Andres hanya bertanya tentang cuaca
Andres adalah orang Venezuela. Ia telah bekerja di toko buah di lingkungan saya selama bertahun-tahun. Suatu hari saya bertanya kepadanya bagaimana kabar keluarganya di sana, di saat-saat terburuk rezim.
"Negara saya cuacanya selalu bagus," katanya kepada saya.
Saya tidak mengerti. Saya mendesaknya. Dan kemudian ia menjelaskannya kepada saya: "Saya hanya bisa berbicara dengan keluarga saya melalui WhatsApp, karena panggilan telepon tidak berfungsi dengan baik. Tapi Anda harus sangat berhati-hati dengan apa yang Anda tulis. Kami tidak tahu apakah ada yang bisa membaca percakapannya. Yang kami tahu adalah sewaktu-waktu mereka bisa menangkap siapa saja dan hal pertama yang mereka lakukan adalah membuka ponselnya. Jika Anda tidak memberikan PIN, Anda akan dipukul dan dimasukkan sel sampai Anda memberikannya. Dan jika mereka menemukan sesuatu yang tidak mereka sukai di WhatsApp, kalau beruntung itu berarti pukulan dan beberapa hari di penjara. Kalau tidak beruntung, orang itu menghilang."
"Oleh karena itu, ketika saya berbicara dengan mereka, pada dasarnya saya bertanya bagaimana cuacanya. Jika mereka menjawab, setidaknya saya tahu mereka masih hidup."
Andres bukan seorang kriminal. Ia tidak punya apa pun untuk disembunyikan. Namun ia hidup di dunia di mana sebuah kalimat yang ditulis dalam obrolan dapat menghancurkan hidup seseorang yang ia cintai.
Anda tidak perlu menjadi kriminal untuk membutuhkan privasi
Pikirkan seorang pengacara yang berbicara dengan kliennya tentang strategi pembelaan. Percakapan tersebut sah dan legal, tetapi berisi informasi yang jika keluar dari konteks, bisa sangat menghancurkan. Pengacara tersebut memiliki kewajiban profesional dan hukum untuk menjaga percakapan tersebut tetap rahasia.
Pikirkan tentang pasangan muda. Sang wanita tinggal bersama orang tuanya. Mereka melakukan percakapan intim, sepenuhnya sah, tetapi itu termasuk dalam ruang lingkup pribadi mereka. Mereka berhak agar kata-kata tersebut tidak ada di server mana pun yang dapat diretas, dijual, atau diminta melalui pengadilan.
Pikirkan seorang pekerja lepas yang berbicara dengan pengelolanya tentang cara mengoptimalkan pajaknya. Ia bisa berada di satu sisi garis atau sisi lainnya — itu urusannya. Jika mereka bisa duduk di sebuah kantor, tidak ada yang akan mendengar percakapan itu. Mengapa harus berbeda jika mereka berbicara dari jauh?
Atau pikirkan tentang seorang jurnalis di Iran, sementara rudal berjatuhan di sekelilingnya, mencoba berkomunikasi dengan redaksinya di Paris. Atau seorang imigran di Jakarta yang berbicara dengan orang tuanya yang menetap di sana.
Semua orang ini butuh privasi. Tidak ada satu pun dari mereka yang kriminal.
Jebakan enkripsi yang sempurna
Pada tahun 2018, FBI membuat sebuah perusahaan yang menjual ponsel terenkripsi. Mereknya bernama Anom. Ia dijual sebagai alternatif paling aman di pasar. Selama tiga tahun, lebih dari 12.000 perangkat didistribusikan di lebih dari 100 negara. Para pengguna berbicara dengan penuh percaya diri.
Yang tidak mereka ketahui adalah setiap pesan juga sampai ke server FBI. Setiap kata. Setiap foto. Setiap rencana.
Pada Juni 2021, Operasi Trojan Shield diumumkan ke publik. Lebih dari 800 orang ditangkap di 16 negara. Itu adalah operasi polisi terkoordinasi terbesar dalam sejarah.
Itu bukan kegagalan teknis. Enkripsinya nyata. Teknologinya berfungsi. Masalahnya adalah siapa yang ada di belakangnya dan apa keuntungan yang mereka dapatkan.
