Privatsphäre neu denken

In seinem Vortrag “Freedom in the cloud” (Audio und Video zum Download hier, Video bei Youtube hier und hier, Transkript hier) im Mai und dem Folgevortrag bei der Debconf im August hat Eben Moglen eigentlich vor allem darüber geredet, wie zukünftig die de-facto Server-Client-Struktur des Netzes zur ursprünglich gedachten “network of peers” zurückgeführt werden muss, um Freiheit zu ermöglichen.

Dabei kam aber ein spannendes Nebenprodukt heraus, das ich hier einmal kurz beleuchten möchte. Moglen hat vorgeschlagen, dass wir das Konzept “Privatsphäre” neu denken müssen:

They still think of privacy as “the one secret I don’t want revealed” and that’s not the problem. Their problem is all the stuff […] that they don’t think of as secret in any way but which aggregates to stuff that they don’t want anybody to know. Which aggregates, in fact, not just to stuff they don’t want people to know but to predictive models about them that they would be very creeped out could exist at all.

Die “they”, von denen er spricht, sind seine Jura-Studenten, die benutzt er aber in diesem Teil des Vortrags als Äquivalent für “Selbst Leute, die drüber nachgedacht haben müssten”.

Sinngemäße Übersetzung:

Sie verstehen unter Privatsphäre immer noch “Das eine Geheimnis, dass ich bewahren möchte.” Und dieses eine Geheimnis ist nicht das Problem. Das Problem sind all […] die Informationen, die sie nicht als geheim erachten, aber die zu Informationen zusammengeführt werden können, von denen sie nicht möchten, das jemand anders sie weiß. Die sogar zu Vorhersagemodellen über sie zusammengeführt werden können, wo sie sich gruseln würden, dass diese überhaupt existieren können.

Das Prinzip hinter dieser Zusammenführung ist einfach: Wenn ich genug weiß, kann ich durch Schlussfolgern auch die Lücken füllen, über deren Inhalt ich nichts weiß. Jeder, der schon mal ein Sudoku-Rätsel gelöst hat, kennt das.

Übertragen auf unser gesellschaftliches Leben mit dem Netz bedeutet das, dass ein Nutzer zwar entscheiden kann, dass er Information a irgendwo angibt (Quelle 1), weil sie kein Geheimnis ist. Dass er wo anders (Quelle 2) Information b angibt, weil sie kein Geheimnis ist usw. Information c gibt er nicht her, weil er sie als geheim/privat betrachtet.

Soweit so gut. Wenn jetzt aber jemand sowohl Zugang zu Quelle a, als auch zu Quelle b hat und aus einer dritten Quelle (die durchaus auch allgemein bekannt sein kann) noch die Information hat, dass wenn a und b zusammen auftreten immer auch c gilt, dann ist es um die Geheimhaltung von c geschehen.

Nun könnte man sagen: “Der Idiot, was gibt der auch Informationen preis, von denen er weiß, dass man private/geheime Informationen schlussfolgern kann!”

Und genau das ist der Knackpunkt. Das weiß er womöglich nicht. Und zwar aus 3 Gründen:

  1. Weiß er womöglich nicht, dass jemand Quelle 1 und Quelle 2 zusammenführen kann.
  2. Weiß er womöglich nicht, dass man aus a und b -> c herleiten kann.
  3. Ist das System aus Informationen womöglich deutlich komplexer als obiges Beispiel.

Solange noch alles wenig komplex ist, bleibt es für den Menschen noch überschaubar (Sudokus bewegen sich naturgemäß im Grenzbereich dieser Überschaubarkeit). Aber irgendwann wird die Komplexität der Zusammenhänge so hoch, dass es unmöglich wird, ohne Hilfe von Computern und/oder bestimmten Algorithmen einzuschätzen, auf welche Informationen sich aus den vorhandenen Daten schließen lässt.

Und genau an diesem Level an Komplexität sind wir angekommen. Wir platzieren einzelne Informationen, die kein Geheimnis sind, an unterschiedlichen Stellen und können ohne Computer nicht mehr einschätzen, ob sich mit Computern weitere Informationen daraus ableiten lassen.

Weiterlesen

Google = Pirate Bay?

Über Slashdot bin ich auf einen interessanten Artikel bei Forbes aufmerksam geworden. Hier wird diskutiert, was eigentlich der Unterschied ist zwischen der “Urheberrechtsverletzung” (<- Dieses Wort setze ich in 99% der Kontexte in Anführungszeichen) die durch die Dienstleistung von Pirate Bay möglich wurde und der Möglichkeiten, die durch die Leistungen von Google entstehen.

  • Die Argumentation mit der Pirate Bay beschuldigt wird ist, dass sie ihren Usern ermöglichen, urheberrechtlich geschütztes Material zu finden und dann von anderen Quellen herunterzuladen.
  • Das selbe tut Google auch.

In dem Artikel diskutiert der Autor vor allem die Tatsache, dass man über Google ebenso Torrents finden kann wie über Pirate Bay, Isohunt oder andere Dienste.

Warum also ist das was Pirate Bay tut illegal, während das was Google tut legal ist?

Das wesentliche Argument, das bei der Beantwortung dieser Frage fällt, ist die Annahme, dass die Anzahl der legalen Verwendungen der Dienstleistung von Google die Anzahl der illegalen Verwendungen signifikant übersteigt, während bei Pirate Bay der primäre Sinn der Dienstleistung im Auffinden urheberrechtlich geschützten Materials liegt.

Klingt zunächst einmal plausibel, solange man seinen Blick nur auf Torrents beschränkt.

