Andrėjas klausia tik apie orą
Andrėjas yra venesuelietis. Jis jau daugelį metų dirba kaimynystėje esančioje vaisių parduotuvėje. Vieną dieną paklausiau jo, kaip sekasi jo šeimai ten, pačiais sunkiausiais režimo laikais.
„Mano šalyje visada geras oras“, – pasakė jis man.
Nesupratau. Paklausiau dar kartą. Ir tada jis man paaiškino: „Su šeima galiu kalbėtis tik per „WhatsApp“, nes skambučiai veikia prastai. Tačiau reikia būti labai atsargiems rašant. Mes nežinome, ar kas nors gali skaityti mūsų pokalbius. Žinome tik tai, kad bet kuriuo metu gali suimti bet ką, o pirmas dalykas, kurį jie padaro – atidaro telefoną. Jei neduodi PIN kodo, gauni smūgių ir sėdi kameroje, kol jį duosi. O jei „WhatsApp“ randa ką nors, kas jiems nepatinka, geriausiu atveju laukia sumušimas ir kelios dienos areštinėje. Blogiausiu atveju – tas asmuo tiesiog dingsta.“
„Todėl kalbėdamas su jais iš esmės klausiu tik kokie orai. Jei jie atsako, bent jau žinau, kad jie gyvi.“
Andrėjas nėra nusikaltėlis. Jis neturi ko slėpti. Tačiau jis gyvena pasaulyje, kuriame viena sakinio frazė pokalbių programėlėje gali sugriauti mylimo žmogaus gyvenimą.
Nebūtina būti nusikaltėliu, kad reikėtų privatumo
Pagalvokite apie advokatą, kalbantį su savo klientu apie gynybos strategiją. Pokalbis yra teisėtas, tačiau jame yra informacijos, kuri, ištraukta iš konteksto, gali būti pražūtinga. Tas advokatas turi profesinę ir teisinę pareigą išlaikyti šį pokalbį konfidencialų.
Pagalvokite apie jauną porą. Ji gyvena su tėvais. Jie palaiko intymius pokalbius, visiškai teisėtus, tačiau priklausančius jų privačiausiai sferai. Jie turi teisę, kad tie žodžiai neegzistuotų jokiame serveryje, kurį būtų galima nulaužti, parduoti ar pareikalauti teismo keliu.
Pagalvokite apie savarankiškai dirbantį asmenį, besitariantį su savo buhalteriu, kaip optimizuoti mokesčius. Jis gali būti vienoje ar kitoje įstatymo ribos pusėje – tai jo reikalas. Jei jie sėdėtų kabinete, niekas negirdėtų to pokalbio. Kodėl turėtų būti kitaip, jei jie kalbasi per atstumą?
Arba pagalvokite apie žurnalistą Irane, kai aplink krenta raketos, bandantį susisiekti su savo redakcija Paryžiuje. Arba imigrantą Madride, kalbantį su tėvais, likusiais ten.
Visiems šiems žmonėms reikia privatumo. Nė vienas iš jų nėra nusikaltėlis.
Tobulo šifravimo spąstai
2018 m. FTB sukūrė įmonę, kuri pardavinėjo šifruotus mobiliuosius telefonus. Prekės ženklas vadinosi „Anom“. Jis buvo parduodamas kaip saugiausia alternatyva rinkoje. Per trejus metus daugiau nei 12 000 įrenginių buvo išplatinta daugiau nei 100 šalių. Vartotojai kalbėjosi visiškai pasitikėdami.
Ko jie nežinojo, tai kad kiekviena žinutė pasiekdavo ir FTB serverius. Kiekvienas žodis. Kiekviena nuotrauka. Kiekvienas planas.
2021 m. birželį operacija „Trojan Shield“ tapo vieša. Daugiau nei 800 suimtųjų 16-oje šalių. Tai buvo didžiausia koordinuota policijos operacija istorijoje.
Tai nebuvo techninis gedimas. Šifravimas buvo tikras. Technologija veikė. Problema buvo tame, kas už jos stovėjo ir ką iš to laimėjo.
