Sårbarheder og exploits

I 2016 lagde jeg mærke til noget mærkeligt på Twitter – uden kontekst eller forklaring havde Andrea Shepard, en Tor-udvikler, postet en række tilfældige bogstaver og tal. Nogle dage senere kom nyheden om, at Tor-projektet havde afbrudt forbindelserne med Jake Appelbaum, en roste aktivist og den mest højt profilerede af deres udviklere, som reaktion på beskyldninger om sexchikane. Shepard tweetede igen og afslørede, at den mystiske besked var en SHA-256 hash af sætningen: “Det lader til, at én voldtægtsmand er én voldtægtsmand for meget.”

Det var en sløret anklage, en anklage, der udelod Appelbaums navn eller konteksten for hans påståede handlinger – en udtalelse, der kun landede et slag, når den blev stillet op ved siden af Tor Project’s officielle udtalelse og de mange konti, der fulgte efter. Det kunne have været et Weinstein-øjeblik, men i 2016 blev hans anklagere mødt med chikane fra mange sider. Selv om Appelbaum havde været en velkendt forsvundet trappe i mange år, var øjeblikket en “kontrovers”, ikke et opgør.

I 2017 er vi gået fra slørede ord skjult bag kryptering til ofre, der tweeter deres beretninger ud og navngiver deres påståede angribere. Whisper-netværk er blevet til højlydte udsendelser og endda – i et kort, katastrofalt øjeblik – til offentlige Google-regneark over ugerninger.

Dette post-Weinstein-øjeblik handler ikke kun om køn eller køn, men alligevel er næsten alle de nylige fløjlsblus af beskyldninger blevet rettet mod mænd, og næsten alle ofrene (med nogle få bemærkelsesværdige undtagelser) har været kvinder. Men vi lever ikke i en binær verden, hvor kromosomer og fænotyper kan afgøre moralske tilbøjeligheder. Der er intet iboende i mænd, der gør dem til seksuelle rovdyr; seksuel chikane, især af den slags, der bliver afsløret igen og igen i dette øjeblik, er et systemisk kulturelt svigt, hvor mænd gentagne gange får en passus, når de ikke fortjener det.

Systemet er legemliggjort af Miramax’ ledere, der stod ved siden af og sagde ingenting; de universitetsafdelinger, der tillod deres problematiske mænd at rejse stille og roligt og blive andre universiteters problematiske mænd; personalet i personaleafdelingen, der afskrækkede ofrene fra at optrappe deres klager. Systemet gør ikke altid aktivt kvinder til ofre, men det tilgiver konsekvent mænd, hvor det nægter at tilgive dem, der ikke er mænd.

Denne struktur er smerteligt synlig inden for teknologisamfundet: Faktisk giver denne sommers berygtede “Damore Memo”, et manifest skrevet af en utilfreds Google-medarbejder, der hævder, at biologiske forskelle gør kvinder mindre egnede til at programmere computere, ikke kun indsigt i en ond understrøm inden for Silicon Valley. Det afslører også den sjuskede videnskab og den dovne tankegang, som mænd i branchen ved, at de kan slippe af sted med. Mænd, især hvide mænd, hører trods alt til i den teknologiske industri – de er den teknologiske industri. Alle andre har byrden til at bevise, at de hører til der.

Det øjeblik efter Weinstein har efterladt mange kvinder eftertænksomme og ængstelige og venter på, at den anden sko skal falde, venter på, at en række vakkelvorn beskyldninger skal udløse en uundgåelig modreaktion. “En mand, der uretfærdigt bliver fyret på grund af et misforstået bump i elevatoren, kan forvandle alle os kvinder til mareriddende aggressorer og mændene til vores ulykkelige ofre”, skriver Rebecca Traister. Men det har også fået os til at spørge, om noget vil ændre sig. Er dette kun et kort vindue af gennemsigtighed, hvor de værste aggressorer påtager sig hele skylden for det, der tydeligvis er et dybt institutionelt svigt? Et par dusin højt profilerede mænd er faldet i unåde; offentligheden har læst deres ofres førstehåndsberetninger med rædsel, afsky og vrede – men hvad nu?

