Мокси Марлинспайк - Moxie Marlinspike

Мокси Марлинспайк
Мокси Марлинспайк TC.jpg
Marlinspike в 2017 году
НациональностьАмериканец
Известен
Научная карьера
ПоляКриптография,
Компьютерная безопасность,
Архитектура программного обеспечения
Интернет сайтдерзкий.org Отредактируйте это в Викиданных

Мэтью Розенфельд,[1] известный как Мокси Марлинспайк,[2] американец предприниматель, криптограф, и компьютерная безопасность Исследователь. Marlinspike - создатель Сигнал, соучредитель Сигнальный фундамент, и в настоящее время является генеральным директором Сигнальный мессенджер. Он также является соавтором Сигнальный протокол шифрование, используемое Сигнал, WhatsApp,[3] [4]Facebook Messenger,[5] и Skype,[6] отвечает за наибольшее развертывание потребительских сквозное шифрование.

Марлинспайк - бывший руководитель службы безопасности в Twitter[7] и автор предложенной замены системы аутентификации SSL назвал Конвергенция.[8] Ранее он поддерживал облачную WPA служба взлома[9] и целевой сервис анонимности под названием GoogleSharing.[10]

биография

Родом из штата Грузия,[3] В 18 лет Марлинспайк переехал в Сан-Франциско в конце 1990-х гг.[11][12] Затем он работал в нескольких технологических компаниях, включая производителя программного обеспечения для корпоративной инфраструктуры. BEA Systems Inc.[3][12] В 2004 году Марлинспайк купил заброшенную парусную лодку и вместе с тремя друзьями отремонтировал ее и начал плавать вокруг Багамы при создании "видео журнал "об их путешествии называется Стойко держаться.[11][3][12]

В 2010 году Marlinspike был Главный технический директор и соучредитель Системы Whisper,[13] начинающая компания по обеспечению мобильной безопасности предприятия. В мае 2010 года Whisper Systems запустила TextSecure и RedPhone. Это были приложения, которые предоставляли сквозное шифрование SMS-сообщения и голосовые вызовы соответственно. Компанию приобрела социальная сеть. Twitter за нераскрытую сумму в конце 2011 года.[14] Приобретение было сделано «в первую очередь для того, чтобы г-н Марлинспайк мог помочь тогдашнему стартапу улучшить свою безопасность».[12] За время работы в качестве главы отдела кибербезопасности в Twitter,[15] фирма сделала приложения Whisper Systems Открытый исходный код.[16][17]

Marlinspike покинул Twitter в начале 2013 года и основал Открытые системы Whisper как совместный проект с открытым исходным кодом для продолжения развития TextSecure и RedPhone.[18][19][20] В то время Марлинспайк и Тревор Перрин начали разработку Сигнальный протокол, ранняя версия которого была впервые представлена ​​в приложении TextSecure в феврале 2014 года.[21] В ноябре 2015 года Open Whisper Systems объединила приложения TextSecure и RedPhone как Сигнал.[22] С 2014 по 2016 год Марлинспайк работал с WhatsApp, Facebook, и Google интегрировать протокол сигналов в свои службы обмена сообщениями.[23][24][25]

21 февраля 2018 года Marlinspike и WhatsApp соучредитель Брайан Актон объявил о создании Сигнальный фундамент.[26][11]

Исследование

Удаление SSL

В статье 2009 года Марлинспайк представил концепцию SSL зачистка атака "человек посередине" в котором злоумышленник может предотвратить веб-браузер от обновления до SSL-соединения незаметным способом, который, скорее всего, останется незамеченным пользователем. Он также объявил о выпуске инструмента, sslstrip,[27] который будет автоматически выполнять эти типы атак типа "злоумышленник посередине".[28][29] В Строгая безопасность транспорта HTTP (HSTS) спецификация была впоследствии разработана для борьбы с этими атаками.[нужна цитата ]

