Андрес пита само за времето
Андрес е венецуелец. От години работи в плод-зеленчук в квартала. Един ден го попитах как е семейството му там, в най-трудните моменти на режима.
„В моята страна времето винаги е хубаво“, каза ми той.
Не разбрах. Настоях. И тогава той ми обясни: „Мога да говоря със семейството си само по WhatsApp, защото обажданията не работят добре. Но трябва да си много внимателен какво пишеш. Не знаем дали някой може да чете разговорите. Това, което знаем, е, че във всеки един момент могат да задържат всеки и първото нещо, което правят, е да му отворят телефона. Ако не дадеш ПИН кода, следват шамари и килия, докато не го дадеш. И ако намерят нещо в WhatsApp, което не им харесва, в добрия случай това е бой и няколко дни в затвора. В лошия случай този човек изчезва.“
„Затова, когато говоря с тях, основно ги питам какво е времето. Ако ми отговорят, поне знам, че са живи.“
Андрес не е престъпник. Няма нищо за криене. Но живее в свят, в който едно изречение, написано в чат, може да разруши живота на някой, когото обича.
Не е нужно да си престъпник, за да имаш нужда от поверителност
Помислете за адвокат, който разговаря с клиента си за стратегия за защита. Разговорът е легитимен и законен, но съдържа информация, която, извадена от контекст, би могла да бъде пагубна. Този адвокат има професионално и законово задължение да пази този разговор поверителен.
Помислете за млада двойка. Тя живее с родителите си. Те водят интимни разговори, напълно легитимни, но принадлежащи към най-личното им пространство. Те имат право тези думи да не съществуват на нито един сървър, който може да бъде хакнат, продаден или изискан по съдебен път.
Помислете за фрийлансър, който говори със своя счетоводител за това как да оптимизира данъците си. Той може да е от едната или от другата страна на чертата – това си е негова работа. Ако седяха в офис, никой нямаше да чуе този разговор. Защо трябва да е различно, ако говорят от разстояние?
Или помислете за журналист в Иран, докато около него падат ракети, опитващ се да се свърже с редакцията си в Париж. Или имигрант в Мадрид, говорещ с родителите си, които са останали там.
Всички тези хора имат нужда от поверителност. Никой от тях не е престъпник.
Капанът на перфектното криптиране
През 2018 г. ФБР създаде компания, която продаваше криптирани мобилни телефони. Марката се казваше Anom. Продаваше се като най-сигурната алтернатива на пазара. В продължение на три години над 12 000 устройства бяха разпространени в повече от 100 държави. Потребителите говореха с пълно доверие.
Това, което не знаеха, е, че всяко съобщение достигаше и до сървърите на ФБР. Всяка дума. Всяка снимка. Всеки план.
През юни 2021 г. операцията Trojan Shield стана публична. Над 800 арестувани в 16 държави. Това беше най-голямата координирана полицейска операция в историята.
Това не беше технически провал. Криптирането беше реално. Технологията работеше. Проблемът беше кой стои зад нея и какво печели от това.
Това не е изолиран случай. В продължение на повече от 50 години швейцарската компания Crypto AG продаваше криптиращи машини на над 120 правителства. Това, което никой не знаеше до 2020 г., е, че Crypto AG е била тайна собственост на ЦРУ и германското разузнаване. Машините работеха, но с умишлена слабост, която позволяваше на истинските им собственици да четат всичко.
Иран, Индия, Пакистан, Ватиканът, латиноамерикански военни хунти. Всички се довериха. Никой не се запита защо някой има толкова голям интерес да им продава евтино криптиране.
Въпросът, който винаги трябва да си задавате
Ако някой ви предлага нещо и не разбирате какво печели в замяна, не му се доверявайте. Не защото всички имат лоши намерения, а защото разбирането на бизнес модела е най-основният начин да прецените дали можете да се доверите на една услуга.
Когато използвате WhatsApp, знаете какво печели Meta: вашите данни, вашите навици, вашето внимание, за да продава реклама. Може да сте съгласни или не, но поне разбирате замяната.
Но когато някой ви предлага услуга за криптирана комуникация, напълно безплатна, без реклами, без абонамент и без видим бизнес модел – въпросът не е дали криптирането е добро. Въпросът е: кой финансира това и защо?
Това, което наистина има значение
Има сигнали, които помагат да се оцени един инструмент за поверителност. Отворен код, одити на сигурността, европейска юрисдикция. Всички те са положителни. Но нито един не е абсолютна гаранция.
Отвореният код означава, че някой може да провери какво прави приложението. Но нека бъдем честни: 99,9% от потребителите никога няма да прочетат нито един ред код. А историята е пълна с много сериозни уязвимости, които са съществували с години в проекти с отворен код, преглеждани от хиляди хора, без никой да ги открие.
Одитите на сигурността са ценни. Но одитите се плащат с пари, а парите са най-простото средство за купуване на воля. Един одит казва, че кодът е бил чист в деня, в който е бил проверен. Той не казва нищо за това какво е било променено след това.
Можете да имате най-добрия код на света, одитиран и отворен, но ако данните ви минават през сървър – макар и за секунда, макар и криптирани – някой има физически достъп до този сървър. И този някой може да бъде в държава, в която съдия, правителство или голяма пачка пари могат да отворят всяка врата.
Това, което наистина ви защитава, не е обещанието, че „ние не четем вашите данни“. Това, което ви защитава, е архитектура, при която данните ви никога не излизат от ръцете ви. Където няма сървър, който да бъде компрометиран, няма бекъп, който да изтече, няма задна врата, която да бъде отворена.
Доверието не се подарява
Потребителите на Anom се довериха, защото продуктът работеше. Клиентите на Crypto AG се довериха, защото марката беше уважавана. Андрес не вярва на WhatsApp, но няма алтернатива.
Доверието в инструмент за поверителност не може да се основава на това, че „работи добре“. То трябва да се основава на това, че разбирате кой стои зад него, какво печели и какво се случва с данните ви, ако утре тази компания затвори, смени собственика си или получи съдебно разпореждане от държава, която не е вашата.
Следващия път, когато някой ви препоръча приложение за сигурни съобщения, не гледайте първо функциите или дизайна. Вижте кой плаща за него. Ако отговорът не ви убеждава, потърсете друго.