Tai nėra pavienis atvejis. Daugiau nei 50 metų Šveicarijos įmonė „Crypto AG“ pardavinėjo šifravimo mašinas daugiau nei 120 vyriausybių. Ko niekas nežinojo iki 2020 m., tai kad „Crypto AG“ slapta priklausė CŽV ir Vokietijos žvalgybos tarnybai. Mašinos veikė, tačiau su tyčiniu pažeidžiamumu, leidžiančiu jų tikriesiems savininkams viską perskaityti.
Iranas, Indija, Pakistanas, Vatikanas, Lotynų Amerikos karinės chuntos. Visi pasitikėjo. Niekas nepaklausė, kodėl kas nors taip suinteresuotas parduoti jiems pigų šifravimą.
Klausimas, kurį turėtumėte užduoti visada
Jei kas nors jums ką nors siūlo ir jūs nesuprantate, ką jie gauna mainais – būkite atsargūs. Ne todėl, kad visi turėtų blogų ketinimų, bet todėl, kad verslo modelio supratimas yra pagrindinis būdas įvertinti, ar galite pasitikėti paslauga.
Kai naudojatės „WhatsApp“, žinote, ką laimi „Meta“: jūsų duomenis, jūsų įpročius, jūsų dėmesį, kad galėtų parduoti reklamą. Galite su tuo sutikti arba ne, bet bent jau suprantate mainus.
But kai kas nors siūlo šifruoto ryšio paslaugą, visiškai nemokamai, be reklamos, be prenumeratos ir be matomo verslo modelio – klausimas nėra, ar šifravimas geras. Klausimas yra: kas tai finansuoja ir kodėl?
Kas iš tikrųjų svarbu
Yra ženklų, padedančių įvertinti privatumo įrankį. Atviras kodas, saugumo auditai, Europos jurisdikcija. Visi jie yra teigiami. Tačiau nė vienas nėra absoliuti garantija.
Atviras kodas reiškia, kad kas nors gali peržiūrėti, ką programėlė daro. Bet būkime sąžiningi: 99,9 % vartotojų niekada neperskaitys nė vienos kodo eilutės. O istorija pilna labai rimtų pažeidžiamumų, kurie metų metus gyveno atviro kodo projektuose, peržiūrėtuose tūkstančių žmonių, niekam jų nepastebėjus.
Saugumo auditai yra vertingi. Tačiau už auditus mokama pinigais, o pinigai yra paprasčiausia priemonė nusipirkti valią. Auditas sako, kad kodas buvo švarus tą dieną, kai buvo peržiūrėtas. Jis nieko nesako apie tai, kas buvo pakeista vėliau.
Galite turėti geriausią pasaulyje kodą, audituotą ir atvirą, bet jei jūsų duomenys keliauja per serverį – net jei tai trunka sekundę, net jei jie yra šifruoti – kas nors turi fizinę prieigą prie to serverio. Ir tas kas nors gali būti šalyje, kurioje teisėjas, vyriausybė ar didelis kyšis gali atidaryti bet kurias duris.
Jus iš tikrųjų saugo ne pažadas, kad „mes neskaitome jūsų duomenų“. Jus saugo architektūra, kurioje jūsų duomenys niekada neišeina iš jūsų rankų. Kur nėra serverio, kurį būtų galima pažeisti, nėra atsarginės kopijos, kurią būtų galima nutekinti, nėra galinių durų („backdoor“), kurias būtų galima atidaryti.
Pasitikėjimas nėra dalijamas veltui
„Anom“ vartotojai pasitikėjo, nes produktas veikė. „Crypto AG“ klientai pasitikėjo, nes prekės ženklas buvo gerbiamas. Andrėjas nepasitiki „WhatsApp“, bet neturi pasirinkimo.
Pasitikėjimas privatumo įrankiu negali būti pagrįstas tuo, kad jis „gerai veikia“. Jis turi būti pagrįstas tuo, kad suprantate, kas už jo stovi, ką jie gauna ir kas nutiks jūsų duomenims, jei rytoj ta įmonė užsidarys, pakeis savininką arba gaus teismo nurodymą iš šalies, kuri nėra jūsų.
Kitą kartą, kai kas nors jums rekomenduos saugią susirašinėjimo programėlę, pirmiausia nežiūrėkite į funkcijas ar dizainą. Pažiūrėkite, kas už ją moka. Jei atsakymas jūsų neįtikina, ieškokite kitos.