Allerdings ist alles, was im Netz zu finden ist, urheberrechtlich geschützt ist, es sei denn, das betreffende Material wurde von den Urhebern (wie in manchen Ländern möglich) in die Public Domain entlassen oder unter einer Copyleft-Lizenz veröffentlicht. Das heißt, in etwa 99% des im Internet befindlichen Materials sind urheberrechtlich geschützt.

Mit dieser Überlegung kann man also klar formulieren, dass der primäre Sinn der Dienstleistung von Google im Auffinden urheberrechtlich geschützten Materials liegt.

Nun könnte man argumentieren, dass all dieses urheberrechtlich geschützte Material von den Urhebern veröffentlicht wurde und daher ein Verweis auf diese Eigenveröffentlichung nicht gegen die Interessen des Urhebers sein sollte, während z.B. bei Filmen oder MP3s die Urheber keine frei verfügbare Veröffentlichung vorgenommen haben.

Aber auch diese Überlegung ergibt nur in einer eingeschränkten Perspektive Sinn. Sie geht nämlich davon aus, dass im wesentlichen alle Urheber ihre Werke auf eine ähnliche Weise veröffentlichen wollen wie es die großen Filmfirmen, Plattenfirmen und Verlage tun. Nämlich durch auszugsweisen freien Zugriff (Trailer, Leseproben etc.) und kostenpflichtigen, beschränkten Zugriff auf das volle Werk.

Das Urheberrecht gibt dem Urheber aber in die Hand, Unmengen von Bedingungen an die Konsumption seines Werkes zu stellen. Hierzu gehören sowohl EULAs wie sie in der proprietären Software-Welt Gang und Gäbe sind, Copyleft-Lizenzen, Creative Commons-Lizenzen etc.

Theoretisch könnte der Rechteinhaber die irrsten Dinge fordern, bis hin zu: “Ich erlaube nur denjenigen, diesen Text zu lesen, die vorher einmal auf einem Bein durch den Raum hüpfen, in dem sie sich gerade befinden.”

All diese Diversität von Bedingungen, die das Urheberrecht mit sich bringen kann, werden von Google ebensowenig systematisch berücksichtigt wie von Pirate Bay. Der Unterschied zwischen den beiden Diensten liegt vor allem in der Frage, auf die Interessen welcher Rechteinhaber nehme ich Rücksicht und auf welche nicht. Und zwischen großen gewinnorientierten Unternehmen wie Google und z.B. Warner oder Disney lässt sich doch leicht ein “agreement” finden.

Auch wenn der Autor des Artikels diese Überlegung nicht selbst anstellt, so zitiert er im Zusammenhang mit Torrents Eric Garland von Big Champagne. Dieses Zitat lässt sich meines Erachtens auch gut auf die weitere Perspektive anwenden:

“I’ve argued for years that the real battle rights holders are fighting isn’t with individual users or file-sharing sites, but with search,” Garland says. “As long as there’s robust search that allows people to find the titles they’re seeking, you will have this problem, period.”

Hieran wird deutlich welche Folgen die Gegenüberstellung von Google und Pirate Bay hat:

Entweder eine Gesellschaft gibt den Urhebern weitreichende Rechte in die Hand, dann muss sie konsequenterweise auch auf Dienste wie Google verzichten, oder sie gelangt zur Erkenntnis, dass das Urheberrecht (und besonders seine internationale “Harmonisierung”) einer wesentlichen Reform bedarf, die die Frage nach dem gesellschaftlichen Nutzen des Urheberrechts ernsthaft stellt.

Google als Cracker-Tool

Das ist mal eine verrückte Geschichte:

  1. Blog wird von einem Cracker lahmgelegt.
  2. Blogbesitzer (der übrigens größtenteils über Computer-Sicherheit bloggt) macht sich auf die Suche, wie der Cracker das geschafft hat.
  3. Blogger findet einen Account den der Cracker angelegt hat, denkt sich: wäreinteressant, das Passwort dieses Accounts zu kennen.
  4. Blogger holt sich den MD5-Hash des Passworts (in diesem Format merkt sich die Blog-Software WordPress, wie die Passwörter lauten) aus der Datenbank und versucht, es zu knacken. Mit klassischen Crackermitteln (verschiedene Wörterbuchsuchen) -> kein Erfolg
  5. Blogger gibt den Hash bei Google ein. An erster Stelle von Googles Ergebnis : eine Stammbaumseite, die sich mit dem Namen “Anthony” beschäftigt.
  6. Blogger versucht “Anthony” als Passwort -> stimmt!

Schlussfolgerung: Wenn ein Passwort all zu gewöhnlich ist, kann es also durchaus sein, dass es zu anderen Zwecken von anderen Menschen bereits genutzt wurde, und dass die unendlichen Weiten der von Google indizierten Daten auch den Hash des Passworts beinhalten.

Falls Ihr jetzt unruhig werdet: Einer der Leser des betroffenen Blogs hat ein nettes kleines Script geschrieben, dass aus Klartext Google-Suchanfragen nach den entsprechenden Hashes erzeugt, die sich dann per Copy & Paste in den Browser packen lassen. Nettes Spielzeug.

Google und klar strukturierte Webseiten

Findet Ihr, Google ist eine gut strukturierte Seite? Übersichtlich und leicht zu bedienen?

Finde ich auch. Vor allem ist sie nicht mit jede Menge anderen Krams vollgepackt, zwischen dem man den eigentlichen Inhalt kaum noch findet.

Dass dies anders wäre, wenn Google selbst darauf angewiesen wäre, von der Google Suchmaschine aufgenommen und gut plaziert zu werden, zeigt dieses schöne Beispiel, dass ich auf slashdot gefunden habe:

What if Google Had to Design For Google?