Ο Ανδρές ρωτάει μόνο για τον καιρό
Ο Ανδρές είναι Βενεζουελανός. Εργάζεται σε ένα μανάβικο της γειτονιάς εδώ και χρόνια. Μια μέρα τον ρώτησα πώς ήταν η οικογένειά του εκεί, στις χειρότερες στιγμές του καθεστώτος.
"Στη χώρα μου κάνει πάντα καλό καιρό," μου είπε.
Δεν κατάλαβα. Επέμεινα. Και τότε μου εξήγησε: "Μπορώ να μιλήσω με την οικογένειά μου μόνο μέσω WhatsApp, επειδή οι κλήσεις δεν λειτουργούν καλά. Αλλά πρέπει να προσέχεις πολύ τι γράφεις. Δεν ξέρουμε αν κάποιος μπορεί να διαβάσει τις συνομιλίες. Αυτό που ξέρουμε είναι ότι ανά πάσα στιγμή μπορούν να συλλάβουν οποιονδήποτε και το πρώτο πράγμα που κάνουν είναι να του ανοίξουν το τηλέφωνο. Εάν δεν δώσεις το PIN, πέφτουν χαστούκια και κελί μέχρι να το δώσεις. Και αν βρουν κάτι που δεν τους αρέσει στο WhatsApp, με την καλή τύχη είναι ξύλο και μερικές μέρες στο κρατητήριο. Με την κακή τύχη, αυτό το άτομο εξαφανίζεται."
"Γι' αυτό, όταν τους μιλάω, βασικά τους ρωτάω πώς είναι ο καιρός. Εάν μου απαντήσουν, τουλάχιστον ξέρω ότι είναι ζωντανοί."
Ο Ανδρές δεν είναι εγκληματίας. Δεν έχει τίποτα να κρύψει. Αλλά ζει σε έναν κόσμο όπου μια φράση γραμμένη σε ένα chat μπορεί να καταστρέψει τη ζωή κάποιου που αγαπάει.
Δεν χρειάζεται να είναι κανείς εγκληματίας για να χρειάζεται απόρρητο
Σκεφτείτε έναν δικηγόρο που μιλάει με τον πελάτη του για μια στρατηγική υπεράσπισης. Η συνομιλία είναι θεμιτή και νόμιμη, αλλά περιέχει πληροφορίες που, εκτός πλαισίου, θα μπορούσαν να είναι καταστροφικές. Αυτός ο δικηγόρος έχει την επαγγελματική και νομική υποχρέωση να διατηρήσει αυτή τη συνομιλία εμπιστευτική.
Σκεφτείτε ένα νεαρό ζευγάρι. Εκείνη ζει με τους γονείς της. Διατηρούν προσωπικές συνομιλίες, εντελώς θεμιτές, αλλά που ανήκουν στην πιο ιδιωτική τους σφαίρα. Έχουν δικαίωμα αυτές οι λέξεις να μην υπάρχουν σε κανέναν διακομιστή που θα μπορούσε να παραβιαστεί, να πουληθεί ή να ζητηθεί δικαστικά.
Σκεφτείτε έναν ελεύθερο επαγγελματία που μιλάει με τον λογιστή του για το πώς να βελτιστοποιήσει τους φόρους του. Μπορεί να είναι από τη μία ή την άλλη πλευρά της γραμμής —αυτό είναι δικό του θέμα. Εάν μπορούσαν να κάθονται σε ένα γραφείο, κανείς δεν θα άκουγε αυτή τη συνομιλία. Γιατί θα έπρεπε να είναι διαφορετικά εάν μιλούν από απόσταση;
Ή σκεφτείτε έναν δημοσιογράφο στο Ιράν, ενώ πέφτουν πύραυλοι γύρω του, που προσπαθεί να επικοινωνήσει με τη σύνταξή του στο Παρίσι. Ή έναν μετανάστη στη Μαδρίτη που μιλάει με τους γονείς του που έμειναν εκεί.
