Vulnerabilità ed exploit

Nel 2016 ho notato qualcosa di strano su Twitter – senza contesto o spiegazione, Andrea Shepard, uno sviluppatore di Tor, aveva postato una serie di lettere e numeri casuali. Alcuni giorni dopo, la notizia che il progetto Tor aveva tagliato i legami con Jake Appelbaum, un attivista lodato e il più alto profilo dei loro sviluppatori, in risposta alle accuse di molestie sessuali. Shepard ha twittato di nuovo, rivelando che il misterioso messaggio era un hash SHA-256 della frase: “Sembra che uno stupratore sia uno stupratore di troppo.”

Era un’accusa velata, che ometteva il nome di Appelbaum o il contesto dei suoi presunti atti – una dichiarazione che ha fatto presa solo se messa in fila accanto alla dichiarazione ufficiale del Tor Project e i molti account che sono seguiti. Avrebbe potuto essere un momento alla Weinstein, ma nel 2016, i suoi accusatori sono stati accolti da molestie da molte parti. Anche se Appelbaum era stata una nota scala mancante per molti anni, il momento era una “controversia”, non una resa dei conti.

Nel 2017 siamo passati da parole velate nascoste dietro la crittografia, alle vittime che hanno twittato i loro account e nominato i loro presunti aggressori. Le reti di sussurri si sono trasformate in trasmissioni ad alta voce, e persino – per un breve, disastroso momento – fogli di calcolo pubblici su Google dei misfatti.

Questo momento post-Weinstein non riguarda solo il sesso, o il genere, ma ancora, quasi tutta la recente raffica di accuse sono state rivolte a uomini e quasi tutte le vittime (con alcune eccezioni notevoli) sono state donne. Ma non viviamo in un mondo binario dove cromosomi e fenotipi possono determinare le propensioni morali. Non c’è nulla di intrinseco negli uomini che li renda predatori sessuali; le molestie sessuali, in particolare del tipo che viene rivelato più e più volte in questo momento, sono un fallimento culturale sistematico in cui agli uomini viene ripetutamente dato un lasciapassare quando non lo meritano.

Il sistema è incarnato dai dirigenti della Miramax che sono rimasti a guardare senza dire nulla; i dipartimenti universitari che hanno permesso ai loro uomini problematici di partire in silenzio e diventare gli uomini problematici di altre università; il personale delle risorse umane che ha scoraggiato le vittime a intensificare le loro denunce. Il sistema non sempre vittimizza attivamente le donne, ma perdona costantemente gli uomini dove si rifiuta di perdonare quelli che non sono uomini.

Questa struttura è dolorosamente visibile all’interno della comunità tecnologica: infatti il famigerato “Damore Memo” di quest’estate, un manifesto scritto da un dipendente scontento di Google che sostiene che le differenze biologiche rendono le donne meno adatte alla programmazione dei computer, non offre solo una visione di una brutta sottocorrente all’interno della Silicon Valley. Espone anche la scienza sciatta e il pensiero pigro che gli uomini nell’industria sanno di poterla fare franca. Gli uomini, specialmente gli uomini bianchi, appartengono all’industria tecnologica, dopo tutto – sono l’industria tecnologica. Tutti gli altri hanno l’onere di provare che appartengono a quell’industria.

Il momento post-Weinstein ha lasciato molte donne pensierose e ansiose, in attesa che l’altra scarpa cada, in attesa che una serie di accuse traballanti scateni un inevitabile contraccolpo. “Un uomo ingiustamente licenziato per un urto mal interpretato in ascensore potrebbe trasformare tutte noi donne in aggressori predatori, gli uomini in vittime sfortunate”, scrive Rebecca Traister. Ma ci ha anche lasciato la domanda se cambierà qualcosa. È solo una breve finestra di trasparenza durante la quale i peggiori aggressori si assumono tutta la colpa per quello che è ovviamente un profondo fallimento istituzionale? Alcune dozzine di uomini di alto profilo sono caduti in disgrazia; il pubblico ha letto i resoconti di prima mano delle loro vittime con orrore, disgusto e rabbia – ma adesso?

