Из Википедии, бесплатной энциклопедии
  (Перенаправлено с удаления SSL )
Перейти к навигации Перейти к поиску

Мокси Марлинспайк
Мокси Марлинспайк TC.jpg
Marlinspike в 2017 году
РодившийсяНачало 1980-х [1]
Джорджия, США [1]
НациональностьАмериканец
Известен
Научная карьера
ПоляКриптография ,
Компьютерная безопасность ,
Архитектура программного обеспечения
Интернет сайтбодрость .org Отредактируйте это в Викиданных

Мэтью Rosenfeld , [2] известный как Moxie Марлинспайк , [3] является американский предприниматель , криптограф и компьютерной безопасности исследователь. [1] [3] Марлинспайк является создателем Signal , соучредителем Signal Foundation , а в настоящее время является генеральным директором Signal Messenger LLC . Он также является соавтором шифрования протокола Signal, используемого Signal, WhatsApp , [4] Facebook Messenger , [5] и Skype . [6]

Марлинспайк - бывший руководитель группы безопасности Twitter [7] и автор предлагаемой замены системы аутентификации SSL под названием Convergence . [8] Ранее он поддерживал облачную службу взлома WPA [9] и целевую службу анонимности под названием GoogleSharing. [10]

Биография [ править ]

Родом из штата Джорджия , [4] Marlinspike переехал в Сан - Франциско в конце 1990 - х годов в возрасте 18 лет [1] [11] Затем он работал в течение нескольких технологических компаний, в том числе инфраструктуры предприятия производителя программного обеспечения BEA Systems Inc . [4] [11] В 2004 году Марлинспайк купил заброшенную парусную лодку и вместе с тремя друзьями отремонтировал ее и плавал вокруг Багамских островов , создавая « видеожурнал » об их путешествии под названием « Держись» . [1] [4] [11]

В 2010 году Marlinspike был главный технический директор и соучредитель Whisper Systems , [12] предприятие мобильной безопасности стартап. В мае 2010 года Whisper Systems запустила TextSecure и RedPhone . Это были приложения, которые обеспечивали непрерывный шифрованный обмен SMS-сообщениями и голосовые вызовы соответственно. В конце 2011 года компания была приобретена компанией Twitter, занимающейся социальными сетями, за нераскрытую сумму [13] . Приобретение было совершено «в первую очередь для того, чтобы г-н Марлинспайк мог помочь тогдашнему стартапу улучшить свою безопасность». [11] В то время, когда он возглавлял отдел кибербезопасности в Twitter, [14]Фирма сделала приложения Whisper Systems с открытым исходным кодом . [15] [16]

Марлинспайк покинул Twitter в начале 2013 года и основал Open Whisper Systems как совместный проект с открытым исходным кодом для продолжения разработки TextSecure и RedPhone. [17] [18] [19] В то время Марлинспайк и Тревор Перрин начали разработку протокола Signal , ранняя версия которого была впервые представлена ​​в приложении TextSecure в феврале 2014 года. [20] В ноябре 2015 года компания Open Whisper Systems объединилась. приложения TextSecure и RedPhone как Signal . [21] С 2014 по 2016 год Марлинспайк работал с WhatsApp , Facebook и Google.интегрировать протокол сигналов в свои службы обмена сообщениями. [22] [23] [24]

21 февраля 2018 года соучредитель Marlinspike и WhatsApp Брайан Актон объявил о создании Signal Foundation . [25] [1]

Исследование [ править ]

Удаление SSL [ править ]

В статье 2009 года Марлинспайк представил концепцию удаления SSL , атаки типа «человек посередине», в которой злоумышленник может предотвратить обновление веб-браузера до SSL-соединения тонким способом, который, вероятно, останется незамеченным пользователем. . Он также объявил о выпуске инструмента sslstrip, [26] , который будет автоматически выполнять эти типы человеко-в-середине атак. [27] [28] Спецификация HTTP Strict Transport Security (HSTS) была впоследствии разработана для борьбы с этими атаками. [ необходима цитата ]

