Мокси Марлинспайк

американский предприниматель

Мэтью Розенфельд , более известный под псевдонимом Мокси Марлинспайк , — американский предприниматель , криптограф и исследователь компьютерной безопасности . ^{[1] [3]} Марлинспайк — создатель Signal , соучредитель Signal Technology Foundation и первый генеральный директор Signal Messenger LLC . Он также является соавтором шифрования Signal Protocol, используемого Signal, WhatsApp , ^[4] Google Messages , ^[5] Facebook Messenger , ^[6] и Skype . ^[7]

Марлинспайк — бывший руководитель группы безопасности в Twitter ^[8] и автор предлагаемой замены системы аутентификации SSL под названием Convergence . ^[9] Ранее он поддерживал облачный сервис взлома WPA ^[10] и целевой сервис анонимности под названием GoogleSharing. ^[11]

Карьера

Марлинспайк начал свою карьеру, работая в нескольких технологических компаниях, включая производителя программного обеспечения для корпоративной инфраструктуры BEA Systems Inc. [ ^{4] [12]}

В 2010 году Марлинспайк был главным техническим директором и соучредителем Whisper Systems , ^[13] стартапа, занимающегося безопасностью корпоративных мобильных устройств. В мае 2010 года Whisper Systems запустила TextSecure и RedPhone . Это были приложения, которые обеспечивали сквозное шифрование SMS-сообщений и голосовых вызовов соответственно. Twitter приобрел компанию за нераскрытую сумму в конце 2011 года. ^[14] Приобретение было сделано «в первую очередь для того, чтобы г-н Марлинспайк мог помочь тогдашнему стартапу улучшить свою безопасность». ^[12] Во время его работы в качестве главы отдела кибербезопасности Twitter, ^[15] фирма сделала приложения Whisper Systems открытыми . ^{[16] [17]}

Марлинспайк покинул Twitter в начале 2013 года и основал Open Whisper Systems как совместный проект с открытым исходным кодом для продолжения разработки TextSecure и RedPhone. ^{[18] [19] [20]} В то время Марлинспайк и Тревор Перрин начали разрабатывать протокол Signal , ранняя версия которого была впервые представлена ​​в приложении TextSecure в феврале 2014 года. ^[21] В ноябре 2015 года Open Whisper Systems объединила приложения TextSecure и RedPhone как Signal . ^[22] В период с 2014 по 2016 год Марлинспайк работал с WhatsApp , Facebook и Google над интеграцией протокола Signal в их службы обмена сообщениями. ^{[23] [24] [25]}

21 февраля 2018 года Марлинспайк и соучредитель WhatsApp Брайан Эктон объявили о создании Signal Technology Foundation и его дочерней компании Signal Messenger LLC. ^{[26] [1]} Марлинспайк был первым генеральным директором Signal Messenger до своей отставки 10 января 2022 года. ^[27]

Исследовать

SSL-снятие

В статье 2009 года Марлинспайк представил концепцию SSL stripping, атаки типа «человек посередине» , при которой сетевой злоумышленник может помешать веб-браузеру обновиться до SSL-соединения таким образом, что это, скорее всего, останется незамеченным пользователем. Он также объявил о выпуске инструмента, sslstripкоторый будет автоматически выполнять эти типы атак типа «человек посередине». ^{[28] [29]} Спецификация HTTP Strict Transport Security (HSTS) впоследствии была разработана для борьбы с этими атаками. ^[30]

Атаки на реализацию SSL

Марлинспайк обнаружил ряд различных уязвимостей в популярных реализациях SSL. В частности, он опубликовал статью 2002 года об эксплуатации реализаций SSL/TLS , которые некорректно проверяли расширение X.509 v3 «BasicConstraints» в цепочках сертификатов открытого ключа . Это позволяло любому человеку с действительным сертификатом, подписанным CA, для любого доменного имени создавать то, что казалось действительными сертификатами, подписанными CA, для любого другого домена. Уязвимые реализации SSL/TLS включали Microsoft CryptoAPI , что делало Internet Explorer и все другое программное обеспечение Windows, которое полагалось на соединения SSL/TLS, уязвимыми для атаки «человек посередине». В 2011 году было обнаружено, что та же самая уязвимость осталась в реализации SSL/TLS на iOS компании Apple Inc. [ ^{31] [32]} Также следует отметить, что Марлинспайк представил статью 2009 года, в которой он представил концепцию атаки с нулевым префиксом на сертификаты SSL. Он показал, что все основные реализации SSL не смогли должным образом проверить значение Common Name сертификата, поэтому их можно было обмануть и заставить принимать поддельные сертификаты, встраивая нулевые символы в поле CN. ^{[33] [34]}

