Jump to content

Мокси Марлинспайк

Мокси Марлинспайк
Марлинспайк в 2022 году
Рожденный Начало 1980-х годов [ 1 ]
Джорджия , США
Другие имена Мэтью Розенфельд [ 2 ]
Известный
Научная карьера
Поля
Веб-сайт смелость .org Отредактируйте это в Викиданных

Мэтью Розенфельд , более известный под псевдонимом Мокси Марлинспайк , — американский предприниматель , криптограф и компьютерной безопасности . исследователь [ 1 ] [ 3 ] Марлинспайк — создатель Signal , соучредитель Signal Technology Foundation и первый генеральный директор Signal Messenger LLC . Он также является соавтором шифрования протокола Signal, используемого Signal, WhatsApp . [ 4 ] Google Сообщения , [ 5 ] Facebook Мессенджер , [ 6 ] и Скайп . [ 7 ]

Марлинспайк — бывший руководитель службы безопасности Twitter. [ 8 ] и автор предложенной замены системы аутентификации SSL под названием Convergence . [ 9 ] Ранее он поддерживал облачный WPA. сервис взлома [ 10 ] и целевой сервис анонимности под названием GoogleSharing. [ 11 ]

Карьера

[ редактировать ]

Марлинспайк начал свою карьеру, работая в нескольких технологических компаниях, включая производителя программного обеспечения для корпоративной инфраструктуры BEA Systems Inc. [ 4 ] [ 12 ]

В 2010 году Марлинспайк был техническим директором и соучредителем Whisper Systems . [ 13 ] стартап-компания, занимающаяся корпоративной мобильной безопасностью. В мае 2010 года Whisper Systems запустила TextSecure и RedPhone . Это были приложения, которые обеспечивали сквозное шифрование SMS-сообщений и голосовые вызовы соответственно. Twitter приобрел компанию за нераскрытую сумму в конце 2011 года. [ 14 ] Приобретение было совершено «в первую очередь для того, чтобы г-н Марлинспайк мог помочь тогдашнему стартапу улучшить свою безопасность». [ 12 ] Во время своего пребывания на посту главы отдела кибербезопасности Twitter, [ 15 ] Фирма сделала приложения Whisper Systems открытым исходным кодом . [ 16 ] [ 17 ]

Марлинспайк покинул Twitter в начале 2013 года и основал Open Whisper Systems как совместный проект с открытым исходным кодом для дальнейшего развития TextSecure и RedPhone. [ 18 ] [ 19 ] [ 20 ] В то время Марлинспайк и Тревор Перрин приступили к разработке Signal Protocol , ранняя версия которого была впервые представлена ​​в приложении TextSecure в феврале 2014 года. [ 21 ] В ноябре 2015 года Open Whisper Systems объединила приложения TextSecure и RedPhone под названием Signal . [ 22 ] В период с 2014 по 2016 год Марлинспайк работал с WhatsApp , Facebook и Google над интеграцией протокола Signal в их службы обмена сообщениями. [ 23 ] [ 24 ] [ 25 ]

21 февраля 2018 года Марлинспайк и WhatsApp соучредитель Брайан Эктон объявили о создании Signal Technology Foundation и ее дочерней компании Signal Messenger LLC. [ 26 ] [ 1 ] Марлинспайк был первым генеральным директором Signal Messenger, пока не ушел в отставку 10 января 2022 года. [ 27 ]

Исследовать

[ редактировать ]

Удаление SSL

[ редактировать ]

В статье 2009 года Марлинспайк представил концепцию SSL удаления — атаки «человек посередине» , при которой сетевой злоумышленник может помешать веб-браузеру перейти на SSL-соединение таким образом, что, скорее всего, останется незамеченным пользователем. Он также объявил о выпуске инструмента, sslstrip, который будет автоматически выполнять подобные атаки типа «человек посередине». [ 28 ] [ 29 ] Для борьбы с этими атаками впоследствии была разработана спецификация HTTP Strict Transport Security (HSTS). [ 30 ]

Атаки на реализацию SSL

[ редактировать ]

