In 2016 merkte ik iets vreemds op op Twitter – zonder context of uitleg had Andrea Shepard, een Tor-ontwikkelaar, een reeks willekeurige letters en cijfers gepost. Enkele dagen later brak het nieuws dat het Tor Project de banden had verbroken met Jake Appelbaum, een gelauwerde activist en de meest high-profile van hun ontwikkelaars, in reactie op beschuldigingen van seksuele intimidatie. Shepard tweette opnieuw en onthulde dat het mysterieuze bericht een SHA-256 hash was van de zin: “Het lijkt erop dat één verkrachter één verkrachter te veel is.”
Het was een verhulde beschuldiging, één die Appelbaum’s naam of de context van zijn vermeende daden wegliet – een verklaring die alleen een klap uitdeelde toen ze naast de officiële verklaring van het Tor Project en de vele accounts die volgden, werd gelegd. Het had een Weinstein-moment kunnen zijn, maar in 2016 werden zijn beschuldigers van vele kanten getreiterd. Hoewel Appelbaum al vele jaren een bekende vermiste trap was, was het moment een “controverse”, geen afrekening.
In 2017 zijn we verder gegaan van versluierde woorden verborgen achter encryptie, naar slachtoffers die hun accounts tweeten en hun vermeende aanvallers met naam en toenaam noemen. Fluisternetwerken zijn veranderd in luide uitzendingen, en zelfs – voor een kort, rampzalig moment – openbare Google-spreadsheets van wandaden.
Dit post-Weinstein-moment gaat niet alleen over seks, of geslacht, maar toch, bijna alle recente vlaag van beschuldigingen zijn gericht op mannen en bijna alle slachtoffers (met een paar opmerkelijke uitzonderingen) zijn vrouwen geweest. Maar we leven niet in een binaire wereld waar chromosomen en fenotypes morele neigingen kunnen bepalen. Er is niets inherent aan mannen dat hen tot seksuele roofdieren maakt; seksuele intimidatie, in het bijzonder van het soort dat op dit moment keer op keer aan het licht komt, is een systematisch cultureel falen waarbij mannen herhaaldelijk een pas krijgen wanneer ze die niet verdienen.
Het systeem wordt belichaamd door de directieleden van Miramax die toekeken en niets zeiden; de universiteitsafdelingen die hun probleemmannen stilzwijgend lieten vertrekken en probleemmannen van andere universiteiten lieten worden; het personeel van personeelszaken dat slachtoffers ontmoedigde om hun klachten te laten escaleren. Het systeem maakt vrouwen niet altijd actief het slachtoffer, maar het vergeeft mannen consequent waar het weigert degenen te vergeven die geen mannen zijn.
Deze structuur is pijnlijk zichtbaar binnen de tech-gemeenschap: het beruchte “Damore Memo” van deze zomer, een manifest geschreven door een ontevreden Google-werknemer die stelde dat biologische verschillen vrouwen minder geschikt maken voor computerprogrammering, biedt niet alleen inzicht in een nare onderstroom binnen Silicon Valley. Het legt ook de slordige wetenschap en het gemakzuchtige denken bloot waarmee mannen in de industrie weten weg te komen. Mannen, vooral blanke mannen, horen tenslotte bij de tech-industrie – zij zijn de tech-industrie. Alle anderen hebben de last om te bewijzen dat ze daar thuishoren.
Het post-Weinstein moment heeft veel vrouwen nadenkend en angstig achtergelaten, wachtend op de andere schoen die zal vallen, wachtend op een wankele reeks beschuldigingen om een onvermijdelijke tegenreactie teweeg te brengen. “Eén man die onterecht ontslagen wordt na een verkeerd geïnterpreteerde hobbel in de lift kan ons vrouwen allemaal veranderen in de plunderende agressors, en de mannen in onze ongelukkige slachtoffers,” schrijft Rebecca Traister. Maar het heeft ons ook doen afvragen of er iets zal veranderen. Is dit slechts een kortstondig venster van transparantie waarin de ergste agressors alle schuld op zich nemen voor wat duidelijk een diep institutioneel falen is? Een paar dozijn hooggeplaatste mannen zijn uit de gratie gevallen; het publiek heeft de verhalen uit de eerste hand van hun slachtoffers met afschuw, walging en woede gelezen – maar wat nu?
