Andrés csak az időjárásról kérdez
Andrés venezuelai. Évek óta a környékbeli zöldségesnél dolgozik. Egy nap megkérdeztem tőle, hogy van a családja odahaza, a rezsim legrosszabb pillanataiban.
"Az országomban mindig jó az idő," mondta nekem.
Nem értettem. Erősködtem. És akkor elmagyarázta: "Csak WhatsApp-on tudok beszélni a családommal, mert a hívások nem működnek jól. De nagyon vigyázni kell arra, amit írsz. Nem tudjuk, hogy valaki olvashatja-e a beszélgetéseket. Amit viszont tudunk, az az, hogy bármikor bárkit őrizetbe vehetnek, és az első dolog, amit tesznek, hogy kinyitják a telefonját. Ha nem adod meg a PIN-kódot, pofonok jönnek és a cella, amíg meg nem adod. És ha találnak valami olyat a WhatsApp-on, ami nem tetszik nekik, szerencsés esetben az verés és néhány nap börtön. Balszerencsés esetben az illető eltűnik."
"Ezért amikor beszélek velük, alapvetően azt kérdezem tőlük, milyen az idő. Ha válaszolnak, legalább tudom, hogy élnek."
Andrés nem bűnöző. Nincs semmi titkolnivalója. De egy olyan világban él, ahol egy chaten leírt mondat tönkreteheti annak az életét, akit szeret.
Nem kell bűnözőnek lenni ahhoz, hogy szükségünk legyen magánéletre
Gondoljunk egy ügyvédre, aki a védelmi stratégiáról beszél az ügyfelével. A beszélgetés legitim és törvényes, de olyan információkat tartalmaz, amelyek a szövegkörnyezetből kiragadva pusztítóak lehetnek. Annak az ügyvédnek szakmai és törvényi kötelezettsége, hogy ezt a beszélgetést bizalmasan kezelje.
Gondoljunk egy fiatal párra. A lány a szüleivel él. Meghitt beszélgetéseket folytatnak, teljesen legitimeket, de amelyek a legmagánabb szférájukhoz tartoznak. Joguk van ahhoz, hogy ezek a szavak ne létezzenek semmilyen szerveren, amelyet feltörhetnek, eladhatnak vagy bíróságilag bekérhetnek.
Gondoljunk egy egyéni vállalkozóra, aki a könyvelőjével beszél az adói optimalizálásáról. Lehet a vonal egyik vagy másik oldalán — az az ő dolga. Ha egy irodában ülnének, senki sem hallaná azt a beszélgetést. Miért kellene másképp lennie, ha távolról beszélnek?
Vagy gondoljunk egy újságíróra Iránban, miközben rakéták hullanak körülötte, és megpróbál kommunikálni a párizsi szerkesztőségével. Vagy egy madridi bevándorlóra, aki az otthon maradt szüleivel beszél.
Mindezen embereknek szükségük van a magánélet védelmére. Egyikük sem bűnöző.
A tökéletes titkosítás csapdája
2018-ban az FBI létrehozott egy céget, amely titkosított mobiltelefonokat árult. A márka neve Anom volt. A piac legbiztonságosabb alternatívájaként árulták. Három év alatt több mint 12 000 készüléket osztottak szét több mint 100 országban. A felhasználók teljes bizalommal beszélgettek.
Amit nem tudtak, az az volt, hogy minden üzenet eljutott az FBI szervereire is. Minden szó. Minden fotó. Minden terv.
2021 júniusában a Trojan Shield művelet nyilvánosságra került. Több mint 800 letartóztatás 16 országban. Ez volt a történelem legnagyobb összehangolt rendőrségi akciója.
Nem technikai hiba volt. A titkosítás valódi volt. A technológia működött. A probléma az volt, hogy ki áll baktötte, és mit nyert vele.
