Zranitelnosti a exploity

V roce 2016 jsem si na Twitteru všiml něčeho zvláštního – Andrea Shepardová, vývojářka Toru, bez kontextu a vysvětlení zveřejnila řetězec náhodných písmen a čísel. O několik dní později se objevila zpráva, že projekt Tor v reakci na obvinění ze sexuálního obtěžování přerušil spolupráci s Jakem Appelbaumem, chváleným aktivistou a nejznámějším ze svých vývojářů. Shepard znovu tweetoval a prozradil, že záhadná zpráva byla hashem SHA-256 věty: „Zdá se, že jeden násilník je o jednoho násilníka víc.“

Jednalo se o zastřené obvinění, které vynechalo Appelbaumovo jméno nebo kontext jeho údajných činů – výrok, který dostal ránu, až když byl postaven vedle oficiálního prohlášení projektu Tor a mnoha následujících účtů. Mohl to být Weinsteinův moment, ale v roce 2016 se jeho obvinění setkalo s obtěžováním z mnoha stran. Ačkoli byl Appelbaum po mnoho let známým pohřešovaným schodištěm, tento moment byl „kontroverzí“, nikoli zúčtováním.

V roce 2017 jsme se posunuli od zahalených slov skrytých za šifrováním k obětem, které na Twitteru zveřejňují své účty a jmenují své údajné útočníky. Sítě šeptandy se změnily v hlasité vysílání, a dokonce – na krátký, katastrofální okamžik – ve veřejné tabulky prohřešků na Googlu.

Tento postweinsteinovský okamžik se netýká jen pohlaví nebo genderu, ale přesto se téměř všechna nedávná přívalová obvinění týkala mužů a téměř všechny oběti (až na několik světlých výjimek) byly ženy. Nežijeme však v binárním světě, kde chromozomy a fenotypy mohou určovat morální sklony. Mužům není vlastní nic, co by z nich dělalo sexuální predátory; sexuální obtěžování, zejména toho druhu, které se v tuto chvíli znovu a znovu odhaluje, je systémovým selháním kultury, kdy muži opakovaně dostávají propustku, i když si ji nezaslouží.

Systém ztělesňují vedoucí pracovníci společnosti Miramax, kteří stáli stranou a nic neřekli; univerzitní oddělení, která umožnila svým problémovým mužům tiše odejít a stát se problémovými muži jiných univerzit; pracovníci lidských zdrojů, kteří odrazovali oběti od eskalace jejich stížností. Systém ne vždy aktivně viktimizuje ženy, ale důsledně odpouští mužům tam, kde odmítá odpouštět těm, kteří nejsou muži.

Tato struktura je bolestně viditelná v technologické komunitě: ostatně nechvalně proslulý „Damore Memo“ z letošního léta, manifest sepsaný nespokojeným zaměstnancem Googlu, který tvrdí, že biologické rozdíly činí ženy méně vhodnými pro programování počítačů, nenabízí jen vhled do odporného spodního proudu uvnitř Silicon Valley. Odhaluje také nedbalou vědu a líné myšlení, které mužům v tomto odvětví prochází. Muži, zejména běloši, do technologického průmyslu přece patří – oni jsou technologický průmysl. Všichni ostatní nesou břemeno dokazování, že tam patří.

Moment po Weinsteinovi zanechal mnoho žen zamyšlených a znepokojených, čekajících, až spadne druhá bota, čekajících na otřesná obvinění, která vyvolají nevyhnutelnou reakci. „Jeden muž nespravedlivě vyhozený kvůli špatně interpretovanému nárazu ve výtahu by nás všechny ženy mohl proměnit v nájezdnické agresory, muže v naše nešťastné oběti,“ píše Rebecca Traisterová. Ale také nás to nutí ptát se, zda se něco změní. Je to jen krátké okno transparentnosti, během něhož na sebe nejhorší agresoři převezmou veškerou vinu za to, co je zjevně hlubokým selháním institucí? Několik desítek vysoce postavených mužů upadlo v nemilost; veřejnost si s hrůzou, znechucením a hněvem přečetla přímá svědectví jejich obětí – ale co teď?“