Opvallend genoeg heeft een hoek van de tech-sector het meest veelbelovende teken opgeleverd dat het post-Weinstein-moment niet slechts een moment is – en het komt niet uit de bedrijfssector waar seksuele intimidatie wettelijk is gedefinieerd en theoretisch wordt bewaakt door personeelsafdelingen. In november meldde de Verge dat Morgan Marquis-Boire, een rockstar beveiligingsonderzoeker, meerdere vrouwen zou hebben verkracht, met beschuldigingen die zich over meer dan een decennium uitstrekten. En de informatiebeveiligingsgemeenschap – die een reputatie van vrouwenhaat heeft die zelfs voor tech in het algemeen schandalig is – heeft grotendeels met overtuiging en zelfs met zelfonderzoek gereageerd.
Deze specifieke verschuiving van waarden is een belangrijke markering van hoezeer de dingen zijn veranderd. Informatiebeveiliging, zowel als industrie als cultuur, lijdt niet alleen onder het seksisme dat endemisch is in veel industrieën, of zelfs de impliciete vooringenomenheid die is doorgedrongen in de door mannen gedomineerde tech-sector. De cultus van het hacken is immers ook een waardering voor het zonder toestemming overschrijden van grenzen. De hackerscultuur legt al lang de verantwoordelijkheid bij het doelwit om niet gehackt te worden – slachtoffer-blaming zit diep verankerd in de waarden van die subcultuur. Het zal je niet verbazen dat deze giftige houding overslaat naar de echte wereld. Iedereen die ooit de DEFCON, de grootste hackersconferentie in Noord-Amerika, heeft bijgewoond, is gewaarschuwd geen verbinding te maken met de wifi in het hotel en geen branderapparaten mee te nemen naar de conferentie. Het is een rite de passage. Maar als je als vrouw de DEFCON hebt bijgewoond, heb je waarschijnlijk ook het tweede, extra advies gekregen van iemand die het weet – draag geen rok, blijf niet te laat op feestjes, houd je drankje altijd in de gaten. Als je gehackt wordt op een hackersconferentie, dan ben je gewaarschuwd. Als je verkracht wordt op een hackersconferentie, wel, dan ben je gewaarschuwd.
Die culturele giftigheid is des te verontrustender gezien het buitenproportionele belang dat de infosec-cultuur heeft gehad voor de mainstream tech. In 2017 is Silicon Valley misschien een respectabel oligopolie van dichtgetimmerde bedrijven, maar in voor- en tegenspoed heeft de ziel ervan lang geput uit de vreemde, wilde buitenbeentjes die samen de hackersubcultuur vormen. De liefde voor snel bewegen en dingen kapotmaken is niet veel meer dan hackeridolatrie, en zo zijn de eigenaardigheden en zwakheden van een piepkleine subcultuur bepalend voor de technologie die de moderne wereld aandrijft. De legendarische hacker en phreaker Captain Crunch liep vroeger rond met Steve Jobs en Steve Wozniak; de open source-strategie van Google stamt af van een ideologische beweging die werd aangevoerd door een schimmelende man met een tovenaarsbaard die dingen van zijn voet eet. Mensen als Morgan Marquis-Boire, die vele jaren bij Google heeft gewerkt, staan tussen beide werelden in en injecteren de waarden van hackers in het officieuze bedrijfsbeleid. HTTPS zou niet zijn uitgerold over het grootste deel van het web als chief security officers over de hele Valley niet ook toegewijden waren van Black Hat en DEFCON; Apple’s standpunt tegen de FBI werd voortgedreven door de ideologie van zijn rangen en standen.
In informatiebeveiliging, net als in veel andere industrieën waar de beschuldigde een prominente figuur is, kunnen beschuldigingen veranderen in een wedstrijd van sociaal kapitaal, en de beschuldigde wint het bijna altijd van zijn beschuldigers. Maar in deze gemeenschap is het laten gaan van een beschuldigde verkrachter vaak omschreven als een morele verplichting met vier woorden: “Hij doet goed werk.” De veronderstelling is dat talent schaars is en dat seksueel wangedrag getolereerd moet worden in het belang van de samenleving. Er wordt weinig tot geen rekening gehouden met wat we verliezen door slachtoffers die niet geloofd worden – hun technische en sociale bijdragen, eventuele toekomstige bijdragen van mensen die redelijkerwijs besluiten om een giftige cultuur te vermijden, en zelfs daarbuiten, de stille erosie van vertrouwen onder omstanders. Medeplichtigheid laat een smet achter op ons allemaal.