Атаки реализации SSL

Marlinspike обнаружил ряд различных уязвимости в популярных реализациях SSL. Примечательно, что Marlinspike опубликовал статью 2002 г.[30] по эксплуатации SSL / TLS реализации, которые неправильно проверяли X.509 v3 Расширение "BasicConstraints" в сертификат открытого ключа цепи. Это позволило любому, у кого есть действующий сертификат, подписанный ЦС, для любого доменное имя чтобы создать действительные сертификаты, подписанные ЦС, для любого другого домена. Уязвимые реализации SSL / TLS включали Microsoft CryptoAPI, делая Internet Explorer и все другое программное обеспечение Windows, которое полагалось на соединения SSL / TLS, уязвимое для атаки типа "злоумышленник в середине". В 2011 году было обнаружено, что та же уязвимость осталась присутствовать в реализации SSL / TLS на Apple Inc. с iOS.[31][32] Также примечательно, что Marlinspike представил доклад 2009 года,[33] где он представил концепцию атаки нулевого префикса на SSL-сертификаты. Он показал, что все основные реализации SSL не смогли должным образом проверить значение Common Name сертификата, поэтому их можно было обманом заставить принять поддельные сертификаты путем встраивания нулевые символы в поле CN.[34][35]

Решения проблемы CA

В 2011 году Марлинспайк представил доклад под названием SSL и будущее аутентичности[36] на Черная шляпа конференция по безопасности в Лас Вегас. Он обозначил многие текущие проблемы с центры сертификации и объявили о выпуске программного проекта под названием Конвергенция для замены центров сертификации.[37][38] В 2012 году Марлинспайк и Тревор Перрин представили Интернет-проект для TACK,[39] который предназначен для предоставления SSL прикрепление сертификата и помочь решить проблему CA, Инженерная группа Интернета.[40]

Взлом MS-CHAPv2

В 2012 году Marlinspike и Дэвид Халтон представили исследования, позволяющие снизить безопасность MS-CHAPv2 рукопожатия сингл Шифрование DES. Hulton построил оборудование, способное взломать оставшееся шифрование DES менее чем за 24 часа, и эти два оборудования сделали его доступным для использования в качестве Интернет-сервиса.[41]

Путешествие

Марлинспайк говорит, что, летая в пределах Соединенных Штатов, он не может печатать свои собственные. посадочный талон, требуется, чтобы агенты по продаже авиабилетов позвонили по телефону, чтобы оформить билет, и подлежат вторичный скрининг в TSA контрольно-пропускные пункты.[42]

При въезде в Соединенные Штаты рейсом из Доминиканской Республики в 2010 году Марлинспайк был задержан федеральными агентами почти на пять часов, все его электронные устройства были конфискованы, и сначала агенты утверждали, что он вернет их, только если предоставит свои пароли. они могли расшифровать данные. Марлинспайк отказался сделать это, и устройства в конечном итоге были возвращены, хотя он отметил, что больше не может им доверять, сказав: «Они могли модифицировать оборудование или установить новую прошивку клавиатуры».[43]

Говорящие помолвки

  • DEF CON 17: «Дополнительные приемы для защиты от SSL»[44]
  • DEF CON 18 и Черная шляпа 2010: «Изменение угроз конфиденциальности»[45]
  • DEF CON 19 и Black Hat 2011: «SSL и будущее аутентичности»[46]
  • DEF CON 20: «Победа над PPTP VPN и WPA2 с помощью MS-CHAPv2»[47]
  • Веб-сток '15: "Упростить личное общение"[48]
  • 36C3: «Экосистема движется»[49]

Признание

  • В 2013 и 2014 гг. Фонд Шаттлворта предоставил Marlinspike финансирование Open Whisper Systems на общую сумму 289 487,18 долларов США.[50]
  • В 2016 г. Удача журнал назвал Marlinspike среди своих 40 до 40 за то, что он основал Open Whisper Systems и «[шифрует] сообщения более миллиарда человек по всему миру».[51] Проводной также назвал Marlinspike в своем «Следующем списке 2016» одним из «25 гениев, создающих будущее бизнеса».[52]
  • В 2017 году Мокси Марлинспайк вместе с Тревором Перрином были награждены Левчина for Real World Cryptography "для разработки и широкого внедрения протокола сигналов".[53][54]

