Podatności i exploity

W 2016 roku zauważyłem coś dziwnego na Twitterze – bez kontekstu lub wyjaśnienia, Andrea Shepard, deweloper Tor, zamieściła ciąg przypadkowych liter i liczb. Kilka dni później gruchnęła wieść, że Tor Project zerwał więzi z Jakiem Appelbaumem, chwalonym aktywistą i najbardziej głośnym z ich deweloperów, w odpowiedzi na zarzuty o molestowanie seksualne. Shepard zatweetował ponownie, ujawniając, że tajemnicza wiadomość była haszem SHA-256 zdania: „Wygląda na to, że jeden gwałciciel to o jednego gwałciciela za dużo.”

Było to zawoalowane oskarżenie, w którym pominięto nazwisko Appelbauma lub kontekst jego rzekomych czynów – oświadczenie, które wywołało cios dopiero po zestawieniu go z oficjalnym oświadczeniem Projektu Tor i licznymi relacjami, które po nim nastąpiły. To mógł być moment na miarę Weinsteina, ale w 2016 roku jego oskarżyciele spotkali się z szykanami z wielu stron. Chociaż Appelbaum był znanym zaginionym schodkiem przez wiele lat, moment był „kontrowersją”, a nie rozliczeniem.

W 2017 roku przeszliśmy od zawoalowanych słów ukrytych za szyfrowaniem, do ofiar tweetujących swoje konta i wymieniających swoich domniemanych napastników. Sieci szeptów zamieniły się w głośne transmisje, a nawet – przez krótki, katastrofalny moment – publiczne arkusze kalkulacyjne Google z występkami.

Ten moment po Weinsteinie nie dotyczy tylko płci, lub płci, ale nadal prawie wszystkie z niedawnego flurry oskarżeń zostały wycelowane w mężczyzn i prawie wszystkie ofiary (z kilkoma godnymi uwagi wyjątkami) były kobietami. Ale nie żyjemy w binarnym świecie, w którym chromosomy i fenotypy mogą określać moralne skłonności. Nie ma nic nieodłącznego w mężczyznach, co czyniłoby ich seksualnymi drapieżnikami; molestowanie seksualne, szczególnie tego rodzaju, który jest ujawniany raz po raz w tym momencie, jest systemową porażką kulturową, w której mężczyźni są wielokrotnie przepuszczani, kiedy na to nie zasługują.

System jest ucieleśniany przez kierownictwo Miramax, które stało z boku i nic nie mówiło; wydziały uniwersyteckie, które pozwoliły swoim problematycznym mężczyznom po cichu odejść i stać się problematycznymi mężczyznami innych uniwersytetów; personel kadrowy, który zniechęcał ofiary do eskalowania swoich skarg. System nie zawsze aktywnie wiktymizuje kobiety, ale konsekwentnie wybacza mężczyznom tam, gdzie odmawia wybaczenia tym, którzy nie są mężczyznami.

Ta struktura jest boleśnie widoczna w społeczności technologicznej: rzeczywiście tego lata niesławne „Memo Damore”, manifest napisany przez niezadowolonego pracownika Google’a, który twierdzi, że różnice biologiczne sprawiają, że kobiety mniej nadają się do programowania komputerów, nie tylko oferuje wgląd w paskudny nurt w Dolinie Krzemowej. Obnaża również niechlujstwo w nauce i leniwe myślenie, które mężczyznom w tej branży uchodzi na sucho. Mężczyźni, zwłaszcza biali, należą do przemysłu technologicznego, w końcu to oni są przemysłem technologicznym. Wszyscy inni mają ciężar udowodnienia, że tam należą.

Moment po Weinsteinie pozostawił wiele kobiet skruszonych i niespokojnych, czekających na drugi but do upadku, czekających na chwiejny zestaw oskarżeń, aby wywołać nieunikniony backlash. „Jeden mężczyzna niesprawiedliwie zwolniony z powodu źle zinterpretowanego uderzenia w windzie może zmienić nas wszystkie, kobiety, w napastników, a mężczyzn w nasze nieszczęsne ofiary”, pisze Rebecca Traister. Ale pozostawia nas to również z pytaniem, czy cokolwiek się zmieni. Czy to tylko krótkie okno przejrzystości, podczas którego najgorsi agresorzy wezmą na siebie całą winę za to, co jest ewidentnie głęboką instytucjonalną porażką? Kilkudziesięciu wysoko postawionych mężczyzn wypadło z łask; opinia publiczna przeczytała relacje z pierwszej ręki ich ofiar z przerażeniem, obrzydzeniem i gniewem – ale co teraz?