Marlinspike обнаружил ряд различных уязвимостей в популярных реализациях SSL. Примечательно, что в 2002 году он опубликовал статью об использовании реализаций SSL/TLS , в которых неправильно проверялось расширение X.509 v3 «BasicConstraints» в цепочках сертификатов открытых ключей . Это позволяло любому, у кого был действительный сертификат, подписанный ЦС для любого доменного имени , создавать действительные сертификаты, подписанные ЦС, для любого другого домена. Уязвимые реализации SSL/TLS включали Microsoft CryptoAPI , что делало Internet Explorer и все другое программное обеспечение Windows, которое полагалось на соединения SSL/TLS, уязвимыми для атаки «человек посередине». В 2011 году было обнаружено, что та же самая уязвимость осталась в реализации SSL/TLS в Apple от iOS Inc. [ 31 ] [ 32 ] Также примечательно, что Марлинспайк представил в 2009 году документ, в котором представил концепцию атаки с нулевым префиксом на сертификаты SSL. Он сообщил, что все основные реализации SSL не смогли должным образом проверить значение общего имени сертификата, поэтому их можно было обманом заставить принять поддельные сертификаты, встраивая нулевые символы в поле CN. [ 33 ] [ 34 ]

Решения проблемы ЦА

[ редактировать ]

В 2011 году Марлинспайк выступил с докладом «SSL и будущее аутентификации». [ 35 ] на конференции по безопасности Black Hat в Лас-Вегасе . Он обозначил многие проблемы с центрами сертификации и объявил о выпуске программного проекта под названием Convergence для их замены. [ 36 ] [ 37 ] В 2012 году Марлинспайк и Перрин представили интернет-проект TACK. [ 38 ] который предназначен для обеспечения закрепления SSL-сертификата и помощи в решении проблемы CA, для Инженерной группы Интернета . [ 39 ]

Взлом MS-CHAPv2

[ редактировать ]

В 2012 году Марлинспайк и Дэвид Халтон представили исследование, позволяющее свести безопасность рукопожатий MS-CHAPv2 к одному шифрованию DES . Халтон создал оборудование, способное взломать оставшееся шифрование DES менее чем за 24 часа, и они вдвоем сделали это оборудование доступным для использования в качестве интернет-сервиса. [ 40 ]

Споры о мобильном наблюдении

[ редактировать ]

В 2013 году Марлинспайк опубликовал в своем блоге электронные письма, которые, как он утверждал, были отправлены телекоммуникационной службой Саудовской Аравии Mobily, с просьбой помочь ему в слежке за их клиентами, включая перехват сообщений, передаваемых через различные приложения. Марлинспайк отказался помочь, вместо этого обнародовав электронные письма. Mobily отвергла обвинения. «Мы никогда не общаемся с хакерами», — заявили в компании. [ 41 ]

Путешествие

[ редактировать ]

Марлинспайк говорит, что при перелете внутри Соединенных Штатов он не может распечатать свой собственный посадочный талон , ему приходится звонить агентам по продаже авиабилетов, чтобы выдать его, и он подвергается вторичному досмотру на контрольно-пропускных пунктах службы безопасности TSA . [ 42 ]

При въезде в США рейсом из Доминиканской Республики в 2010 году Марлинспайк был задержан федеральными агентами почти на пять часов, все его электронные устройства были конфискованы, и поначалу агенты утверждали, что он вернет их только в том случае, если он предоставит свои пароли, чтобы они могли смог расшифровать данные. Марлинспайк отказался это сделать, и устройства в конечном итоге были возвращены, хотя он отметил, что больше не может им доверять, заявив: «Они могли модифицировать аппаратное обеспечение или установить новую прошивку клавиатуры». [ 43 ]

Признание

[ редактировать ]
  • В 2016 году журнал Fortune включил Марлинспайка в число 40 людей младше 40 лет за то, что он является основателем Open Whisper Systems и «[шифрует] сообщения более миллиарда человек по всему миру». [ 44 ] Wired также включил его в свой «Следующий список 2016» как одного из «25 гениев, создающих будущее бизнеса». [ 45 ]
  • В 2017 году Марлинспайк и Перрин были награждены премией Левчина в области криптографии реального мира «за разработку и широкое внедрение протокола Signal». [ 46 ] [ 47 ]

