Andrés pyta tylko o pogodę
Andrés jest Wenezuelczykiem. Od lat pracuje w osiedlowym sklepie z owocami. Pewnego dnia zapytałem go, jak miewa się jego rodzina tam, w najgorszych momentach reżimu.
"W moim kraju zawsze jest ładna pogoda" – odpowiedział.
Nie zrozumiałem. Nalegałem. Wtedy mi to wyjaśnił: "Mogę rozmawiać z rodziną tylko przez WhatsApp, bo zwykłe połączenia źle działają. Ale trzeba bardzo uważać na to, co się pisze. Nie wiemy, czy ktoś może czytać te rozmowy. Wiemy natomiast, że w każdej chwili mogą zatrzymać każdego, a pierwszą rzeczą, jaką robią, jest sprawdzenie telefonu. Jeśli nie podasz kodu PIN, dostajesz ciosy i lądujesz w celi, dopóki go nie podasz. A jeśli znajdą na WhatsAppie coś, co im się nie spodoba, to przy odrobinie szczęścia skończy się na pobiciu i kilku dniach w areszcie. Przy braku szczęścia ta osoba znika".
"Dlatego, gdy z nimi rozmawiam, pytam ich w zasadzie tylko o to, jaka jest pogoda. Jeśli odpowiadają, wiem przynajmniej, że żyją".
Andrés nie jest przestępcą. Nie ma nic do ukrycia. Ale żyje w świecie, w którym jedno zdanie napisane na czacie może zniszczyć życie kogoś, kogo kocha.
Nie trzeba być przestępcą, by potrzebować prywatności
Pomyśl o prawniku rozmawiającym ze swoim klientem o strategii obrony. Rozmowa jest uzasadniona i legalna, ale zawiera informacje, które wyrwane z kontekstu mogłyby być druzgocące. Ten prawnik ma zawodowy i prawny obowiązek zachowania poufności tej rozmowy.
Pomyśl o młodej parze. Ona mieszka z rodzicami. Prowadzą intymne rozmowy, całkowicie legalne, ale należące do ich najbardziej prywatnej sfery. Mają prawo do tego, by te słowa nie istniały na żadnym serwerze, który mógłby zostać zhakowany, sprzedany lub zażądany przez sąd.
Pomyśl o samozatrudnionym rozmawiającym ze swoim księgowym o tym, jak zoptymalizować podatki. Może być po jednej lub po drugiej stronie linii – to jego sprawa. Gdyby siedzieli w biurze, nikt nie słyszałby tej rozmowy. Dlaczego miałoby być inaczej, gdy rozmawiają na odległość?
Albo pomyśl o dziennikarzu w Iranie, gdy wokół niego spadają pociski, próbującym skontaktować się ze swoją redakcją w Paryżu. Albo o imigrancie w Madrycie rozmawiającym z rodzicami, którzy tam zostali.
Wszystkie te osoby potrzebują prywatności. Żadna z nich nie jest przestępcą.
Pułapka idealnego szyfrowania
W 2018 roku FBI stworzyło firmę sprzedającą zaszyfrowane telefony komórkowe. Marka nazywała się Anom. Była reklamowana jako najbezpieczniejsza alternatywa na rynku. Przez trzy lata ponad 12 000 urządzeń trafiło do ponad 100 krajów. Użytkownicy rozmawiali z pełnym zaufaniem.
To, czego nie wiedzieli, to że każda wiadomość trafiała również na serwery FBI. Każde słowo. Każde zdjęcie. Każdy plan.
W czerwcu 2021 roku ujawniono operację Trojan Shield. Ponad 800 zatrzymanych w 16 krajach. Była to największa skoordynowana operacja policyjna w historii.
To nie był błąd techniczny. Szyfrowanie było prawdziwe. Technologia działała. Problemem było to, kto za tym stał i co na tym zyskiwał.
