Vulnerabilidades e explorações

Em 2016 eu notei algo estranho no Twitter – sem contexto ou explicação, Andrea Shepard, uma desenvolvedora Tor, tinha postado uma seqüência de letras e números aleatórios. Alguns dias depois, a notícia de que o Projeto Tor havia cortado laços com Jake Appelbaum, um ativista elogiado e o mais destacado de seus desenvolvedores, em resposta a alegações de assédio sexual. Shepard tweeted novamente, revelando que a misteriosa mensagem era um hash SHA-256 da frase, “Parece que um estuprador é um estuprador demais”

Foi uma acusação velada, que omitiu o nome de Appelbaum ou o contexto de seus supostos atos – uma declaração que só deu um soco quando alinhada ao lado da declaração oficial do Projeto Tor e dos muitos relatos que se seguiram. Poderia ter sido um momento Weinstein, mas em 2016, os seus acusadores foram recebidos com assédio de muitos quadrantes. Embora Appelbaum tivesse sido uma conhecida escada desaparecida por muitos anos, o momento foi uma “controvérsia”, não um ajuste de contas.

Em 2017 passamos de palavras veladas escondidas atrás da criptografia, para vítimas twittando suas contas e nomeando seus supostos atacantes. As redes de sussurros se transformaram em emissões barulhentas, e até mesmo – por um breve e desastroso momento – em planilhas públicas do Google de delitos.

Este momento pós-Weinstein não é apenas sobre sexo, ou gênero, mas ainda assim, quase toda a enxurrada recente de acusações tem sido nivelada sobre os homens e quase todas as vítimas (com algumas notáveis exceções) têm sido mulheres. Mas não vivemos num mundo binário onde os cromossomas e fenótipos podem determinar as propensões morais. Não há nada inerente aos homens para torná-los predadores sexuais; o assédio sexual, particularmente do tipo que está sendo revelado repetidamente neste momento, é um fracasso cultural sistêmico onde os homens recebem repetidamente um passe quando não merecem um.

O sistema é encarnado pelos executivos da Miramax que não disseram nada; os departamentos universitários que permitiram que seus homens problemáticos partissem silenciosamente e se tornassem homens problemáticos de outras universidades; o pessoal de recursos humanos que desencorajou as vítimas de aumentar suas queixas. O sistema nem sempre vitima activamente as mulheres, mas perdoa consistentemente os homens onde se recusa a perdoar aqueles que não são homens.

Esta estrutura é dolorosamente visível dentro da comunidade tecnológica: de facto o infame “Damore Memo” deste Verão, um manifesto escrito por um funcionário descontente do Google postulando que as diferenças biológicas tornam as mulheres menos adequadas à programação de computadores, não oferece apenas uma visão de uma desagradável corrente subterrânea dentro do Vale do Silício. Ele também expõe a ciência desleixada e o pensamento preguiçoso que os homens da indústria sabem que podem escapar. Os homens, especialmente os brancos, pertencem à indústria da tecnologia, afinal de contas – eles são a indústria da tecnologia. Todos os outros têm o fardo de provar que pertencem lá.

O momento pós-Weinstein deixou muitas mulheres pensativas e ansiosas, à espera que o outro sapato caísse, à espera que um conjunto instável de acusações desencadeasse um inevitável retrocesso. “Um homem disparado injustamente por causa de um choque mal interpretado no elevador poderia transformar todas nós mulheres em agressores saqueadores, os homens nossas vítimas infelizes”, escreve Rebecca Traister. Mas também nos deixou a perguntar se algo vai mudar. Será isto apenas uma breve janela de transparência durante a qual os piores agressores assumem toda a culpa pelo que é obviamente um profundo fracasso institucional? Algumas dúzias de homens de alto perfil caíram de graça; o público leu em primeira mão os relatos de suas vítimas com horror, repugnância e raiva – mas o que agora?

O curiosamente, um canto do setor tecnológico produziu o sinal mais promissor de que o momento pós-Weinstein não é apenas um momento – e não é do setor corporativo onde o assédio sexual é legalmente definido e teoricamente policiado pelos departamentos de recursos humanos. Em novembro, o Verge relatou que Morgan Marquis-Boire, um pesquisador de segurança estrela do rock, havia supostamente estuprado várias mulheres, com acusações que duraram mais de uma década. E a comunidade de segurança da informação – que ostenta uma reputação de misoginia que é flagrante mesmo para a tecnologia em geral – tem respondido em grande parte com crença e até mesmo com busca de alma.