использованная литература

  1. ^ Смит, Мэтт (15 мая 2013 г.). «Саудовская Mobily отрицает просьбу о помощи, чтобы шпионить за клиентами». Рейтер. Получено 21 февраля 2018.
  2. ^ Розенблюм, Эндрю (26 апреля 2016 г.). «Moxie Marlinspike делает шифрование для всех». Популярная наука. Bonnier Corporation. Получено 9 июля 2016.
  3. ^ а б c d Гринберг, Энди (31 июля 2016 г.). «Познакомьтесь с Мокси Марлинспайком, анархистом, обеспечивающим шифрование для всех нас». Проводной. Condé Nast. Получено 31 июля 2016.
  4. ^ Винер, Анна. «Возвращение нашей конфиденциальности». Житель Нью-Йорка. Получено 2020-10-28.
  5. ^ Гринберг, Энди (4 октября 2016 г.). «Наконец-то вы можете зашифровать Facebook Messenger, сделайте это». Проводной.
  6. ^ Ньюман, Лили Хэй (11 января 2018 г.). «Skype наконец начинает развертывание сквозного шифрования». Проводной.
  7. ^ Херн, Алекс (17 октября 2014 г.). «Бывший глава службы безопасности Твиттера осуждает нарушения конфиденциальности Whisper». Хранитель. Получено 22 января 2015.
  8. ^ Мессмер, Эллен (12 октября 2011 г.). «Индустрию сертификатов SSL можно и нужно заменить». Сетевой мир. IDG. Архивировано из оригинал 1 марта 2014 г.. Получено 25 сентября 2016.
  9. ^ «Новый облачный сервис крадет пароли Wi-Fi». Компьютерный мир. Получено 2013-12-09.
  10. ^ "Лучший способ спрятаться от Google". Forbes. 2013-11-25. Архивировано из оригинал 12 октября 2013 г.. Получено 2013-12-09.
  11. ^ а б c Винер, Анна (19 октября 2020 г.). «Возвращение нашей конфиденциальности: Мокси Марлинспайк, основатель службы сквозного зашифрованного обмена сообщениями Signal,» пытается «вернуть нормальность в Интернет»."". Житель Нью-Йорка. Получено 27 октября 2020.
  12. ^ а б c d Ядрон, Дэнни (9 июля 2015). «Мокси Марлинспайк: кодер, который зашифровал ваши тексты». Журнал "Уолл Стрит. Архивировано из оригинал 10 июля 2015 г.. Получено 27 сентября 2016.
  13. ^ Миллс, Элинор (15 марта 2011 г.). "CNet: приложение WhisperCore шифрует все данные для Android". News.cnet.com. Получено 2013-12-09.
  14. ^ «Twitter приобретает систему шифрования для стартапов Whisper Systems от Moxie Marlinspike». Forbes. Получено 2013-10-04.
  15. ^ Пауэрс, Шон М .; Яблонски, Майкл (февраль 2015 г.). Настоящая кибервойна: политическая экономия свободы Интернета. Университет Иллинойса Press. п. 198. ISBN  978-0-252-09710-2. JSTOR  10.5406 / j.ctt130jtjf.
  16. ^ Крис Анищик (20 декабря 2011 г.). "Шепот верен". Блог разработчиков Twitter. Twitter. Архивировано из оригинал 24 октября 2014 г.. Получено 22 января 2015.
  17. ^ «RedPhone теперь с открытым исходным кодом!». Системы шепота. 18 июля 2012 г. Архивировано с оригинал 31 июля 2012 г.. Получено 22 января 2015.
  18. ^ Ядрон, Дэнни (10 июля 2015). «Что Мокси Марлинспайк сделал в Twitter». Цифры. Журнал "Уолл Стрит. Архивировано из оригинал 18 марта 2016 г.. Получено 27 сентября 2016.
  19. ^ Энди Гринберг (29 июля 2014 г.). «Ваш iPhone наконец-то может совершать бесплатные зашифрованные звонки». Проводной. Получено 18 января 2015.
  20. ^ «Новый дом». Открытые системы Whisper. 21 января 2013 г.. Получено 11 июля 2015.
  21. ^ Донохью, Брайан (24 февраля 2014 г.). «TextSecure отправляет SMS в последней версии». Threatpost. Получено 14 июля 2016.
  22. ^ Гринберг, Энди (2 ноября 2015 г.). «Signal, приложение для шифрования, одобренное Сноуденом, теперь и на Android». Проводной. Condé Nast. Получено 24 ноября 2015.
  23. ^ Мец, Кейд (5 апреля 2016 г.). «Забудьте об Apple и ФБР: WhatsApp только что включил шифрование для миллиарда человек». Проводной. Condé Nast. Получено 2 августа 2016.
  24. ^ Гринберг, Энди (8 июля 2016 г.). "'Секретные разговоры: «Сквозное шифрование приходит в Facebook Messenger». Проводной. Condé Nast. Получено 24 сентября 2016.