Атаки реализации SSL [ править ]

Marlinspike обнаружил ряд различных уязвимостей в популярных реализациях SSL. Примечательно, что Marlinspike опубликовал в 2002 году статью [29] об использовании реализаций SSL / TLS, которые неправильно проверяли расширение X.509 v3 «BasicConstraints» в цепочках сертификатов открытых ключей . Это позволяло любому, у кого есть действующий сертификат, подписанный ЦС, для любого доменного имени, создавать то, что выглядело действительными сертификатами, подписанными ЦС, для любого другого домена. Уязвимые реализации SSL / TLS включали Microsoft CryptoAPI , что делало Internet Explorerи все другое программное обеспечение Windows, которое полагалось на соединения SSL / TLS, уязвимое для атаки типа «человек посередине». В 2011 году та же уязвимость была обнаружена, осталась присутствующую в SSL / TLS реализации на Apple Inc. «s прошивкой . [30] [31] Также примечательно, что Марлинспайк представил статью 2009 года [32], в которой он представил концепцию атаки нулевого префикса на SSL-сертификаты. Он обнаружил, что все основные реализации SSL не смогли должным образом проверить значение Common Name сертификата, так что их можно было обманом заставить принять поддельные сертификаты, вставив нулевые символы в поле CN. [33] [34]

Решения проблемы CA [ править ]

В 2011 году Марлинспайк представил доклад под названием SSL и будущее аутентичности [35] на конференции по безопасности Black Hat в Лас-Вегасе . Он обрисовал в общих чертах многие из текущих проблем с центрами сертификации и объявил о выпуске программного проекта под названием « Конвергенция», который заменит центры сертификации. [36] [37] В 2012 году Марлинспайк и Тревор Перрин представили Интернет-проект для TACK, [38] который предназначен для закрепления сертификатов SSL и помощи в решении проблемы CA, в Инженерную группу Интернета . [39]

Взлом MS-CHAPv2 [ править ]

В 2012 году Марлинспайк и Дэвид Халтон представили исследование, которое позволяет снизить безопасность рукопожатий MS-CHAPv2 до единственного шифрования DES . Халтон построил оборудование, способное взломать оставшееся шифрование DES менее чем за 24 часа, и эти два оборудования сделали его доступным для использования любым желающим в качестве Интернет-сервиса. [40]

Противоречие Mobily Surveillance [ править ]

В 2013 году Марлинспайк опубликовал в своем блоге электронные письма, которые, как он утверждал, были от телекоммуникационной службы Саудовской Аравии Mobily, прося его помощи в наблюдении за своими клиентами, включая перехват сообщений, проходящих через различные приложения. Марлинспайк отказался помочь, вместо этого опубликовав электронные письма. Мобилы отверг обвинения. «Мы никогда не общаемся с хакерами», - заявили в компании. [41]

Путешествие [ править ]

Марлинспайк говорит, что во время полета в пределах Соединенных Штатов он не может распечатать свой посадочный талон , ему необходимо, чтобы агенты по продаже авиабилетов позвонили по телефону, чтобы оформить его, и подвергаются вторичной проверке на контрольно-пропускных пунктах TSA . [42]

При въезде в Соединенные Штаты рейсом из Доминиканской Республики в 2010 году Марлинспайк был задержан федеральными агентами почти на пять часов, все его электронные устройства были конфискованы, и сначала агенты утверждали, что он вернет их, только если предоставит свои пароли. они могли расшифровать данные. Марлинспайк отказался это сделать, и устройства в конечном итоге были возвращены, хотя он отметил, что больше не может им доверять, сказав: «Они могли изменить оборудование или установить новую прошивку клавиатуры». [43]

Разговорные выступления [ править ]