Esta mudança específica de valores é um marcador importante no quanto as coisas mudaram. A segurança da informação, como indústria e cultura, não sofre apenas com o sexismo endêmico em muitas indústrias, ou mesmo com o preconceito implícito no setor de tecnologia dominado pelos homens. O culto do hacking, afinal, também valoriza a violação não-consensual de fronteiras. A cultura hacker há muito tempo coloca o ônus de não ser hackeado em primeiro lugar – a culpabilização das vítimas está profundamente impregnada dos valores dessa subcultura. Sem surpresas, essa atitude tóxica se transporta para o mundo real. Todos os que já participaram da DEFCON, a maior conferência de hackers da América do Norte, foram avisados para não se conectarem ao wifi do hotel e trazerem dispositivos queimadores para a conferência. É um rito de passagem. Mas se você é uma mulher que já participou da DEFCON, você provavelmente recebeu o segundo, o spiel bônus de alguém que sabe – não use saia, não fique até muito tarde nas festas, fique de olho na sua bebida o tempo todo. Se você for invadido em uma conferência de hackers, bem, você foi avisado. Se você for estuprado em uma conferência de hackers, bem, você foi avisado.

Que a toxicidade cultural é ainda mais preocupante, dada a importância que a cultura infosec tem tido para a tecnologia convencional. Em 2017, o Vale do Silício pode ser um respeitável oligopólio de corporações abotoadas, mas para o melhor ou para o pior, sua alma há muito tempo vem se afastando das estranhas aberrações selvagens que compõem a subcultura hacker. O amor de andar rápido e quebrar coisas é pouco mais do que idolatria de hackers, e assim as peculiaridades e fraquezas de uma pequena subcultura infundem a tecnologia que impulsiona o mundo moderno. O lendário hacker e phreaker Captain Crunch costumava correr com Steve Jobs e Steve Wozniak; a estratégia de código aberto do Google é descendente de um movimento ideológico liderado por um homem desordeiro com barba de feiticeiro que come coisas do seu pé. Pessoas como o Morgan Marquis-Boire, que trabalhou no Google durante muitos anos, se espalham pelos dois mundos, injectando valores hacker nas políticas corporativas oficiosas. HTTPS não teria rolado pela maioria da web se os chefes de segurança de todo o Vale não fossem também devotos de Black Hat e DEFCON; a posição da Apple contra o FBI foi empurrada pela ideologia do seu posto e arquivo.

Na segurança da informação, como em muitas outras indústrias onde o acusado é uma figura proeminente, as acusações podem se transformar em uma competição de capital social, e o acusado quase sempre vence os seus acusadores. Mas nesta comunidade, dar a um acusado de estuprador um passe tem sido frequentemente enquadrado como um imperativo moral com quatro palavras: “Ele faz um bom trabalho.” A suposição é que o talento é escasso e a má conduta sexual deve ser tolerada para o bem da sociedade. Pouca ou nenhuma consideração é dada ao que perdemos com as vítimas incrédulas – suas contribuições técnicas e sociais, quaisquer contribuições futuras de pessoas que, razoavelmente, decidem evitar uma cultura tóxica, e mesmo além disso, a silenciosa erosão da confiança entre os espectadores. A cumplicidade deixa uma mancha em todos nós.

Mas as coisas estão mudando. A resposta às acusações contra o Marquês-Boire faz um contraste marcante ao lado da resposta às acusações – que vão desde pequenos assédios a estupros – cobradas contra Jacob Appelbaum. A presença de Appelbaum na esfera pública foi severamente cerceada, mas sua carreira na segurança da informação continua – ele está atualmente em busca de um doutorado na Universidade de Tecnologia de Eindhoven, na Holanda, sob a direção de Tanja Lange e do célebre criptógrafo Daniel Bernstein.

“As pessoas que importam serão faladas, silenciosamente”, escreveu Lex Gill em 2016, delineando o que tem sido, até agora, uma resposta padrão às acusações de abuso. “Eles dirão aos outros como está ‘destruindo-o’, como ele já sofreu o suficiente”. É ‘complicado’, mas eles não têm a liberdade de discutir. Ele será mantido na folha de pagamento, em algum lugar”

A maioria de todos na cena infosec que eu falei expressou surpresa por o Marquês-Boire ter sido universalmente evitado onde Appelbaum – apesar de seu comportamento ser um segredo aberto por muitos anos antes das acusações públicas – não o foi. “É tentador pensar que todos nós aprendemos algo com o que aconteceu com Jake”, disse-me um ativista.

É possível que o Marquês-Boire faça um retorno – Appelbaum, afinal, está agora ressurgindo em seus antigos círculos de ativistas, totalmente sem desculpas. Mas algo sobre a reação da comunidade desta vez parece muito diferente.

Talvez as alegações contra o Marque-Boire fossem mais credíveis simplesmente em virtude de virem no meio de revelações através da sociedade. E o Marquês-Boire dificilmente foi a única figura proeminente em infosec acusada de má conduta sexual no momento pós-Weinstein: Buzzfeed relatou em Novembro que o Capitão Crunch, cujo nome legal é John Draper, tinha sido banido das conferências de segurança por assediar sexualmente jovens, por vezes até adolescentes.

