Sårbarheter och exploits

2016 lade jag märke till något konstigt på Twitter – utan sammanhang eller förklaring hade Andrea Shepard, en Tor-utvecklare, publicerat en rad slumpmässiga bokstäver och siffror. Några dagar senare kom nyheten att Tor-projektet hade skurit av banden med Jake Appelbaum, en hyllad aktivist och den mest profilerade av deras utvecklare, som svar på anklagelser om sexuella trakasserier. Shepard twittrade igen och avslöjade att det mystiska meddelandet var en SHA-256-hash av meningen: ”Det verkar som om en våldtäktsman är en våldtäktsman för mycket.”

Det var en förtäckt anklagelse, en anklagelse som utelämnade Appelbaums namn eller sammanhanget kring hans påstådda handlingar – ett uttalande som bara fick ett slag när det ställdes upp bredvid Tor-projektets officiella uttalande och de många konton som följde. Det kunde ha varit ett Weinstein-ögonblick, men 2016 möttes hans anklagare av trakasserier från många håll. Även om Appelbaum hade varit en välkänd försvunnen trappa i många år var ögonblicket en ”kontrovers”, inte en uppgörelse.

Under 2017 har vi gått vidare från förtäckta ord dolda bakom kryptering, till offer som twittrar sina konton och namnger sina påstådda angripare. Viskningsnätverk har förvandlats till högljudda sändningar och till och med – för ett kort, katastrofalt ögonblick – offentliga Google-kalkylblad med missgärningar.

Denna post-Weinstein-ögonblick handlar inte bara om kön, eller genus, men ändå har nästan alla av den senaste tidens flur av anklagelser riktats mot män och nästan alla offer (med några få anmärkningsvärda undantag) har varit kvinnor. Men vi lever inte i en binär värld där kromosomer och fenotyper kan avgöra moraliska böjelser. Det finns ingenting som är inneboende i män som gör dem till sexuella rovdjur; sexuella trakasserier, särskilt av det slag som avslöjas om och om igen i det här ögonblicket, är ett systematiskt kulturellt misslyckande där män upprepade gånger får ett passerkort när de inte förtjänar det.

Systemet förkroppsligas av Miramaxcheferna som stod vid sidan om och inte sa någonting; universitetsavdelningarna som lät sina problemmänniskor tyst avgå och bli andra universitets problemmänniskor; personalen på personalavdelningen som avskräckte offren från att trappa upp sina klagomål. Systemet gör inte alltid aktivt kvinnor till offer, men det förlåter konsekvent män där det vägrar att förlåta dem som inte är män.

Denna struktur är smärtsamt synlig inom teknikbranschen: sommarens ökända ”Damore Memo”, ett manifest som skrevs av en missnöjd Google-anställd som hävdade att biologiska skillnader gör kvinnor mindre lämpade för datorprogrammering, ger inte bara en inblick i en obehaglig underström inom Silicon Valley. Det avslöjar också den slarviga vetenskap och det lata tänkandet som männen i branschen vet att de kan komma undan med. Män, särskilt vita män, hör till teknikindustrin, när allt kommer omkring – de är teknikindustrin. Alla andra har bördan att bevisa att de hör hemma där.

Det ögonblick som följde efter Weinstein har gjort många kvinnor eftertänksamma och oroliga, i väntan på att den andra skon ska falla, i väntan på att en skakig uppsättning anklagelser ska utlösa en oundviklig motreaktion. ”En man som orättvist får sparken på grund av ett feltolkat gupp i hissen kan förvandla alla oss kvinnor till marodörer och männen till våra olyckliga offer”, skriver Rebecca Traister. Men det har också fått oss att fråga oss om något kommer att förändras. Är detta bara ett kort fönster av öppenhet under vilket de värsta angriparna får ta på sig hela skulden för vad som uppenbarligen är ett djupt institutionellt misslyckande? Några dussin högprofilerade män har fallit i onåd; allmänheten har läst deras offers förstahandsberättelser med förskräckelse, avsky och ilska – men vad händer nu?

Oddly, ett hörn av tekniksektorn har producerat det mest lovande tecknet på att tiden efter Weinstein inte bara är ett ögonblick – och det kommer inte från företagssektorn där sexuella trakasserier är juridiskt definierade och teoretiskt sett övervakas av personalavdelningar. I november rapporterade The Verge att Morgan Marquis-Boire, en rockstjärnig säkerhetsforskare, påstods ha våldtagit flera kvinnor, med anklagelser som sträckte sig över ett decennium. Och informationssäkerhetsbranschen – som har ett rykte om kvinnofientlighet som är oacceptabelt även för teknikbranschen i stort – har i stort sett reagerat med övertygelse och till och med självrannsakan.