Udsædvanligt nok har et hjørne af teknologisektoren frembragt det mest lovende tegn på, at tiden efter Heinstein ikke blot er et øjeblik – og det er ikke fra virksomhedssektoren, hvor seksuel chikane er juridisk defineret og teoretisk set overvåges af personaleafdelinger. I november rapporterede The Verge, at Morgan Marquis-Boire, en rockstjerne-sikkerhedsforsker, angiveligt havde voldtaget flere kvinder, med beskyldninger, der strakte sig over et årti. Og informationssikkerhedsfællesskabet – som har et ry for kvindehad, der er uhyrligt selv for teknologisektoren som helhed – har reageret stort set med tro og endda med selvransagelse.

Dette specifikke skift i værdier er en vigtig markør for, hvor meget tingene har ændret sig. Informationssikkerhed, som både en branche og en kultur, lider ikke kun under den sexisme, der er endemisk i mange brancher, eller endog den implicitte fordomsfuldhed, der er gennemsyret i den mandsdominerede teknologisektor. Hackerkulturen værdsætter trods alt også den ikke-samfundsfaglige krænkelse af grænserne. Hackerkulturen har længe lagt ansvaret på målet for ikke at blive hacket i første omgang – victim-blaming er dybt indgroet i denne subkulturs værdier. Det er ikke overraskende, at denne giftige holdning overføres til den virkelige verden. Alle, der nogensinde har deltaget i DEFCON, den største hackerkonference i Nordamerika, er blevet advaret om ikke at oprette forbindelse til hotellets wifi og om at medbringe brænderudstyr til konferencen. Det er et overgangsritual. Men hvis du er en kvinde, der har deltaget i DEFCON, har du sikkert også fået den anden, bonusspillet fra en person med viden – gå ikke i nederdel, bliv ikke for sent til fester, hold øje med din drink hele tiden. Hvis du bliver hacket på en hackerkonference, så er du blevet advaret. Hvis du bliver voldtaget på en hackerkonference, ja, så er du blevet advaret.

Denne kulturelle forgiftning er så meget desto mere foruroligende i betragtning af den overdimensionerede betydning, som infosec-kulturen har haft for mainstream tech. I 2017 er Silicon Valley måske nok et respektabelt oligopol af tilknyttede virksomheder, men på godt og ondt har dets sjæl længe hentet fra de underlige, vilde outliers, som udgør hackersubkulturen. Kærligheden til at bevæge sig hurtigt og ødelægge ting er lidt mere end hackeridolatisme, og derfor er det en lille subkulturs særheder og fejl og mangler, der gennemsyrer den teknologi, der driver den moderne verden. Den legendariske hacker og phreaker Captain Crunch var tidligere sammen med Steve Jobs og Steve Wozniak, og Googles open source-strategi stammer fra en ideologisk bevægelse, der blev ledet af en skræmmende mand med et troldmandsskæg, der spiser ting af sin fod. Folk som Morgan Marquis-Boire, der arbejdede hos Google i mange år, befinder sig på tværs af begge verdener og indfører hacker-værdier i officielle virksomhedspolitikker. HTTPS ville ikke være rullet ud over det meste af internettet, hvis ikke sikkerhedsansvarlige chefer i hele Valley også var tilhængere af Black Hat og DEFCON; Apples holdning mod FBI blev skubbet frem af ideologien i deres ledende medarbejdere.

