Există confidențialitate? Ce aplicații o promit?

În 2013, cercetătorul în securitate informatică Ashkan Soltani a realizat un experiment simplu, dar cu rezultate spectaculoase.

A creat două pagini web accesibile prin două linkuri numai de el știute și le-a trimis prin Skype – celebrul software de comunicare peer-to-peer creat de Niklas Zennström și Janus Friis, cumpărat de eBay cu 2,5 miliarde $ și apoi de către Microsoft cu 8,5 miliarde $ în 2011 – către un cont special creat pentru acel experiment.

La scurt timp, a observat că cele două linkuri fuseseră accesate de către un crawler – un tip de software folosit de Google, Microsoft și alții, care extrage textul și alte informații dintr-o pagină web pentru ca apoi să viziteze linkurile din pagina respectivă și tot așa. Crawler-ul venea de la o adresă (IP) care aparține Microsoft.

Cum se explică faptul că Microsoft cunoștea cele două adrese web transmise pe o aplicație de chat (Skype) despre care se presupune că e criptată?

Scenarii sunt multe. Ne putem imagina, de pildă, că testul nu a fost efectuat într-un mediu „aseptic”, ci într-unul controlat. Dar cele mai multe gânduri ne îndeamnă să considerăm că, undeva, în drumul biților spre destinatar, Microsoft a putut să intercepteze și să decripteze mesajele.

Am vorbit într-un articol precedent despre criptare și cum matematica ne spune că un cod nu poate fi spart doar folosind atacuri „laterale”. Dacă Microsoft face asta, putem presupune, fără a cădea în scenarii paranoide, că Google, Facebook, Yahoo și alții procedează similar.

Și-atunci, întrebarea esențială devine aceasta: ce poate face un om pentru a-și proteja intimitatea pe net?

Răspunsul cel mai serios ar fi – „să învețe programare și să-și construiască propriul sistem de comunicare criptată”. Dar asta ar fi ca și cum te-ai angaja rotisar la rotiserie pentru că ți-e poftă de ciocănele de pui rumene, cu mujdei de usturoi, și asta numai după ce ai stat câteva luni să crească usturoiul din răsadurile puse cu mâna ta. Nu e un drum realist pentru cineva care-și respectă timpul.

Rămâne varianta de a căuta o aplicație de comunicare care oferă un grad mare de încredere – iar aici cred că putem cădea de acord că nu operăm cu certitudini.

O primă variantă ar fi aplicația Telegram, creată de Pavel Durov, un rus care trăiește în exil după un presupus conflict cu guvernul de la Moscova. Miza conflictului – platforma VKontakte, un fel de Facebook rusesc.

Gruparea ISIS (Statul Islamic) este un utilizator fidel al aplicației Telegram. Codul sursă este open source, poate fi verificat de oricine. Dar cine ne spune cu certitudine că acel cod sursă este identic cu cel folosit la crearea aplicației instalate pe telefonul mobil? Și cine are timp să verifice că fiecare actualizare a aplicației corespunde codului? Asta ar presupune un volum considerabil de timp și o investiție financiară pe măsură.

Așa că să revenim la aplicații: Signal (de la Open Whisper Systems) ori Silent Phone (de la Silent Circle) promit același lucru ca Telegram.

O altă aplicație pe care o foloseam din când în când era Wire. Promitea criptare end-to-end, dar, din păcate, politica companiei s-a schimbat discret la un moment: acum, criptarea se face pe serverele lor, ceea ce înseamnă că proprietarii Wire pot avea acces la mesajele utilizatorului. (Chiar și un proiect susținut de Janus Friis poate scăpa de sub control.)

În concluzie, două idei voiam să ating în acest articol. Prima este că pentru noi, utilizatorii de rând, nu există garanție că o conversație este confidențială, dar ne putem mulțumi cu soluții precum Telegram. O verificare periodică a presei de specialitate ne ajută să ne ferim de schimbări cum sunt cele operate de Wire. De asemenea, pentru cele mai importante emailuri sau texte se poate recurge la criptare folosind PGP.

A doua idee se referă la dilema IT-iștilor care concep aplicații criptate: să le ofere clienților super-securitate, deschizând astfel și terorismului un canal de comunicare sigur, sau să permită accesul la mesaje? Aceasta e, de fapt, și dilema noastră, a tuturor celor care „conversăm” cu ajutorul internetului.