证和软件更新,仅仅教他们如何使用 Tor 浏览器并没有太大的影响——当他们前往冲突地区时要考虑的事情,例如。我们开始围绕您应该做些什么来确保在线安全制定课程。后来我咨询了新闻自由基金会,做了一些类似的工作,然后还在 SecureDrop 上工作。我在《纽约时报》的角色也是建立在这种类型的工作之上的。在《纽约时报》取消我的角色后,我与 ProPublica、自由欧洲电台和福特基金会合作,不仅关注个人安全,还关注如何帮助媒体组织的业务部门支持新闻编辑室。
格兰尼特创始人鲁纳·山特维克(Runa Sandvik)。图片:(提供)
我所做的一些工作是直接为新闻编辑室工作的。我与记者就他们即将承担的一些项目进行了一对一的交谈。但我也与业务方面的 IT 和安全人员进行了很多对话,以帮助他们了解新闻编辑室面临的挑战。我怎样才能最好地解决它们?他们应该注意什么?而且,他们如何跟上进度,以及他们后来如何教育新闻编辑室的工作人员?也有一些“培训培训师”类型的工作,因为 10 年前 Tor 已经出现,但用户体验很笨拙。现在到了 2022 年,我们有很多非常简洁的工具,它们对用户非常友好,可以确保在线安全,以安全的方式进行研究。
我在《纽约时报》看到的一件事是你们有一个团队来做网络安全。你有一个专注于人身安全的人,你有负责情绪安全的人力资源,你有法律负责处理可能出现的任何类型的法律挑战。但是,如果我们看看记者需要什么才能确保安全,这实际上是这四个群体的结合——这意味着这四个群体需要聚集在一起并成立一个工作组,相互交谈,了解什么每个人都提出来,以及实际上可以从整体上做些什么来更好地支持员工。
是的,当涉及到有针对性的骚扰和人肉搜索时,我们开始在新闻编辑室中看到这一点,但支持新闻业是一项团队的努力,需要一个村庄和每个人在同一个页面上工作。那么,为什么叫格兰尼特呢?
这个名字是花岗岩的挪威语拼写。真的就是这么简单。多年来,我有一些亲密的朋友鼓励我自己做某事,并指出我所做的工作在其他任何地方都不存在,而且我处于一个很好的位置。
您将与您的新创业公司一起做什么样的工作?您打算如何解决安全方面的问题并让不同的团队进行沟通和协作以支持记者?
它仍然是咨询,所以,我认为培训研讨会和公开演讲仍将成为其中的一部分。仍然会有针对新闻编辑室的日常安全指导,针对特定项目的指导,因此,无论是即将承担敏感项目、旅行的人,还是想建立提示频道的人,您如何创建流程来支持这一点内部?这绝对是我工作的一部分。但随后还要与业务方面的不同团队进行更多合作,以确保这四组人实际上可以聚集在一个工作组中,并更好地了解员工真正需要什么,并了解他们面临的威胁是什么,它们实际上是如何工作的,我们需要弄清楚什么来更好地支持它们?
有很多桥梁建筑。我不认为这是人们不关心这一点的情况,我认为有些人不一定意识到某些人面临的挑战。而且,在许多方面,在内部进行这种努力是多么容易。如果您是《纽约时报》,您将拥有资源。但是,如果您是一个较小的新闻编辑室,您仍然可以拥有一个由专职记者组成的工作组,他们可以弄清楚我们如何才能最好地支持我们的员工应对在线威胁和骚扰,或者如果有人被钓鱼该怎么办。如果您是一家较小的新闻编辑室,您仍然可以做很多事情,有总比没有好。
你创办这家公司有动力吗?有没有一个事件让你觉得“我必须这样做”,或者它更像是多年来逐渐发生的一系列事件?
我一直都知道,像我一样做的人并不多。关注记者安全的人并不多。多年来,情况发生了变化,越来越多的人从事这类工作,教育新闻编辑室,教育媒体机构的业务方面。我认为我不愿意自己开始做某事的部分原因是我认为这只是我做的这件事,我认为我只是在妨碍自己。现在它是具有名称、徽标和网站的官方事物。这是我更兴奋并准备投资的事情。对我来说,这是我一直在做的事情,但是让一家公司树立起这样的旗帜,即这是需要、重要且值得投资的事情。
告诉我更多关于你试图对抗的威胁以及你试图保护的人。是什么让这类人比普通公民成为更高的风险或更大的目标?
