Vulnerabilități și exploatări

În 2016 am observat ceva ciudat pe Twitter – fără context sau explicații, Andrea Shepard, un dezvoltator Tor, a postat un șir de litere și numere aleatorii. Câteva zile mai târziu, a apărut vestea că proiectul Tor a tăiat legăturile cu Jake Appelbaum, un activist lăudat și cel mai mediatizat dintre dezvoltatorii lor, ca răspuns la acuzațiile de hărțuire sexuală. Shepard a scris din nou pe Twitter, dezvăluind că mesajul misterios era un hash SHA-256 al propoziției: „Se pare că un violator este un violator prea mult.”

Era o acuzație voalată, una care omitea numele lui Appelbaum sau contextul presupuselor sale fapte – o afirmație care a primit un pumn doar atunci când a fost aliniată alături de declarația oficială a Proiectului Tor și de numeroasele conturi care au urmat. Ar fi putut fi un moment Weinstein, dar în 2016, acuzatorii săi au fost întâmpinați cu hărțuire din mai multe părți. Deși Appelbaum era o scară dispărută bine cunoscută de mulți ani, momentul a fost o „controversă”, nu o reglare de conturi.

În 2017 am trecut de la cuvintele voalate ascunse în spatele criptării, la victimele care și-au publicat pe Twitter conturile și și-au numit presupușii atacatori. Rețelele de șoapte s-au transformat în emisiuni zgomotoase și chiar – pentru un moment scurt și dezastruos – în foi de calcul Google publice ale fărădelegilor.

Acest moment post-Weinstein nu se referă doar la sex, sau la gen, dar, cu toate acestea, aproape toate acuzațiile din ultima perioadă au fost lansate împotriva bărbaților și aproape toate victimele (cu câteva excepții notabile) au fost femei. Dar noi nu trăim într-o lume binară în care cromozomii și fenotipurile pot determina înclinațiile morale. Nu există nimic inerent în bărbați care să îi facă prădători sexuali; hărțuirea sexuală, în special de genul celei care este dezvăluită din nou și din nou în acest moment, este un eșec cultural sistemic în care bărbaților li se acordă în mod repetat un permis atunci când nu merită unul.

Sistemul este întruchipat de directorii Miramax care au stat deoparte și nu au spus nimic; departamentele universitare care au permis bărbaților lor problematici să plece în tăcere și să devină bărbații problematici ai altor universități; personalul de resurse umane care a descurajat victimele să își intensifice plângerile. Sistemul nu victimizează întotdeauna în mod activ femeile, dar îi iartă în mod constant pe bărbați acolo unde refuză să îi ierte pe cei care nu sunt bărbați.

Această structură este dureros de vizibilă în cadrul comunității tehnologice: într-adevăr, infamul „Damore Memo” din această vară, un manifest scris de un angajat nemulțumit al Google, care postulează că diferențele biologice fac ca femeile să fie mai puțin potrivite pentru programarea calculatoarelor, nu oferă doar o perspectivă asupra unui curent subteran neplăcut din interiorul Silicon Valley. Acesta expune, de asemenea, știința neglijentă și gândirea leneșă cu care bărbații din industrie știu că pot scăpa. Bărbații, în special bărbații albi, aparțin industriei tehnologice, la urma urmei – ei sunt industria tehnologică. Toți ceilalți au sarcina de a dovedi că aparțin acolo.

Momentul post-Weinstein a lăsat multe femei gânditoare și neliniștite, așteptând ca celălalt pantof să cadă, așteptând ca un set șubred de acuzații să declanșeze o reacție inevitabilă. „Un bărbat concediat pe nedrept din cauza unei denivelări interpretate greșit în lift ar putea să ne transforme pe toate femeile în agresori mardeiași, iar pe bărbați în victimele noastre nefericite”, scrie Rebecca Traister. Dar ne-a lăsat, de asemenea, să ne întrebăm dacă se va schimba ceva. Este aceasta doar o scurtă fereastră de transparență în timpul căreia cei mai răi agresori își asumă toată vina pentru ceea ce este în mod evident un eșec instituțional profund? Câteva zeci de bărbați cu profil înalt au căzut în dizgrație; publicul a citit cu groază, dezgust și furie relatările directe ale victimelor lor – dar ce se întâmplă acum?