Oddirittura, un angolo del settore tecnologico ha prodotto il segno più promettente che il momento post-Weinstein non è solo un momento – e non viene dal settore aziendale dove le molestie sessuali sono legalmente definite e teoricamente controllate dai dipartimenti delle risorse umane. A novembre, The Verge ha riferito che Morgan Marquis-Boire, un ricercatore di sicurezza rockstar, ha presumibilmente violentato più donne, con accuse che si estendono per oltre un decennio. E la comunità della sicurezza dell’informazione – che ha una reputazione di misoginia che è egregia anche per la tecnologia in generale – ha risposto in gran parte con la convinzione e anche la ricerca dell’anima.

Questo specifico cambiamento di valori è un indicatore importante di quanto le cose siano cambiate. La sicurezza informatica, sia come industria che come cultura, non soffre solo del sessismo che è endemico in molte industrie, o anche del pregiudizio implicito intriso nel settore tecnologico dominato dagli uomini. Il culto dell’hacking, dopo tutto, valorizza anche la violazione non consensuale dei confini. La cultura hacker ha a lungo posto l’onere sul bersaglio di non essere violato in primo luogo – il victim-blaming è profondamente cotto nei valori di questa sottocultura. Non sorprende che questo atteggiamento tossico si trasferisca nel mondo reale. Tutti coloro che hanno partecipato al DEFCON, la più grande conferenza di hacker in Nord America, sono stati avvertiti di non connettersi al wifi dell’hotel e di portare dispositivi di masterizzazione alla conferenza. È un rito di passaggio. Ma se sei una donna che ha partecipato al DEFCON, probabilmente hai ricevuto la seconda tiritera bonus da qualcuno che sa – non indossare una gonna, non rimanere troppo tardi alle feste, tenere d’occhio il tuo drink in ogni momento. Se vieni hackerato ad una conferenza hacker, beh, sei stato avvertito. Se vieni stuprata a una conferenza hacker, beh, sei stata avvertita.

Questa tossicità culturale è ancora più preoccupante data l’importanza smisurata che la cultura dell’infosec ha avuto per la tecnologia mainstream. Nel 2017, la Silicon Valley potrebbe essere un rispettabile oligopolio di società abbottonate, ma nel bene e nel male, la sua anima è stata a lungo attinta dagli strani e selvaggi outsider che compongono la sottocultura hacker. L’amore di muoversi velocemente e rompere le cose è poco più che idolatria hacker, e così le stranezze e le manie di una piccola sottocultura infondono la tecnologia che guida il mondo moderno. Il leggendario hacker e phreaker Captain Crunch correva con Steve Jobs e Steve Wozniak; la strategia open source di Google discende da un movimento ideologico capeggiato da un uomo barcollante con una barba da mago che mangia le cose dal suo piede. Persone come Morgan Marquis-Boire, che ha lavorato a Google per molti anni, sono a cavallo di entrambi i mondi, iniettando valori hacker in politiche aziendali difficili. HTTPS non si sarebbe diffuso nella maggior parte del web se i responsabili della sicurezza di tutta la Valle non fossero anche devoti di Black Hat e DEFCON; la posizione di Apple contro l’FBI è stata spinta dall’ideologia dei suoi ranghi e file.

Nella sicurezza informatica, come in molti altri settori in cui l’accusato è una figura importante, le accuse possono trasformarsi in una competizione di capitale sociale, e l’accusato vince quasi sempre sui suoi accusatori. Ma in questa comunità, dare un lasciapassare a un accusato di stupro è stato spesso inquadrato come un imperativo morale con quattro parole: “Fa un buon lavoro”. Il presupposto è che il talento è scarso e la cattiva condotta sessuale deve essere tollerata per il bene della società. Poca o nessuna considerazione viene data a ciò che perdiamo a causa dell’incredulità delle vittime – i loro contributi tecnici e sociali, qualsiasi contributo futuro da parte di persone che abbastanza ragionevolmente decidono di evitare una cultura tossica, e anche oltre, la tranquilla erosione della fiducia tra gli astanti. La complicità lascia una macchia su tutti noi.