Решения проблемы CA

В 2011 году Марлинспайк выступил с докладом «SSL и будущее подлинности» ^[35] на конференции по безопасности Black Hat в Лас-Вегасе . Он обрисовал многие проблемы с центрами сертификации и объявил о выпуске программного проекта под названием Convergence для их замены. ^{[36] [37]} В 2012 году Марлинспайк и Перрин представили Internet Draft для TACK, ^[38] который предназначен для обеспечения закрепления сертификатов SSL и помощи в решении проблемы CA, в Internet Engineering Task Force . ^[39]

Взлом MS-CHAPv2

В 2012 году Марлинспайк и Дэвид Халтон представили исследование, которое позволяет снизить безопасность рукопожатий MS-CHAPv2 до одного шифрования DES . Халтон создал оборудование, способное взломать оставшееся шифрование DES менее чем за 24 часа, и они сделали это оборудование доступным для использования любым человеком в качестве интернет-сервиса. ^[40]

Споры о слежке за мобильными устройствами

В 2013 году Марлинспайк опубликовал в своем блоге электронные письма, которые, по его словам, были отправлены саудовской службой телекоммуникаций Mobily, в которых он просил его помочь в наблюдении за их клиентами, включая перехват сообщений, проходящих через различные приложения. Марлинспайк отказался помочь, вместо этого опубликовав электронные письма. Mobily отвергла обвинения. «Мы никогда не общаемся с хакерами», — заявила компания. ^[41]

Путешествие

Марлинспайк говорит, что во время перелетов в пределах Соединенных Штатов он не может распечатать свой собственный посадочный талон , ему необходимо, чтобы агенты по продаже авиабилетов сделали телефонный звонок, чтобы выдать талон, и он подвергается вторичному досмотру на контрольно-пропускных пунктах TSA . ^[42]

При въезде в США рейсом из Доминиканской Республики в 2010 году Марлинспайк был задержан федеральными агентами почти на пять часов, все его электронные устройства были конфискованы, и сначала агенты утверждали, что он получит их обратно только в том случае, если предоставит свои пароли, чтобы они могли расшифровать данные. Марлинспайк отказался это сделать, и устройства в конечном итоге были возвращены, хотя он отметил, что больше не может им доверять, сказав: «Они могли модифицировать оборудование или установить новую прошивку клавиатуры». ^[43]

Признание

• В 2016 году журнал Fortune включил Марлинспайка в список 40 человек моложе 40 лет за то, что он является основателем Open Whisper Systems и «[шифрует] коммуникации более миллиарда человек по всему миру». ^[44] Журнал Wired также включил его в свой «Следующий список 2016 года» как одного из «25 гениев, которые создают будущее бизнеса». ^[45]
• В 2017 году Марлинспайк и Перрин были награждены премией Левчина за криптографию в реальном мире «за разработку и широкое внедрение протокола Signal». ^{[46] [47]}

Личная жизнь

Родом из штата Джорджия , ^[4] Марлинспайк переехал в Сан-Франциско в конце 1990-х годов в возрасте 18 лет. ^{[1] [12]} Имя Мокси Марлинспайк — вымышленное имя, частично произошедшее от детского прозвища. ^{[1] [4]}

Марлинспайк — энтузиаст парусного спорта и опытный мореплаватель . ^{[4] [48]} В 2004 году он купил заброшенную парусную лодку и вместе с тремя друзьями отремонтировал ее и отправился в плавание вокруг Багамских островов , одновременно снимая « видеожурнал » о своем путешествии под названием Hold Fast . ^{[1] [4] [12]} Он также является анархистом , ^[4] и несколько его эссе и речей опубликованы на сайте The Anarchist Library , в том числе «Anarchist Critique of Democracy» ^[49] и «The Promise of Defeat». ^[50]

