Schwachstellen und Exploits

Im Jahr 2016 bemerkte ich etwas Seltsames auf Twitter – ohne Kontext oder Erklärung hatte Andrea Shepard, eine Tor-Entwicklerin, eine Reihe von zufälligen Buchstaben und Zahlen gepostet. Einige Tage später wurde bekannt, dass sich das Tor-Projekt von Jake Appelbaum, einem hochgelobten Aktivisten und dem bekanntesten Entwickler, getrennt hatte, weil es Vorwürfe der sexuellen Belästigung gab. Shepard twitterte erneut und enthüllte, dass es sich bei der mysteriösen Nachricht um einen SHA-256-Hash des Satzes „Es scheint, dass ein Vergewaltiger ein Vergewaltiger zu viel ist.“

Es war eine verschleierte Anschuldigung, eine, die Appelbaums Namen oder den Kontext seiner angeblichen Taten nicht nannte – eine Aussage, die nur in Verbindung mit der offiziellen Erklärung des Tor-Projekts und den vielen darauffolgenden Konten eine Wirkung zeigte. Es hätte ein Weinstein-Moment sein können, aber im Jahr 2016 wurden seine Ankläger von vielen Seiten belästigt. Obwohl Appelbaum seit vielen Jahren als vermisste Treppe bekannt war, war der Moment eine „Kontroverse“, keine Abrechnung.

Im Jahr 2017 haben wir uns von verschleierten, hinter Verschlüsselung versteckten Worten zu Opfern entwickelt, die ihre Konten twittern und ihre angeblichen Angreifer benennen. Flüsternetzwerke haben sich in laute Sendungen verwandelt, und sogar – für einen kurzen, verhängnisvollen Moment – in öffentliche Google-Tabellen von Missetaten.

In diesem Post-Weinstein-Moment geht es nicht nur um Sex oder Geschlecht, aber dennoch wurden fast alle der jüngsten Anschuldigungen gegen Männer erhoben, und fast alle Opfer (mit ein paar bemerkenswerten Ausnahmen) waren Frauen. Aber wir leben nicht in einer binären Welt, in der Chromosomen und Phänotypen die moralischen Neigungen bestimmen können. Sexuelle Belästigung, insbesondere der Art, die in diesem Moment immer wieder aufgedeckt wird, ist ein systemisches kulturelles Versagen, bei dem Männer immer wieder einen Freifahrtschein erhalten, obwohl sie ihn nicht verdienen.

Das System wird von den Miramax-Führungskräften verkörpert, die tatenlos zusahen und nichts sagten; den Universitätsabteilungen, die es zuließen, dass ihre Problem-Männer stillschweigend gingen und zu Problem-Männern anderer Universitäten wurden; den Mitarbeitern der Personalabteilung, die die Opfer davon abhielten, ihre Beschwerden zu eskalieren. Das System schikaniert Frauen nicht immer aktiv, aber es verzeiht Männern immer dort, wo es sich weigert, Nicht-Männern zu verzeihen.

Diese Struktur ist in der Tech-Gemeinschaft schmerzlich sichtbar: Das berüchtigte „Damore-Memo“ von diesem Sommer, ein Manifest, das von einem verärgerten Google-Mitarbeiter verfasst wurde und in dem er behauptet, dass Frauen aufgrund biologischer Unterschiede für die Computerprogrammierung weniger geeignet seien, bietet nicht nur Einblick in eine üble Unterströmung im Silicon Valley. Es entlarvt auch die schlampige Wissenschaft und das faule Denken, von dem die Männer in der Branche wissen, dass sie damit durchkommen. Männer, vor allem weiße Männer, gehören schließlich zur Tech-Industrie – sie sind die Tech-Industrie. Alle anderen müssen beweisen, dass sie dorthin gehören.

Die Zeit nach Weinstein hat viele Frauen nachdenklich und ängstlich gemacht, die darauf warten, dass der nächste Stein ins Rollen kommt, die darauf warten, dass eine wackelige Reihe von Anschuldigungen eine unvermeidliche Gegenreaktion auslöst. „Ein Mann, der zu Unrecht wegen eines falsch interpretierten Stoßes im Aufzug gefeuert wurde, könnte uns Frauen in marodierende Angreifer und die Männer in unglückliche Opfer verwandeln“, schreibt Rebecca Traister. Aber es stellt sich auch die Frage, ob sich etwas ändern wird. Ist dies nur ein kurzes Fenster der Transparenz, in dem die schlimmsten Aggressoren die ganze Schuld für ein offensichtlich tiefgreifendes institutionelles Versagen auf sich nehmen? Ein paar Dutzend hochkarätige Männer sind in Ungnade gefallen; die Öffentlichkeit hat die Berichte ihrer Opfer aus erster Hand mit Entsetzen, Abscheu und Wut gelesen – aber was nun?

