Moxie Marlinspike - Moxie Marlinspike

Moxie Marlinspike
Moxie Marlinspike TC.jpg
Marlinspike v roce 2017
narozený
Matthew Rosenfeld

Počátek 80. let 20. století
Georgia , USA
Známý jako
Vědecká kariéra
Pole Kryptografie
Zabezpečení počítače
Softwarová architektura
webová stránka moxie .org Upravte to na Wikidata

Matthew Rosenfeld , známý jako Moxie Marlinspike , je americký podnikatel , kryptograf a výzkumník počítačové bezpečnosti . Marlinspike je tvůrcem společnosti Signal , spoluzakladatelem nadace Signal Foundation a slouží jako generální ředitel společnosti Signal Messenger LLC . Je také spoluautorem šifrování Signal Protocol používaného společnostmi Signal, WhatsApp , Facebook Messenger a Skype .

Marlinspike je bývalý vedoucí bezpečnostního týmu na Twitteru a autor navrhované náhrady autentizačního systému SSL s názvem Konvergence . Předtím udržoval cloudovou službu WPA cracking a cílenou anonymní službu s názvem GoogleSharing.

Kariéra

Původně od státu Georgia , Marlinspike přestěhoval do San Francisca v pozdní 1990 ve věku 18 let pak pracoval pro několik technologických firem, včetně podnikové infrastruktury výrobce softwaru BEA Systems Inc . V roce 2004 si Marlinspike koupil opuštěnou plachetnici a se třemi přáteli ji zrekonstruoval a plavil se po Bahamách, přičemž vytvořil „ video zine “ o své cestě s názvem Hold Fast .

V roce 2010 byl Marlinspike hlavním technologickým ředitelem a spoluzakladatelem společnosti Whisper Systems , začínající společnosti zabývající se mobilním zabezpečením. V květnu 2010 společnost Whisper Systems spustila aplikace TextSecure a RedPhone . Jednalo se o aplikace, které poskytovaly šifrované zprávy SMS a hlasové volání. Twitter získal společnost za nezveřejněnou částku koncem roku 2011. Akvizice byla provedena „především proto, aby pan Marlinspike pomohl tehdejšímu startupu zlepšit jeho zabezpečení“. Během svého působení ve funkci šéfa kybernetické bezpečnosti na Twitteru společnost vytvořila aplikace Whisper Systems jako open source .

Marlinspike opustil Twitter na začátku roku 2013 a založil Open Whisper Systems jako spolupracující open source projekt pro další vývoj aplikací TextSecure a RedPhone. V té době Marlinspike a Trevor Perrin začali vyvíjet Signal Protocol , jehož raná verze byla poprvé představena v aplikaci TextSecure v únoru 2014. V listopadu 2015 Open Whisper Systems sjednotily aplikace TextSecure a RedPhone jako Signal . V letech 2014 až 2016 Marlinspike spolupracoval s WhatsApp , Facebook a Google na integraci Signal Protocol do svých služeb zasílání zpráv.

21. února 2018, Marlinspike a WhatsApp spoluzakladatel Brian Acton oznámil vznik Nadace Signal .

Výzkum

Odizolování SSL

V článku z roku 2009 Marlinspike představil koncept SSL stripping, útok typu man-in-the-middle, při kterém síťový útočník mohl zabránit tomu, aby webový prohlížeč upgradoval na připojení SSL způsobem, který by si uživatel pravděpodobně nevšiml. Oznámil také vydání nástroje, sslstripkterý by automaticky prováděl tyto typy útoků typu man-in-the-middle. K boji proti těmto útokům byla následně vyvinuta specifikace HTTP Strict Transport Security (HSTS).