Личная жизнь

[ редактировать ]

Родом из штата Джорджия , [ 4 ] Марлинспайк переехал в Сан-Франциско в конце 1990-х в возрасте 18 лет. [ 1 ] [ 12 ] Имя Мокси Марлинспайк — вымышленное имя, частично полученное из детского прозвища. [ 1 ] [ 4 ]

Марлинспайк — энтузиаст парусного спорта и мастер мореплавания . [ 4 ] [ 48 ] В 2004 году он купил заброшенную парусную лодку и вместе с тремя друзьями отремонтировал ее и совершил плавание вокруг Багамских островов , одновременно снимая « видеожурнал » об их путешествии под названием « Держись быстро» . [ 1 ] [ 4 ] [ 12 ] Он тоже анархист , [ 4 ] и несколько его эссе и выступлений опубликованы на веб-сайте «Анархистская библиотека» , в том числе «Анархистская критика демократии». [ 49 ] и «Обещание поражения». [ 50 ]

Ссылки

[ редактировать ]
  1. ^ Jump up to: а б с д и ж Винер, Анна (19 октября 2020 г.). «Вернем нашу конфиденциальность: Мокси Марлинспайк, основатель службы сквозного зашифрованного обмена сообщениями Signal, «пытается вернуть нормальность Интернету » . Житель Нью-Йорка . Архивировано из оригинала 5 марта 2021 года . Проверено 27 октября 2020 г.
  2. ^ «Мокси Марлинспайк покидает приложение для обмена зашифрованными сообщениями Signal» . Новости Би-би-си . 11 января 2022 г. . Проверено 7 июля 2024 г.
  3. ^ Розенблюм, Эндрю (26 апреля 2016 г.). «Мокси Марлинспайк делает шифрование доступным каждому» . Популярная наука . Компания Бонньер . Проверено 9 июля 2016 г.
  4. ^ Jump up to: а б с д и ж г Гринберг, Энди (31 июля 2016 г.). «Знакомьтесь, Мокси Марлинспайк, анархист, принесший всем нам шифрование» . Проводной . Конде Наст. Архивировано из оригинала 25 января 2021 года . Проверено 31 июля 2016 г.
  5. ^ Амадео, Рон (16 июня 2021 г.). «Google включает сквозное шифрование для стандартного приложения Android SMS/RCS» . Арс Техника . Проверено 3 марта 2022 г.
  6. ^ Гринберг, Энди (4 октября 2016 г.). «Наконец-то вы можете зашифровать Facebook Messenger, так что сделайте это» . Проводной .
  7. ^ Ньюман, Лили Хэй (11 января 2018 г.). «Skype наконец-то начинает внедрять сквозное шифрование» . Проводной .
  8. ^ Херн, Алекс (17 октября 2014 г.). «Бывший руководитель службы безопасности Twitter осуждает нарушения конфиденциальности Whisper» . Хранитель . Проверено 22 января 2015 г.
  9. ^ Мессмер, Эллен (12 октября 2011 г.). «Индустрия SSL-сертификатов может и должна быть заменена» . Сетевой мир . ИДГ. Архивировано из оригинала 1 марта 2014 года . Проверено 25 сентября 2016 г.
  10. ^ «Новый облачный сервис крадет пароли Wi-Fi» . Мир ПК. Архивировано из оригинала 20 апреля 2012 года . Проверено 9 декабря 2013 г.
  11. ^ «Лучший способ спрятаться от Google» . Форбс . 25 ноября 2013. Архивировано из оригинала 12 октября 2013 года . Проверено 9 декабря 2013 г.
  12. ^ Jump up to: а б с д Ядрон, Дэнни (9 июля 2015 г.). «Мокси Марлинспайк: Кодер, который зашифровал ваши тексты» . Уолл Стрит Джорнал . Архивировано из оригинала 10 июля 2015 года . Проверено 27 сентября 2016 г.