Niestety, jeden z zakątków sektora technologicznego przyniósł najbardziej obiecujący znak, że moment po Weinsteinie nie jest tylko momentem – i nie pochodzi on z sektora korporacyjnego, gdzie molestowanie seksualne jest prawnie zdefiniowane i teoretycznie kontrolowane przez działy kadr. W listopadzie The Verge doniósł, że Morgan Marquis-Boire, gwiazda badań nad bezpieczeństwem, rzekomo zgwałcił wiele kobiet, a oskarżenia obejmowały ponad dekadę. Społeczność zajmująca się bezpieczeństwem informacji – która cieszy się reputacją mizogina, co jest oburzające nawet dla całej branży technologicznej – zareagowała w dużej mierze wiarą, a nawet zadumą.

Ta konkretna zmiana wartości jest ważnym wyznacznikiem tego, jak bardzo rzeczy się zmieniły. Bezpieczeństwo informacji, zarówno jako branża, jak i kultura, nie tylko cierpi z powodu seksizmu, który jest endemiczny w wielu branżach, czy nawet ukrytych uprzedzeń, którymi przesiąknięty jest zdominowany przez mężczyzn sektor technologiczny. Kult hakerstwa, po tym wszystkim, również waloryzuje nieskonsensualne naruszenie granic. Kultura hakerska od dawna kładzie nacisk na cel, aby nie dać się zhakować w pierwszej kolejności – obwinianie ofiar jest głęboko zakorzenione w wartościach tej subkultury. Nic dziwnego, że ta toksyczna postawa przenosi się na świat rzeczywisty. Każdy, kto kiedykolwiek uczestniczył w DEFCON, największej konferencji hakerów w Ameryce Północnej, został ostrzeżony, aby nie łączyć się z hotelowym wifi i nie przynosić na konferencję urządzeń z palnikiem. To rytuał przejścia. Ale jeśli jesteś kobietą, która uczestniczyła w DEFCON, prawdopodobnie dostałaś drugą, bonusową gadkę od kogoś, kto się na tym zna – nie noś spódnicy, nie zostawaj zbyt długo na imprezach, pilnuj swojego drinka przez cały czas. Jeśli zostaniesz zhakowany na konferencji hakerów, cóż, zostałeś ostrzeżony. Jeśli zostaniesz zgwałcony na konferencji hakerów, cóż, zostałeś ostrzeżony.

Ta toksyczność kulturowa jest tym bardziej niepokojąca, biorąc pod uwagę niebotyczne znaczenie, jakie kultura infosec miała dla głównego nurtu tech. W 2017 roku Dolina Krzemowa może być szanowanym oligopolem zapiętych na ostatni guzik korporacji, ale na dobre i na złe, jej dusza od dawna czerpie z dziwacznych, dzikich odmieńców, którzy tworzą subkulturę hakerów. Miłość do szybkiego przemieszczania się i łamania rzeczy jest czymś więcej niż hakerskim bałwochwalstwem, a więc dziwactwa i dziwactwa tej małej subkultury przenikają do technologii, która napędza współczesny świat. Legendarny haker i phreaker Captain Crunch biegał kiedyś ze Stevem Jobsem i Stevem Wozniakiem; strategia open source Google’a wywodzi się z ideologicznego ruchu, któremu przewodził chwiejny mężczyzna z brodą czarodzieja, zjadający rzeczy ze swojej stopy. Ludzie tacy jak Morgan Marquis-Boire, który pracował w Google przez wiele lat, straddle obu światów, wstrzykując wartości hakerów do oficjalnych polityk korporacyjnych. HTTPS nie rozwinąłby się w większości sieci, jeśli szefowie bezpieczeństwa w całej Dolinie nie były również wielbiciele Black Hat i DEFCON; stanowisko Apple przeciwko FBI został popchnięty wzdłuż przez ideologię jego rangi i file.