  • DEF CON 17: «Дополнительные приемы для победы над SSL» [44]
  • DEF CON 18 и Black Hat 2010: «Изменение угроз конфиденциальности» [45]
  • DEF CON 19 и Black Hat 2011: «SSL и будущее аутентичности» [46]
  • DEF CON 20: «Победа над PPTP VPN и WPA2 с помощью MS-CHAPv2» [47]
  • Webstock '15: « Упростить частное общение» [48]
  • 36C3 : «Экосистема движется» [49]

Признание [ править ]

  • В 2013 и 2014 годах Фонд Шаттлворта предоставил Marlinspike в общей сложности 289 487,18 долларов США на финансирование Open Whisper Systems. [50]
  • В 2016 году журнал Fortune назвал Marlinspike среди 40 моложе 40 лет за то, что он был основателем Open Whisper Systems и «[шифровал] сообщения более миллиарда человек во всем мире». [51] Wired также назвал Marlinspike в своем «Следующем списке 2016» одним из «25 гениев, создающих будущее бизнеса». [52]
  • В 2017 году Мокси Марлинспайк вместе с Тревором Перрином были удостоены премии Левчина в области криптографии реального мира «за разработку и широкое внедрение протокола сигналов». [53] [54]

Ссылки [ править ]

  1. ^ a b c d e f Винер, Анна (19 октября 2020 г.). «Возвращение нашей конфиденциальности: Мокси Марлинспайк, основатель службы сквозного зашифрованного обмена сообщениями Signal», «пытается сделать Интернет нормальным. " " . Житель Нью-Йорка . Проверено 27 октября, 2020 .
  2. ^ Смит, Мэтт (15 мая 2013 г.). «Саудовская Mobily отрицает просьбу о помощи для слежки за клиентами» . Рейтер . Проверено 21 февраля 2018 года .
  3. ^ a b Розенблюм, Эндрю (26 апреля 2016 г.). «Moxie Marlinspike делает шифрование для всех» . Популярная наука . Bonnier Corporation . Проверено 9 июля, 2016 .
  4. ^ a b c d Гринберг, Энди (31 июля 2016 г.). «Познакомьтесь с Мокси Марлинспайком, анархистом, обеспечивающим шифрование для всех нас» . Проводной . Condé Nast . Проверено 31 июля, 2016 .
  5. Рианна Гринберг, Энди (4 октября 2016 г.). «Наконец-то вы можете зашифровать Facebook Messenger, так что сделайте это» . Проводной .
  6. Рианна Ньюман, Лили Хэй (11 января 2018 г.). «Skype наконец начинает развертывание сквозного шифрования» . Проводной .
  7. ^ Херн, Alex (17 октября 2014). «Бывший глава службы безопасности Twitter осуждает нарушения конфиденциальности Whisper» . Хранитель . Проверено 22 января 2015 года .
  8. Мессмер, Эллен (12 октября 2011 г.). «Индустрию сертификатов SSL можно и нужно заменить» . Сетевой мир . IDG. Архивировано из оригинала на 1 марта 2014 года . Проверено 25 сентября 2016 года .
  9. ^ «Новый облачный сервис крадет пароли Wi-Fi» . Мир ПК . Проверено 9 декабря 2013 года .
  10. ^ «Лучший способ спрятаться от Google» . Forbes . 25 ноября, 2013. Архивировано из оригинального 12 октября 2013 года . Проверено 9 декабря 2013 года .
  11. ^ a b c d Ядрон, Дэнни (9 июля 2015 г.). «Мокси Марлинспайк: Кодер, который зашифровал ваши тексты» . The Wall Street Journal . Архивировано из оригинала 10 июля 2015 года . Проверено 27 сентября 2016 года .