  25. ^ Гринберг, Энди (18 мая 2016 г.). «С помощью Allo и Duo Google наконец-то шифрует разговоры от начала до конца». Проводной. Condé Nast. Получено 24 сентября 2016.
  26. ^ Марлинспайк, Мокси; Эктон, Брайан (21 февраля 2018 г.). «Сигнальный фонд». Signal.org. Получено 21 февраля 2018.
  27. ^ "sslstrip". Thoughtcrime.org. Получено 2013-12-09.
  28. ^ Гринберг, Энди (18 февраля 2009 г.). "Взломать замок вашего браузера". Forbes. Архивировано из оригинал 27 февраля 2014 г.
  29. ^ Келли Джексон Хиггинс 24 февраля 2009 (2009-02-24). "Выпущен инструмент взлома SSLStrip". Darkreading.com. Получено 2013-12-09.
  30. ^ "Уязвимость BasicConstraints". Получено 2013-12-09.
  31. ^ Ошибка Apple iOS хуже, чем рекламируется /
  32. ^ "Выпущен инструмент для перехвата данных iPhone". Scmagazine.com.au. 2011-07-27. Архивировано из оригинал на 2013-12-14. Получено 2013-12-09.
  33. ^ «Еще больше новых приемов для победы над SSL на практике». Youtube.com. 2011-01-15. Получено 2013-12-09.
  34. ^ Зеттер, Ким (30.07.2009). «Уязвимости позволяют злоумышленникам выдавать себя за любой веб-сайт». Wired.com. Получено 2013-12-09.
  35. ^ Гудин, Дэн (30.07.2009). "Подстановочный сертификат подделывает веб-аутентификацию". Theregister.co.uk. Получено 2013-12-09.
  36. ^ «SSL и будущее аутентичности». Youtube.com. 2011-08-18. Получено 2013-12-09.
  37. ^ «Новая альтернатива SSL». Informationweek.com. Архивировано из оригинал на 2011-10-01. Получено 2013-12-09.
  38. ^ "Будущее SSL под вопросом?". Infosecurity-magazine.com. 2011-08-09. Получено 2013-12-09.
  39. ^ «Утверждения доверия для ключей сертификатов». Tack.io. Получено 2013-12-09.
  40. ^ Гудин, Дэн (23 мая 2012 г.). "Исправление SSL помечает поддельные сертификаты". Arstechnica.com. Получено 2013-12-09.
  41. ^ «Новый инструмент от Moxie Marlinspike взламывает некоторые крипто-пароли». угрозпост. 19 августа 2012 года. Архивировано 19 августа 2012 года.CS1 maint: BOT: статус исходного URL-адреса неизвестен (ссылка на сайт)
  42. ^ Миллс, Элинор (18 ноября 2010 г.). «Исследователь безопасности: меня все время задерживают федералы». CNET. Получено 2019-06-19.
  43. ^ Зеттер, Ким (18 ноября 2010 г.). "Ноутбук другого хакера, мобильные телефоны обысканы на границе". Wired.com. Получено 2019-06-19.
  44. ^ «DEF CON 17 - Moxie Marlinspike - Дополнительные приемы для победы над SSL». YouTube. DEF CON. Получено 22 января 2015.
  45. ^ "DEF CON 18 - Moxie Marlinspike - Изменение угроз конфиденциальности: от TIA к Google". YouTube. DEF CON. Получено 22 января 2015.
  46. ^ "DEF CON 19 - Moxie Marlinspike - SSL и будущее подлинности". YouTube. DEF CON. Получено 22 января 2015.
  47. ^ «DEF CON 20 - Marlinspike Hulton and Ray - победа над PPTP VPN и WPA2 Enterprise с помощью MS-CHAPv2». YouTube. DEF CON. Получено 22 января 2015.
  48. ^ "Webstock '15: Moxie Marlinspike - Простое личное общение". Vimeo. Веб-сток. Получено 22 апреля 2015.
  49. ^ «36C3 - Экосистема движется». YouTube. 36C3. Получено 6 января 2020.
  50. ^ "Мокси Марлинспайк". Фонд Шаттлворта. нет данных Архивировано из оригинал 15 ноября 2016 г.. Получено 25 сентября 2016.
  51. ^ «Мокси Марлинспайк - 40 до 40». Удача. Time Inc. 2016. Получено 22 сентября 2016.
  52. ^ Персонал, WIRED (2016-04-26). «25 гениев, создающих будущее бизнеса». Проводной. ISSN  1059-1028. Получено 2020-03-19.
  53. ^ «Премия Левчина за криптографию реального мира». RealWorldCrypto.
  54. ^ Левчин, Макс (4 января 2017 г.). «Премия Левчина 2017 года в области криптографии реального мира». Yahoo! Финансы. Получено 7 февраля 2018.

дальнейшее чтение

внешние ссылки