Nejslibnější znamení, že postweinsteinovský okamžik není jen okamžikem, přinesl koutek technologického sektoru – a není z firemního sektoru, kde je sexuální obtěžování právně definováno a teoreticky hlídáno personálními odděleními. V listopadu přinesl server Verge zprávu, že Morgan Marquis-Boire, rocková hvězda bezpečnostního výzkumu, údajně znásilnil několik žen, přičemž obvinění trvala více než deset let. A komunita zabývající se informační bezpečností – která má pověst misogynie, jež je hrozivá i pro techniku jako celek – reagovala převážně s přesvědčením a dokonce s pohnutím duše.

Tento konkrétní posun hodnot je důležitým ukazatelem toho, jak moc se věci změnily. Informační bezpečnost jako odvětví i kultura netrpí pouze sexismem, který je endemický v mnoha odvětvích, nebo dokonce implicitní předpojatostí prosáklou do technologického sektoru, v němž dominují muži. Kult hackingu koneckonců oceňuje i nekonsensuální porušování hranic. Hackerská kultura již dlouho klade důraz na to, aby se cíl vůbec nenechal hacknout – obviňování obětí je hluboce zakořeněno v hodnotách této subkultury. Není překvapením, že se tento toxický postoj přenáší i do reálného světa. Každý, kdo se někdy zúčastnil DEFCONu, největší hackerské konference v Severní Americe, byl varován, aby se nepřipojoval k hotelové wifi a aby si na konferenci bral vypalovací zařízení. Je to obřad. Ale pokud jste žena, která se zúčastnila DEFCONu, pravděpodobně jste od někoho zasvěceného dostala druhý, bonusový pokyn – nenosit sukni, nezůstávat na večírcích příliš dlouho, neustále si hlídat pití. Pokud vás na hackerské konferenci hacknou, byli jste varováni. Pokud vás na hackerské konferenci znásilní, byli jste varováni.

Tato kulturní toxicita je o to znepokojivější, že infobezpečnostní kultura má pro hlavní technologický proud mimořádný význam. V roce 2017 je Silicon Valley možná úctyhodným oligopolem zapnutých korporací, ale v dobrém i zlém jeho duše už dlouho čerpá z podivných divokých výtečníků, kteří tvoří hackerskou subkulturu. Láska k rychlému pohybu a rozbíjení věcí je něco víc než hackerské modlářství, a tak zvláštnosti a slabosti malé subkultury pronikají do technologií, které pohánějí moderní svět. Legendární hacker a phreaker Captain Crunch kdysi běhal se Stevem Jobsem a Stevem Wozniakem; strategie open source společnosti Google pochází z ideologického hnutí, v jehož čele stál potácející se muž s čarodějnickým plnovousem, který pojídá věci z nohy. Lidé jako Morgan Marquis-Boire, který v Googlu dlouhá léta pracoval, se pohybují na pomezí obou světů a vnášejí hackerské hodnoty do oficiální firemní politiky. HTTPS by se nerozšířilo po většině webu, kdyby šéfové bezpečnosti po celém údolí nebyli zároveň vyznavači Black Hat a DEFCON; postoj společnosti Apple proti FBI byl prosazován ideologií jejích řadových členů.

V informační bezpečnosti, stejně jako v mnoha jiných odvětvích, kde je obviněný významnou osobností, se obvinění může změnit v soutěž o sociální kapitál a obviněný téměř vždy vítězí nad svými žalobci. V této komunitě je však poskytnutí průchodu obviněnému násilníkovi často formulováno jako morální imperativ čtyřmi slovy: „Dělá dobrou práci.“ Vychází se z předpokladu, že talentů je málo a sexuální přestupky je třeba tolerovat pro dobro společnosti. Málo nebo vůbec se nebere v úvahu, co ztrácíme tím, že nevěříme obětem – jejich technický a společenský přínos, jakýkoli budoucí přínos lidí, kteří se zcela oprávněně rozhodnou vyhnout toxické kultuře, a dokonce i kromě toho tichá eroze důvěry mezi přihlížejícími. Spoluvina zanechává skvrnu na nás všech.

