20 maj 2014

Om dataintrång

Häromdagen gav Amelia Andersdotter ett intressant perspektiv på olika sorters ”dataintrång” i Kvällsposten, bland annat hur Researchgruppen knäckte ett antal s.k. näthatares identiteter förra året. Det kom mothugg från Researchgruppen (trots att den inte var hennes måltavla) och hån från några som ansåg sig veta bättre. Nå, att Piratpartiets ”gräsrötter består uteslutande av datanördar medan toppen verkar helt tappade när det kommer till it-kunskap” håller jag inte med om. Andersdotter förstår säkert det tekniska perspektivet på vad Researchgruppen gjorde, men hon använder också ett annat perspektiv.

Jag kastas tillbaka till en hetsig diskussion från en tid när webben var yngre, en diskussion som handlade om ifall inlänkning av bilder på en webbsida rimligen kunde betraktas som upphovsrättsintrång. Jag deltog till en början på datanördsidan som upprört hävdade att det kunde det verkligen inte! Om jag länkar in en bild är allt jag publicerar på min webbsida nämligen html-kod, som till exempel kan se ut så här:

<img src="http://www.moma.org/collection_images/resized/928/w500h420/CRI_73928.jpg" alt="Willie" />

Det där betyder att det finns en bild (image, ”img”) att hämta, med givet ID, från en källa (source, ”src”) i form av en annan webbsajt (www.moma.org i det här fallet), där bilden ligger helt öppet. När så någon går in på min webbsida, läser hens webbläsare koden som en instruktion att hämta bilden från den andra webbsajten, och visa den tillsammans med mitt innehåll. Och det kan väl inte vara mitt ansvar! Den ligger ju på den andra sajten helt öppet och passerar över huvud taget aldrig min webbserver! Allt jag har publicerat är ju att den ligger där den ligger, och den informationen är också helt öppet tillgänglig, så fort bilden visas någonstans över huvud taget.

Juristen lyssnar förstrött på datanördens försvarstal. Hen förstår det kanske inte helt och hållet, men är heller inte särskilt intresserad. När hen surfar in på min webbsajt så ser hen ju att den finns där, bilden som inte är min, bland det övriga innehållet på min sida. Så den är inte lagrad på min ”server”? Pfft, vem bryr sig?

Okunskap? Visst, det kan man säga, men också en fråga om perspektiv. Juristen lägger vikt vid ett begrepp som saknar teknisk betydelse, men som är begripligt för en femåring, nämligen uppsåt. (Eller med femåringens språkbruk, om det var med mening.) Har jag haft för avsikt att använda bilden jag inte har rätt till som en del av min webbsida? I så fall kan det bedömas som att jag begått upphovsrättsintrång. Det behöver inte vara avgörande vilken väg bildrepresentationen tagit över nätet. Egentligen ett helt rimligt sätt att resonera. (Ta nu bara inte detta som att jag säger att det är rimligt att bildlänkning betraktas som ett brott! Det är en annan diskussion.)

Tillbaka till Researchgruppen. De identifierade anonyma nätkommentatorer genom att gå via hashvärden som användes för att knyta e-postadresser till profilbilder i kommentarfält. Hash kommer via engelskan från franskans hacher, hacka, och man tar bildligt talat fram ett hashvärde för en klump data (i detta fall en e-postadress) genom att hacka sönder den i småbitar, röra om, och sätta samman huller om buller på ett förutbestämt väldefinierat sätt. På så sätt får man fram ett sorts fingeravtryck av datamängden. Har man en viss e-postadress är det lätt att få fram dess hashvärde, precis som det är lätt att få fram en människas fingeravtryck. Men har man bara hashvärdet är det väldigt svårt att få fram e-postadressen, på samma sätt som det är svårt att ta reda på från vilken människa ett givet fingeravtryck kommer. Researchgruppen samlade in mängder av e-postadresser från internet och tog fram deras hashvärden, som de sedan matchade mot hashvärden som var relativt öppet tillgängliga från bloggkommenteringstjänsten Disqus. På så sätt kunde de gå från kommentarerna, som hade e-post-hashvärden knutna till sig, till e-postadresser.

Dataintrång? Självklart inte! utbrister datanörden. Man tog ju bara öppet tillgängliga data och matchade ihop dem, utan att tränga in någonstans. Men så behöver det inte se ut med juristens glasögon. Hashvärdena var de facto ett slags lösenord för kommunikation mellan Disqus och profilbildstjänsten Gravatar. Dessa lösenord knäckte Researchgruppen, och intervenerade alltså mellan de två tjänsterna för att uppsåtligen skaffa sig tillgång till information som systemet sammantaget var byggt för att undanhålla. Det är inte självklart att detta juridiskt skulle kunna betraktas som dataintrång, men motsatsen är inte heller självklar. Föreställ er till exempel att punkten man angripit inte tillhört en webbdiskussionstjänst, utan en myndighet, en bank, eller ett multinationellt företag. Vad hade hänt då? (Ta nu bara inte detta som att jag säger att Researchgruppen gjorde fel! Det är en annan diskussion.)

Där någonstans börjar Andersdotters resonemang, som inte är alldeles stendumt om ni frågar mig. Snarare ett inlägg ur en mycket intressant och ögonöppnande vinkel.