我已经从将人们称为“高风险”转变为仅将其称为“有风险”。我发现有些人更容易理解或与之相关。只是最近推翻了 Roe v. Wade 案就是一个很好的例子。很多人突然变得“有风险”,但不一定是高风险。虽然我的工作重点肯定是新闻编辑室和记者的安全——这仍然是我非常热衷的事情——但我在一天结束时给出的指导对于任何试图做任何他们想做的事情的人来说都是很好的指导想做,但以安全的方式。在任何时候,有人发现自己处于一个可能会对他们所做的任何事情产生一些影响的类别,这是我认为“有风险”的事情,我可以提供帮助。
我的目标是帮助您安全地工作,并帮助您以安全的方式做任何您想做的事情。这意味着我们必须谈论并考虑到您所知道的任何威胁。我们需要为您制定一个计划,它变得非常受上下文驱动,它是关于为您和您在那个时间点尝试做的工作提出正确的缓解措施。无论是NSO 风格的间谍软件、网络钓鱼还是旅行,并且您担心丢失笔记本电脑,我们都可以讨论风险、挑战、您可以做什么,并提出真正适合您的方法。
这听起来像是您和您的客户之间非常协作的过程;通过威胁建模和确定您可能面临的风险,将技术和教育相结合,并教您的客户做什么和不做什么。
我可以告诉你,你应该在一台运行 Tails [高度安全的操作系统] 和持久卷并且只使用 Tor 的笔记本电脑上工作。但是,如果您甚至对迁移到不同浏览器的想法感到不满意,那么整个示例都将消失。是的,从安全的角度来看,这是一个不错的选择,但如果它不适合您的工作流程或个人生活方式,那么它就不是可能坚持的指导。在某些情况下,实际上只是要弄清楚什么对您真正有用,以便我们可以帮助您更安全地工作。
那里的威胁千差万别,具体取决于处于危险中的个人的活动种类,每个人的威胁模型都是不同的,如果不是独一无二的话。这种协作如何才能找到对他们有用的东西以及他们在威胁模型中需要什么?
我相信你以前看过这篇文章。 “你的威胁模型不是我的威胁模型。”这太棒了,值得一次又一次地分享。在某些情况下,我会直接与需要帮助的人沟通,而在其他情况下,会是个人和一两个其他人,例如编辑或公司的安全人员或律师,这非常具体个人。在其他情况下,它可能是与支持新闻编辑室的业务团队进行对话,试图找出我们为每个人提供的指导。我们认为每个人都应该知道的日常安全指南是什么?然后,您可以为组织建立基线安全级别,并找到年复一年升级的方法,但您还可以准确地弄清楚迄今为止您面临的挑战是什么,稍微复杂一点的问题是什么或复杂的威胁看起来像,你如何解决这个问题?对于您的问题,安全指导和特定于上下文的安全指导真的很难,如果不是不可能扩展的话。我认为在某些时候,您确实需要投资于让人们互相交谈。
你和我都知道,随着新功能的出现,攻击变得越来越智能和复杂。今天是否有一个单一的网络安全问题比其他任何事情都更让您关注?
5 月,我在 Paranoia 2022 发表了题为“媒体如何被黑客入侵”的演讲。而不是看记者是如何被黑客攻击的——因为我们可以谈论从典型的诈骗或网络钓鱼到国家支持的间谍软件和零点击漏洞的任何事情——如果你看看媒体组织是如何被黑客攻击的,我会举几个例子我的谈话。当《纽约时报》在 2012 年被中国黑客攻击时,那是网络钓鱼。 Tribune Publishing 在 2018 年获得了勒索软件,也是因为网络钓鱼或过时的系统。 Dagbladet [挪威报纸] 和 Schibsted [挪威媒体巨头] 与发现凭证转储并决定针对他们的系统进行尝试的人有一些问题,没有强制执行两因素身份验证,他们获得了访问权限。最后一个,Amedia [挪威报纸] 再次获得了勒索软件,因此又是网络钓鱼或过时的系统。
我们知道如何解决所有这些问题。那么发生了什么?有趣的是,它真正归结为:我们知道最佳实践是什么,那么为什么它们这么难做呢?我们需要围绕这个进行更多的对话。每一天,不同组织的领导层都必须围绕关注什么、投资什么、在哪里花钱以及他们选择在那个时间点接受什么风险做出选择。但是,如果最终结果是组织由于网络钓鱼等基础性事件和缺乏两个因素而受到损害,那么它真的引出了一个问题——我们实际上是否优先考虑正确的事情?
在我们结束之前。如果你能给出一个每个人都应该知道的关键安全建议。那会是什么?
开启双重身份验证!
主要图片来源:Jean-Philippe Ksiazek/AFP via Getty Images。
原文: https://techcrunch.com/2022/07/15/granitt-journalist-security/