Ale věci se mění. Reakce na obvinění vznesená proti Marquis-Boireové tvoří výrazný kontrast vedle reakce na obvinění – od drobného obtěžování až po znásilnění – vznesená proti Jacobu Appelbaumovi. Appelbaumova přítomnost ve veřejném prostoru byla značně omezena, ale jeho kariéra v oblasti informační bezpečnosti pokračuje – v současné době pokračuje v doktorandském studiu na Eindhovenské technologické univerzitě v Nizozemsku pod vedením Tanji Langeové a slavného kryptografa Daniela Bernsteina.

„S lidmi, na kterých záleží, bude v tichosti promluveno,“ napsal Lex Gill v roce 2016 a nastínil, co bylo až dosud standardní reakcí na obvinění ze zneužívání. „Budou ostatním říkat, jak ho to ‚ničí‘, jak už si vytrpěl dost. Je to ‚složité‘, ale nesmějí o tom mluvit. Někde si ho nechají na výplatní listině.“

Téměř všichni z infobezpečnostní scény, s nimiž jsem mluvil, vyjádřili překvapení, že Marquis-Boire byl všeobecně zavržen tam, kde Appelbaum – přestože jeho chování bylo veřejným tajemstvím po mnoho let před zveřejněním obvinění – nebyl. „Je lákavé si myslet, že jsme se všichni poučili z toho, co se stalo s Jakem,“ řekl mi jeden aktivista.

Je možné, že se Marquis-Boire vrátí – Appelbaum se koneckonců nyní znovu objevuje ve svých starých aktivistických kruzích, zcela bez omluvy. Ale něco v reakci společnosti je tentokrát úplně jinak.

Možná byla obvinění proti Marquis-Boireovi věrohodnější už jen proto, že přišla uprostřed odhalení napříč společností. A Marquis-Boire nebyl zdaleka jedinou významnou osobností v oblasti infosec obviněnou ze sexuálního pochybení v době po Weinsteinovi: Buzzfeed v listopadu informoval, že Captain Crunch, jehož právnické jméno je John Draper, byl vykázán z bezpečnostních konferencí kvůli sexuálnímu obtěžování mladých mužů, někdy i teenagerů.

A odhalení kolem Morgana Marquis-Boirea přicházejí na pozadí pokračujících příběhů o sexuálním obtěžování i v hlavním technologickém proudu. Pro každého, kdo je obeznámen s opakovanými selháními technologického průmyslu v souvislosti se systémovou misogynií, mohl být blogpost Susan Fowlerové šokující, ale sotva překvapivý. Co překvapivé bylo, byl nedostatek pochybností u soudu veřejného mínění. Pokud žena v technologiích tvrdí, že se dopustila sexuálního pochybení a diskriminace, první otázka, kterou si položí, je, zda byla coura a neschopná. Řadoví vývojáři jsou obviňováni z vlastního obtěžování a dokonce i relativně privilegované rizikové kapitalistky jako Ellen Pao se setkávají s útoky ad hominem na svůj osobní charakter a schopnosti.

Fowlerové naproti tomu téměř všichni věřili. Překvapivá reakce veřejnosti se stala přelomovým momentem – o několik týdnů později promluvily podnikatelky pro Information a The New York Times o tom, že je rizikoví kapitalisté sexuálně obtěžují, což vyvolalo rezignace a dokonce ukončení činnosti jedné firmy rizikového kapitálu. Podnikatelé byli k tisku upřímní: Fowler je inspiroval. Něco se změnilo. Protože jedné ženě bylo uvěřeno, cítilo se více žen připraveno se přihlásit.