Ma le cose stanno cambiando. La risposta alle accuse contro Marquis-Boire è in netto contrasto con la risposta alle accuse – che vanno dalle molestie minori allo stupro – rivolte a Jacob Appelbaum. La presenza di Appelbaum nella sfera pubblica è stata gravemente ridotta, ma la sua carriera nella sicurezza delle informazioni continua – attualmente sta perseguendo un dottorato di ricerca presso l’Università di Tecnologia di Eindhoven nei Paesi Bassi, sotto Tanja Lange e il celebre crittografo Daniel Bernstein.

“Le persone che contano saranno parlate, in silenzio”, ha scritto Lex Gill nel 2016, delineando ciò che, fino ad ora, è stata una risposta standard alle accuse di abusi. “Diranno agli altri come questo lo stia ‘distruggendo’, come abbia sofferto abbastanza. È ‘complicato’, ma non sono autorizzati a discutere. Sarà tenuto sul libro paga, da qualche parte.”

Quasi tutti nella scena dell’infosec con cui ho parlato hanno espresso sorpresa che Marquis-Boire è stato universalmente evitato dove Appelbaum – nonostante il suo comportamento fosse un segreto aperto per molti anni prima delle accuse pubbliche – non lo era. “È allettante pensare che tutti abbiamo imparato qualcosa da quello che è successo con Jake”, mi ha detto un attivista.

È possibile che Marquis-Boire torni in auge – Appelbaum, dopo tutto, sta ora riemergendo nei suoi vecchi circoli di attivisti, senza scusarsi. Ma qualcosa nella reazione della comunità questa volta sembra molto diverso.

Forse le accuse contro Marquis-Boire erano più credibili semplicemente in virtù del fatto che arrivavano nel mezzo di rivelazioni in tutta la società. E Marquis-Boire non era l’unica figura di spicco nell’infosec accusata di cattiva condotta sessuale nel momento post-Weinstein: Buzzfeed ha riferito a novembre che Captain Crunch, il cui nome legale è John Draper, era stato bandito dalle conferenze sulla sicurezza per aver molestato sessualmente giovani uomini, a volte anche adolescenti.

E le rivelazioni intorno a Morgan Marquis-Boire arrivano sulla scia delle storie in corso di molestie sessuali anche nel tech mainstream. Per chiunque abbia familiarità con i ripetuti fallimenti dell’industria tecnologica intorno alla misoginia sistematica, il blogpost di Susan Fowler potrebbe essere stato scioccante ma difficilmente sorprendente. Ciò che era sorprendente era la mancanza di dubbi nel tribunale dell’opinione pubblica. Se una donna nel settore tecnologico denuncia una cattiva condotta sessuale e la discriminazione, la prima domanda che le viene posta è se è stata sgualdrina e incompetente. Gli sviluppatori di rango sono incolpati per le loro stesse molestie, e anche i capitalisti di rischio relativamente privilegiati come Ellen Pao sono accolti con attacchi ad hominem sul loro carattere personale e le loro capacità.

Fowler, d’altra parte, è stato quasi universalmente creduto. La sorprendente reazione pubblica è diventata un momento spartiacque – settimane dopo, le donne imprenditrici hanno parlato all’Information e al New York Times di essere state molestate sessualmente dai venture capitalist, provocando dimissioni e persino la chiusura di una società di VC. Le imprenditrici erano franche con la stampa: Fowler le aveva ispirate. Qualcosa era cambiato. Poiché una donna era stata creduta, altre donne si sentivano pronte a farsi avanti.