Denna specifika förändring av värderingar är en viktig markör för hur mycket saker och ting har förändrats. Informationssäkerhet, både som bransch och kultur, lider inte bara av den sexism som är endemisk i många branscher, eller till och med av de implicita fördomar som genomsyrat den mansdominerade tekniksektorn. Hackerkulten uppvärderar trots allt också den icke-samarbetsvilliga kränkningen av gränser. Hackerkulturen har länge lagt ansvaret på målet att inte bli hackad från första början – att skylla på offret är djupt inbäddat i subkulturens värderingar. Det är inte förvånande att denna giftiga attityd överförs till den verkliga världen. Alla som någonsin deltagit i DEFCON, den största hackarkonferensen i Nordamerika, har blivit varnade för att ansluta sig till hotellets wifi och att ta med sig brännbara enheter till konferensen. Det är en övergångsritual. Men om du är en kvinna som har deltagit i DEFCON har du förmodligen fått det andra bonusspelet från någon som är insatt – bär inte kjol, stanna inte för sent på festerna, håll ett öga på din drink hela tiden. Om du blir hackad på en hackerkonferens, ja, då har du blivit varnad. Om du blir våldtagen på en hackerkonferens, ja, då blev du varnad.

Denna kulturella förgiftning är desto mer oroande med tanke på den överdimensionerade betydelse som infosec-kulturen har haft för den vanliga tekniken. År 2017 må Silicon Valley vara ett respektabelt oligopol av knäppta företag, men på gott och ont har dess själ länge hämtats från de märkliga vilda utbrytarna som utgör hackersubkulturen. Kärleken till att röra sig snabbt och bryta saker och ting är lite mer än hackers avgudadyrkan, och därför genomsyras den teknik som driver den moderna världen av en liten subkulturs egenheter och felsteg. Googles strategi för öppen källkod härstammar från en ideologisk rörelse som leddes av en skenande man med ett trollskägg som äter saker från sin fot. Människor som Morgan Marquis-Boire, som arbetade på Google i många år, är en person som går på gränsen mellan de båda världarna och som sprutar in hackervärden i den officiella företagspolicyn. HTTPS skulle inte ha rullat ut över större delen av webben om inte säkerhetschefer över hela dalen också var anhängare av Black Hat och DEFCON; Apples ställningstagande mot FBI drevs på av ideologin hos dess medlemmar.

I informationssäkerhet, liksom i många andra branscher där den anklagade är en framträdande person, kan anklagelser förvandlas till en tävling om socialt kapital, och den anklagade vinner nästan alltid över sina anklagare. Men i det här samhället har det ofta utformats som ett moraliskt imperativ med fyra ord att ge en anklagad våldtäktsman en chansning: ”Han gör ett bra jobb”. Antagandet är att talang är en bristvara och att sexuellt olämpligt beteende måste tolereras för samhällets bästa. Det tas liten eller ingen hänsyn till vad vi förlorar på att offren inte tror på dem – deras tekniska och sociala bidrag, eventuella framtida bidrag från människor som rimligen beslutar sig för att undvika en giftig kultur, och till och med den tysta urholkningen av förtroendet bland åskådarna. Medverkan lämnar en fläck på oss alla.

Men saker och ting håller på att förändras. Svaret på anklagelserna mot Marquis-Boire utgör en tydlig kontrast bredvid svaret på anklagelserna – som sträcker sig från mindre trakasserier till våldtäkt – mot Jacob Appelbaum. Appelbaums närvaro i den offentliga sfären har begränsats kraftigt, men hans karriär inom informationssäkerhet fortsätter – han håller för närvarande på att doktorera vid Eindhoven University of Technology i Nederländerna, under ledning av Tanja Lange och den hyllade kryptografen Daniel Bernstein.

”De människor som spelar roll kommer att tilltalas, i tysthet”, skrev Lex Gill 2016, och skisserade vad som hittills har varit en standardreaktion på anklagelser om övergrepp. ”De kommer att berätta för andra hur det ’förstör honom’, hur han har lidit tillräckligt. Det är ’komplicerat’, men de får inte diskutera det. Han kommer att hållas på lönelistan någonstans.”

Nästan alla inom infosec-scenen som jag har talat med har uttryckt sin förvåning över att Marquis-Boire har blivit allmänt undviken där Appelbaum – trots att hans beteende var en öppen hemlighet i många år före de offentliga anklagelserna – inte blev det. ”Det är frestande att tro att vi alla har lärt oss något av det som hände med Jake”, sa en aktivist till mig.

Det är möjligt att Marquis-Boire kommer att göra comeback – Appelbaum, trots allt, dyker nu upp igen i sina gamla aktivistkretsar, helt utan ursäkter. Men något med samhällets reaktion den här gången känns väldigt annorlunda.

Kanske var anklagelserna mot Marquis-Boire mer trovärdiga helt enkelt genom att de kom mitt i avslöjanden i hela samhället. Och Marquis-Boire var knappast den enda framstående person inom infosektorn som anklagades för sexuellt olämpligt beteende i tiden efter Weinstein: Buzzfeed rapporterade i november att Captain Crunch, vars juridiska namn är John Draper, hade förbjudits från säkerhetskonferenser för att ha sexuellt trakasserat unga män, ibland till och med tonåringar.