Ссылки

1. Винер, Анна (19 октября 2020 г.). «Возвращаем себе конфиденциальность: Мокси Марлинспайк, основатель сквозного зашифрованного сервиса обмена сообщениями Signal, «пытается вернуть Интернет в нормальное состояние». The New Yorker . Архивировано из оригинала 5 марта 2021 г. . Получено 27 октября 2020 г. .
2. "Мокси Марлинспайк покидает приложение для зашифрованных сообщений Signal". BBC News . 11 января 2022 г. Получено 7 июля 2024 г.
3. Розенблюм, Эндрю (26 апреля 2016 г.). «Moxie Marlinspike создает шифрование для всех». Popular Science . Bonnier Corporation . Получено 9 июля 2016 г. .
4. Гринберг, Энди (31 июля 2016 г.). «Познакомьтесь с Мокси Марлинспайком, анархистом, который принес шифрование всем нам». Wired . Condé Nast. Архивировано из оригинала 25 января 2021 г. Получено 31 июля 2016 г.
5. Амадео, Рон (16 июня 2021 г.). «Google включает сквозное шифрование для приложения Android по умолчанию SMS/RCS». Ars Technica . Получено 3 марта 2022 г.
6. Гринберг, Энди (4 октября 2016 г.). «Вы наконец-то можете зашифровать Facebook Messenger, так сделайте это». Wired .
7. Ньюман, Лили Хей (11 января 2018 г.). «Skype наконец-то начинает развертывание сквозного шифрования». Wired .
8. Херн, Алекс (17 октября 2014 г.). «Бывший глава службы безопасности Twitter осуждает недостатки конфиденциальности Whisper». The Guardian . Получено 22 января 2015 г.
9. Мессмер, Эллен (12 октября 2011 г.). «Индустрия сертификатов SSL может и должна быть заменена». Network World . IDG. Архивировано из оригинала 1 марта 2014 г. Получено 25 сентября 2016 г.
10. "Новый облачный сервис крадет пароли Wi-Fi". PC World. Архивировано из оригинала 20 апреля 2012 г. Получено 9 декабря 2013 г.
11. "Лучший способ спрятаться от Google". Forbes . 25 ноября 2013 г. Архивировано из оригинала 12 октября 2013 г. Получено 9 декабря 2013 г.
12. Ядрон, Дэнни (9 июля 2015 г.). «Мокси Марлинспайк: Кодер, который зашифровал ваши тексты». The Wall Street Journal . Архивировано из оригинала 10 июля 2015 г. Получено 27 сентября 2016 г.
13. Миллс, Элинор (15 марта 2011 г.). «CNet: приложение WhisperCore шифрует все данные для Android». News.cnet.com . Получено 9 декабря 2013 г. .
14. "Twitter приобретает стартап по шифрованию Whisper Systems компании Moxie Marlinspike". Forbes . Получено 4 октября 2013 г.
15. Пауэрс, Шон М.; Яблонски, Майкл (февраль 2015 г.). Настоящая кибервойна: политическая экономия свободы Интернета . Издательство Иллинойсского университета. стр. 198. ISBN 978-0-252-09710-2. JSTOR  10.5406/j.ctt130jtjf.
16. Крис Анищик (20 декабря 2011 г.). «The Whispers Are True». Блог разработчиков Twitter . Twitter. Архивировано из оригинала 24 октября 2014 г. Получено 22 января 2015 г.
17. "RedPhone теперь с открытым исходным кодом!". Whisper Systems. 18 июля 2012 г. Архивировано из оригинала 31 июля 2012 г. Получено 22 января 2015 г.
18. Ядрон, Дэнни (10 июля 2015 г.). «Что Мокси Марлинспайк сделал в Twitter». Digits . The Wall Street Journal. Архивировано из оригинала 18 марта 2016 г. Получено 27 сентября 2016 г.
19. Энди Гринберг (29 июля 2014 г.). «Ваш iPhone наконец-то может совершать бесплатные зашифрованные звонки». Wired . Получено 18 января 2015 г.
20. "A New Home". Open Whisper Systems. 21 января 2013 г. Получено 11 июля 2015 г.
21. Донохью, Брайан (24 февраля 2014 г.). "TextSecure Sheds SMS in Latest Version". Threatpost . Получено 14 июля 2016 г. .
22. Гринберг, Энди (2 ноября 2015 г.). «Signal, одобренное Сноуденом криптографическое приложение, выходит на Android». Wired . Condé Nast . Получено 24 ноября 2015 г.
23. Метц, Кейд (5 апреля 2016 г.). «Забудьте об Apple против ФБР: WhatsApp только что включил шифрование для миллиарда человек». Wired . Condé Nast . Получено 2 августа 2016 г.