I informationssikkerhed, som i mange andre brancher, hvor den anklagede er en fremtrædende person, kan beskyldninger blive til en konkurrence om social kapital, og den anklagede vinder næsten altid over sine anklagere. Men i dette samfund er det at give en anklaget voldtægtsmand en chance ofte blevet udformet som et moralsk imperativ med fire ord: “Han gør et godt stykke arbejde”. Antagelsen er, at talent er en mangelvare, og at seksuel forseelse må tolereres til gavn for samfundet. Der tages kun lidt eller slet ikke hensyn til, hvad vi mister ved at trodse ofrene – deres tekniske og sociale bidrag, eventuelle fremtidige bidrag fra folk, der med rimelighed beslutter sig for at undgå en giftig kultur, og endda ud over det, den stille erosion af tilliden blandt de tilstedeværende. Medvirken efterlader en plet på os alle.

Men tingene er ved at ændre sig. Reaktionen på anklagerne mod Marquis-Boire udgør en markant kontrast ved siden af reaktionen på anklagerne – der spænder fra mindre alvorlig chikane til voldtægt – mod Jacob Appelbaum. Appelbaums tilstedeværelse i offentligheden er blevet kraftigt indskrænket, men hans karriere inden for informationssikkerhed fortsætter – han er i øjeblikket ved at tage en ph.d.-grad på det teknologiske universitet i Eindhoven i Holland under Tanja Lange og den berømte kryptograf Daniel Bernstein.

“De mennesker, der betyder noget, vil blive talt til, stille og roligt,” skrev Lex Gill i 2016 og skitserede, hvad der indtil nu har været en standardreaktion på beskyldninger om misbrug. “De vil fortælle andre, hvordan det ‘ødelægger ham’, hvordan han har lidt nok. Det er ‘kompliceret’, men de har ikke lov til at diskutere det. Han vil blive holdt på lønningslisten et eller andet sted.”

Næsten alle i infosec-scenen, som jeg har talt med, har udtrykt overraskelse over, at Marquis-Boire er blevet universelt undgået, hvor Appelbaum – på trods af at hans adfærd var en åbenlys hemmelighed i mange år før de offentlige beskyldninger – ikke blev det. “Det er fristende at tro, at vi alle har lært noget af det, der skete med Jake”, sagde en aktivist til mig.

Det er muligt, at Marquis-Boire vil gøre comeback – Appelbaum dukker trods alt nu op igen i sine gamle aktivistkredse, helt uden undskyldninger. Men noget ved samfundets reaktion denne gang føles meget anderledes.

Måske var beskyldningerne mod Marquis-Boire mere troværdige alene i kraft af, at de kom midt i afsløringer i hele samfundet. Og Marquis-Boire var næppe den eneste prominente person inden for infosec, der blev beskyldt for seksuelt ukorrekt adfærd i tiden efter WEINSTEIN: Buzzfeed rapporterede i november, at Captain Crunch, hvis juridiske navn er John Draper, var blevet udelukket fra sikkerhedskonferencer for at have chikaneret unge mænd seksuelt, nogle gange endda teenagere.

Og afsløringerne omkring Morgan Marquis-Boire kommer i hælene på løbende historier om seksuel chikane også i mainstream tech. For alle, der er bekendt med tech-industriens gentagne svigt omkring systemisk misogyni, kunne Susan Fowlers blogindlæg have været chokerende, men næppe overraskende. Det, der var overraskende, var manglen på tvivl i den offentlige mening. Hvis en kvinde i teknologibranchen påstår, at hun har begået seksuel forseelse og diskrimination, er det første spørgsmål, der stilles, om hun var luderagtig og inkompetent. Udviklere på rangniveau får skylden for deres egen chikane, og selv relativt privilegerede venturekapitalister som Ellen Pao bliver mødt med ad hominem-angreb på deres personlige karakter og evner.

Fowler blev derimod næsten universelt troet. Den overraskende offentlige reaktion blev et skelsættende øjeblik – uger senere talte kvindelige iværksættere til Information og New York Times om at blive seksuelt chikaneret af venturekapitalister, hvilket førte til afskedigelser og endda til lukning af et venturekapitalfirma. Iværksætterne var ærlige over for pressen: Fowler havde inspireret dem. Noget havde ændret sig. Fordi en kvinde var blevet troet, følte flere kvinder sig klar til at stå frem.