Όλοι αυτοί οι άνθρωποι χρειάζονται απόρρητο. Κανείς τους δεν είναι εγκληματίας.
Η παγίδα της τέλειας κρυπτογράφησης
Το 2018, το FBI δημιούργησε μια εταιρεία που πουλούσε κρυπτογραφημένα κινητά τηλέφωνα. Η μάρκα ονομαζόταν Anom. Πωλούνταν ως η πιο ασφαλής εναλλακτική της αγοράς. Μέσα σε τρία χρόνια, περισσότερες από 12.000 συσκευές διανεμήθηκαν σε περισσότερες από 100 χώρες. Οι χρήστες μιλούσαν με απόλυτη εμπιστοσύνη.
Αυτό που δεν γνώριζαν είναι ότι κάθε μήνυμα έφτανε επίσης στους διακομιστές του FBI. Κάθε λέξη. Κάθε φωτογραφία. Κάθε σχέδιο.
Τον Ιούνιο του 2021, η επιχείρηση Trojan Shield δημοσιοποιήθηκε. Περισσότερες από 800 συλλήψεις σε 16 χώρες. Ήταν η μεγαλύτερη συντονισμένη αστυνομική επιχείρηση στην ιστορία.
Δεν ήταν τεχνικό σφάλμα. Η κρυπτογράφηση ήταν πραγματική. Η τεχνολογία λειτουργούσε. Το πρόβλημα ήταν ποιος βρισκόταν από πίσω και τι κέρδιζε από αυτό.
Δεν είναι μεμονωμένη περίπτωση. Για περισσότερα από 50 χρόνια, η ελβετική εταιρεία Crypto AG πουλούσε μηχανές κρυπτογράφησης σε περισσότερες από 120 κυβερνήσεις. Αυτό που κανείς δεν έμαθε μέχρι το 2020 είναι ότι η Crypto AG ήταν κρυφή ιδιοκτησία της CIA και της γερμανικής υπηρεσίας πληροφοριών. Οι μηχανές λειτουργούσαν, αλλά με μια εσκεμμένη αδυναμία που επέτρεπε στους πραγματικούς ιδιοκτήτες τους να διαβάζουν τα πάντα.
Ιράν, Ινδία, Πακιστάν, Βατικανό, λατινοαμερικανικές στρατιωτικές χούντες. Όλοι εμπιστεύτηκαν. Κανείς δεν αναρωτήθηκε γιατί κάποιος είχε τόσο μεγάλο ενδιαφέρον να τους πουλήσει φθηνή κρυπτογράφηση.
Η ερώτηση που θα έπρεπε να κάνετε πάντα
Εάν κάποιος σάς προσφέρει κάτι και δεν καταλαβαίνετε τι κερδίζει σε αντάλλαγμα, να δυσπιστείτε. Όχι επειδή όλος ο κόσμος έχει κακές προθέσεις —αλλά επειδή η κατανόηση του επιχειρηματικού μοντέλου είναι ο πιο βασικός τρόπος για να αξιολογήσετε εάν μπορείτε να εμπιστευτείτε μια υπηρεσία.
Όταν χρησιμοποιείτε WhatsApp, γνωρίζετε τι κερδίζει η Meta: τα δεδομένα σας, τις συνήθειές σας, την προσοχή σας για να πουλήσει διαφήμιση. Μπορεί να συμφωνείτε ή όχι, αλλά τουλάχιστον καταλαβαίνετε την ανταλλαγή.