Ini bukan kasus yang unik. Selama lebih dari 50 tahun, perusahaan Swiss Crypto AG menjual mesin enkripsi ke lebih dari 120 pemerintah. Yang tidak diketahui siapa pun sampai tahun 2020 adalah bahwa Crypto AG adalah milik rahasia CIA dan dinas intelijen Jerman. Mesin-mesin itu berfungsi, tetapi dengan kelemahan yang disengaja yang memungkinkan pemilik aslinya membaca semuanya.
Iran, India, Pakistan, Vatikan, junta militer Amerika Latin. Semua orang percaya. Tidak ada yang bertanya mengapa seseorang begitu tertarik menjual enkripsi murah kepada mereka.
Pertanyaan yang harus selalu Anda ajukan
Jika seseorang menawarkan sesuatu kepada Anda dan Anda tidak mengerti apa yang mereka dapatkan sebagai balasannya, curigalah. Bukan karena semua orang punya niat buruk — tetapi karena memahami model bisnis adalah cara paling dasar untuk mengevaluasi apakah Anda dapat mempercayai sebuah layanan.
Saat Anda menggunakan WhatsApp, Anda tahu apa yang Meta dapatkan: data Anda, kebiasaan Anda, perhatian Anda untuk menjual iklan. Anda bisa setuju atau tidak, tapi setidaknya Anda mengerti pertukarannya.
Tetapi ketika seseorang menawarkan layanan komunikasi terenkripsi kepada Anda, sepenuhnya gratis, tanpa iklan, tanpa langganan, dan tanpa model bisnis yang terlihat — pertanyaannya bukan apakah enkripsinya bagus. Pertanyaannya adalah: siapa yang mendanai ini dan mengapa?
Apa yang benar-benar penting
Ada tanda-tanda yang membantu mengevaluasi alat privasi. Kode sumber terbuka, audit keamanan, yurisdiksi Eropa. Semuanya positif. Tapi tidak ada yang merupakan jaminan mutlak.
Kode sumber terbuka berarti seseorang dapat meninjau apa yang dilakukan aplikasi tersebut. Namun jujur saja: 99,9% pengguna tidak akan pernah membaca sebaris kode pun. Dan sejarah penuh dengan kerentanan sangat serius yang hidup selama bertahun-tahun dalam proyek-proyek sumber terbuka yang ditinjau oleh ribuan orang tanpa ada yang mendeteksinya.
Audit keamanan itu berharga. Namun audit dibayar dengan uang, dan uang adalah cara paling sederhana untuk membeli keinginan. Sebuah audit mengatakan bahwa kodenya bersih pada hari diperiksa. Ia tidak mengatakan apa pun tentang apa yang diubah setelahnya.
Anda bisa memiliki kode terbaik di dunia, yang diaudit dan terbuka, tetapi jika data Anda melewati sebuah server — meskipun hanya sedetik, meskipun dienkripsi — seseorang memiliki akses fisik ke server tersebut. Dan seseorang itu bisa berada di negara di mana seorang hakim, pemerintah, atau uang dalam jumlah besar dapat membuka pintu apa pun.
Apa yang benar-benar melindungi Anda bukanlah janji bahwa "kami tidak membaca data Anda." Yang melindungi Anda adalah arsitektur di mana data Anda tidak pernah meninggalkan tangan Anda. Di mana tidak ada server yang bisa dikompromikan, tidak ada cadangan yang bisa bocor, tidak ada pintu belakang yang bisa dibuka.
Kepercayaan tidak diberikan secara gratis
Para pengguna Anom percaya karena produknya berfungsi dengan baik. Para klien Crypto AG percaya karena mereknya terpandang. Andres tidak percaya pada WhatsApp tetapi tidak punya pilihan lain.
Kepercayaan pada alat privasi tidak bisa didasarkan pada "berfungsi dengan baik." Ia harus didasarkan pada fakta bahwa Anda mengerti siapa yang berada di belakangnya, apa keuntungannya, dan apa yang terjadi dengan data Anda jika besok perusahaan itu tutup, berpindah tangan, atau menerima perintah pengadilan dari negara yang bukan negara Anda.
Lain kali saat seseorang merekomendasikan aplikasi pesan yang aman kepada Anda, jangan lihat fitur atau desainnya terlebih dahulu. Lihatlah siapa yang membayarnya. Jika jawabannya tidak meyakinkan Anda, cari yang lain.