Tech

Een universiteit probeerde de bewegingen van studenten te tracken

‘NO’: Grad Students Analyze, Hack, and Remove Under-Desk Surveillance Devices Designed to Track Them

Surveillance is de afgelopen jaren onverminderd doorgedrongen tot scholen, universiteiten en een groot deel van ons dagelijks leven, en de pandemie heeft dat proces alleen maar versneld. In oktober 2022 slaagden afgestudeerde studenten van de Northeastern University er echter in om invoering van invasieve bewakingsapparatuur die stilletjes onder bureaus op hun school was geplaatst tegen te gaan.

Begin oktober installeerde David Luzzi, schoolhoofd, bewegingssensoren onder alle bureaus in het Interdisciplinary Science & Engineering Complex (ISEC) van de school, een faciliteit die wordt gebruikt door afgestudeerde studenten en waar het “Cybersecurity and Privacy Institute” is gevestigd, dat onderzoek doet naar surveillance. Deze sensoren werden ‘s nachts geïnstalleerd – zonder medeweten of toestemming van de studenten. Toen de studenten vervolgens om uitleg vroegen, werd hen verteld dat dit deel uitmaakte van een onderzoek naar “bureaugebruik”, volgens een blog van Max von Hippel, een promovendus van het Privacy Institute die over de situatie schreef voor de nieuwsbrief van de Tech Workers Coalition.

Videos by VICE

Academische instellingen moeten meestal concurreren om het gebruik van faciliteiten. En wie het best gefinancierd is of het meeste subsidiegeld opbrengt, wint die strijd. Het ISEC heeft een mooi gebouw, de afdeling computerwetenschappen brengt veel geld in het laatje en zij maken er veel gebruik van. Daarom kan het voor de universiteit zinvol zijn te onderzoeken hoe de bureaus worden gebruikt, zodat zij de toegang ertoe kunnen uitbreiden of optimaliseren. 

Von Hippel vertelt Motherboard echter dat het gebruik van bureaus al kan worden bijgehouden, omdat bureaus worden toegewezen en omdat er badges nodig zijn om de ruimtes te betreden. In plaats daarvan denkt de promovendus dat de sensoren een reden waren voor de leiding – die eigenaar is van het gebouw – om informaticastudenten die het gebouw niet zo vaak gebruiken als anderen, weg te werken.

“Tijdens de pandemie kwamen veel studenten informatica niet meer zo vaak naar het kantoor en met een reden: het voelde voor veel studenten onveilig om naar school komen en bovendien schrijven we toch alleen maar de hele dag computercode – we hoeven niet echt op locatie te zijn. Het zag er niet goed goed uit,” zei Von Hippel. “Als je rond dit grote, mooie glazen gebouw zou lopen, zou je naar binnen kijken en een groot leeg gebouw zien. Maar dit is een van de gebouwen waarmee Northeastern reclame maakt voor de school. Het is overduidelijk dat de leiding zich hieraan ergert, dus willen ze meer studenten en mensen in het gebouw, wat best redelijk is.”

In reactie op de zaak begonnen studenten vragen te stellen over de sensoren en werd er een e-mail uitgestuurd door Luzzi om de issues aan te kaarten.

“Om de allerbeste manier te vinden voor het toewijzen van bureaus en zitplaatsen binnen ISEC, zal het team van het schoolhoofd een onderzoek uitvoeren dat gericht is op het kwantificeren van het gebruik van de momenteel toegewezen zitplaatsen in de schrijfzones buiten de laboratoria en de bureaus voor computeronderzoek,” schreef Luzzi in de e-mail. “De resultaten zullen worden gebruikt om beste praktijken te ontwikkelen voor het toewijzen van bureaus en zitplaatsen binnen ISEC (en uiteindelijk ook EXP).”

Hierom, schreef Luzzi, heeft de universiteit “een Spaceti bezettingscontrolesysteem” ingevoerd dat warmtesensoren ter hoogte van de liezen zou gebruiken om “gegevens per subzone samen te voegen om zo aan te geven wanneer een bureau al dan niet bezet is”. Luzzi voegde eraan toe dat de gegevens anoniem zouden zijn, zouden worden samengevoegd om te kijken naar “trends” en niet naar de individuele tijd aan toegewezen bureaus, niet zouden worden gebruikt in evaluaties en niet zouden worden gedeeld met supervisors van de studenten. Na die e-mail werd een spontane luistersessie gehouden in het ISEC.