Αλλά όταν κάποιος σάς προσφέρει μια υπηρεσία κρυπτογραφημένης επικοινωνίας, εντελώς δωρεάν, χωρίς διαφήμιση, χωρίς συνδρομή και χωρίς ορατό επιχειρηματικό μοντέλο —η ερώτηση δεν είναι εάν η κρυπτογράφηση είναι καλή. Η ερώτηση είναι: ποιος το χρηματοδοτεί αυτό και γιατί;
Αυτό που πραγματικά μετράει
Υπάρχουν σημάδια που βοηθούν στην αξιολόγηση ενός εργαλείου απορρήτου. Ανοιχτός κώδικας, έλεγχοι ασφαλείας, ευρωπαϊκή δικαιοδοσία. Όλα είναι θετικά. Αλλά κανένα δεν είναι απόλυτη εγγύηση.
Ανοιχτός κώδικας σημαίνει ότι κάποιος μπορεί να ελέγξει τι κάνει η εφαρμογή. Αλλά ας είμαστε ειλικρινείς: το 99,9% των χρηστών δεν πρόκειται ποτέ να διαβάσει μια γραμμή κώδικα. Και η ιστορία είναι γεμάτη από σοβαρότατες ευπάθειες που έζησαν για χρόνια σε open source projects ελεγμένα από χιλιάδες άτομα χωρίς να τις εντοπίσει κανείς.
Οι έλεγχοι (audits) ασφαλείας είναι πολύτιμοι. Αλλά οι έλεγχοι πληρώνονται με χρήματα, και το χρήμα είναι το πιο απλό μέσο για να αγοράσεις θελήσεις. Ένας έλεγχος λέει ότι ο κώδικας ήταν καθαρός την ημέρα που ελέγχθηκε. Δεν λέει τίποτα για το τι άλλαξε μετά.
Μπορείτε να έχετε τον καλύτερο κώδικα στον κόσμο, ελεγμένο και ανοιχτό, αλλά εάν τα δεδομένα σας περνούν από έναν διακομιστή —έστω και για ένα δευτερόλεπτο, έστω και αν είναι κρυπτογραφημένα— κάποιος έχει φυσική πρόσβαση σε αυτόν τον διακομιστή. Και αυτός ο κάποιος μπορεί να βρίσκεται σε μια χώρα όπου ένας δικαστής, μια κυβέρνηση ή ένα μεγάλο χαρτονόμισμα μπορούν να ανοίξουν οποιαδήποτε πόρτα.
Αυτό που πραγματικά σας προστατεύει δεν είναι μια υπόσχεση ότι "δεν διαβάζουμε τα δεδομένα σας." Αυτό που σας προστατεύει είναι μια αρχιτεκτονική όπου τα δεδομένα σας δεν βγαίνουν ποτέ από τα χέρια σας. Όπου δεν υπάρχει διακομιστής για να παραβιαστεί, δεν υπάρχει backup για να διαρρεύσει, δεν υπάρχει πίσω πόρτα για να ανοίξει.
Η εμπιστοσύνη δεν χαρίζεται
Οι χρήστες της Anom εμπιστεύτηκαν επειδή το προϊόν λειτουργούσε. Οι πελάτες της Crypto AG εμπιστεύτηκαν επειδή η μάρκα ήταν σεβαστή. Ο Ανδρές δεν εμπιστεύεται το WhatsApp αλλά δεν έχει εναλλακτική.
Η εμπιστοσύνη σε ένα εργαλείο απορρήτου δεν μπορεί να βασίζεται στο ότι "λειτουργεί καλά." Πρέπει να βασίζεται στο ότι καταλαβαίνετε ποιος βρίσκεται από πίσω, τι κερδίζει, και τι συμβαίνει με τα δεδομένα σας εάν αύριο αυτή η εταιρεία κλείσει, αλλάξει ιδιοκτήτη ή λάβει μια δικαστική εντολή από μια χώρα που δεν είναι η δική σας.
Την επόμενη φορά που κάποιος θα σας προτείνει μια ασφαλή εφαρμογή μηνυμάτων, μην κοιτάξετε πρώτα τις λειτουργίες ούτε το σχεδιασμό. Κοιτάξτε ποιος την πληρώνει. Εάν η απάντηση δεν σας πείθει, ψάξτε για άλλη.