Medens flere kvinder stod frem, kunne velmenende, men uopmærksomme mænd ikke længere ignorere sexisme som et systemisk problem. Det, der skete med deres kvindelige kolleger, var ikke individuelle tilfælde af dårlig opførsel: det var en anklage mod en hel branche. Og da de kunne se det, var de mindre tilbøjelige til at tvivle på kvindelige whistleblowere med det samme.

Det er et stort skift, men i virksomhedsverdenen ser det stadig ud til at gå langsomt med at ændre sig. Bestyrelser, direktionsgrupper, venturekapitalfirmaer og rækker af højt værdsat teknisk arbejdskraft er domineret af mænd, især hvide mænd. Men igen rører forandringens vinde sig, og de kommer fra det mest usandsynlige sted: infosec.

Hackere er tech-industriens sjæl, og hackerne selv er under forandring – helte falder, social kapital omfordeles, og seksuelle rovdyr er dagens nye fjender.

“Hvem er der ellers? Hvor mange andre mennesker ved jeg, at de er en fare for folk i samfundet? Det skræmmer mig,” fortalte en sikkerhedsforsker mig.

Paranoia er dybt udbredt inden for infosec; det er næsten et jobkrav. Efter at have finpudset denne professionelle følelse af frygt mod regeringer og virksomheder i årevis har sektorens paranoia pludselig vendt sig indad, bragt med laserfokus på deres mandlige helte.

I en samtale med en anden sikkerhedsforsker, som tidligere havde set op til Morgan Marquis-Boire, forsikrede jeg ham uden videre om, at det ikke var sådan, at alle mænd i infosec var voldtægtsforbrydere, at han ikke behøvede at gå rundt med en stanniolhat på og bekymre sig om alle de hemmelige voldtægtsforbrydere omkring ham. Han grinede bittert. “Det er for sent, Sarah. Jeg har allerede tinfoilhatten på.”

Set i bakspejlet undrer jeg mig over, hvorfor jeg tog mig et øjeblik til at berolige ham. Måske kom det fra et inkultureret instinkt til at tilføje “ikke alle mænd”, når man diskuterer sexisme, måske kom det fra mit eget dybe ønske om at lægge min forhøjede post-Weinstein-paranoia væk. Ikke alle mænd er voldtægtsforbrydere, men alle mænd kan være voldtægtsforbrydere, og det er noget, jeg både ved og arbejder aktivt på ikke at vide. Jeg er træt af at tænke og tale og skrive om misbrug, men den nationale samtale er allestedsnærværende og uundgåelig, og på trods af min udmattelse er det på tide.

Siden efteråret har jeg bemærket, at SHA-hashes igen dukker op i mine feeds på de sociale medier – hashes af mænds initialer eller nogle gange fulde navne. Disse strenge kan ikke dekrypteres, men hvis du ved eller har mistanke om, hvad løsningen er, kan du prøve at køre den samme algoritme over den og se, om hashen passer. Kvinder beskriver, hvordan de eller en veninde er blevet chikaneret eller overfaldet, og de beskriver i vage vendinger den pågældende mand. Og så poster de hash-koden, så deres veninder kan tjekke, om de er blevet overfaldet af den samme mand.

Det er et skridt opad i forhold til regnearket “Shitty Media Men”, der gik viralt for et par måneder siden, en måde at dele oplysninger på, som er let nok blandt de kvinder, der er i stand til at åbne et kommandolinjevindue og køre SHA-256 på en mands navn – kvinder, der professionelt beskæftiger sig med hemmeligheder, privatliv, sandhed og verifikation. Det er kvinder, hvis tekniske evner, hvis plads i deres verden, længe er blevet betvivlet. De er blevet behandlet som falske og posers og interlopers og arm candy. Men de er her og har altid været her. Og når alle de dårlige mænd, der “laver godt arbejde”, er faldet ned fra deres piedestaler, venter disse kvinder, klar til at arve teknologibranchen.