Ud over skrald fra borgere og turister har en lang række skraldespande i London denne sommer opsamlet over en halv million unikke ID-numre knyttet til de forbipasserendes mobile enheder – f.eks. smartphones og tablet-computere. Dataindsamlingen er sket som led i en test, men efter at det kom til offentlighedens kendskab har bystyret krævet testen stoppet øjeblikkeligt.
Renew, som er selskabet bag skraldespandene og dataindsamlingen, har på sin hjemmeside opremset en række eksempler på, hvordan den form for tracking kan bruges i blandt andet kommercielt øjemed – for eksempel ved at give information om, hvor længe en kunde opholder sig omkring en butik.
De indsamlede ID-numre kaldes MAC-adresser, og også herhjemme er der eksempler på, at de samles ind uden de forbipasserendes viden.
I Aarhus har forskere i maj og juni f.eks. testet, om MAC-adressen fra blandt andet mobiltelefonens wifi-signal kan bruges til at give kommunen et praj om, hvor mange borgere, der befinder sig i byens parker. Og hvor længe de befinder sig der. Det foregår i et samarbejde mellem Aarhus Kommune og Datalogisk Institut på Aarhus Universitet.
Og den nordjyske virksomhed Blip Systems har succes med trackingteknologien BlipTrack. Ikke bare i Danmark, men i flere lande rundt om i verden. Her er der tale om enheder, der både kan opsamle den adresse, som udsendes, når telefonen scanner efter wifi, og så det ID-nummer, som bliver udsendt, hvis telefonens Bluetooth-enhed er tændt.
Disse data kan Blip Systems omsætte, så de kan bruges til at registrere, hvor længe folk står i kø i en lufthavn og på den baggrund danne en prognose for, hvordan bemandingen bør være, eksempelvis ved sikkerhedstjekket, på et givent tidspunkt.
Også på vejene opsamler BlipTrack informationer fra de telefoner og andre enheder med wifi eller Bluetooth, der befinder sig i bilerne. Det bliver blandt andet brugt til at måle, hvor lang tid en bil er om at komme fra A til B. På den baggrund er det muligt at registrere kødannelser eller måske endnu vigtigere kommende kødannelser.
MAC er ikke personlig
»Vi bruger ikke data til at finde ud af noget personligt, vi bruger den til at finde ud af køtiden i en lufthavn, eller hvad vejtiden er i en given situation,« siger teknisk direktør i Blip Systems Lars Tørholm og tilføjer:
»Vi mener ikke, MAC-adressen som sådan er personlig, da den ikke kan knyttes til en person, men kun til en enhed som en mobiltelefon.«
Men for at imødegå privacy-bekymringer har Blip Systems alligevel valgt at implementere flere tiltag for at sikre, at en opsamlet MAC-adresse ikke kan misbruges.
Dels bliver de indsamlede adresser hashet, det vil sige kørt igennem en envejs-algoritme, så de får en værdi, der ikke kan tilbageføres til den oprindelige adresse. Dels laves der en såkaldt ‘re-hashing med salt’, hvilket betyder, at hashværdien for en konkret MAC-adresse skifter på daglig basis. Derfor vil det ikke være muligt at spore en enhed mere end 24 timer tilbage, fortæller Lars Tørholm.
»Vores dobbelt-hashing af MAC-adresserne svarer til den måde, hvorpå ANPR-systemer (Automatic Number Plate Recognition – automatiseret nummerpladegenkendelse, red.) håndterer nummerpladeaflæsninger. Og i modsætning til det centrale motorregister findes der intet register, der kan linke en person med en MAC-adresse,« siger han.
I park-forsøget i Aarhus har forskerne også overvejet bekymringerne i forhold til parkgæsternes privatliv.
»Vi har været bevidste om, at MAC-adresserne ikke har været personhenførbare, og derudover har vi maskeret data ved at hashe adresserne,« siger lektor ved Datalogisk Institut på Aarhus Universitet Mikkel Baun Kjærgaard.
Ideen med at måle brugen af de grønne områder i Aarhus er blandt andet at få et indblik i indretningen af faciliteter som toiletter og planlægning af løbende oprydning.
En tænkt situation, hvor en arbejdsgiver modtager en mail, så snart en bestemt MAC-adresse er inden for rækkevidde af wifi-signalet.
Selvom de danske eksempler måske ikke leder tankerne i retning af totalovervågning af individers gøren og laden, så er der alligevel grund til at være på vagt over for de muligheder, som den passive indsamling af borgeres MAC-adresse kan give. Det mener David Jacoby, senior-sikkerhedskonsulent hos it-sikkerhedsvirksomheden Kaspersky.
En mønt med to sider
»Der er to sider af mønten i forhold til denne teknik,« siger David Jacoby, der før London-skraldespandene ikke tidligere havde været bekendt med et praktisk eksempel på indsamling af MAC-adresser.
Som et positivt eksempel nævner han, hvordan registreringen af MAC-adresserne, som det er tilfældet med de grønne områder i Aarhus og Blip Systems’ trafikregistrering på veje og i lufthavne, kan bruges til at forudsige flow af mennesker og ad den vej planlægge infrastruktur og ressourceallokering bedre.
»Men man kan også bruge den til at holde øje med individers MAC-adresse, så man kan kortlægge deres adfærdsmønstre. Hvor ofte de går på burgerrestaurant, hvor længe de opholder sig derhjemme. Firmaer kan bruge det til at se, om folk faktisk er taget ind på kontoret eller ej. Det kan bruges på mange måder. Personligt håber jeg ikke, det vil blive brugt til personovervågning, men i stedet til gode ting, som hjælper folk. Men man ved aldrig. Der kommer formentlig en mørkere side af denne teknologi også,« siger David Jacoby.
En mulighed for helt at undgå overvågning via MAC-adressen er selvfølgelig at slukke telefonens wifi. Og det har flere tilsyneladende også gjort. I hvert fald oplyser Blip Systems, at kun ca. 50 pct. af mobilerne i et område har deres wifi-signal tændt.
Så let er det
Den enhed, som forskerne i Aarhus har brugt til indsamling af MAC-adresser fra byens grønne områder, kan alle i princippet erhverve sig.
Opsamlingen sker via den populære computer i lommeformat kaldet Raspberry Pi. Den er i dette tilfælde udstyret med et SD-kort, en wifi-dongle og en batteripakke. Batterierne giver computeren en levetid på ca. 12 timer i den nuværende konfiguration.
Dataindsamlingen sker foreløbig ved, at data bliver skrevet til SD-kortet, hvorefter kortene bliver indsamlet og databehandlet af Aarhus-forskerne. I stedet for at skrive data ned til lagerkortet, som det sker nu, vil dataene også kunne sendes via mobilnettet.
Computerne med wifi-dongle og batterier koster ca. 600 kroner pr. enhed. Softwaren, der har været brugt, er open source og gratis.
Kilde: Aarhus UniversitetBlip Systems
Blip Systems' BlipTrack anvendes i dag på vejen i 15 af de 20 største byer i Danmark, mange steder i udlandet samt i flere end 20 internationale lufthavne, herunder København. BlipTrack fungerer ved, at man placerer små sensorer på strategiske steder langs veje, i lufthavne eller ved andre transportcentre. Ved at spore Bluetooth og wifi-enheder såsom mobiltelefoner, tablets og håndfri systemer i biler, er det muligt at måle trafikken og beregne rejsetider.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