Když se přihlásilo více žen, dobře mínění, ale nepozorní muži už nemohli sexismus ignorovat jako systémový problém. To, co se dělo jejich kolegyním, nebyly jednotlivé případy špatného chování: byla to obžaloba celého odvětví. A jakmile to viděli, byli méně náchylní pochybovat o whistleblowerkách hned od začátku.

Je to velký posun, ale ve firemním světě se zdá, že se věci stále mění pomalu. Ve správních radách, ve vedoucích funkcích, ve firmách rizikového kapitálu i v řadách vysoce ceněné technické pracovní síly převažují muži, zejména běloši. Znovu se však rozvířily větry změn, které přicházejí z toho nejnepravděpodobnějšího místa: z oblasti infosektoru.

Hackeři jsou duší technologického průmyslu a samotní hackeři se mění – hrdinové padají, sociální kapitál se přerozděluje a novými nepřáteli dne jsou sexuální predátoři.

„Kdo jiný tu je? O kolika dalších lidech vím, že jsou pro lidi v komunitě nebezpeční? Děsí mě to,“ řekl mi jeden bezpečnostní výzkumník.

Paranoia je v oblasti infosec hluboce zakořeněná; je to téměř pracovní požadavek. Poté, co se tento profesionální smysl pro strach z vlád a korporací léta zdokonaloval, se najednou paranoia v tomto sektoru obrátila dovnitř a laserově se zaměřila na jejich mužské hrdiny.

V rozhovoru s jiným bezpečnostním výzkumníkem, který dříve vzhlížel k Morganu Marquis-Boirovi, jsem ho mimoděk ujistil, že to není tak, že by každý muž v infosectu byl násilník, že nemusí chodit s alobalovou čepicí a bát se všech tajných násilníků kolem sebe. Hořce se zasmál. „Už je pozdě, Sarah. Já už tu alobalovou čepici nosím.“

Při zpětném pohledu se divím, proč jsem si našel chvilku, abych ho uklidnil. Možná to pramenilo z inkulturovaného instinktu dodat při diskusi o sexismu „ne všichni muži“, možná to pramenilo z mé vlastní hluboké touhy odložit svou zvýšenou postweinsteinovskou paranoiu. Ne všichni muži jsou násilníci, ale každý muž může být násilník, a to je něco, co jednak vím, jednak aktivně pracuji na tom, abych to nevěděla. Už mám dost přemýšlení, mluvení a psaní o zneužívání, ale celonárodní konverzace je všudypřítomná a nevyhnutelná a navzdory mému vyčerpání je nejvyšší čas.

Od podzimu jsem si všimla, že se v mých kanálech na sociálních sítích opět objevují hesla SHA – hesla s iniciálami nebo někdy celými jmény mužů. Tyto řetězce nelze dešifrovat, ale pokud víte nebo tušíte, o jaké řešení se jedná, můžete nad ním zkusit spustit stejný algoritmus a zjistit, zda se hash shoduje. Ženy popisují, jak byly ony nebo jejich kamarádka obtěžovány nebo napadeny, neurčitě popisují dotyčného muže. A pak zveřejní hash, aby si jejich kamarádky mohly zkontrolovat, zda je nenapadl stejný muž.

Je to krok vpřed oproti tabulce „Posraní muži z médií“, která se před pár měsíci stala virální, způsob sdílení informací, který je dostatečně snadný mezi ženami, které jsou schopné otevřít okno příkazového řádku a spustit SHA-256 na mužské jméno – ženami, které se profesionálně zabývají tajemstvími, soukromím, pravdou a ověřováním. Jsou to ženy, o jejichž technických schopnostech, o jejichž místě v jejich světě se dlouho pochybovalo. Bylo s nimi zacházeno jako s padělky, pozéry, vetřelci a cukrátky do náruče. Ale ony tu jsou a vždycky tu byly. A až všichni zlí muži, kteří „dělají dobrou práci“, spadnou ze svých piedestalů, tyto ženy čekají, připraveny zdědit technologický průmysl.