Maar er zijn dingen aan het veranderen. De reactie op de beschuldigingen tegen Marquis-Boire staan in schril contrast met de reactie op de beschuldigingen – variërend van kleine pesterijen tot verkrachting – aan het adres van Jacob Appelbaum. Appelbaum’s aanwezigheid in de publieke sfeer is ernstig ingeperkt, maar zijn carrière in informatiebeveiliging gaat door – hij promoveert momenteel aan de Technische Universiteit Eindhoven in Nederland, onder Tanja Lange en gevierd cryptograaf Daniel Bernstein.
“De mensen die ertoe doen, zullen worden aangesproken, in stilte,” schreef Lex Gill in 2016, waarin hij schetste wat tot nu toe een standaardreactie op beschuldigingen van misbruik is geweest. “Ze zullen anderen vertellen hoe het hem ‘kapot maakt’, hoe hij genoeg heeft geleden. Het is ‘ingewikkeld’, maar ze mogen er niet over praten. Hij zal ergens op de loonlijst worden gehouden.”
Al bijna iedereen in de infosec-scene die ik heb gesproken, heeft zijn verbazing uitgesproken over het feit dat Marquis-Boire universeel is gemeden waar Appelbaum – ondanks het feit dat zijn gedrag een publiek geheim was gedurende vele jaren voorafgaand aan de publieke beschuldigingen – dat niet was. “Het is verleidelijk om te denken dat we allemaal iets geleerd hebben van wat er met Jake is gebeurd,” vertelde een activist me.
Het is mogelijk dat Marquis-Boire een comeback zal maken – Appelbaum, tenslotte, duikt nu weer op in zijn oude activisten kringen, geheel zonder excuses. Maar iets in de reactie van de gemeenschap voelt deze keer heel anders.
Misschien waren de beschuldigingen tegen Marquis-Boire geloofwaardiger gewoon omdat ze te midden van onthullingen in de hele samenleving kwamen. En Marquis-Boire was niet de enige prominente infosec-figuur die werd beschuldigd van seksueel wangedrag in het post-Weinstein tijdperk: Buzzfeed meldde in november dat Captain Crunch, wiens wettelijke naam John Draper is, was verbannen van beveiligingsconferenties voor het seksueel lastigvallen van jonge mannen, soms zelfs tieners.
En de onthullingen rond Morgan Marquis-Boire komen op de hielen van voortdurende verhalen van seksuele intimidatie in mainstream tech ook. Voor iedereen die bekend is met de herhaalde mislukkingen van de tech-industrie rond systemische vrouwenhaat, was de blogpost van Susan Fowler misschien schokkend, maar nauwelijks verrassend. Wat wel verrassend was, was het gebrek aan twijfel in de rechtszaal van de publieke opinie. Als een vrouw in de technologiesector beschuldigt van seksueel wangedrag en discriminatie, is de eerste vraag die gesteld wordt of ze sletterig en incompetent was. De schuld voor hun eigen pesterijen wordt gelegd bij de ontwikkelaars in de top van het bedrijf, en zelfs relatief bevoorrechte durfkapitalisten zoals Ellen Pao worden geconfronteerd met ad hominem aanvallen op hun persoonlijke karakter en capaciteiten.
Fowler, daarentegen, werd bijna universeel geloofd. De verrassende publieke reactie werd een keerpunt – weken later spraken vrouwelijke ondernemers met de Information en The New York Times over seksuele intimidatie door durfkapitalisten, wat leidde tot ontslagnames en zelfs de sluiting van een VC-bedrijf. De onderneemsters waren openhartig tegenover de pers: Fowler had hen geïnspireerd. Er was iets veranderd. Omdat één vrouw was geloofd, voelden meer vrouwen zich klaar om naar voren te komen.
