CoverDrop - sistema de mensagens seguro para apps de leitura de notícias

 (github.com/guardian)
1 pontos por GN⁺ 2025-06-11 | 1 comentários | Compartilhar no WhatsApp
  • Solução open source de mensagens seguras que permite que usuários de apps de leitura de notícias e jornalistas se comuniquem com segurança, preservando anonimato e negabilidade
  • Como todos os dispositivos dos usuários geram tráfego criptografado aleatório, mesmo quando há troca de mensagens isso não se distingue do uso normal do app de notícias na rede
  • As mensagens são processadas com criptografia em duas camadas e com o mesmo tamanho e frequência, de modo que não deixam evidências mesmo em caso de apreensão do dispositivo
  • Composto por uma arquitetura completa de ponta a ponta, incluindo app mobile, API em nuvem, servidor seguro e cliente desktop para jornalistas
  • Desenvolvimento open source transparente, criptografia robusta e recursos especializados otimizados para as necessidades de organizações de notícias são vantagens em relação a projetos existentes

Introdução ao CoverDrop

  • CoverDrop é um sistema seguro projetado para permitir que usuários do app mobile de empresas jornalísticas enviem mensagens a repórteres de forma secreta e impossível de rastrear
  • O sistema oferece forte negabilidade, tornando impossível para analistas de rede distinguir se o app está sendo usado para comunicação segura ou para consumo comum de notícias

Principais componentes

  • Módulo dentro do app de notícias: integrado ao app mobile do usuário
  • API em nuvem: atua como ponto central de contato
  • CoverNode: conjunto de serviços operando em local seguro
  • Aplicativo desktop para jornalistas: cliente para PC usado por repórteres

Essa arquitetura formada por esses 4 elementos viabiliza criptografia de ponta a ponta e segurança robusta

Como funciona

  • Todas as instâncias do app de notícias trocam periodicamente com o servidor pequenos dados criptografados ("mensagens de cobertura")
  • Denúncias reais (mensagens de fonte) também são criptografadas e transmitidas de forma totalmente idêntica às mensagens de cobertura comuns. Na rede, é impossível distingui-las
  • Todas as mensagens são processadas com o mesmo tamanho e periodicidade, e transmitidas por streams do Kinesis
  • No servidor, ocorre a primeira etapa de descriptografia e a identificação das mensagens reais, que então são entregues ao cliente do jornalista no formato de dead drop. O padding mantém o tamanho do dead drop uniforme
  • O jornalista só pode descriptografar por completo as mensagens criptografadas com sua própria chave pública
  • O armazenamento de mensagens permanece criptografado mesmo em condições normais, de modo que não é possível provar se houve conversa real mesmo em caso de apreensão do dispositivo
  • Quando o jornalista responde, a comunicação criptografada e a troca de chaves também ocorrem de forma semelhante

Mais detalhes sobre o design e a estrutura dos algoritmos podem ser vistos no white paper elaborado em conjunto com o Departamento de Ciência da Computação da Universidade de Cambridge

Política de segurança

  • A segurança do CoverDrop é prioridade máxima
  • Reconhece-se que segurança completa é impossível, e contribuições de pesquisadores de segurança são bem-vindas
  • Questões relacionadas à confidencialidade e integridade das mensagens, anonimato de rede e criptografia com negabilidade estão em áreas de melhoria contínua
  • Problemas de side channels causados por outros elementos dentro do app de notícias integrado também estão sendo ativamente mitigados

Atenção ao uso de software criptográfico

  • O CoverDrop inclui software criptográfico
  • É necessário cumprir as leis de cada país sobre importação, uso e reexportação de tecnologias criptográficas
  • Classificação do BIS do Departamento de Comércio dos EUA: ECCN 5D002.C.1 (software com criptografia assimétrica)
  • Esta distribuição open source está coberta pela exceção de exportação (TSU, §740.13)

Licença

  • O repositório do CoverDrop é distribuído sob a Apache License 2.0

Leituras relacionadas

1 comentários

 
GN⁺ 2025-06-11
Comentários no Hacker News

  • Para quem precisa de uma explicação mais detalhada, o site principal em https://www.coverdrop.org/ parece adequado para fornecer informações úteis. É uma pena que a Lei de Segredos Oficiais do Reino Unido de 1920 protegesse o contato anônimo com jornais, mas essa parte tenha desaparecido em revisões posteriores da lei.

  • Muitas organizações de notícias já usam https://securedrop.org/, então surge a dúvida de como o CoverDrop é diferente e melhor. O diretório de veículos compatíveis pode ser visto em https://securedrop.org/directory/.

    • Isso já é abordado no artigo: SecureDrop e CoverDrop focam em cenários um pouco diferentes, e esse é o diferencial. O SecureDrop usa TOR, o que pode ser detectado no nível da rede ou do dispositivo, então em alguns contextos o simples fato de usar TOR já pode expor a identidade do denunciante. Já instalar um app de notícias pode parecer menos suspeito. O CoverDrop é adequado para um primeiro contato sem exposição, mesmo para usuários iniciantes. O tráfego de rede não se distingue do de usuários comuns, e o armazenamento do app ocupa espaço independentemente do uso real, oferecendo negabilidade plausível. O CoverDrop não consegue transferir arquivos grandes como o SecureDrop, e o artigo sugere que, quando necessário, o jornalista oriente dentro da mensagem do CoverDrop sobre como usar o SecureDrop com segurança. Por isso, se a pessoa tiver boa consciência de segurança e capacidade técnica, ir direto ao SecureDrop pode ser uma escolha mais simples.

