Andrés pita samo za vrijeme
Andrés je Venezuelanac. Godinama radi u susjednoj voćarnici. Jednog dana pitao sam ga kako mu je obitelj tamo, u najgorim trenucima režima.
"U mojoj zemlji je uvijek lijepo vrijeme," rekao mi je.
Nisam razumio. Inzistirao sam. I tada mi je objasnio: "Sa svojom obitelji mogu razgovarati samo putem WhatsAppa, jer pozivi ne rade dobro. Ali morate biti jako oprezni s onim što pišete. Ne znamo može li netko čitati razgovore. Ono što znamo je da u bilo kojem trenutku mogu privesti bilo koga i prvo što naprave je da mu otvore telefon. Ako ne daš PIN, slijede šamari i ćelija dok ga ne daš. A ako nađu nešto što im se ne sviđa na WhatsAppu, u najboljem slučaju to su batine i nekoliko dana u zatvoru. U lošem slučaju, ta osoba nestane."
"Zato ih, kad razgovaram s njima, u osnovi pitam kakvo je vrijeme. Ako mi odgovore, barem znam da su živi."
Andrés nije kriminalac. Nema što skrivati. Ali živi u svijetu u kojem jedna rečenica napisana u chatu može uništiti život nekome koga voli.
Ne morate biti kriminalac da biste trebali privatnost
Zamislite odvjetnika koji sa svojim klijentom razgovara o strategiji obrane. Razgovor je legitiman i legalan, ali sadrži informacije koje bi, izvađene iz konteksta, mogle biti razorne. Taj odvjetnik ima profesionalnu i zakonsku obvezu čuvati taj razgovor povjerljivim.
Zamislite mladi par. Ona živi s roditeljima. Vode intimne razgovore, potpuno legitimne, ali koji pripadaju njihovoj najprivatnijoj sferi. Imaju pravo da te riječi ne postoje ni na jednom poslužitelju koji bi mogao biti hakiran, prodan ili sudski zatražen.
Zamislite samostalnog djelatnika koji sa svojim voditeljem razgovara o tome kako optimizirati svoje poreze. Može biti s jedne ili s druge strane linije — to je njegova stvar. Da mogu sjediti u uredu, nitko ne bi čuo taj razgovor. Zašto bi bilo drugačije ako razgovaraju na daljinu?
Ili zamislite novinara u Iranu, dok oko njega padaju projektili, kako pokušava komunicirati sa svojom redakcijom u Parizu. Ili imigranta u Madridu koji razgovara sa svojim roditeljima koji su tamo ostali.
Svim tim ljudima potrebna je privatnost. Nitko od njih nije kriminalac.
Zamka savršenog šifriranja
Godine 2018. FBI je stvorio tvrtku koja je prodavala šifrirane mobilne telefone. Marka se zvala Anom. Prodavala se kao najsigurnija alternativa na tržištu. Tijekom tri godine više od 12.000 uređaja distribuirano je u više od 100 zemalja. Korisnici su razgovarali s punim povjerenjem.
Ono što nisu znali je da je svaka poruka stizala i na FBI-eve poslužitelje. Svaka riječ. Svaka fotografija. Svaki plan.
U lipnju 2021. javno je objavljena operacija Trojan Shield. Više od 800 uhićenih u 16 zemalja. Bila je to najveća koordinirana policijska operacija u povijesti.
Nije to bio tehnički kvar. Šifriranje je bilo stvarno. Tehnologija je radila. Problem je bio tko stoji iza toga i što je time dobio.
Nije to izoliran slučaj. Više od 50 godina švicarska tvrtka Crypto AG prodavala je strojeve za šifriranje više od 120 vlada. Ono što nitko nije znao do 2020. bilo je da je Crypto AG bio u tajnom vlasništvu CIA-e i njemačke obavještajne službe. Strojevi su radili, ali s namjernom slabošću koja je njihovim pravim vlasnicima omogućavala da čitaju sve.
Iran, Indija, Pakistan, Vatikan, latinoameričke vojne hunte. Svi su vjerovali. Nitko se nije zapitao zašto netko ima toliki interes prodavati im jeftino šifriranje.
Pitanje koje biste si uvijek trebali postaviti
Ako vam netko nešto nudi, a ne razumijete što dobiva zauzvrat, budite sumnjičavi. Ne zato što svi imaju loše namjere — već zato što je razumijevanje poslovnog modela najosnovniji način procjene možete li vjerovati nekoj usluzi.
Kada koristite WhatsApp, znate što Meta dobiva: vaše podatke, vaše navike, vašu pažnju za prodaju oglašavanja. Možete se složiti ili ne, ali barem razumijete razmjenu.
Ali kada vam netko ponudi uslugu šifrirane komunikacije, potpuno besplatno, bez oglašavanja, bez pretplate i bez vidljivog poslovnog modela — pitanje nije je li šifriranje dobro. Pitanje je: tko to financira i zašto?
Ono što je stvarno važno
Postoje znakovi koji pomažu u procjeni alata za privatnost. Otvoreni kod, sigurnosne revizije, europska jurisdikcija. Sve je to pozitivno. Ali ništa nije apsolutno jamstvo.
Otvoreni kod znači da netko može pregledati što aplikacija radi. Ali budimo iskreni: 99,9% korisnika nikada neće pročitati ni redak koda. A povijest je puna vrlo ozbiljnih ranjivosti koje su godinama živjele u projektima otvorenog koda koje su pregledale tisuće ljudi, a da ih nitko nije otkrio.
Sigurnosne revizije su vrijedne. Ali revizije se plaćaju novcem, a novac je najjednostavnije sredstvo za kupnju volje. Revizija kaže da je kod bio čist na dan kada je pregledan. Ne govori ništa o tome što je promijenjeno nakon toga.
Možete imati najbolji kod na svijetu, revidiran i otvoren, ali ako vaši podaci prolaze kroz poslužitelj — makar i na sekundu, makar bili šifrirani — netko ima fizički pristup tom poslužitelju. A taj netko može biti u zemlji u kojoj sudac, vlada ili velika novčanica mogu otvoriti bilo koja vrata.
Ono što vas stvarno štiti nije obećanje da "ne čitamo vaše podatke." Ono što vas štiti je arhitektura u kojoj vaši podaci nikada ne izlaze iz vaših ruku. Gdje nema poslužitelja koji bi se mogao kompromitirati, nema sigurnosne kopije koja bi mogla procuriti, nema stražnjih vrata koja bi se mogla otvoriti.
Povjerenje se ne poklanja
Korisnici Anoma su vjerovali jer je proizvod radio. Klijenti Crypto AG-a su vjerovali jer je marka bila ugledna. Andrés ne vjeruje WhatsAppu, ali nema alternative.
Povjerenje u alat za privatnost ne može se temeljiti na tome da "dobro radi." Mora se temeljiti na tome da razumijete tko stoji iza njega, što dobiva i što se događa s vašim podacima ako se sutra ta tvrtka zatvori, promijeni vlasnika ili dobije sudski nalog iz zemlje koja nije vaša.
Sljedeći put kad vam netko preporuči sigurnu aplikaciju za razmjenu poruka, ne gledajte prvo funkcije ni dizajn. Pogledajte tko je plaća. Ako vas odgovor ne uvjeri, potražite drugu.