Toen meer vrouwen naar voren kwamen, konden goedbedoelende maar niet oplettende mannen seksisme niet langer negeren als een systematisch probleem. Wat er gebeurde met hun vrouwelijke collega’s waren geen individuele incidenten van slecht gedrag: het was een aanklacht tegen een hele bedrijfstak. En toen ze dat eenmaal konden zien, waren ze minder geneigd om meteen te twijfelen aan vrouwelijke klokkenluiders.
Het is een grote verschuiving, maar in de bedrijfswereld lijken de dingen nog steeds langzaam te veranderen. Raden van bestuur, directies, venture capital-bedrijven, en de gelederen van hooggewaardeerde technische arbeidskrachten worden gedomineerd door mannen, vooral blanke mannen. Maar opnieuw waaien er winden van verandering, die uit de meest onwaarschijnlijke plaats komen: infosec.
Hackers zijn de ziel van de tech-industrie en de hackers zelf veranderen – helden vallen, sociaal kapitaal wordt herverdeeld, en seksuele roofdieren zijn de nieuwe vijanden van de dag.
“Wie is er nog meer? Hoeveel andere mensen ken ik die een gevaar vormen voor mensen in de gemeenschap? Het maakt me bang,” vertelde een beveiligingsonderzoeker me.
Paranoia zit diep in infosec; het is bijna een functievereiste. Na jarenlang dat professionele gevoel van angst tegen regeringen en bedrijven te hebben aangescherpt, is de paranoia van de sector plotseling naar binnen gekeerd, met laserfocus op hun mannelijke helden.
In een gesprek met een andere beveiligingsonderzoeker die eerder naar Morgan Marquis-Boire had opgekeken, stelde ik hem uit de losse pols gerust dat het niet zo was dat elke man in infosec een verkrachter was, dat hij niet rond hoefde te lopen met een aluminiumfolie hoed op, zich zorgen makend over alle geheime verkrachters om hem heen. Hij lachte bitter. “Het is te laat, Sarah. Ik heb de aluminiumfolie hoed al op.”
Achteraf vraag ik me af waarom ik een moment nam om hem gerust te stellen. Misschien kwam dat voort uit een gecultiveerd instinct om “niet alle mannen” toe te voegen als je het over seksisme hebt, misschien kwam het voort uit mijn eigen diepe verlangen om mijn verhoogde post-Weinstein paranoia opzij te zetten. Niet alle mannen zijn verkrachters, maar elke man kan een verkrachter zijn, en dat is iets waarvan ik zowel weet als actief werk om het niet te weten. Ik ben het zat om over misbruik te denken, te praten en te schrijven, maar het nationale gesprek is alomtegenwoordig en onontkoombaar, en ondanks mijn uitputting wordt het tijd.
Sinds de herfst zie ik in mijn sociale media-feeds weer SHA-hashes opduiken – hashes van de initialen van mannen of soms van hun volledige namen. Deze strings kunnen niet ontcijferd worden, maar als je weet of vermoedt wat de oplossing is, kun je proberen hetzelfde algoritme erop los te laten en kijken of de hash overeenkomt. Vrouwen beschrijven hoe zij of een vriendin zijn lastiggevallen of aangerand, ze beschrijven in vage bewoordingen de man in kwestie. En dan posten ze de hash, zodat hun vrienden kunnen controleren of ze door dezelfde man zijn aangevallen.
Het is een stapje verder dan de “Shitty Media Men” spreadsheet die een paar maanden geleden viral ging, een manier om informatie te delen die gemakkelijk genoeg is onder de vrouwen die in staat zijn om een command line window te openen en SHA-256 op de naam van een man uit te voeren – vrouwen die professioneel omgaan met geheimen, privacy, waarheid, en verificatie. Dit zijn vrouwen wier technische capaciteiten, wier plaats in hun wereld, al lang in twijfel worden getrokken. Ze zijn behandeld als neppers, aanstellers, indringers en arm candy. Maar ze zijn er en zijn er altijd geweest. En wanneer alle slechte mannen die “goed werk doen” van hun voetstuk zijn gevallen, wachten die vrouwen, klaar om de tech-industrie te erven.
Area-codeloze lokale gesprekken zullen grotendeels verdwijnen in oktober – maar om een goede reden
Ja of nee: Doen deze tech-hoorzittingen iets?
Tesla moet Elon Musk vertellen een tweet uit 2018 te verwijderen, labour board rules
Bekijk alle verhalen in Beleid