    • O SecureDrop é excelente, e o The Guardian pretende continuar usando-o no futuro. A grande diferença é permitir anonimato sem instalar o Tor Browser, colocando essa função dentro do app de notícias e reduzindo drasticamente a barreira para denunciantes sem perfil técnico. Basicamente, ajuda a alcançar um bom OPSEC. O CoverDrop (Secure Messaging) ainda tem limitações: por características do protocolo, não permite upload de documentos e só viabiliza o envio de alguns KB por dia. No momento, o jornalista pode orientar o usuário a migrar para o Signal conforme a situação. Como o jornalista primeiro avalia a identidade e a ameaça relacionadas à fonte antes de passar um número do Signal, isso cria uma boa etapa de filtragem de risco. No futuro, também estão considerando enviar, dentro do sistema CoverDrop, um link de upload de documentos após a avaliação de risco, minimizando o impacto sobre o anonimato — por exemplo, disfarçando isso como um anexo de e-mail criptografado. Há uma referência no artigo. Outra limitação é que o anonimato desse sistema depende de um grande volume de uso do app; se uma agência de notícias pequena o adotar, essa característica pode enfraquecer. Ainda assim, na prática, entendem que só a estrutura de armazenamento com negabilidade plausível já representa um grande avanço em relação a outros meios de denúncia, como PGP ou soluções baseadas em Tor. Também é visto como positivo o fato de continuar sendo bastante seguro mesmo que a pessoa seja a única usuária do app.

    • A mesma pergunta aparece no FAQ da página inicial.

  • Gostei muito dessa ideia, e ela me lembra os sistemas secretos de comunicação que a CIA criava no passado em sites de fãs de Star Wars e afins. O The Guardian não menciona isso explicitamente, mas o fato de este app também ter sido projetado com esse tipo de história de cobertura faz do disfarce como app de notícias uma abordagem realmente excelente. Se eu puder acrescentar um conselho: se você pretende fazer um vazamento por meio deste app, eu evitaria usá-lo em um dispositivo que possa ser investigado a qualquer momento. Por exemplo, pode haver um celular corporativo fornecido pela empresa; instalar o app do Guardian em si talvez não seja um problema, mas se uma matéria importante sair no Guardian durante uma investigação interna, existe a preocupação de que a lista de suspeitos possa ser reduzida assim: 1. pessoas que originalmente tinham acesso à informação 2. dentre elas, pessoas que instalaram o app, deixaram rastros de download ou se recusam a entregar o dispositivo. Se você estiver vazando algo conhecido apenas por um grupo pequeno, ou se o aparelho estiver ligado ao usuário real, vale usar o dispositivo de outra pessoa (como um familiar) para minimizar o risco de exposição. O objetivo real é não levantar suspeitas durante uma investigação, e considerando que o app e as informações fornecidas podem ser ligados diretamente a uma reportagem do Guardian, é difícil ter uma história de cobertura perfeita mesmo que a tecnologia seja segura. Minha recomendação final é usar um dispositivo difícil de associar a você, o que oferece mais segurança em caso de vazamento. Como isso não está explicitado no modelo de ameaça, vale mencionar a possibilidade de mais vítimas.

    • Comentário do ponto de vista do líder técnico do projeto: concordo que não se deve usar celular corporativo, especialmente porque muitos desses aparelhos incluem soluções de gerenciamento móvel (MDM) que na prática funcionam quase como spyware. Isso reforça que, quando o tamanho do grupo anônimo é pequeno, só a abordagem técnica tem limites. Eles vêm se esforçando bastante para tornar o uso do app plausivelmente negável mesmo em cenários de denúncia. Os dados são divididos entre armazenamento "público" e "privado"; os dados privados ficam em armazenamento criptografado de tamanho fixo, protegido com uma técnica de KDF desenvolvida por um membro da equipe de Cambridge (link). Mas, na prática, se houver spyware no dispositivo, todo esse esforço perde o sentido. Eles já reconheceram e discutiram internamente esse risco, e pretendem reforçar a explicação no FAQ, especialmente deixando mais claro o alerta sobre MDM. Planejam atualizar isso em breve. Além disso, já incluíram funções de detecção e alerta para dispositivos com root ou em modo de depuração. Como detectar MDM é um jogo de gato e rato, a melhor resposta continua sendo o usuário simplesmente não usar um dispositivo corporativo.

  • Pergunta sobre cronograma: quando sai um lançamento oficial? Quero cadastrar no Obtainium.

    • Como este projeto é uma biblioteca, não sei se faz sentido cadastrá-lo. O item real para cadastro seriam os apps que a utilizam, e no momento parece que só existe o app do Guardian. Estamos aguardando resposta da equipe do Guardian sobre planos de distribuição fora da Play Store.