W bezpieczeństwa informacji, jak w wielu innych branżach, gdzie oskarżony jest prominentną postacią, oskarżenia mogą przekształcić się w konkurencji kapitału społecznego, a oskarżony prawie zawsze wygrywa nad ich oskarżycieli. Ale w tej społeczności, danie oskarżonemu gwałcicielowi przepustki było często przedstawiane jako imperatyw moralny w czterech słowach: „On wykonuje dobrą pracę”. Zakłada się, że talent jest rzadkością, a wykroczenia seksualne muszą być tolerowane dla dobra społeczeństwa. W niewielkim stopniu lub wcale nie bierze się pod uwagę tego, co tracimy na niedowierzaniu ofiarom – ich wkład techniczny i społeczny, przyszły wkład ludzi, którzy całkiem rozsądnie postanowili uniknąć toksycznej kultury, a nawet więcej – cichą erozję zaufania wśród osób postronnych. Współudział pozostawia plamę na nas wszystkich.

Ale sprawy się zmieniają. Reakcja na oskarżenia wobec Marquis-Boire stanowi wyraźny kontrast w stosunku do reakcji na oskarżenia – od drobnego molestowania po gwałt – wysunięte wobec Jacoba Appelbauma. Obecność Appelbauma w sferze publicznej została poważnie ograniczona, ale jego kariera w dziedzinie bezpieczeństwa informacji trwa nadal – obecnie robi doktorat na Uniwersytecie Technologicznym w Eindhoven w Holandii, pod kierunkiem Tanji Lange i znanego kryptografa Daniela Bernsteina.

„Z ludźmi, którzy mają znaczenie, będzie się rozmawiać, po cichu”, napisał Lex Gill w 2016 roku, nakreślając to, co do tej pory było standardową odpowiedzią na oskarżenia o nadużycia. „Będą mówić innym, jak to go 'niszczy’, jak już wystarczająco dużo wycierpiał. To jest 'skomplikowane’, ale nie wolno im o tym mówić. Będzie utrzymywany na liście płac, gdzieś.”

Prawie wszyscy w scenie infosec, z którymi rozmawiałem, wyrazili zdziwienie, że Marquis-Boire został powszechnie odrzucony tam, gdzie Appelbaum – mimo że jego zachowanie było otwartą tajemnicą przez wiele lat przed publicznymi zarzutami – nie był. „Kuszące jest myślenie, że wszyscy nauczyliśmy się czegoś z tego, co stało się z Jakiem,” powiedział mi jeden z aktywistów.

Możliwe, że Marquis-Boire powróci – Appelbaum, mimo wszystko, powraca teraz w swoich dawnych kręgach aktywistów, całkowicie niepokorny. Ale coś w reakcji społeczności tym razem wydaje się zupełnie inne.

Prawdopodobnie zarzuty przeciwko Marquis-Boire były bardziej wiarygodne po prostu z powodu pojawienia się w środku objawień w całym społeczeństwie. Marquis-Boire nie był jedyną wybitną postacią w branży infosec oskarżoną o niewłaściwe zachowania seksualne w czasach po Weinsteinie: Buzzfeed poinformował w listopadzie, że Kapitan Crunch, którego prawnym nazwiskiem jest John Draper, został wykluczony z konferencji bezpieczeństwa za molestowanie seksualne młodych mężczyzn, czasami nawet nastolatków.

A rewelacje wokół Morgana Marquis-Boire przychodzą na pięty ciągłych opowieści o molestowaniu seksualnym w głównym nurcie tech również. Dla każdego, kto zna powtarzające się porażki branży technologicznej w zakresie systemowej mizoginii, wpis Susan Fowler mógł być szokujący, ale nie zaskakujący. To, co było zaskakujące, to brak wątpliwości w sądzie opinii publicznej. Jeśli kobieta z branży technologicznej oskarża o niewłaściwe zachowania seksualne i dyskryminację, pierwszym pytaniem, jakie się jej zadaje, jest to, czy była puszczalska i niekompetentna. Szeregowi programiści są obwiniani za własne molestowanie, a nawet stosunkowo uprzywilejowani inwestorzy venture capital, tacy jak Ellen Pao, spotykają się z atakami ad hominem na ich osobisty charakter i zdolności.

Fowler, z drugiej strony, niemal powszechnie uwierzono. Zaskakująca reakcja opinii publicznej stała się momentem przełomowym – tygodnie później kobiety-przedsiębiorcy opowiedziały w „The Information” i „The New York Times” o tym, że były molestowane seksualnie przez inwestorów venture capital, co doprowadziło do rezygnacji, a nawet zamknięcia jednej z firm VC. Przedsiębiorcy byli szczerzy w rozmowach z prasą: Fowler ich zainspirował. Coś się zmieniło. Ponieważ uwierzono jednej kobiecie, więcej kobiet poczuło się gotowych do ujawnienia się.