Ez nem egyedi eset. Több mint 50 éven át a svájci Crypto AG cég titkosítógépeket adott el több mint 120 kormánynak. Amit 2020-ig senki sem tudott, az az volt, hogy a Crypto AG titokban a CIA és a német hírszerzés tulajdonában volt. A gépek működtek, de egy szándékos gyengeséggel, amely lehetővé tette valódi tulajdonosaik számára, hogy mindent elolvassanak.
Irán, India, Pakisztán, a Vatikán, latin-amerikai katonai junták. Mindannyian bíztak. Senki sem kérdezte meg, miért volt valakinek annyira érdekében, hogy olcsó titkosítást adjon el nekik.
A kérdés, amit mindig fel kellene tenned
Ha valaki kínál neked valamit, és nem érted, mit nyer cserébe, légy gyanakvó. Nem azért, mert mindenkinek rossz szándékai vannak — hanem azért, mert az üzleti modell megértése a legalapvetőbb módja annak értékelésére, hogy megbízhatsz-e egy szolgáltatásban.
Amikor WhatsApp-ot használsz, tudod, mit nyer a Meta: az adataidat, a szokásaidat, a figyelmedet a reklámok eladásához. Egyetérthetsz vele vagy sem, de legalább érted a cserét.
De amikor valaki titkosított kommunikációs szolgáltatást kínál neked, teljesen ingyen, reklámok nélkül, előfizetés nélkül és látható üzleti modell nélkül — a kérdés nem az, hogy a titkosítás jó-e. A kérdés az: ki finanszírozza ezt és miért?
Ami valójában számít
Vannak jelek, amelyek segítenek értékelni egy adatvédelmi eszközt. Nyílt forráskód, biztonsági auditok, európai joghatóság. Mind pozitívak. De egyik sem abszolút garancia.
A nyílt forráskód azt jelenti, hogy valaki ellenőrizheti, mit csinál az alkalmazás. De legyünk őszinték: a felhasználók 99,9%-a soha nem fog elolvasni egyetlen sor kódot sem. És a történelem tele van súlyos sebezhetőségekkel, amelyek évekig éltek több ezer ember által ellenőrzött nyílt forráskódú projektekben anélkül, že bárki észrevette volna őket.
A biztonsági auditok értékesek. De az auditokért pénzzel fizetnek, és a pénz a legegyszerűbb eszköz az akarat megvásárlására. Egy audit azt mondja ki, hogy a kód tiszta volt az ellenőrzés napján. Semmit nem mond arról, hogy mit változtattatottak utána.
Lehet a világ legjobb kódja, auditált és nyílt, de ha az adataid áthaladnak egy szerveren — akár csak egy másodpercre is, még ha titkosítva is vannak —, valakinek fizikai hozzáférése van ahhoz a szerverhez. És az a valaki lehet egy olyan országban, ahol egy bíró, een kormány vagy egy nagy köteg bankjegy bármilyen ajtót kinyithat.
Ami valójában megvéd, az nem az az ígéret, hogy "nem olvassuk az adataidat." Ami megvéd, az egy olyan architektúra, ahol az adataid soha nem hagyják el a kezedet. Ahol nincs szerver, amit feltörhetnének, nincs biztonsági mentés, ami kiszivároghatna, nincs hátsó ajtó, amit kinyithatnának.
A bizalmat nem adják ajándékba
Az Anom felhasználói bíztak, mert a termék működött. A Crypto AG ügyfelei bíztak, mert a márka tiszteletreméltó volt. Andrés nem bízik a WhatsApp-ban, de nincs más választása.
Az adatvédelmi eszközbe vetett bizalom nem alapulhat azon, hogy "jól működik." Azon kell alapulnia, hogy érted, ki áll mögötte, mit nyer, és mi történik az adataiddal, ha holnap az a cég bezár, tulajdonost vált, vagy bírósági végzést kap egy olyan országtól, amely nem a tiéd.
Legközelebb, amikor valaki biztonságos üzenetküldő alkalmazást ajánl neked, ne a funkciókat vagy a dizájnt nézd először. Nézd meg, ki fizeti. Ha a válasz nem győz meg, keress másikat.