Útoky implementace SSL

Marlinspike objevil řadu různých zranitelností v populárních implementacích SSL. Je pozoruhodné, že publikoval dokument z roku 2002 o využívání implementací SSL/TLS, které nesprávně ověřily rozšíření X.509 v3 „BasicConstraints“ v řetězcích certifikátů veřejného klíče . To umožnilo komukoli s platným certifikátem podepsaným certifikační autoritou pro libovolný název domény vytvořit to, co vypadalo jako platné certifikáty podepsané certifikační autoritou pro jakoukoli jinou doménu. Mezi zranitelné implementace SSL/TLS patřil Microsoft CryptoAPI , takže Internet Explorer a veškerý další software Windows, který spoléhal na připojení SSL/TLS, byl náchylný k útoku typu man-in-the-middle. V roce 2011, stejný zranitelnost byla objevena zůstaly při provádění SSL / TLS na Apple Inc ‚s iOS . Marlinspike rovněž představil dokument z roku 2009, ve kterém představil koncept útoku s nulovou předponou na certifikáty SSL. Prozradil, že všechny hlavní implementace SSL nedokázaly správně ověřit hodnotu Common Name certifikátu, takže by mohly být podvedeny k přijímání padělaných certifikátů vložením null znaků do pole CN.

Řešení problému s certifikační autoritou

V roce 2011 představil Marlinspike na bezpečnostní konferenci Black Hat v Las Vegas přednášku „SSL a budoucnost autenticity“ . Nastínil mnoho problémů s certifikačními úřady a oznámil vydání softwarového projektu s názvem Konvergence, který by je měl nahradit. V roce 2012, Marlinspike a Perrin podala internetovém konceptu pro připínáček, který je navržen tak, aby SSL vypichování certifikátu a pomoci vyřešit problém CA, na Internet Engineering Task Force .

Cracking MS-CHAPv2

V roce 2012 Marlinspike a David Hulton představili výzkum, který umožňuje snížit zabezpečení handshake MS-CHAPv2 na jediné šifrování DES . Hulton postavil hardware schopný prolomit zbývající šifrování DES za méně než 24 hodin a dva z nich zpřístupnili hardware komukoli, kdo jej mohl použít jako internetovou službu.

Kontroverze mobilního sledování

V roce 2013 Marlinspike na svém blogu publikoval e -maily, o kterých tvrdil, že pocházejí ze saúdské arabské telekomunikační služby Mobily, a žádal o jeho pomoc při sledování jejich zákazníků, včetně zachycování komunikace procházející různými aplikacemi. Marlinspike odmítl pomoci a místo toho zveřejnil e -maily. Mobily obvinění odmítl. „Nikdy nekomunikujeme s hackery,“ uvedla společnost.

Cestování

Marlinspike říká, že když létá ve Spojených státech, není schopen vytisknout si vlastní palubní lístek , je nutné, aby mu agenti letenek telefonovali, aby jej mohli vystavit, a je podroben sekundárnímu prověřování na bezpečnostních kontrolních bodech TSA .

Při vstupu do USA letem z Dominikánské republiky v roce 2010 byl Marlinspike zadržen federálními agenty na téměř pět hodin, všechna jeho elektronická zařízení byla zabavena a zpočátku agenti tvrdili, že je získá zpět pouze tehdy, poskytne -li svá hesla, aby mohla data dešifrovat. Marlinspike to odmítl udělat a zařízení byla nakonec vrácena, ačkoli poznamenal, že už jim nemůže věřit, a řekl: „Mohli upravit hardware nebo nainstalovat nový firmware klávesnice.“

Mluvení střetnutí

  • DEF CON 17: „Další triky pro porážku SSL“
  • DEF CON 18 a Black Hat 2010: „Změna hrozeb na soukromí“
  • DEF CON 19 a Black Hat 2011: „SSL a budoucnost autenticity“
  • DEF CON 20: „Porážka PPTP VPN a WPA2 pomocí MS-CHAPv2“
  • Webstock '15: „Zjednodušení soukromé komunikace“
  • 36C3 : „Ekosystém se pohybuje“

Uznání

  • V letech 2013 a 2014 poskytla Shuttleworth Foundation Marlinspike celkem 289 487,18 $ na financování Open Whisper Systems.
  • V roce 2016 časopis Fortune označil Marlinspike mezi 40 pod 40 za zakladatele Open Whisper Systems a „[šifrování] komunikace více než miliardy lidí na celém světě“. Wired také označil Marlinspike na „Next List 2016“ jako jeden z „25 géniů, kteří vytvářejí budoucnost podnikání“.
  • V roce 2017 byla Marlinspike a Perrinovi udělena Levchinova cena za skutečnou světovou kryptografii „za vývoj a široké nasazení signálního protokolu“.

Reference

externí odkazy