Andrés întreabă doar despre vreme
Andrés este venezuelean. Lucrează de ani de zile la o aprozar din cartier. Într-o zi l-am întrebat cum este familia lui acolo, în cele mai grele momente ale regimului.
"În țara mea e mereu vreme frumoasă", mi-a spus.
Nu am înțeles. Am insistat. Și atunci mi-a explicat: "Pot vorbi cu familia mea doar prin WhatsApp, pentru că apelurile nu funcționează bine. Dar trebuie să fii foarte atent la ce scrii. Nu știm dacă cineva poate citi conversațiile. Ceea ce știm este că în orice moment pot reține pe oricine și primul lucru pe care îl fac este să-i deschidă telefonul. Dacă nu dai codul PIN, primești palme și stai într-o celulă până când îl dai. Și dacă găsesc ceva ce nu le place pe WhatsApp, cu noroc e o bătaie și câteva zile de arest. Cu ghinion, acea persoană dispare."
"De aceea, când vorbesc cu ei, practic îi întreb cum e vremea. Dacă îmi răspund, cel puțin știu că sunt în viață."
Andrés nu este un criminal. Nu are nimic de ascuns. Dar trăiește într-o lume în care o frază scrisă într-un chat poate distruge viața cuiva pe care îl iubește.
Nu trebuie să fii criminal pentru a avea nevoie de confidențialitate
Gândește-te la un avocat care vorbește cu clientul său despre o strategie de apărare. Conversația este legitimă și legală, dar conține informații care, scoase din context, ar putea fi devastatoare. Acel avocat are obligația profesională și legală de a păstra acea conversație confidențială.
Gândește-te la un cuplu tânăr. Ea locuiește cu părinții ei. Au conversații intime, complet legitime, dar care aparțin sferei lor celei mai private. Au dreptul ca acele cuvinte să nu existe pe niciun server care ar putea fi piratat, vândut sau solicitat în instanță.
Gândește-te la un liber profesionist care vorbește cu contabilul său despre cum să-și optimizeze taxele. Poate fi de o parte sau de cealaltă a liniei — asta e treaba lui. Dacă ar putea sta într-un birou, nimeni nu ar auzi acea conversație. De ce ar fi diferit dacă vorbesc de la distanță?
Sau gândește-te la un jurnalist din Iran, în timp ce cad rachete în jurul lui, încercând să comunice cu redacția sa din Paris. Sau un imigrant din Madrid care vorbește cu părinții săi rămași acolo.
Toți acești oameni au nevoie de confidențialitate. Niciunul dintre ei nu este un criminal.
Capcana criptării perfecte
În 2018, FBI a creat o companie care vindea telefoane mobile criptate. Marca se numea Anom. Era vândută ca fiind cea mai sigură alternativă de pe piață. Timp de trei ani, peste 12.000 de dispozitive au fost distribuite în peste 100 de țări. Utilizatorii vorbeau cu încredere deplină.
Ceea ce nu știau era că fiecare mesaj ajungea și la serverele FBI. Fiecare cuvânt. Fiecare fotografie. Fiecare plan.
În iunie 2021, Operațiunea Trojan Shield a devenit publică. Peste 800 de arestați în 16 țări. A fost cea mai mare operațiune polițienească coordonată din istorie.
Nu a fost o defecțiune tehnică. Criptarea era reală. Tehnologia funcționa. Problema era cine se afla în spate și ce câștiga din asta.
Nu este un caz izolat. Timp de peste 50 de ani, compania elvețiană Crypto AG a vândut mașini de criptare la peste 120 de guverne. Ceea ce nimeni nu a știut până în 2020 este că Crypto AG era proprietatea secretă a CIA și a serviciului de informații german. Mașinile funcționau, dar cu o slăbiciune deliberată care le permitea adevăraților proprietari să citească totul.
Iran, India, Pakistan, Vaticanul, junte militare din America Latină. Toți au avut încredere. Niciunul nu s-a întrebat de ce cineva avea atât de mult interes să le vândă criptare ieftină.
Întrebarea pe care ar trebui să o pui mereu
Dacă cineva îți oferă ceva și nu înțelegi ce câștigă în schimb, fii sceptic. Nu pentru că toată lumea are intenții rele — ci pentru că înțelegerea modelului de afaceri este cel mai de bază mod de a evalua dacă poți avea încredere într-un serviciu.
Când folosești WhatsApp, știi ce câștigă Meta: datele tale, obiceiurile tale, atenția ta pentru a vinde publicitate. Poți fi de acord sau nu, dar cel puțin înțelegi schimbul.
Dar când cineva îți oferă un serviciu de comunicare criptată, complet gratuit, fără publicitate, fără abonament și fără un model de afaceri vizibil — întrebarea nu este dacă criptarea este bună. Întrebarea este: cine finanțează asta și de ce?
Ceea ce contează cu adevărat
Există semne care ajută la evaluarea unui instrument de confidențialitate. Cod sursă deschis, audituri de securitate, jurisdicție europeană. Toate sunt pozitive. Dar niciuna nu este o garanție absolută.
Codul sursă deschis înseamnă că cineva poate verifica ce face aplicația. Dar să fim sinceri: 99,9% dintre utilizatori nu vor citi niciodată o linie de cod. Iar istoria este plină de vulnerabilități extrem de grave care au existat ani de zile în proiecte open source revizuite de mii de oameni fără ca cineva să le detecteze.
Auditurile de securitate sunt valoroase. Dar auditurile se plătesc cu bani, iar banii sunt cel mai simplu mod de a cumpăra bunăvoința. Un audit spune că codul era curat în ziua în care a fost revizuit. Nu spune nimic despre ce s-a schimbat ulterior.
Poți avea cel mai bun cod din lume, auditat și deschis, dar dacă datele tale trec printr-un server — chiar și pentru o secundă, chiar dacă sunt criptate — cineva are acces fizic la acel server. Iar acel cineva poate fi într-o țară în care un judecător, un guvern sau o bancnotă mare pot deschide orice ușă.
Ceea ce te protejează cu adevărat nu este o promisiune că "nu îți citim datele." Ceea ce te protejează este o arhitectură în care datele tale nu ies niciodată din mâinile tale. Unde nu există un server de compromis, nu există backup de filtrat, nu există nicio poartă secretă (backdoor) de deschis.
Încrederea nu se primește cadou
Utilizatorii Anom au avut încredere pentru că produsul funcționa. Clienții Crypto AG au avut încredere pentru că marca era respectabilă. Andrés nu are încredere în WhatsApp, dar nu are altă variantă.
Încrederea într-un instrument de confidențialitate nu se poate baza pe faptul că "funcționează bine." Trebuie să se bazeze pe faptul că înțelegi cine se află în spate, ce câștigă și ce se întâmplă cu datele tale dacă mâine acea companie se închide, își schimbă proprietarul sau primește un ordin judecătoresc dintr-o țară care nu este a ta.
Data viitoare când cineva îți recomandă o aplicație de mesagerie securizată, nu te uita mai întâi la funcții sau la design. Uită-te la cine o plătește. Dacă răspunsul nu te convinge, caută alta.