În mod ciudat, un colț al sectorului tehnologic a produs cel mai promițător semn că momentul post-Weinstein nu este doar un moment – și nu provine din sectorul corporatist, unde hărțuirea sexuală este definită legal și teoretic supravegheată de departamentele de resurse umane. În noiembrie, publicația The Verge a relatat că Morgan Marquis-Boire, un cercetător de securitate vedetă, ar fi violat mai multe femei, acuzațiile acoperind o perioadă de peste un deceniu. Iar comunitatea de securitate a informației – care are o reputație de misoginie care este egregioasă chiar și pentru tehnologie în general – a răspuns în mare parte cu convingere și chiar cu o cercetare sufletească.

Această schimbare specifică de valori este un marker important pentru a arăta cât de mult s-au schimbat lucrurile. Securitatea informațiilor, atât ca industrie, cât și ca cultură, nu suferă doar de sexismul care este endemic în multe industrii, sau chiar de prejudecata implicită impregnată în sectorul tehnologic dominat de bărbați. Cultul hacking-ului, la urma urmei, valorizează, de asemenea, încălcarea neconsensuală a limitelor. Cultura hackerilor a pus de mult timp pe seama țintei sarcina de a nu fi piratată în primul rând – blamarea victimelor este adânc înrădăcinată în valorile acestei subculturi. Nu este surprinzător faptul că această atitudine toxică se transpune în lumea reală. Toți cei care au participat vreodată la DEFCON, cea mai mare conferință de hackeri din America de Nord, au fost avertizați să nu se conecteze la wifi-ul hotelului și să aducă la conferință dispozitive de tip burner. Este un ritual de trecere. Dar, dacă sunteți o femeie care a participat la DEFCON, probabil că ați primit a doua predică bonus de la cineva care știe – nu purtați fustă, nu stați prea târziu la petreceri, fiți cu ochii pe băutură în permanență. Dacă ești piratat la o conferință de hackeri, ei bine, ai fost avertizat. Dacă ești violată la o conferință de hackeri, ei bine, ai fost avertizată.

Această toxicitate culturală este cu atât mai îngrijorătoare având în vedere importanța exagerată pe care cultura infosec a avut-o pentru tehnologia mainstream. În 2017, Silicon Valley ar putea fi un oligopol respectabil de corporații butonate, dar, la bine și la rău, sufletul său se trage de mult timp din ciudățeniile sălbatice aberante care alcătuiesc subcultura hackerilor. Dragostea de a se mișca rapid și de a sparge lucruri este puțin mai mult decât idolatria hackerilor, astfel încât ciudățeniile și ciudățeniile unei subculturi minuscule infuzează tehnologia care conduce lumea modernă. Legendarul hacker și freaker Captain Crunch obișnuia să se întâlnească cu Steve Jobs și Steve Wozniak; strategia open source a Google descinde dintr-o mișcare ideologică condusă de un bărbat cu barbă de vrăjitor care mănâncă lucruri de pe picior. Oameni precum Morgan Marquis-Boire, care a lucrat la Google timp de mulți ani, se situează între cele două lumi, injectând valorile hackerilor în politicile corporative oficioase. HTTPS nu s-ar fi răspândit pe cea mai mare parte a web-ului dacă șefii de securitate din întreaga Valley nu ar fi fost, de asemenea, adepți ai Black Hat și DEFCON; poziția Apple împotriva FBI a fost împinsă de ideologia celor din rândurile sale.

În securitatea informațiilor, ca și în multe alte industrii în care acuzatul este o figură proeminentă, acuzațiile se pot transforma într-o competiție de capital social, iar acuzatul câștigă aproape întotdeauna în fața acuzatorilor săi. Dar în această comunitate, a da o șansă unui violator acuzat a fost adesea încadrat ca un imperativ moral cu patru cuvinte: „El face o treabă bună”. Ipoteza este că talentul este rar și că abaterea sexuală trebuie tolerată pentru binele societății. Puțin sau deloc se ia în considerare ceea ce pierdem din cauza neîncrederii victimelor – contribuțiile lor tehnice și sociale, orice contribuții viitoare ale persoanelor care decid, în mod rezonabil, să evite o cultură toxică și, chiar dincolo de aceasta, eroziunea discretă a încrederii în rândul spectatorilor. Complicitatea lasă o pată pe noi toți.