Och avslöjandena om Morgan Marquis-Boire kommer i spåren av pågående historier om sexuella trakasserier även inom den vanliga tekniken. För alla som är bekanta med teknikindustrins upprepade misslyckanden kring systemisk kvinnohat kan Susan Fowlers blogginlägg ha varit chockerande men knappast överraskande. Det som var överraskande var bristen på tvivel i den allmänna opinionens domstol. Om en kvinna inom teknikbranschen påstår sig ha begått sexuella övergrepp och diskriminering är den första frågan som ställs om hon var slampig och inkompetent. Utvecklare på rangnivå får skulden för sina egna trakasserier, och till och med relativt privilegierade riskkapitalister som Ellen Pao möts av ad hominem-attacker mot deras personliga karaktär och förmåga.

Fowler, å andra sidan, var nästan allmänt trodd. Den överraskande offentliga reaktionen blev en vattendelare – veckor senare talade kvinnliga entreprenörer till Information och New York Times om att de blivit sexuellt trakasserade av riskkapitalister, vilket ledde till avgångar och till och med till att ett riskkapitalbolag stängdes. Företagarna var uppriktiga mot pressen: Fowler hade inspirerat dem. Något hade förändrats. Eftersom en kvinna hade blivit trodd kände sig fler kvinnor redo att träda fram.

När fler kvinnor trädde fram kunde välmenande men ouppmärksamma män inte längre ignorera sexism som ett systematiskt problem. Det som hände deras kvinnliga kolleger var inte enskilda incidenter av dåligt beteende: det var en anklagelse mot en hel bransch. När de väl kunde se det var de mindre benägna att tvivla på kvinnliga visselblåsare direkt.

Det är en stor förändring, men i företagsvärlden verkar saker och ting fortfarande vara långsamma att förändra. Styrelser, ledningsgrupper, riskkapitalbolag och de högt värderade tekniska arbetskrafterna domineras av män, särskilt vita män. Men återigen rör sig förändringens vindar, som kommer från den mest osannolika platsen: infosec.

Hackerare är teknikindustrins själ och hackarna själva håller på att förändras – hjältar faller, det sociala kapitalet omfördelas och sexuella förövare är dagens nya fiender.

”Vem finns det annars? Hur många andra människor vet jag är en fara för människor i samhället? Det skrämmer mig”, sa en säkerhetsforskare till mig.

Paranoia är en djupt rotad del av infosektorn; det är nästan ett krav i jobbet. Efter att ha finslipat denna professionella känsla av rädsla mot regeringar och företag i åratal har sektorns paranoia plötsligt vänt sig inåt och har med laserfokus riktats mot deras manliga hjältar.

I en konversation med en annan säkerhetsforskare som tidigare hade sett upp till Morgan Marquis-Boire försäkrade jag honom utan omsvep om att det inte var så att alla män inom infosec var våldtäktsmän, att han inte behövde gå omkring med en foliehatt på sig och oroa sig för alla hemliga våldtäktsmän runt omkring honom. Han skrattade bittert. ”Det är för sent, Sarah. Jag har redan burit foliehatten.”

I efterhand undrar jag varför jag tog en stund på mig för att lugna honom. Kanske kom det från en inkulturerad instinkt att lägga till ”inte alla män” när man diskuterar sexism, kanske kom det från min egen djupa önskan att lägga undan min förhöjda paranoia efter Weinstein. Inte alla män är våldtäktsmän, men alla män kan vara våldtäktsmän, och det är något jag både vet och arbetar aktivt för att inte veta. Jag är trött på att tänka, prata och skriva om övergrepp, men det nationella samtalet är allestädes närvarande och oundvikligt, och trots min utmattning är det på tiden.

Sedan i höstas har jag lagt märke till att SHA-hashes dyker upp igen i mina flöden i sociala medier – hashes av mäns initialer eller ibland hela namn. Dessa strängar kan inte dekrypteras, men om du vet eller misstänker vad lösningen är kan du försöka köra samma algoritm över den och se om hashen matchar. Kvinnor beskriver hur de eller en vän har trakasserats eller överfallits, de beskriver i vaga ordalag mannen i fråga. Och sedan lägger de ut hashkoden, så att deras vänner kan kontrollera om de har blivit attackerade av samma man.

Det är ett steg upp från kalkylbladet ”Shitty Media Men” som blev viralt för ett par månader sedan, ett sätt att dela information som är tillräckligt enkelt bland de kvinnor som är kapabla att öppna ett fönster på en kommandorad och köra SHA-256 på en mans namn – kvinnor som yrkesmässigt sysslar med hemligheter, integritet, sanning och verifiering. Detta är kvinnor vars tekniska förmåga, vars plats i deras värld, länge har ifrågasatts. De har behandlats som förfalskningar och posers och interlopers och armgodis. Men de finns här och har alltid funnits här. Och när alla dåliga män som ”gör bra jobb” har fallit ner från sina piedestaler väntar dessa kvinnor, redo att ärva teknikindustrin.