To nie jest odosobniony przypadek. Przez ponad 50 lat szwajcarska firma Crypto AG sprzedawała maszyny szyfrujące ponad 120 rządom. Dopiero w 2020 roku wyszło na jaw, że Crypto AG była tajną własnością CIA i niemieckiego wywiadu. Maszyny działały, ale z celowo wprowadzoną luką, która pozwalała ich prawdziwym właścicielom czytać wszystko.
Iran, Indie, Pakistan, Watykan, latynoamerykańskie junty wojskowe. Wszyscy zaufali. Nikt nie zapytał, dlaczego komuś tak bardzo zależy na sprzedaży taniego szyfrowania.
Pytanie, które zawsze powinieneś zadawać
Jeśli ktoś oferuje ci coś i nie rozumiesz, co zyskuje w zamian, zachowaj czujność. Nie dlatego, że wszyscy mają złe zamiary – ale dlatego, że zrozumienie modelu biznesowego jest najbardziej podstawowym sposobem oceny, czy można zaufać danej usłudze.
Kiedy używasz WhatsAppa, wiesz, co zyskuje Meta: twoje dane, twoje nawyki, twoją uwagę, by sprzedawać reklamy. Możesz się z tym zgadzać lub nie, ale przynajmniej rozumiesz tę wymianę.
Ale kiedy ktoś oferuje ci usługę szyfrowanej komunikacji całkowicie za darmo, bez reklam, bez subskrypcji i bez widocznego modelu biznesowego – pytanie nie brzmi, czy szyfrowanie jest dobre. Pytanie brzmi: kto to finansuje i dlaczego?
To, co naprawdę ważne
Istnieją sygnały pomagające ocenić narzędzie do ochrony prywatności. Otwarty kod, audyty bezpieczeństwa, jurysdykcja europejska. Wszystkie one są pozytywne. Ale żadne nie daje absolutnej gwarancji.
Otwarty kod oznacza, że ktoś może sprawdzić, co robi aplikacja. Ale bądźmy szczerzy: 99,9% użytkowników nigdy nie przeczyta ani linii kodu. Historia jest pełna bardzo poważnych luk, które istniały latami w projektach open source sprawdzanych przez tysiące ludzi, a nikt ich nie wykrył.
Audyty bezpieczeństwa są cenne. Ale za audyty płaci się pieniędzmi, a pieniądze to najprostszy sposób na kupowanie przychylności. Audyt mówi, że kod był czysty w dniu kontroli. Nie mówi nic o tym, co zmieniono później.
Możesz mieć najlepszy kod na świecie, audytowany i otwarty, ale jeśli twoje dane przechodzą przez serwer – choćby przez sekundę, choćby były zaszyfrowane – ktoś ma fizyczny dostęp do tego serwera. A ten ktoś może być w kraju, gdzie sędzia, rząd lub duży banknot mogą otworzyć każde drzwi.
To, co naprawdę cię chroni, to nie obietnica, że "nie czytamy twoich danych". Chroni cię architektura, w której twoje dane nigdy nie opuszczają twoich rąk. Gdzie nie ma serwera, który można by naruszyć, nie ma kopii zapasowej, która mogłaby wyciec, ani tylnych drzwi, które można by otworzyć.
Zaufania nie dostaje się w prezencie
Użytkownicy Anom zaufali, bo produkt działał. Klienci Crypto AG zaufali, bo marka była szanowana. Andrés nie ufa WhatsAppowi, ale nie ma alternatywy.
Zaufanie do narzędzia ochrony prywatności nie może opierać się na tym, że „dobrze działa”. Musi opierać się na zrozumieniu, kto za nim stoi, co zyskuje i co stanie się z twoimi danymi, jeśli jutro ta firma zostanie zamknięta, zmieni właściciela lub otrzyma nakaz sądowy z kraju, który nie jest twój.
Następnym razem, gdy ktoś poleci ci bezpieczny komunikator, nie patrz najpierw na funkcje ani design. Sprawdź, kto za niego płaci. Jeśli odpowiedź cię nie przekonuje, szukaj dalej.