Dar lucrurile se schimbă. Răspunsul la acuzațiile împotriva lui Marquis-Boire face un contrast accentuat alături de răspunsul la acuzațiile – de la hărțuire minoră la viol – aduse lui Jacob Appelbaum. Prezența lui Appelbaum în sfera publică a fost sever restrânsă, dar cariera sa în domeniul securității informațiilor continuă – în prezent, el urmează un doctorat la Universitatea de Tehnologie Eindhoven din Olanda, sub îndrumarea Tanjei Lange și a celebrului criptograf Daniel Bernstein.

„Se va vorbi cu oamenii care contează, în liniște”, a scris Lex Gill în 2016, subliniind ceea ce a fost, până acum, un răspuns standard la acuzațiile de abuz. „Le vor spune celorlalți cum că „îl distruge”, cum că a suferit destul. Este ‘complicat’, dar ei nu au libertatea de a discuta. El va fi ținut pe statul de plată, undeva.”

Chiar toată lumea de pe scena infosec cu care am vorbit și-a exprimat surprinderea că Marquis-Boire a fost evitat în mod universal acolo unde Appelbaum – în ciuda faptului că comportamentul său a fost un secret deschis timp de mulți ani înainte de acuzațiile publice – nu a fost. „Este tentant să ne gândim că am învățat cu toții ceva din ceea ce s-a întâmplat cu Jake”, mi-a spus un activist.

Este posibil ca Marquis-Boire să revină – Appelbaum, la urma urmei, reapare acum în vechile sale cercuri de activiști, complet neapologetic. Dar ceva în ceea ce privește reacția comunității de data aceasta pare foarte diferit.

Poate că acuzațiile împotriva lui Marquis-Boire au fost mai credibile pur și simplu în virtutea faptului că au venit în mijlocul unor dezvăluiri în întreaga societate. Și Marquis-Boire nu a fost cu greu singura figură proeminentă din infosec acuzată de comportament sexual inadecvat în momentul post-Weinstein: Buzzfeed a raportat în noiembrie că Captain Crunch, al cărui nume legal este John Draper, a fost interzis de la conferințele de securitate pentru că a hărțuit sexual bărbați tineri, uneori chiar adolescenți.

Și dezvăluirile din jurul lui Morgan Marquis-Boire vin în urma unor povești continue de hărțuire sexuală și în sectorul tehnologic principal. Pentru oricine este familiarizat cu eșecurile repetate ale industriei de tehnologie în jurul misoginiei sistemice, postarea de pe blog a lui Susan Fowler ar fi putut fi șocantă, dar deloc surprinzătoare. Ceea ce a fost surprinzător a fost lipsa de îndoială în instanța de judecată a opiniei publice. Dacă o femeie din domeniul tehnologiei pretinde că a avut o conduită sexuală nepotrivită și discriminare, prima întrebare care se pune este dacă nu cumva a fost ușuratică și incompetentă. Dezvoltatorii de rând sunt învinuiți pentru propria hărțuire și chiar și capitaliștii de risc relativ privilegiați, precum Ellen Pao, sunt întâmpinați cu atacuri ad hominem la adresa caracterului și abilităților lor personale.

Fowler, pe de altă parte, a fost crezută aproape în mod universal. Reacția publică surprinzătoare a devenit un moment de cotitură – câteva săptămâni mai târziu, femei antreprenor au vorbit pentru Information și The New York Times despre faptul că au fost hărțuite sexual de capitaliști de risc, ceea ce a provocat demisii și chiar închiderea unei firme de capital de risc. Antreprenoarele au fost sincere cu presa: Fowler le-a inspirat. Ceva se schimbase. Pentru că o femeie fusese crezută, mai multe femei s-au simțit pregătite să iasă în față.