  12. Миллс, Элинор (15 марта 2011 г.). «CNet: приложение WhisperCore шифрует все данные для Android» . News.cnet.com . Проверено 9 декабря 2013 года .
  13. ^ «Твиттер приобретает системы шифрования для запуска системы Whisper от Moxie Marlinspike» . Forbes . Проверено 4 октября 2013 года .
  14. ^ Пауэрс, Шон М .; Яблонски, Майкл (февраль 2015 г.). Настоящая кибервойна: политическая экономия свободы Интернета . Издательство Иллинойского университета. п. 198. ISBN 978-0-252-09710-2. JSTOR  10.5406 / j.ctt130jtjf .
  15. ^ Крис Aniszczyk (20 декабря 2011). «Шепот верен» . Блог разработчиков Twitter . Twitter. Архивировано из оригинального 24 -го октября 2014 года . Проверено 22 января 2015 года .
  16. ^ "RedPhone теперь с открытым исходным кодом!" . Системы шепота. 18 июля 2012 года архивации с оригинала на 31 июля 2012 года . Проверено 22 января 2015 года .
  17. ^ Yadron, Данни (10 июля 2015). «Что Мокси Марлинспайк сделал в Twitter» . Цифры . Журнал "Уолл Стрит. Архивировано из оригинального 18 -го марта 2016 года . Проверено 27 сентября 2016 года .
  18. Энди Гринберг (29 июля 2014 г.). «Ваш iPhone наконец-то может совершать бесплатные зашифрованные звонки» . Проводной . Проверено 18 января 2015 года .
  19. ^ «Новый дом» . Открытые системы Whisper. 21 января 2013 . Проверено 11 июля 2015 года .
  20. Рианна Донохью, Брайан (24 февраля 2014 г.). «TextSecure отправляет SMS в последней версии» . Threatpost . Проверено 14 июля, 2016 .
  21. Рианна Гринберг, Энди (2 ноября 2015 г.). «Signal, приложение для шифрования, одобренное Сноуденом, выходит на Android» . Проводной . Condé Nast . Проверено 24 ноября 2015 года .
  22. ^ Metz, Кейд (5 апреля 2016). «Забудьте Apple против ФБР: WhatsApp только что включил шифрование для миллиарда людей» . Проводной . Condé Nast . Проверено 2 августа 2016 года .
  23. Рианна Гринберг, Энди (8 июля 2016 г.). « Секретные беседы:“впритык шифрования приходит в Facebook Messenger» . Проводной . Condé Nast . Проверено 24 сентября 2016 года .
  24. Рианна Гринберг, Энди (18 мая 2016 г.). «С помощью Allo и Duo Google наконец-то шифрует разговоры из конца в конец» . Проводной . Condé Nast . Проверено 24 сентября 2016 года .
  25. ^ Марлинспайк, Мокси; Актон, Брайан (21 февраля 2018 г.). «Сигнальный фундамент» . Signal.org . Проверено 21 февраля 2018 года .
  26. ^ "sslstrip" . Thoughtcrime.org . Проверено 9 декабря 2013 года .
  27. Гринберг, Энди (18 февраля 2009 г.). «Взломать замок вашего браузера» . Forbes . Архивировано из оригинального 27 февраля 2014 года.
  28. Келли Джексон Хиггинс, 24 февраля 2009 г. (24 февраля 2009 г.). «Выпущен инструмент взлома SSLStrip» . Darkreading.com . Проверено 9 декабря 2013 года .
  29. ^ "Уязвимость BasicConstraints" . Проверено 9 декабря 2013 года .
  30. ^ Ошибка Apple iOS хуже, чем рекламируется /
  31. ^ "Выпущен инструмент для перехвата данных iPhone" . Scmagazine.com.au. 27 июля 2011 года архивации с оригинала на 14 декабря 2013 года . Проверено 9 декабря 2013 года .
  32. ^ «Еще новые приемы для победы над SSL на практике» . Youtube.com. 15 января 2011 . Проверено 9 декабря 2013 года .