Tijdens deze eerste luistersessie vroeg Luzzi aan de studenten of zij “de universiteit willen vertrouwen omdat jullie ons ook vertrouwen om jullie een diploma te geven”. Luzzi hield ook vol dat “we hier geen wetenschap bedrijven” als een andere verdediging van het feit dat ze geen beoordelingscommissie hadden geraadpleegd voor deze stunt met de gesurveilleerde bureaus.

“Hij kwam gewoon opdagen. We zijn allemaal aan het werk, we hebben deadlines en genoeg te doen. En hij kwam onaangekondigd opdagen, eiste een publiek en een aantal studenten sprak met hem,” aldus Von Hippel. “Hij was nogal neerbuigend, negeerde hun zorgen, en zei dat het echt productief was – dat hij blij was dat ze samen aan een oplossing werkten, wat belachelijk was, want de enige oplossing die we zouden accepteren was die waarbij ze de sensoren zouden verwijderen.”

Daarna begonnen de studenten van het Privacy Institute, die gespecialiseerd zijn in het bestuderen van surveillance en het terugdraaien van de schade ervan, de sensoren te verwijderen, te hacken en te werken aan een open source-gids zodat andere studenten hetzelfde konden doen. Luzzi beweerde dat de apparaten veilig en de gegevens versleuteld waren, maar de studenten van het Privacy Institute ontdekten dat ze relatief onveilig en onversleuteld waren. “De manier waarop studenten van dit instituut, waaronder ikzelf, aan publicaties komen is dat we dit soort systemen nemen en de gebreken ervan onderzoeken. We leggen uit wat er slecht aan is en waarom ze niet werken. Ze hadden dus geen groep studenten kunnen uitkiezen die geschikter was om uit te zoeken waarom hun onderzoek dom was.”

Na het hacken van de apparaten schreven de studenten een open brief aan Luzzi en universiteitsvoorzitter Joseph E. Aoun met het verzoek de sensoren te verwijderen omdat ze intimiderend waren, deel uitmaakten van een slecht opgezette studie en werden ingezet zonder goedkeuring van een onderzoekscommissie ondanks dat er menselijke proefpersonen centraal stonden in deze zogenaamde studie.

“Resident in ISEC is het ‘Cybersecurity and Privacy Institute’, een van ‘s werelds toonaangevende groepen die privacy en tracking bestuderen, met een bijzondere focus op IoT-apparaten,” luidt de brief. “Het inzetten van een trackingsysteem onder het bureau bij dezelfde onderzoekers die regelmatig de gevaren van deze technologieën blootleggen ziet er op zijn best extreem slecht uit voor een universiteit die routinematig de prestaties van deze onderzoekers aanprijst. In het slechtste geval geeft het aanleiding tot bezorgdheid over retentie en is het een ernstig reputatieprobleem voor Northeastern.”

Er volgde nog een gesprek, deze keer alleen voor professoren, waar Luzzi beweerde dat de apparaten niet onderworpen waren aan een commissie voor goedkeuring omdat “ze geen mensen in het bijzonder voelen – ze voelen elke warmtebron”. Meer sensoren werden nadien verwijderd en in een “publiek kunstwerk” in de lobby van het gebouw geplaatst met de tekst “NO!”

Luzzi stuurde vervolgens een e-mail waarin een nieuwe sessie werd gepland om studenten en docenten toe te spreken in reactie op de open brief, die honderden handtekeningen ontving, wijd werd verspreid en ook honderden klachten en sensorverwijderingen in gang heeft gezet. Die luistersessie was, naar verluidt, een ramp. In een transcriptie van de bijeenkomst die Motherboard heeft ingezien, probeert Luzzi de bezorgdheid weg te nemen dat het onderzoek invasief, slecht gepland, duur en waarschijnlijk onethisch is. Luzzi zegt dat ze een voorstel hebben ingediend bij een commissie genaamd het Institutional Review Board (IRB) – die ervoor zorgt dat de rechten en het welzijn van menselijke proefpersonen worden beschermd – om vervolgens toe te geven dat dit nooit is gebeurd toen een lid van de faculteit onthulde dat de IRB nooit een voorstel heeft ontvangen. Luzzi probeerde ook de bezorgdheid af te doen als zijnde specifiek voor het Privacy Institute omdat “jullie ervaring meer bureaugericht is” in tegenstelling tot andere afgestudeerde studenten. 