  13. ^ Миллс, Элинор (15 марта 2011 г.). «CNet: приложение WhisperCore шифрует все данные для Android» . News.cnet.com . Проверено 9 декабря 2013 г.
  14. ^ «Twitter приобретает стартап Whisper Systems Мокси Марлинспайка» . Форбс . Проверено 4 октября 2013 г.
  15. ^ Пауэрс, Шон М.; Яблонски, Майкл (февраль 2015 г.). Настоящая кибервойна: политическая экономия свободы Интернета . Издательство Университета Иллинойса. п. 198. ИСБН  978-0-252-09710-2 . JSTOR   10.5406/j.ctt130jtjf .
  16. ^ Крис Анищик (20 декабря 2011 г.). «Шепот правдив» . Блог разработчиков Twitter . Твиттер. Архивировано из оригинала 24 октября 2014 года . Проверено 22 января 2015 г.
  17. ^ «RedPhone теперь с открытым исходным кодом!» . Шепчущие системы. 18 июля 2012. Архивировано из оригинала 31 июля 2012 года . Проверено 22 января 2015 г.
  18. ^ Ядрон, Дэнни (10 июля 2015 г.). «Что сделала Мокси Марлинспайк в Твиттере» . Цифры . Уолл Стрит Джорнал. Архивировано из оригинала 18 марта 2016 года . Проверено 27 сентября 2016 г.
  19. ^ Энди Гринберг (29 июля 2014 г.). «Наконец-то ваш iPhone может совершать бесплатные зашифрованные звонки » Проводной . Проверено 18 января 2015 г.
  20. ^ «Новый дом» . Открытые системы шепота. 21 января 2013 года . Проверено 11 июля 2015 г.
  21. ^ Донохью, Брайан (24 февраля 2014 г.). «TextSecure теряет SMS в последней версии» . Угрозапост . Проверено 14 июля 2016 г.
  22. ^ Гринберг, Энди (2 ноября 2015 г.). «Signal, одобренное Сноуденом криптоприложение, выходит на Android» . Проводной . Конде Наст . Проверено 24 ноября 2015 г.
  23. ^ Мец, Кейд (5 апреля 2016 г.). «Забудьте Apple против ФБР: WhatsApp только что включил шифрование для миллиарда человек» . Проводной . Конде Наст . Проверено 2 августа 2016 г.
  24. ^ Гринберг, Энди (8 июля 2016 г.). « Секретные разговоры: сквозное шифрование появилось в Facebook Messenger» . Проводной . Конде Наст . Проверено 24 сентября 2016 г.
  25. ^ Гринберг, Энди (18 мая 2016 г.). «Благодаря Allo и Duo Google наконец-то обеспечивает сквозное шифрование разговоров» . Проводной . Конде Наст . Проверено 24 сентября 2016 г.
  26. ^ Марлинспайк, Мокси; Эктон, Брайан (21 февраля 2018 г.). «Фонд Сигнал» . Сигнал.орг . Проверено 21 февраля 2018 г.
  27. ^ Марлинспайк, Мокси (10 января 2022 г.). «Новый год, новый генеральный директор» . signal.org . Сигнальный мессенджер . Проверено 10 января 2022 г.
  28. ^ Гринберг, Энди (18 февраля 2009 г.). «Сломать замок вашего браузера» . Форбс . Архивировано из оригинала 27 февраля 2014 года.
  29. ^ Келли Джексон Хиггинс, 24 февраля 2009 г. (24 февраля 2009 г.). «Выпущен инструмент для взлома SSLStrip» . Darkreading.com . Проверено 9 декабря 2013 г. {{cite web}}: CS1 maint: числовые имена: список авторов ( ссылка )
  30. ^ Брамвелл, Фил (2018). Практическое тестирование на проникновение в Windows: используйте инструменты отладки Kali Linux, PowerShell и Windows для тестирования и анализа безопасности . Пакт Паблишинг. п. 96. ИСБН  978-1-78829-509-3 .
  31. ^ Ошибка Apple iOS хуже, чем рекламируется /