Das vielversprechendste Zeichen dafür, dass die Zeit nach Weinstein nicht nur ein Moment ist, kommt aus einer Ecke des Tech-Sektors – und zwar nicht aus dem Unternehmenssektor, wo sexuelle Belästigung gesetzlich definiert ist und theoretisch von den Personalabteilungen überwacht wird. Im November berichtete The Verge, dass Morgan Marquis-Boire, ein Star unter den Sicherheitsforschern, mehrere Frauen vergewaltigt haben soll, wobei sich die Anschuldigungen über ein Jahrzehnt erstreckten. Und die Informationssicherheits-Community – die für ihre Frauenfeindlichkeit bekannt ist, die selbst für die Tech-Branche ungeheuerlich ist – reagierte darauf größtenteils mit Glauben und sogar Gewissensprüfung.

Dieser spezifische Wertewandel ist ein wichtiger Hinweis darauf, wie sehr sich die Dinge geändert haben. Die Informationssicherheit, sowohl als Branche als auch als Kultur, leidet nicht nur unter dem Sexismus, der in vielen Branchen weit verbreitet ist, oder sogar unter der impliziten Voreingenommenheit, die in der von Männern dominierten Tech-Branche herrscht. Der Hackerkult wertet schließlich auch die nicht einvernehmliche Überschreitung von Grenzen auf. In der Hackerkultur ist es seit langem die Aufgabe des Ziels, gar nicht erst gehackt zu werden – die Beschuldigung von Opfern ist tief in den Werten dieser Subkultur verankert. Es überrascht nicht, dass diese toxische Einstellung auch in der realen Welt zum Tragen kommt. Jeder, der jemals an der DEFCON, der größten Hackerkonferenz Nordamerikas, teilgenommen hat, wurde gewarnt, sich nicht mit dem WLAN des Hotels zu verbinden und Brennergeräte zur Konferenz mitzubringen. Das ist ein Initiationsritus. Aber wenn Sie eine Frau sind, die an der DEFCON teilgenommen hat, haben Sie wahrscheinlich die zweite, zusätzliche Warnung von einem Eingeweihten erhalten – tragen Sie keinen Rock, bleiben Sie nicht zu lange auf Partys, behalten Sie Ihr Getränk immer im Auge. Wenn du auf einer Hackerkonferenz gehackt wirst, dann wurdest du gewarnt. Wenn du auf einer Hackerkonferenz vergewaltigt wirst, bist du auch gewarnt.

Diese kulturelle Toxizität ist umso beunruhigender, wenn man bedenkt, welch überragende Bedeutung die Infosec-Kultur für die Mainstream-Tech-Branche hat. Im Jahr 2017 mag das Silicon Valley ein respektables Oligopol von zugeknöpften Unternehmen sein, aber seine Seele stammt seit langem von den verrückten, wilden Ausreißern, die die Hackersubkultur ausmachen. Die Liebe zum schnellen Handeln und zum Zerstören von Dingen ist kaum mehr als eine Hacker-Verehrung, und so fließen die Eigenheiten und Marotten einer winzigen Subkultur in die Technologie ein, die die moderne Welt antreibt. Der legendäre Hacker und Phreaker Captain Crunch war früher mit Steve Jobs und Steve Wozniak unterwegs; die Open-Source-Strategie von Google geht auf eine ideologische Bewegung zurück, die von einem watschelnden Mann mit einem Zaubererbart angeführt wurde, der Dinge von seinem Fuß isst. Leute wie Morgan Marquis-Boire, der viele Jahre bei Google gearbeitet hat, bewegen sich zwischen beiden Welten und bringen die Werte der Hacker in die behördlichen Unternehmensrichtlinien ein. HTTPS hätte sich nicht im gesamten Web durchgesetzt, wenn die Sicherheitschefs im Valley nicht auch Anhänger von Black Hat und DEFCON gewesen wären; Apples Haltung gegenüber dem FBI wurde von der Ideologie seiner Mitarbeiter vorangetrieben.

In der Informationssicherheit, wie in vielen anderen Branchen, in denen der Beschuldigte eine prominente Figur ist, können Anschuldigungen zu einem Wettbewerb um soziales Kapital werden, bei dem der Beschuldigte fast immer über seine Ankläger siegt. Aber in dieser Gemeinschaft wurde das Freisprechen eines beschuldigten Vergewaltigers oft als moralischer Imperativ mit vier Worten formuliert: „Er macht gute Arbeit.“ Es wird davon ausgegangen, dass Talente rar sind und sexuelles Fehlverhalten zum Wohle der Gesellschaft toleriert werden muss. Wenig bis gar nicht wird berücksichtigt, was wir durch ungläubige Opfer verlieren – ihre technischen und sozialen Beiträge, alle zukünftigen Beiträge von Menschen, die sich vernünftigerweise entscheiden, eine toxische Kultur zu meiden, und sogar darüber hinaus, die stille Erosion des Vertrauens unter den Umstehenden. Mitschuld hinterlässt bei uns allen einen Makel.