Na afloop logde Von Hippel in op Twitter en begon daar een semi-virale draad die de hele tijdlijn van de gebeurtenissen documenteert, van de geheime installatie van de sensoren tot de luistersessie die die dag plaatsvindt. Uren later worden de sensoren verwijderd en Luzzi schrijft een laatste e-mail:

“Gezien de bezorgdheid die door een deel van onze alumni is geuit over het project om gegevens te verzamelen over bureaugebruik in een modelonderzoeksgebouw (ISEC), halen we alle sensoren voor bureaugebruik uit het gebouw. Degenen die aan de discussie hebben deelgenomen, dank ik daarvoor.”

Dit was een bijzonder leerzaam voorval omdat het laat zien dat toezicht niet permanent hoeft te zijn: het kan worden opgedoekt door de mensen die erdoor worden getroffen. Von Hippel redeneert dat een deel van hun succes te danken is aan het feit dat de afdeling Informatica verzadigd is met vakbondsleden. Een groot aantal van de betrokken studenten was niet bij een vakbond aangesloten en meer in het algemeen vallen de afgestudeerde studenten van de universiteit niet onder een officiële vakbond. Toch zijn afgestudeerde studenten goed gepositioneerd om eisen te stellen aan universiteiten wanneer deze belastende voorwaarden of onethische eisen stellen.

“Het krachtigste instrument waarover afgestudeerde studenten beschikken is het vermogen om te staken. In wezen draait de universiteit op afgestudeerde studenten. Wij geven les of assisteren bij een fenomenale hoeveelheid lessen en je hebt klassen met honderden studenten erin die letterlijk niet kunnen functioneren zonder de afgestudeerde studenten om de opdrachten te beoordelen,” zei von Hippel. 

“De afdeling informatica kon zich snel organiseren omdat bijna iedereen lid is van de vakbond, een kaart heeft ondertekend en via de vakbond met elkaar verbonden is. Zodra dit gebeurde, communiceerden we via vakbondskanalen. We kwamen persoonlijk bijeen en spraken over het probleem, kwamen met een reeks concrete acties die we konden ondernemen, en die acties ondernamen we. De sensoren verwijderen, de sensoren hacken, mensen bij vergaderingen laten notuleren en online delen en er samen over twitteren of schrijven.”

Zo’n snelle reactie is essentieel, vooral omdat steeds meer systemen sensoren gaan gebruiken om redenen die steeds onduidelijker of zorgwekkender worden. Sensoren zijn ingevoerd op andere universiteiten zoals de Carnegie Mellon University en openbare schoolsystemen. Ze worden gebruikt in meer gemilitariseerde en afgesloten omgevingen zoals de grens tussen de VS en Mexico of in het Amerikaanse gevangenissysteem. 

Deze roll-out maakt deel uit van wat Cory Doctrow de “shitty technology adoption curve” noemt, waarbij verschrikkelijke, onethische en immorele technologieën worden genormaliseerd en gerationaliseerd door ze in te zetten op kwetsbare bevolkingsgroepen, om steeds wisselende redenen. Je begint met mensen wier zorgen kunnen worden genegeerd – migranten, gevangenen, dakloze bevolkingsgroepen – en dan schaal je het op naar boven – kinderen op school, aannemers, werknemers zonder vakbond. Tegen de tijd dat het de mensen bereikt wiens zorgen en bezwaren het luidst zijn en het meest tot afwijzing leiden, is de technologie al op grote schaal toegepast.

Niet elke (afgestudeerde) student kan staken of kan het zich veroorloven een opleiding te verlaten als die weigert een bewakingsprogramma te stoppen. Zoals Von Hippel aan Motherboard vertelt, zullen gepromoveerde informatici hoge salarissen verdienen in de industrie, ongeacht of ze hun opleiding afmaken of niet. Maar de infrastructuur om collectief op te treden – vakbonden, stakingsfondsen, communicatie-infrastructuur – maakt het verschil door mensen bij elkaar te krijgen om uit te zoeken hoe ze het best kunnen terugvechten.

Dit artikel verscheen oorspronkelijk op Motherboard.

Volg VICE België en VICE Nederland ook op Instagram.