Quanto più donne si facevano avanti, gli uomini ben intenzionati ma poco attenti non potevano più ignorare il sessismo come un problema sistematico. Quello che stava accadendo alle loro colleghe non erano singoli incidenti di cattivo comportamento: era un atto d’accusa di un’intera industria. E una volta che potevano vedere questo, erano meno inclini a dubitare delle donne che denunciavano subito.

È un grande cambiamento, ma nel mondo aziendale, le cose sembrano ancora lente a cambiare. I consigli di amministrazione, le suite esecutive, le società di capitale di rischio e le file di un lavoro tecnico altamente prezioso sono dominati da uomini, soprattutto uomini bianchi. Ma ancora una volta, i venti di cambiamento si stanno agitando, uscendo dal luogo più improbabile: l’infosec.

Gli hacker sono l’anima dell’industria tecnologica e gli stessi hacker stanno cambiando – gli eroi cadono, il capitale sociale viene ridistribuito, e i predatori sessuali sono i nuovi nemici del giorno.

“Chi altro c’è? Quante altre persone so che sono un pericolo per le persone nella comunità? Mi spaventa”, mi ha detto un ricercatore di sicurezza.

La paranoia corre profonda nell’infosec; è quasi un requisito del lavoro. Dopo aver affinato questo senso professionale di paura contro i governi e le aziende per anni, improvvisamente la paranoia del settore si è rivolta verso l’interno, concentrandosi con il laser sui loro eroi maschi.

In una conversazione con un altro ricercatore di sicurezza che aveva precedentemente ammirato Morgan Marquis-Boire, l’ho rassicurato su due piedi che non era come se ogni uomo nell’infosec fosse uno stupratore, che non doveva andare in giro con un cappello di carta stagnola, preoccupato di tutti gli stupratori segreti intorno a lui. Rise amaramente. “È troppo tardi, Sarah. Sto già indossando il cappello di carta stagnola”

In retrospettiva, mi chiedo perché ho preso un momento per rassicurarlo. Forse è venuto da un istinto inculturato di aggiungere “non tutti gli uomini” quando si parla di sessismo, forse è venuto dal mio profondo desiderio di mettere via la mia paranoia post-Weinstein. Non tutti gli uomini sono stupratori, ma ogni uomo può essere uno stupratore, e questo è qualcosa che so e che lavoro attivamente per non sapere. Sono stufo di pensare e parlare e scrivere di abusi, ma la conversazione nazionale è onnipresente e ineludibile, e nonostante la mia stanchezza, era ora.

Dall’autunno, ho notato che gli hashtag SHA spuntano di nuovo nei miei feed dei social media – hashtag di iniziali di uomini o talvolta nomi completi. Queste stringhe non possono essere decriptate, ma se sai o sospetti quale sia la soluzione, puoi provare ad eseguire lo stesso algoritmo e vedere se l’hash corrisponde. Le donne descrivono come loro o un’amica sono state molestate o aggredite, descrivono in termini vaghi l’uomo in questione. E poi pubblicano l’hash, così le loro amiche possono controllare se sono state attaccate dallo stesso uomo.

È un passo avanti rispetto al foglio di calcolo “Shitty Media Men” che è diventato virale un paio di mesi fa, un mezzo per condividere informazioni che è abbastanza facile tra le donne che sono capaci di aprire una finestra della linea di comando ed eseguire SHA-256 sul nome di un uomo – donne che si occupano professionalmente di segreti, privacy, verità e verifica. Queste sono donne le cui capacità tecniche, il cui posto nel loro mondo, sono state a lungo messe in discussione. Sono state trattate come falsi, poser, intrusi e caramelle da braccio. Ma sono qui e sono sempre state qui. E quando tutti gli uomini cattivi che “fanno un buon lavoro” sono caduti dai loro piedistalli, quelle donne stanno aspettando, pronte ad ereditare l’industria tecnologica.