E as revelações em torno do Morgan Marquis-Boire vêm no calcanhar de histórias contínuas de assédio sexual na tecnologia convencional também. Para qualquer um familiarizado com os repetidos fracassos da indústria da tecnologia em torno da misoginia sistêmica, o blog de Susan Fowler pode ter sido chocante, mas dificilmente surpreendente. O que foi surpreendente foi a falta de dúvida no tribunal da opinião pública. Se uma mulher na indústria da tecnologia alega má conduta sexual e discriminação, a primeira pergunta feita é se ela era vadia e incompetente. Desenvolvedoras de cargos e arquivos são culpadas por seu próprio assédio, e mesmo capitalistas de risco relativamente privilegiados como Ellen Pao são confrontados com ataques ad hominem ao seu caráter e habilidades pessoais.

Fowler, por outro lado, era quase universalmente acreditado. A surpreendente reação pública tornou-se um momento decisivo – semanas depois, mulheres empresárias falaram ao Information and The New York Times sobre serem assediadas sexualmente por capitalistas de risco, provocando demissões e até mesmo o fechamento de uma empresa de capital de risco. As empreendedoras foram francas com a imprensa: Fowler tinha-os inspirado. Alguma coisa tinha mudado. Porque uma mulher tinha sido acreditada, mais mulheres se sentiam prontas para se apresentar.

Como mais mulheres se apresentavam, homens bem-intencionados, mas pouco observadores, não podiam mais ignorar o sexismo como um problema sistêmico. O que estava acontecendo com suas colegas mulheres não era um incidente individual de mau comportamento: era uma acusação de toda uma indústria. E uma vez que eles podiam ver isso, eles estavam menos inclinados a duvidar das mulheres que denunciavam os delatores logo de cara.

É uma grande mudança, mas no mundo corporativo, as coisas ainda parecem lentas a mudar. Os conselhos de administração, as suítes executivas, as empresas de capital de risco e as fileiras de mão de obra técnica altamente especializada são dominadas por homens, especialmente homens brancos. Mas novamente, os ventos da mudança são agitados, saindo do lugar mais improvável: infosec.

Hackers são a alma da indústria tecnológica e os próprios hackers estão mudando – heróis caem, capital social é redistribuído e predadores sexuais são os novos inimigos do dia.

“Quem mais está lá? Quantas outras pessoas eu sei que são um perigo para as pessoas da comunidade? Isso me assusta”, disse-me um pesquisador de segurança.

Paranoia corre fundo no infosec; é quase um requisito de trabalho. Depois de ter aperfeiçoado esse sentimento profissional de medo contra governos e corporações durante anos, de repente, a paranóia do setor se voltou para dentro de si, fez com que o foco do laser se concentrasse em seus heróis homens.

Em uma conversa com um pesquisador de segurança diferente, que antes tinha olhado para Morgan Marquis-Boire, eu o tranquilizei que não era como se todos os homens do infosec fossem estupradores, que ele não precisava andar por aí usando um chapéu de papel alumínio, preocupado com todos os estupradores secretos ao seu redor. Ele riu-se amargamente. “É tarde demais, Sarah. Já estou a usar o chapéu de papel alumínio.”

Em retrospectiva, pergunto-me porque é que tirei um momento para o tranquilizar. Talvez isso tenha vindo de um instinto inculturado para acrescentar “nem todos os homens” ao discutir sexismo, talvez tenha vindo do meu próprio desejo profundo de afastar a minha paranóia pós-Weinstein. Nem todos os homens são estupradores, mas qualquer homem pode ser um estuprador, e isso é algo que eu conheço e trabalho ativamente para não saber. Estou cansado de pensar, falar e escrever sobre abuso, mas a conversa nacional é ubíqua e inescapável, e apesar da minha exaustão, já está na hora.

Desde o Outono, tenho notado hashes de SHA a aparecerem de novo nas minhas alimentações de redes sociais – hashes de iniciais de homens ou por vezes nomes completos. Estas cadeias não podem ser desencriptadas mas se você sabe ou suspeita qual é a solução, você pode tentar rodar o mesmo algoritmo sobre ele e ver se o hash combina. As mulheres descrevem como elas ou um amigo foram assediados ou agredidos, descrevem em termos vagos o homem em questão. E então elas colocam o hash, para que seus amigos possam verificar se elas foram atacadas pelo mesmo homem.

É um passo acima da planilha “Shitty Media Men” que ficou viral há alguns meses, um meio de compartilhar informações que é fácil o suficiente entre as mulheres que são capazes de abrir uma janela de linha de comando e executar SHA-256 no nome de um homem – mulheres que lidam profissionalmente com segredos, privacidade, verdade e verificação. São mulheres cujas capacidades técnicas, cujo lugar em seu mundo, há muito tempo, são questionadas. Elas têm sido tratadas como falsificações e poses e interloperativas e doces para o braço. Mas elas estão aqui e sempre estiveram aqui. E quando todos os homens maus que “fazem bom trabalho” caíram de seus pedestais, essas mulheres estão esperando, prontas para herdar a indústria tecnológica.