Andrés sa pýta len na počasie
Andrés je Venezuelčan. Už roky pracuje v susednom obchode s ovocím. Raz som sa ho spýtal, ako sa má jeho rodina tam, v najhorších časoch režimu.
„V mojej krajine je vždy pekné počasie,“ povedal mi.
Nerozumel som. Naliehal som. A vtedy mi to vysvetlil: „S rodinou môžem hovoriť len cez WhatsApp, pretože hovory nefungujú dobre. Ale musíte si dávať veľký pozor na to, čo píšete. Nevieme, či niekto môže čítať naše konverzácie. Vieme však, že kedykoľvek môžu kohokoľvek zadržať a prvá vec, ktorú urobia, je, že mu otvoria telefón. Ak nedáte PIN, nasledujú facky a cela, kým ho nedáte. A ak vo WhatsAppe nájdu niečo, čo sa im nepáči, v lepšom prípade je to bitka a pár dní v cele. V horšom prípade ten človek zmizne.“
„Preto, keď s nimi hovorím, v podstate sa ich pýtam, aké je počasie. Ak mi odpovedia, aspoň viem, že sú nažive.“
Andrés nie je zločinec. Nemá čo skrývať. Ale žije vo svete, kde veta napísaná v chate môže zničiť život niekomu, koho miluje.
Nemusíte byť zločinec, aby ste potrebovali súkromie
Predstavte si právnika, ktorý hovorí so svojím klientom o stratégii obhajoby. Konverzácia je legitímna a legálna, ale obsahuje informácie, ktoré by vytrhnuté z kontextu mohli byť zničujúce. Tento právnik má profesionálnu a zákonnú povinnosť zachovávať dôvernosť tejto konverzácie.
Predstavte si mladý pár. Ona žije s rodičmi. Vedú intímne rozhovory, úplne legitímne, ale patriace do ich najsúkromnejšej sféry. Majú právo na to, aby tieto slová neexistovali na žiadnom serveri, ktorý by mohol byť hacknutý, predaný alebo súdne vyžiadaný.
Predstavte si živnostníka, ktorý hovorí so svojím účtovníkom o tom, ako optimalizovať svoje dane. Môže byť na jednej alebo druhej strane hranice — to je jeho vec. Keby mohli sedieť v kancelárii, nikto by ten rozhovor nepočul. Prečo by to malo byť iné, ak hovoria na diaľku?
Alebo si predstavte novinára v Iráne, kým okolo neho padajú rakety, ako sa snaží komunikovať so svojou redakciou v Paríži. Alebo imigranta v Madride, ktorý sa rozpráva so svojimi rodičmi, ktorí tam zostali.
Všetci títo ľudia potrebujú súkromie. Žiaden z nich nie je zločinec.
Pasca dokonalého šifrovania
V roku 2018 vytvorila FBI spoločnosť, ktorá predávala šifrované mobilné telefóny. Značka sa volala Anom. Predávala sa ako najbezpečnejšia alternatíva na trhu. Za tri roky sa viac ako 12 000 zariadení distribuovalo do viac ako 100 krajín. Používatelia komunikovali s úplnou dôverou.
Čo nevedeli, bolo, že každá správa sa dostala aj na servery FBI. Každé slovo. Každá fotka. Každý plán.
V júni 2021 bola zverejnená operácia Trojan Shield. Viac ako 800 zadržaných v 16 krajinách. Bola to najväčšia koordinovaná policajná operácia v histórii.
Nebola to technická chyba. Šifrovanie bolo skutočné. Technológia fungovala. Problém bol v tom, kto za tým stál a čo tým získal.
Nie je to ojedinelý prípad. Viac ako 50 rokov švajčiarska spoločnosť Crypto AG predávala šifrovacie stroje viac ako 120 vládam. Čo nikto nevedel až do roku 2020, bolo, že Crypto AG bola v tajnom vlastníctve CIA a nemeckej spravodajskej služby. Stroje fungovali, ale s úmyselnou slabinou, ktorá umožňovala ich skutočným majiteľom všetko čítať.
Irán, India, Pakistan, Vatikán, latinskoamerické vojenské junty. Všetci dôverovali. Nikto sa nepýtal, prečo má niekto taký záujem predávať im lacné šifrovanie.
Otázka, ktorú by ste si mali vždy položiť
Ak vám niekto niečo ponúka a vy nerozumiete, čo za to získava, buďte podozrievaví. Nie preto, že by každý mal zlé úmysly — ale preto, že porozumenie biznis modelu je najzákladnejší spôsob, ako vyhodnotiť, či môžete službe dôverovať.
Keď používate WhatsApp, viete, čo získava Meta: vaše dáta, vaše zvyky, vašu pozornosť na predaj reklamy. Môžete s tým súhlasiť alebo nie, ale aspoň rozumiete výmene.
Ale keď vám niekto ponúka šifrovanú komunikačnú službu úplne zadarmo, bez reklám, bez predplatného a bez viditeľného biznis modelu — otázkou nie je, či je šifrovanie dobré. Otázka znie: kto to financuje a prečo?
Na čom skutočne záleží
Existujú signály, ktoré pomáhajú vyhodnotiť nástroj na ochranu súkromia. Otvorený kód, bezpečnostné audity, európska jurisdikcia. Všetky sú pozitívne. Ale žiadny nie je absolútnou zárukou.
Otvorený kód znamená, že niekto môže skontrolovať, čo aplikácia robí. Ale buďme úprimní: 99,9 % používateľov si nikdy neprečíta ani riadok kódu. A história je plná veľmi vážnych zraniteľností, ktoré žili roky v open source projektoch kontrolovaných tisíckami ľudí bez toho, aby si ich niekto všimol.
Bezpečnostné audity sú cenné. Ale audity sa platia peniazmi a peniaze sú najjednoduchší spôsob, ako si kúpiť vôľu. Audit hovorí, že kód bol čistý v deň kontroly. Nehovorí nič o tom, čo sa zmenilo potom.
Môžete mať najlepší kód na svete, auditovaný a otvorený, ale ak vaše dáta prechádzajú cez server — hoci len na sekundu, hoci sú šifrované — niekto má k tomuto serveru fyzický prístup. A ten niekto môže byť v krajine, kde sudca, vláda alebo veľký balík peňazí môžu otvoriť akékoľvek dvere.
To, čo vás skutočne chráni, nie je sľub, že „nečítame vaše dáta“. Chráni vás architektúra, kde vaše dáta nikdy neopustia vaše ruky. Kde nie je server, ktorý by sa dal kompromitovať, nie je záloha, ktorú by bolo možné ukradnúť, nie sú zadné vrátka, ktoré by sa dali otvoriť.
Dôvera sa nedaruje
Používatelia Anom dôverovali, pretože produkt fungoval. Klienti Crypto AG dôverovali, pretože značka bola rešpektovaná. Andrés nedôveruje WhatsAppu, ale nemá alternatívu.
Dôvera v nástroj na ochranu súkromia sa nemôže zakladať na tom, že „funguje dobre“. Musí sa zakladať na tom, že rozumiete, kto za ním stojí, čo získava a čo sa stane s vašimi dátami, ak zajtra táto firma skončí, zmení majiteľa alebo dostane súdny príkaz z krajiny, ktorá nie je vašou.
Keď vám nabudúce niekto odporučí bezpečnú aplikáciu na posielanie správ, nepozerajte sa najprv na funkcie ani dizajn. Pozrite sa, kto ju platí. Ak vás odpoveď nepresvedčí, hľadajte inú.