  33. ^ Zetter, Ким (30 июля 2009). «Уязвимости позволяют злоумышленникам выдавать себя за любой веб-сайт» . Wired.com . Проверено 9 декабря 2013 года .
  34. ^ Goodin, Dan (30 июля 2009). «Подстановочный сертификат подделывает веб-аутентификацию» . Theregister.co.uk . Проверено 9 декабря 2013 года .
  35. ^ «SSL и будущее подлинности» . Youtube.com. 18 августа 2011 . Проверено 9 декабря 2013 года .
  36. ^ «Новая альтернатива SSL» . Informationweek.com. Архивировано из оригинала на 1 октября 2011 года . Проверено 9 декабря 2013 года .
  37. ^ "Будущее SSL под вопросом?" . Infosecurity-magazine.com. 9 августа 2011 . Проверено 9 декабря 2013 года .
  38. ^ «Утверждения доверия для ключей сертификатов» . Tack.io . Проверено 9 декабря 2013 года .
  39. ^ Goodin, Dan (23 мая 2012). «Исправление SSL помечает поддельные сертификаты» . Arstechnica.com . Проверено 9 декабря 2013 года .
  40. ^ «Новый инструмент от Moxie Marlinspike взламывает некоторые крипто-пароли» . угрозпост. 19 августа 2012 года. Архивировано 19 августа 2012 года.CS1 maint: bot: original URL status unknown (link)
  41. ^ Смит, Мэтт (15 мая 2013 г.). «Саудовская Mobily отрицает просьбу о помощи для слежки за клиентами» . Рейтер . Проверено 21 февраля 2018 года .
  42. Миллс, Элинор (18 ноября 2010 г.). «Исследователь безопасности: меня продолжают задерживать федералы» . CNET . Проверено 19 июня 2019 года .
  43. ^ Zetter, Ким (18 ноября 2010). «Ноутбук другого хакера, мобильные телефоны обысканы на границе» . Wired.com . Проверено 19 июня 2019 года .
  44. ^ «DEF CON 17 - Moxie Marlinspike - Дополнительные приемы для победы над SSL» . YouTube . DEF CON . Проверено 22 января 2015 года .
  45. ^ «DEF CON 18 - Moxie Marlinspike - Изменение угроз конфиденциальности: от TIA к Google» . YouTube . DEF CON . Проверено 22 января 2015 года .
  46. ^ «DEF CON 19 - Moxie Marlinspike - SSL и будущее подлинности» . YouTube . DEF CON . Проверено 22 января 2015 года .
  47. ^ «DEF CON 20 - Марлинспайк Халтон и Рэй - Победа над PPTP VPN и WPA2 Enterprise с помощью MS-CHAPv2» . YouTube . DEF CON . Проверено 22 января 2015 года .
  48. ^ «Webstock '15: Moxie Marlinspike - Простое личное общение» . Vimeo . Веб-сток . Проверено 22 апреля 2015 года .
  49. ^ «36C3 - Экосистема движется» . media.ccc.de . 36C3 . Проверено 6 января 2020 года .
  50. ^ "Мокси Марлинспайк" . Фонд Шаттлворта. й Архивированы из оригинальных 15 ноября 2016 года . Проверено 25 сентября 2016 года .
  51. ^ «Мокси Марлинспайк - 40 до 40» . Удача . Time Inc. 2016 . Проверено 22 сентября 2016 года .
  52. ^ Персонал, WIRED (26 апреля 2016 г.). «25 гениев, создающих будущее бизнеса» . Проводной . ISSN 1059-1028 . Проверено 19 марта 2020 года . 
  53. ^ "Премия Левчина за криптографию реального мира" . RealWorldCrypto.
  54. ^ Левчины, Max (4 января 2017). «Премия Левчина 2017 года в области криптографии реального мира» . Yahoo! Финансы . Проверено 7 февраля 2018 года .

Внешние ссылки [ править ]

  • Официальный веб-сайт