24. Гринберг, Энди (8 июля 2016 г.). «Секретные разговоры: сквозное шифрование в Facebook Messenger». Wired . Condé Nast . Получено 24 сентября 2016 г.
25. Гринберг, Энди (18 мая 2016 г.). «С Allo и Duo Google наконец-то шифрует разговоры от начала до конца». Wired . Condé Nast . Получено 24 сентября 2016 г. .
26. Марлинспайк, Мокси; Актон, Брайан (21 февраля 2018 г.). «Signal Foundation». Signal.org . Получено 21 февраля 2018 г. .
27. Marlinspike, Moxie (10 января 2022 г.). «Новый год, новый генеральный директор». signal.org . Signal Messenger . Получено 10 января 2022 г. .
28. Гринберг, Энди (18 февраля 2009 г.). «Breaking Your Browser's Padlock». Forbes . Архивировано из оригинала 27 февраля 2014 г.
29. Келли Джексон Хиггинс 24 февраля 2009 г. (24 февраля 2009 г.). «Выпущен инструмент взлома SSLStrip». Darkreading.com . Получено 9 декабря 2013 г. .{{cite web}}: CS1 maint: числовые имена: список авторов ( ссылка )
30. Брамвелл, Фил (2018). Практическое тестирование на проникновение в Windows: использование инструментов отладки Kali Linux, PowerShell и Windows для тестирования и анализа безопасности. Packt Publishing. стр. 96. ISBN 978-1-78829-509-3.
31. Ошибка Apple iOS хуже, чем рекламировалось/
32. "Выпущен инструмент перехвата данных iPhone". Scmagazine.com.au. 27 июля 2011 г. Архивировано из оригинала 14 декабря 2013 г. Получено 9 декабря 2013 г.
33. Zetter, Kim (30 июля 2009 г.). «Уязвимости позволяют злоумышленникам выдавать себя за любой веб-сайт». Wired.com . Получено 9 декабря 2013 г. .
34. Гудин, Дэн (30 июля 2009 г.). «Шаблон сертификата подделывает веб-аутентификацию». Theregister.co.uk . Получено 9 декабря 2013 г.
35. «SSL и будущее подлинности». Youtube.com. 18 августа 2011 г. Архивировано из оригинала 21 декабря 2021 г. Получено 9 декабря 2013 г.
36. "Новая альтернатива SSL". Informationweek.com. Архивировано из оригинала 1 октября 2011 г. Получено 9 декабря 2013 г.
37. «Будущее SSL под вопросом?». Infosecurity-magazine.com. 9 августа 2011 г. Получено 9 декабря 2013 г.
38. "Утверждения доверия для ключей сертификатов". Tack.io . Получено 9 декабря 2013 г. .
39. Гудин, Дэн (23 мая 2012 г.). «SSL fix flags forged certificates». Arstechnica.com . Получено 9 декабря 2013 г. .
40. "Новый инструмент от Мокси Марлинспайка взламывает некоторые криптографические пароли". threatpost. 19 августа 2012 г. Архивировано из оригинала 19 августа 2012 г.{{cite web}}: CS1 maint: бот: исходный статус URL неизвестен ( ссылка )
41. Смит, Мэтт (15 мая 2013 г.). «Саудовская Mobily отрицает, что просила о помощи в шпионаже за клиентами». Reuters . Получено 21 февраля 2018 г.
42. Миллс, Элинор (18 ноября 2010 г.). «Исследователь безопасности: меня продолжают задерживать федералы». CNET . Получено 19 июня 2019 г.
43. Zetter, Kim (18 ноября 2010 г.). «Еще один ноутбук хакера, мобильные телефоны обысканы на границе». Wired.com . Получено 8 ноября 2024 г. .
44. "Moxie Marlinspike - 40 under 40". Fortune . Time Inc. 2016. Архивировано из оригинала 18 августа 2017 года . Получено 22 сентября 2016 года .
45. Сотрудники WIRED (26 апреля 2016 г.). «25 гениев, которые создают будущее бизнеса». Wired . ISSN  1059-1028 . Получено 19 марта 2020 г.
46. «Премия Левчина за криптографию в реальном мире». RealWorldCrypto.
47. Левчин, Макс (4 января 2017 г.). «Премия Левчина 2017 года за криптографию в реальном мире». Yahoo! Finance . Получено 7 февраля 2018 г.
48. "Moxie Marlinspike >> About" . Получено 22 ноября 2022 г. .
49. Марлинспайк, Мокси; Харт, Винди (21 июня 2012 г.). «Анархистская критика демократии». Библиотека анархистов . Получено 22 ноября 2022 г.
50. Marlinspike, Moxie (4 августа 2020 г.). «Обещание поражения». The Anarchist Library . Получено 22 ноября 2022 г. .

Внешние ссылки

• Официальный сайт