Aber die Dinge ändern sich. Die Reaktion auf die Anschuldigungen gegen Marquis-Boire steht in deutlichem Kontrast zu der Reaktion auf die Anschuldigungen gegen Jacob Appelbaum, die von leichter Belästigung bis hin zu Vergewaltigung reichen. Appelbaums Präsenz in der Öffentlichkeit wurde stark eingeschränkt, aber seine Karriere im Bereich der Informationssicherheit geht weiter – er promoviert derzeit an der Technischen Universität Eindhoven in den Niederlanden bei Tanja Lange und dem berühmten Kryptographen Daniel Bernstein.

„Die Leute, auf die es ankommt, werden angesprochen, und zwar in aller Stille“, schrieb Lex Gill 2016 und beschrieb damit, was bisher eine Standardreaktion auf Missbrauchsvorwürfe war. „Sie werden anderen sagen, dass es ihn ‚zerstört‘, dass er schon genug gelitten hat. Es ist ‚kompliziert‘, aber es steht ihnen nicht frei, darüber zu sprechen.

Fast jeder in der Infosec-Szene, mit dem ich gesprochen habe, zeigte sich überrascht, dass Marquis-Boire allgemein gemieden wurde, während Appelbaum – obwohl sein Verhalten vor den öffentlichen Anschuldigungen viele Jahre lang ein offenes Geheimnis war – nicht gemieden wurde. „Es ist verlockend zu denken, dass wir alle etwas aus dem gelernt haben, was mit Jake passiert ist“, sagte mir ein Aktivist.

Es ist möglich, dass Marquis-Boire ein Comeback feiern wird – schließlich taucht Appelbaum jetzt wieder in seinen alten Aktivistenkreisen auf, völlig unentschuldigt. Aber irgendetwas an der Reaktion der Gemeinschaft fühlt sich dieses Mal ganz anders an.

Vielleicht waren die Anschuldigungen gegen Marquis-Boire einfach deshalb glaubwürdiger, weil sie inmitten von Enthüllungen in der gesamten Gesellschaft aufkamen. Marquis-Boire war auch nicht die einzige prominente Persönlichkeit aus dem Bereich der Informationstechnologie, die in der Zeit nach Weinstein des sexuellen Fehlverhaltens beschuldigt wurde: Buzzfeed berichtete im November, dass Captain Crunch, der mit bürgerlichem Namen John Draper heißt, von Sicherheitskonferenzen verbannt wurde, weil er junge Männer, manchmal sogar Teenager, sexuell belästigt hatte.

Und die Enthüllungen um Morgan Marquis-Boire folgen auf die anhaltenden Berichte über sexuelle Belästigung auch in der Mainstream-Tech-Branche. Für jeden, der mit dem wiederholten Versagen der Tech-Industrie in Bezug auf systemische Frauenfeindlichkeit vertraut ist, mag Susan Fowlers Blogpost schockierend, aber kaum überraschend gewesen sein. Überraschend war jedoch der Mangel an Zweifeln in der öffentlichen Meinung. Wenn eine Frau in der Technologiebranche sexuelles Fehlverhalten und Diskriminierung vorwirft, lautet die erste Frage, ob sie nuttig und inkompetent war. Ranghohe Entwickler werden für ihre eigene Belästigung verantwortlich gemacht, und selbst relativ privilegierte Risikokapitalgeber wie Ellen Pao werden mit persönlichen Angriffen auf ihren Charakter und ihre Fähigkeiten konfrontiert.

Fowler hingegen wurde fast überall geglaubt. Die überraschende öffentliche Reaktion wurde zu einem Wendepunkt: Wochen später sprachen Unternehmerinnen gegenüber der Information und der New York Times darüber, dass sie von Risikokapitalgebern sexuell belästigt wurden, was zu Rücktritten und sogar zur Schließung einer VC-Firma führte. Die Unternehmerinnen waren offen gegenüber der Presse: Fowler hatte sie inspiriert. Etwas hatte sich verändert. Weil man einer Frau geglaubt hatte, fühlten sich mehr Frauen bereit, sich zu melden.

