Andres hanya bertanya tentang cuaca
Andres seorang warga Venezuela. Dia telah bekerja di kedai buah di kawasan kejiranan saya selama bertahun-tahun. Suatu hari saya bertanya kepadanya bagaimana keadaan keluarganya di sana, pada waktu-waktu terburuk rejim.
"Negara saya cuacanya sentiasa baik," katanya kepada saya.
Saya tidak faham. Saya mendesaknya. Dan kemudian dia menjelaskannya kepada saya: "Saya hanya boleh bercakap dengan keluarga saya melalui WhatsApp, kerana panggilan telefon tidak berfungsi dengan baik. Tetapi anda harus sangat berhati-hati dengan apa yang anda tulis. Kami tidak tahu jika ada sesiapa boleh membaca percakapan itu. Yang kami tahu ialah bila-bila masa sahaja mereka boleh menahan sesiapa sahaja dan perkara pertama yang mereka buat ialah membuka telefonnya. Jika anda tidak beri PIN, anda dipukul dan dimasukkan ke sel sehingga anda memberinya. Dan jika mereka menemui sesuatu yang mereka tidak suka dalam WhatsApp, jika nasib baik ia bermaksud pukulan dan beberapa hari dalam penjara. Jika nasib malang, orang itu hilang."
"Oleh itu, apabila saya bercakap dengan mereka, pada dasarnya saya tanya bagaimana cuaca. Jika mereka menjawab, sekurang-kurangnya saya tahu mereka masih hidup."
Andres bukan seorang penjenayah. Dia tidak mempunyai apa-apa untuk disembunyikan. Tetapi dia hidup dalam dunia di mana satu ayat yang ditulis dalam sembang boleh menghancurkan hidup seseorang yang dia cintai.
Anda tidak perlu jadi penjenayah untuk perlukan privasi
Fikirkan seorang peguam yang bercakap dengan kliennya tentang strategi pembelaan. Percakapan tersebut sah dan legal, tetapi mengandungi maklumat yang jika terkeluar dari konteks, boleh jadi sangat menghancurkan. Peguam tersebut mempunyai kewajipan profesional dan undang-undang untuk mengekalkan percakapan tersebut kekal rahsia.
Fikirkan tentang sepasang kekasih muda. Si gadis tinggal bersama orang tuanya. Mereka melakukan percakapan intim, sepenuhnya sah, tetapi itu termasuk dalam ruang lingkup peribadi mereka. Mereka berhak supaya kata-kata tersebut tidak wujud dalam mana-mana pelayan yang boleh digodam, dijual atau dituntut melalui mahkamah.
Fikirkan seorang pekerja bebas yang bercakap dengan pengurusnya tentang cara mengoptimumkan pajaknya. Dia boleh berada di satu sisi garis atau sisi yang lain — itu urusannya. Jika mereka boleh duduk dalam satu pejabat, tiada sesiapa akan mendengar percakapan itu. Mengapa harus berbeza jika mereka bercakap dari jauh?
Atau fikirkan tentang seorang wartawan di Iran, semasa peluru berpandu jatuh di sekelilingnya, cuba berkomunikasi dengan redaksinya di Paris. Atau seorang imigran di Madrid bercakap dengan orang tuanya yang menetap di sana.
Semua orang ini perlukan privasi. Tiada seorang pun daripada mereka penjenayah.
Perangkap penyulitan yang sempurna
Pada tahun 2018, FBI mencipta satu syarikat yang menjual telefon bimbit tersulit. Jenamanya bernama Anom. Ia dijual sebagai alternatif paling selamat di pasaran. Selama tiga tahun, lebih dari 12,000 peranti diedarkan di lebih 100 buah negara. Para pengguna bercakap dengan penuh keyakinan.
Apa yang mereka tidak tahu ialah setiap mesej juga sampai ke pelayan FBI. Setiap patah perkataan. Setiap foto. Setiap rancangan.
Pada Jun 2021, Operasi Trojan Shield diumumkan kepada awam. Lebih 800 orang ditahan di 16 buah negara. Ia merupakan operasi polis terlaras terbesar dalam sejarah.
Ia bukan satu kegagalan teknikal. Penyulitannya nyata. Teknologinya berfungsi. Masalahnya ialah siapa di sebaliknya dan apa keuntungan yang mereka dapat.