Ponieważ coraz więcej kobiet zgłaszało się, dobrze myślący, ale nieuważni mężczyźni nie mogli już dłużej ignorować seksizmu jako problemu systemowego. To, co działo się z ich koleżankami, nie było pojedynczymi przypadkami złego zachowania: było to oskarżenie całej branży. A kiedy już mogli to dostrzec, byli mniej skłonni wątpić w kobiety informujące o nieprawidłowościach już na samym początku.

To duża zmiana, ale w świecie korporacji, rzeczy wciąż wydają się powoli zmieniać. Zarządy, gabinety kierownicze, firmy venture capital i szeregi wysoko cenionych pracowników technicznych są zdominowane przez mężczyzn, zwłaszcza białych. Ale znów wieją wiatry zmian, które wychodzą z najbardziej nieprawdopodobnego miejsca: infosec.

Hakerzy są duszą przemysłu technologicznego, a sami hakerzy się zmieniają – bohaterowie upadają, kapitał społeczny jest redystrybuowany, a drapieżcy seksualni są nowymi wrogami dnia.

„Kto jeszcze tam jest? Jak wielu innych ludzi, o których wiem, że stanowią zagrożenie dla ludzi w społeczności? To mnie przeraża”, powiedział mi jeden z badaczy bezpieczeństwa.

Paranoja jest głęboko zakorzeniona w infosec; jest to niemal wymóg zawodowy. Po latach doskonalenia profesjonalnego poczucia strachu przed rządami i korporacjami, nagle paranoja w tym sektorze zwróciła się do wewnątrz, skupiając się laserowo na ich męskich bohaterach.

W rozmowie z innym badaczem bezpieczeństwa, który wcześniej podziwiał Morgana Marquis-Boire’a, zapewniłem go, że to nie jest tak, że każdy mężczyzna w infosec jest gwałcicielem, że nie musi chodzić w czapce z folii aluminiowej, martwiąc się o wszystkich tajemniczych gwałcicieli wokół niego. Roześmiał się gorzko. „Jest już za późno, Sarah. Już mam na sobie kapelusz z folii aluminiowej.”

Z perspektywy czasu zastanawiam się, dlaczego poświęciłem chwilę, aby go uspokoić. Być może wynikało to z wpojonego instynktu dodawania „nie wszyscy mężczyźni” podczas dyskusji o seksizmie, być może wynikało to z mojego własnego głębokiego pragnienia odłożenia na bok mojej wzmożonej paranoi po Weinsteinie. Nie wszyscy mężczyźni są gwałcicielami, ale każdy mężczyzna może być gwałcicielem, a to jest coś, o czym zarówno wiem, jak i aktywnie pracuję, by tego nie wiedzieć. Jestem chory i zmęczony myśleniem, mówieniem i pisaniem o nadużyciach, ale narodowa rozmowa jest wszechobecna i nieuchronna, i pomimo mojego wyczerpania, nadszedł czas.

Od jesieni zauważyłem, że hashe SHA pojawiają się ponownie na moich kanałach mediów społecznościowych – hashe inicjałów mężczyzn, a czasem pełnych nazwisk. Te ciągi nie mogą być odszyfrowane, ale jeśli wiesz lub podejrzewasz, jakie jest rozwiązanie, możesz spróbować uruchomić ten sam algorytm nad nim i zobaczyć, czy hash pasuje. Kobiety opisują, jak one lub ich przyjaciółki były molestowane lub napastowane, opisują niejasno mężczyznę, o którym mowa. A potem zamieszczają hash, aby ich przyjaciółki mogły sprawdzić, czy nie zostały zaatakowane przez tego samego mężczyznę.

Jest to krok naprzód w stosunku do arkusza kalkulacyjnego „Gówniani Mężczyźni Mediów”, który rozprzestrzenił się kilka miesięcy temu, środek dzielenia się informacjami, który jest wystarczająco łatwy wśród kobiet, które są w stanie otworzyć okno wiersza poleceń i uruchomić SHA-256 na imieniu mężczyzny – kobiet, które zawodowo zajmują się sekretami, prywatnością, prawdą i weryfikacją. Są to kobiety, których techniczne umiejętności, których miejsce w ich świecie od dawna jest kwestionowane. Traktowano je jak podróbki, pozerów, intruzów i cukiereczki na rękę. Ale one tu są i zawsze były. A kiedy wszyscy źli mężczyźni, którzy „wykonują dobrą robotę”, spadną ze swoich piedestałów, te kobiety czekają, gotowe odziedziczyć branżę technologiczną.

.