Pe măsură ce mai multe femei au ieșit în față, bărbații bine intenționați, dar neobservanți, nu mai puteau ignora sexismul ca pe o problemă sistemică. Ceea ce li se întâmpla colegelor lor femei nu erau incidente individuale de comportament rău: era o acuzație la adresa unei întregi industrii. Și odată ce au putut vedea acest lucru, au fost mai puțin înclinați să se îndoiască din start de femeile denunțătoare.

Este o schimbare importantă, dar în lumea corporatistă, lucrurile par încă să se schimbe lent. Consiliile de administrație, suitele executive, firmele de capital de risc și rândurile forței de muncă tehnice foarte apreciate sunt dominate de bărbați, în special de bărbați albi. Dar, din nou, vânturile schimbării se agită, venind din cel mai improbabil loc: infosec.

Hackerii sunt sufletul industriei tehnologice, iar hackerii înșiși se schimbă – eroii cad, capitalul social este redistribuit, iar prădătorii sexuali sunt noii dușmani ai zilei.

„Cine mai este acolo? Câte alte persoane știu că reprezintă un pericol pentru oamenii din comunitate? Mă sperie”, mi-a spus un cercetător în domeniul securității.

Paranoia este adânc răspândită în infosec; este aproape o cerință a locului de muncă. După ce și-a perfecționat acest simț profesional al fricii împotriva guvernelor și corporațiilor timp de ani de zile, dintr-o dată paranoia sectorului s-a întors spre interior, adusă cu laser asupra eroilor lor de sex masculin.

Într-o conversație cu un alt cercetător în domeniul securității, care anterior îl admirase pe Morgan Marquis-Boire, l-am asigurat din capul locului că nu este ca și cum fiecare bărbat din infosec ar fi un violator, că nu trebuie să umble cu o pălărie de staniol, îngrijorat de toți violatorii secreți din jurul său. A râs cu amărăciune. „Este prea târziu, Sarah. Port deja pălăria de staniol.”

În retrospectivă, mă întreb de ce mi-am luat un moment pentru a-l liniști. Poate că a venit din instinctul inculturat de a adăuga „nu toți bărbații” atunci când discutăm despre sexism, poate că a venit din propria mea dorință profundă de a pune deoparte paranoia mea accentuată de după Weinstein. Nu toți bărbații sunt violatori, dar orice bărbat poate fi un violator, iar acesta este un lucru pe care atât îl știu, cât și lucrez activ pentru a nu-l ști. Sunt sătulă și obosită să mă gândesc, să vorbesc și să scriu despre abuz, dar conversația națională este omniprezentă și ineluctabilă și, în ciuda epuizării mele, era și timpul.

Din toamnă, am observat că hașurile SHA apar din nou pe fluxurile mele de socializare – hașuri ale inițialelor bărbaților sau, uneori, ale numelor complete. Aceste șiruri nu pot fi decriptate, dar dacă știți sau bănuiți care este soluția, puteți încerca să rulați același algoritm peste ea și să vedeți dacă hash-ul se potrivește. Femeile descriu modul în care ele sau o prietenă au fost hărțuite sau agresate, ele descriu în termeni vagi bărbatul în cauză. Și apoi postează hash-ul, astfel încât prietenele lor să poată verifica dacă au fost atacate de același bărbat.

Este un pas înainte față de foaia de calcul „Shitty Media Men” care a devenit virală acum câteva luni, un mijloc de a împărtăși informații care este destul de ușor printre femeile care sunt capabile să deschidă o fereastră de linie de comandă și să ruleze SHA-256 pe numele unui bărbat – femei care se ocupă în mod profesional de secrete, intimitate, adevăr și verificare. Acestea sunt femei ale căror abilități tehnice, al căror loc în lumea lor, au fost mult timp puse la îndoială. Au fost tratate ca niște prefăcute, niște impostori, niște interlopi și niște bomboane pentru brațe. Dar ele sunt aici și au fost mereu aici. Și când toți bărbații răi care „fac treabă bună” vor fi căzut de pe piedestalurile lor, aceste femei așteaptă, gata să moștenească industria tehnologică.