Ia bukan satu kes yang unik. Selama lebih 50 tahun, syarikat Swiss Crypto AG menjual mesin penyulitan kepada lebih 120 buah kerajaan. Apa yang tiada sesiapa tahu sehingga tahun 2020 ialah Crypto AG adalah milik rahsia CIA dan perkhidmatan perisikan Jerman. Mesin-mesin itu berfungsi, tetapi dengan kelemahan yang disengajakan yang membolehkan pemilik asalnya membaca segalanya.
Iran, India, Pakistan, Vatican, junta tentera Amerika Latin. Semua orang percaya. Tiada sesiapa bertanya mengapa seseorang begitu berminat menjual penyulitan murah kepada mereka.
Persoalan yang anda patut sentiasa tanya
Jika seseorang menawarkan sesuatu kepada anda dan anda tidak faham apa yang mereka dapat sebagai balasan, curigalah. Bukan kerana semua orang punya niat jahat — tetapi kerana memahami model perniagaan ialah cara paling asas untuk menilai sama ada anda boleh mempercayai satu perkhidmatan.
Apabila anda menggunakan WhatsApp, anda tahu apa yang Meta dapat: data anda, tabiat anda, perhatian anda untuk menjual iklan. Anda boleh setuju atau tidak, tapi sekurang-kurangnya anda faham pertukarannya.
Tetapi apabila seseorang menawarkan perkhidmatan komunikasi tersulit kepada anda, sepenuhnya percuma, tanpa iklan, tanpa langganan dan tanpa model perniagaan yang nampak — persoalannya bukan sama ada penyulitannya bagus. Persoalannya ialah: siapa yang membiayai ini dan mengapa?
Apa yang benar-benar penting
Ada tanda-tanda yang membantu menilai satu alat privasi. Kod sumber terbuka, audit keselamatan, yurisdiksi Eropah. Semuanya positif. Tapi tiada satu pun jaminan mutlak.
Kod sumber terbuka bermaksud seseorang boleh menyemak apa yang dilakukan aplikasi tersebut. Namun mari kita jujur: 99.9% pengguna tidak akan pernah membaca sebaris kod pun. Dan sejarah penuh dengan kerentanan sangat serius yang hidup selama bertahun-tahun dalam projek-proyek sumber terbuka yang disemak oleh ribuan orang tanpa ada sesiapa mengesannya.
Audit keselamatan adalah berharga. Namun audit dibayar dengan wang, dan wang ialah cara paling mudah untuk membeli keinginan. Satu audit mengatakan yang kodnya bersih pada hari ia disemak. Ia tidak mengatakan apa-apa tentang apa yang diubah selepas itu.
Anda boleh mempunyai kod terbaik di dunia, yang diaudit dan terbuka, tetapi jika data anda melalui satu pelayan — walaupun sesaat, walaupun tersulit — seseorang mempunyai akses fizikal ke pelayan tersebut. Dan seseorang itu boleh berada di negara di mana seorang hakim, kerajaan atau wang dalam jumlah besar boleh membuka sebarang pintu.
Apa yang benar-benar melindungi anda bukanlah janji yang "kami tidak membaca data anda." Yang melindungi anda ialah satu seni bina di mana data anda tidak pernah meninggalkan tangan anda. Di mana tiada pelayan yang boleh dikompromi, tiada sandaran yang boleh bocor, tiada pintu belakang yang boleh dibuka.
Kepercayaan tidak diberi secara percuma
Para pengguna Anom percaya kerana produknya berfungsi dengan baik. Para klien Crypto AG percaya kerana jenamanya terpandang. Andres tidak percaya pada WhatsApp tetapi tidak mempunyai alternatif lain.
Kepercayaan pada alat privasi tidak boleh didasarkan pada "berfungsi dengan baik." Ia harus didasarkan pada fakta yang anda faham siapa di sebaliknya, apa keuntungannya, dan apa yang berlaku dengan data anda jika esok syarikat itu tutup, berpindah tangan, atau menerima perintah mahkamah dari negara yang bukan negara anda.
Lain kali apabila seseorang mengesyorkan satu aplikasi pesanan yang selamat kepada anda, jangan lihat ciri atau reka bentuknya dahulu. Lihatlah siapa yang membayarnya. Jika jawapannya tidak meyakinkan anda, cari yang lain.