  32. ^ «Выпущен инструмент перехвата данных iPhone» . Scmagazine.com.au. 27 июля 2011. Архивировано из оригинала 14 декабря 2013 года . Проверено 9 декабря 2013 г.
  33. ^ Зеттер, Ким (30 июля 2009 г.). «Уязвимости позволяют злоумышленникам выдавать себя за любой веб-сайт» . Wired.com . Проверено 9 декабря 2013 г.
  34. ^ Гудин, Дэн (30 июля 2009 г.). «Подстановочный сертификат имитирует веб-аутентификацию» . Thereregister.co.uk . Проверено 9 декабря 2013 г.
  35. ^ «SSL и будущее подлинности» . Ютуб.com. 18 августа 2011 г. Архивировано из оригинала 21 декабря 2021 г. Проверено 9 декабря 2013 г.
  36. ^ «Новая альтернатива SSL» . Informationweek.com. Архивировано из оригинала 1 октября 2011 года . Проверено 9 декабря 2013 г.
  37. ^ «Будущее SSL под вопросом?» . Infosecurity-magazine.com. 9 августа 2011 года . Проверено 9 декабря 2013 г.
  38. ^ «Утверждения доверия для ключей сертификата» . Так.ио. ​Проверено 9 декабря 2013 г.
  39. ^ Гудин, Дэн (23 мая 2012 г.). «Исправление SSL-флагов поддельных сертификатов» . Arstechnica.com . Проверено 9 декабря 2013 г.
  40. ^ «Новый инструмент от Мокси Марлинспайк взламывает некоторые криптопароли» . пост угроз. 19 августа 2012 г. Архивировано из оригинала 19 августа 2012 г. {{cite web}}: CS1 maint: bot: исходный статус URL неизвестен ( ссылка )
  41. ^ Смит, Мэтт (15 мая 2013 г.). «Саудовская компания Mobily отрицает просьбу о помощи в шпионаже за клиентами» . Рейтер . Проверено 21 февраля 2018 г.
  42. ^ Миллс, Элинор (18 ноября 2010 г.). «Исследователь безопасности: Меня продолжают задерживать федералы» . CNET . Проверено 19 июня 2019 г.
  43. ^ Зеттер, Ким (18 ноября 2010 г.). «Ноутбук еще одного хакера и мобильные телефоны обыскали на границе» . Wired.com . Проверено 19 июня 2019 г.
  44. ^ «Мокси Марлинспайк — 40 до 40» . Удача . Time Inc. 2016. Архивировано из оригинала 18 августа 2017 года . Проверено 22 сентября 2016 г.
  45. ^ WIRED Staff (26 апреля 2016 г.). «25 гениев, создающих будущее бизнеса» . Проводной . ISSN   1059-1028 . Проверено 19 марта 2020 г.
  46. ^ «Премия Левчина за реальную криптографию» . RealWorldCrypto.
  47. ^ Левчин, Макс (4 января 2017 г.). «Премия Левчина 2017 года в области реальной мировой криптографии» . Yahoo! Финансы . Проверено 7 февраля 2018 г.
  48. ^ «Мокси Марлинспайк >> О» . Проверено 22 ноября 2022 г.
  49. ^ Марлинспайк, Мокси; Харт, Винди (21 июня 2012 г.). «Анархистская критика демократии» . Анархическая библиотека . Проверено 22 ноября 2022 г.
  50. ^ Марлинспайк, Мокси (4 августа 2020 г.). «Обещание поражения» . Анархическая библиотека . Проверено 22 ноября 2022 г.
[ редактировать ]
Retrieved from "https://en.wikipedia.org/w/index.php?title=Moxie_Marlinspike&oldid=1235236335"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 294c3b33c02cf9aeac45e9c3797d02f8__1721283540
URL1:https://arc.ask3.ru/arc/aa/29/f8/294c3b33c02cf9aeac45e9c3797d02f8.html
Заголовок, (Title) документа по адресу, URL1:
Moxie Marlinspike - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)