Als sich mehr Frauen meldeten, konnten wohlmeinende, aber unaufmerksame Männer Sexismus nicht länger als systemisches Problem ignorieren. Was ihren weiblichen Kollegen widerfuhr, waren keine Einzelfälle schlechten Verhaltens, sondern ein Armutszeugnis für die gesamte Branche. Und wenn sie das erst einmal erkannt hatten, waren sie weniger geneigt, Whistleblowern von vornherein zu misstrauen.

Es ist ein großer Wandel, aber in der Unternehmenswelt scheinen sich die Dinge immer noch langsam zu ändern. Vorstände, Chefetagen, Risikokapitalfirmen und die Reihen der hochgeschätzten technischen Mitarbeiter werden von Männern dominiert, insbesondere von weißen Männern. Aber auch hier regt sich der Wind des Wandels, und er kommt von einem höchst unwahrscheinlichen Ort: Infosec.

Hacker sind die Seele der Tech-Industrie, und die Hacker selbst verändern sich – Helden fallen, soziales Kapital wird umverteilt, und Sexualstraftäter sind die neuen Feinde des Tages.

„Wer ist noch da? Wie viele andere Leute kenne ich, die eine Gefahr für die Menschen in der Gemeinschaft darstellen? Das macht mir Angst“, sagte mir ein Sicherheitsforscher.

Paranoia ist in der Informationstechnologie weit verbreitet; sie ist fast eine berufliche Voraussetzung. Nachdem dieser professionelle Sinn für Angst vor Regierungen und Unternehmen jahrelang geschärft wurde, hat sich die Paranoia der Branche plötzlich nach innen gewendet und richtet sich mit einem Laserfokus auf ihre männlichen Helden.

In einem Gespräch mit einem anderen Sicherheitsforscher, der zuvor zu Morgan Marquis-Boire aufgeschaut hatte, versicherte ich ihm aus dem Stegreif, dass nicht jeder Mann in der IT-Branche ein Vergewaltiger sei, dass er nicht mit einem Hut aus Alufolie herumlaufen und sich Sorgen über all die heimlichen Vergewaltiger um ihn herum machen müsse. Er lachte bitter auf. „Es ist zu spät, Sarah. Ich trage bereits den Hut aus Alufolie.“

Im Nachhinein frage ich mich, warum ich mir einen Moment Zeit genommen habe, ihn zu beruhigen. Vielleicht kam das von einem inkulturierten Instinkt, „nicht alle Männer“ hinzuzufügen, wenn es um Sexismus geht, vielleicht kam es von meinem eigenen tiefen Wunsch, meine verstärkte Post-Weinstein-Paranoia wegzuschieben. Nicht alle Männer sind Vergewaltiger, aber jeder Mann kann ein Vergewaltiger sein, und das ist etwas, das ich sowohl weiß als auch aktiv daran arbeite, es nicht zu wissen. Ich habe es satt, über Missbrauch zu denken, zu reden und zu schreiben, aber das nationale Gespräch ist allgegenwärtig und unausweichlich, und trotz meiner Erschöpfung ist es an der Zeit.

Seit dem Herbst habe ich bemerkt, dass SHA-Hashes wieder in meinen Social Media Feeds auftauchen – Hashes der Initialen von Männern oder manchmal auch ihrer vollständigen Namen. Diese Zeichenfolgen können nicht entschlüsselt werden, aber wenn Sie die Lösung kennen oder vermuten, können Sie versuchen, denselben Algorithmus darüber laufen zu lassen und zu sehen, ob der Hash übereinstimmt. Die Frauen beschreiben, wie sie oder ein Freund belästigt oder angegriffen wurden, und sie beschreiben den betreffenden Mann in vagen Worten. Und dann posten sie den Hash, damit ihre Freunde überprüfen können, ob sie von demselben Mann angegriffen wurden.

Es ist ein Fortschritt gegenüber der „Shitty Media Men“-Tabelle, die vor ein paar Monaten viral ging, ein Mittel zum Austausch von Informationen, das einfach genug ist für die Frauen, die in der Lage sind, ein Befehlszeilenfenster zu öffnen und SHA-256 auf den Namen eines Mannes anzuwenden – Frauen, die beruflich mit Geheimnissen, Privatsphäre, Wahrheit und Überprüfung zu tun haben. Dies sind Frauen, deren technische Fähigkeiten, deren Platz in ihrer Welt, lange Zeit in Frage gestellt wurden. Sie wurden als Schwindlerinnen, Angeberinnen, Eindringlinge und Zuckerpüppchen behandelt. Aber sie sind hier und waren schon immer hier. Und wenn all die bösen Männer, die „gute Arbeit leisten“, von ihren Sockeln gefallen sind, warten diese Frauen, bereit, die Tech-Industrie zu erben.

anzeigen