Det går så klart att skratta gott åt konstnären som lastade en kärra full med mobiltelefoner och lurade Google Maps. Det går också att ta den konstnärliga installationen som en utgångspunkt för funderingar om tillit till data som används som beslutsunderlag.
Den tyske konstnären Simon Weckert har under den senaste veckan fått stor internationell uppmärksamhet för sitt verk Google Map Hacks. Genom att dra en liten kärra med mobiltelefoner efter sig på Berlins gator lyckades han lura Google Maps att tro att det handlade om trafikstockningar, vilka syns som rödmarkerade gator på kartan – en signal till bilister att välja andra, snabbare vägar.
Det är lätt att förstå varför Weckerts verk får stor spridning: Den enskilda personen som lyckas lura it-jättens system.
Men jag tycker att det finns en viktig generell lärdom att dra. När vi pratar om it-säkerhet i dagligt tal handlar det oftast om att skydda sig själv eller sin organisation från datastölder, att förhindra att känslig data som lösenord, kreditkortsnummer eller personuppgifter hamnar i fel händer. Men i takt med att allt mer besluts fattas baserat på data blir det också viktigt att hitta sätt att kontrollera datas äkthet. En fråga man behöver ställa sig är helt enkelt: Kan vi lita på den data som vi fattar våra beslut på, eller finns det en risk att någon har manipulerat den?
Kartappar kan luras med virtuella telefoner också #
Redan 2014 skrev jag första gången om en lurad karttjänst. Den gången var måltavlan Waze. Men de två studenter som skapade fejkade trafikstockningarna den gången använde inte ett lass med mobiltelefoner, utan ett ”lass” med virtuella mobiltelefoner.
Först skapade Shir Yadid och Meital Ben-Sinai ett antal virtuella Android-telefoner i en dator, med hjälp av en emulator. I varje virtuell telefon installerade de Waze men också ett program som de själva hade utvecklat. Med TrafficJam matades Waze med falska gps-signaler. Och efter lite experimenterande lyckades Yadid och Ben-Sinai lista ut vilken gps-sekvens de skulle förse Waze med för att tjänsten skulle tolka det hela som en trafikstockning.
Fältförsöken genomfördes på en lågtrafikerad vägsnutt på skolans område, för att andra bilister inte skulle påverkas. Men jämfört med vad Weckert gjort nu är det inte svårt att förstå hur Yadids och Ben-Sinais teknikval kunde ge rubriker över hela världen (bland annat skrev Wired) utan faktiskt också hade potential att erbjuda lite användarnytta:
- Skapa en simulerad en trafikstockning (istället för att behöva ta en promenad på gatan som ska rödmarkeras).
- Få kartappar att föreslå en annan rutt för sina användare.
- Färre bilar och snabbare resa för dem som vet att trafikstockningen är en fejk och därför väljer den rutt som andra bilister undviker.
Hur ser it-säkerheten ut i de digitala annonstavlorna längst våra vägar? #
Gör en sökning på billboard hacking och du får en träfflista med artiklar som handlar om hur innehållet på annons- och informationstavlor har ändrats utan ägarens samtycke. Ibland handlar det om analoga, lågtekniska historier. Men det handlar också om elektroniska anslagstavlor, där intrången ibland skett via internet. Så här långt har det ”nyinsatta” budskapet på olika sätt irriterat ägaren, genom att manipulera reklamen som visas eller genom att byta ut den mot porr.
Men om några år, när de självkörande bilarna är här på allvar, finns det potential att utbytta budskap längs våra vägar får helt andra konsekvenser än ett generat skratt och en vansinnig annonstavleägare. Jag läste redan för några år sedan om forskning som visar hur små förändringar av trafikskyltar kan få de självkörande bilarnas algoritmer att tolka dem på helt andra sätt än vad vi människor gör. Det vi människor förstår är en varning om vägarbete tolkar datorn som lämna företräde, en skylt som uppmanar till högersväng tolkas som hal vägbana och så vidare. (Eller, helt irrelevant för det här exemplet, en bild på en panda som med lite manipulation klassas som ”gibbonapa”.)
Den här veckan läste jag om nästa steg: Drönare som projicerar bilder som lurar självkörande bilar. När drönaren projicerar en bild av en gångtrafikant i vägbanan tvärbromsar bilen medan fejkade vägmarkeringar får bilen att köra i diket. Eller, som i slutet av filmen som demonstrerar forskarnas teknik, en vägskylt som bäddas in i en reklamfilm på en stortavla på ett sätt så att ett mänskligt öka inte ens kan se att den är där.
Det här handlar inte om trafik, det handlar om tillit till data #
Exemplen har så här långt handlat om olika trafiksituationer. Men det går att generalisera problemen, för det handlar om tillit till data.
I fallen med Google och Waze om den data som samlas in från mobiltelefoner. Vad kan företagen (eller företaget, Waze ägs ju numera av Google) göra för att särskilja riktiga användares telefoner från ett lass på en kärra eller en uppsättning simulerade mobiltelefoner i en dator? En hel del, så klart. Tvätt och kontroll av data sker givetvis, och utvecklas hela tiden. I en kommentar till 9to5Google skriver en representant för Google att företaget har teknik som kan skilja på telefondata som kommer från en motorcyklist och som kommer från en bilist. När det gäller de självkörande fordonen så måste tillverkarna jobba med liknande teknik, som kan särskilja olika typer av visuella intryck från varandra.
Och alla andra som är inblandade i databaserade beslut behöver tänka i samma banor. ”Hur kan vi säkerställa tilltron till datan som vi baserar besluten på?” Det räcker inte att tänka att den underliggande datan är ointressant att stjäla. Det intressanta är vilka beslut som fattas med hjälp av data. Är de tillräckligt viktiga samtidigt som det är någorlunda enkelt att manipulera befintlig data eller lägga till kompletterande datapunkter, då kommer någon att försöka göra det.
Det finns en stor trend mot öppen och/eller delad data, där myndigheter och andra ska dela rå information med varandra. Där data som samlas in på ett ställe kan komma till stor nytta på andra. Det här är en utveckling som jag tror mycket på. Men de här exemplen visar behovet av att noga kontrollera tillförlitligheten i den data man använder: Hur skyddas datakällan mot olika former av manipulation? Hur kontrolleras vem som får skicka data till datakällan? Hur kontrolleras vem som ändrar?
Ett ytterst konkret och aktuellt – men också förhållandevis lågteknologiskt – exempel på det är DN:s pågående granskning av strömningsfusk, där det verkar som om det varit relativt enkelt för artister att köpa lyssnare på Spotify. Det fick P3 att under en period stoppa topplistan Digilistan, som rankade de mest spelade och strömmade låtarna i Sverige varje vecka.
Det här blir i förlängningen också ett resonemang för varför kryptering på nätet är så viktigt. Det pratas allt mer om sensornätverk, som ska mäta och samla in data, skicka den till en server, där den analyseras och lägger grunden för beslut. Det kan vara datapunkter som känns helt meningslösa att skydda: Det är ju ingen hemlighet vad utomhustemperaturen är just nu, till exempel. Så varför kryptera de temperaturuppgifter som sensorerna skickar in?
För att någon inte ska kunna ändra dem på vägen, och få systemen som använder temperaturuppgifterna att fatta helt andra beslut än de borde.
Vilken data fattar din organisation sina beslut på – och hur säkerställer ni tillförlitligheten i den?