Moxie Marlinspike - Moxie Marlinspike

Moxie Marlinspike
Moxie Marlinspike TC.jpg
2017 yılında Marlinspike
MilliyetAmerikan
Bilinen
Bilimsel kariyer
AlanlarKriptografi,
Bilgisayar Güvenliği,
Yazılım mimarisi
İnternet sitesiMoxie.org Bunu Vikiveri'de düzenleyin

Matthew Rosenfeld,[1] olarak bilinir Moxie Marlinspike,[2] Amerikalı girişimci, kriptograf, ve bilgisayar Güvenliği araştırmacı. Marlinspike'ın yaratıcısıdır Sinyal, kurucu ortağı Signal Foundation ve şu anda CEO'su olarak görev yapıyor Signal Messenger. Aynı zamanda ortak yazardır. Sinyal Protokolü tarafından kullanılan şifreleme Sinyal, Naber,[3] [4]Facebook haberci,[5] ve Skype,[6] tüketicinin en büyük dağıtımından sorumlu uçtan uca şifreleme.

Marlinspike, güvenlik ekibinin eski başkanıdır. Twitter[7] ve önerilen SSL kimlik doğrulama sistemi değişiminin yazarı Yakınsama.[8] Daha önce bulut tabanlı bir WPA kırma servisi[9] ve GoogleSharing adlı hedeflenmiş bir anonimlik hizmeti.[10]

Biyografi

Başlangıçta eyaletinden Gürcistan,[3] 18 yaşında Marlinspike, San Francisco 1990'ların sonunda.[11][12] Daha sonra, kurumsal altyapı yazılım üreticisi dahil olmak üzere birçok teknoloji şirketinde çalıştı. BEA Systems Inc.[3][12] 2004 yılında Marlinspike terk edilmiş bir yelkenli satın aldı ve üç arkadaşıyla birlikte onu yeniledi ve Bahamalar bir "yaparkenvideo dergisi "aradıkları yolculuk hakkında Dayan.[11][3][12]

2010 yılında Marlinspike, teknolojiden Sorumlu Başkan ve kurucu ortağı Fısıltı Sistemleri,[13] bir kurumsal mobil güvenlik başlangıç ​​şirketi. Mayıs 2010'da Whisper Systems piyasaya sürüldü TextSecure ve RedPhone. Bunlar sağlayan uygulamalardır uçtan uca şifreli Sırasıyla SMS mesajlaşma ve sesli arama. Şirket, sosyal medya firması tarafından satın alındı Twitter 2011'in sonlarında açıklanmayan bir miktar için.[14] Satın alma, "öncelikle Bay Marlinspike'ın o zamanki girişimin güvenliğini artırmasına yardımcı olabilmesi için" yapıldı.[12] Twitter'da siber güvenlik başkanı olduğu süre boyunca,[15] firma Whisper Systems'ın uygulamalarını yaptı açık kaynak.[16][17]

Marlinspike 2013'ün başlarında Twitter'dan ayrıldı ve Açık Fısıltı Sistemleri TextSecure ve RedPhone'un sürekli gelişimi için işbirliğine dayalı bir açık kaynak projesi olarak.[18][19][20] O sırada Marlinspike ve Trevor Perrin, Sinyal Protokolü, ilk sürümü Şubat 2014'te TextSecure uygulamasında kullanıma sunulan erken sürümü.[21] Kasım 2015'te Open Whisper Systems, TextSecure ve RedPhone uygulamalarını şu şekilde birleştirdi: Sinyal.[22] Marlinspike, 2014 ve 2016 yılları arasında Naber, Facebook, ve Google Signal Protokolünü mesajlaşma hizmetlerine entegre etmek.[23][24][25]

21 Şubat 2018'de Marlinspike ve Naber kurucu ortak Brian Acton oluşumunu duyurdu Signal Foundation.[26][11]

Araştırma

SSL soyma

Marlinspike, 2009 tarihli bir makalede, SSL sıyırma, bir ortadaki adam saldırısı bir ağ saldırganının bir internet tarayıcısı bir kullanıcı tarafından muhtemelen fark edilmeyecek ince bir şekilde bir SSL bağlantısına yükseltmekten. Ayrıca bir aletin piyasaya sürüldüğünü de duyurdu, sslstrip,[27] Bu, bu tür ortadaki adam saldırılarını otomatik olarak gerçekleştirir.[28][29] HTTP Katı Taşıma Güvenliği (HSTS) özelliği daha sonra bu saldırılarla mücadele etmek için geliştirildi.[kaynak belirtilmeli ]

SSL uygulama saldırıları

Marlinspike bir dizi farklı keşfetti güvenlik açıkları popüler SSL uygulamalarında. Özellikle, Marlinspike 2002 tarihli bir makale yayınladı[30] istismar üzerine SSL / TLS doğru şekilde doğrulamayan uygulamalar X.509 v3 "BasicConstraints" uzantısı genel anahtar sertifikası zincirler. Bu, herhangi biri için geçerli bir CA imzalı sertifikaya sahip olan herkesin alan adı başka herhangi bir etki alanı için geçerli CA imzalı sertifikalar gibi görünenleri oluşturmak için. Güvenlik açığı bulunan SSL / TLS uygulamaları şunları içerir: Microsoft CryptoAPI, yapımı Internet Explorer ve SSL / TLS bağlantılarına dayanan diğer tüm Windows yazılımları, ortadaki adam saldırısına karşı savunmasızdır. 2011 yılında, aynı güvenlik açığının SSL / TLS uygulamasında mevcut olduğu keşfedildi. Apple Inc. 's iOS.[31][32] Ayrıca, Marlinspike 2009 tarihli bir bildiri sundu,[33] SSL sertifikalarına boş önek saldırısı konseptini tanıttı. Tüm büyük SSL uygulamalarının, bir sertifikanın Ortak Ad değerini doğru bir şekilde doğrulayamadığını, böylece sahte sertifikaları gömme yoluyla kabul etmek için kandırılabileceklerini açıkladı. boş karakterler CN alanına.[34][35]

CA sorununa çözümler

2011'de Marlinspike başlıklı bir konuşma yaptı SSL ve Orijinalliğin Geleceği[36] -de Siyah şapka güvenlik konferansı Las Vegas. Mevcut sorunların çoğunun ana hatlarını çizdi. sertifika yetkilileri ve adlı bir yazılım projesinin yayınlandığını duyurdu Yakınsama Sertifika Yetkililerini değiştirmek için.[37][38] 2012'de Marlinspike ve Trevor Perrin bir İnternet Taslağı TACK için,[39] SSL sağlamak için tasarlanmış sertifika sabitleme ve CA sorununu çözmeye yardımcı olmak için İnternet Mühendisliği Görev Gücü.[40]

MS-CHAPv2 kırılıyor

2012'de Marlinspike ve David Hulton güvenliğini azaltmayı mümkün kılan araştırma sundu MS-CHAPv2 tek bir tokalaşma DES şifreleme. Hulton, kalan DES şifrelemesini 24 saatten daha kısa sürede kırabilen bir donanım geliştirdi ve ikisi, donanımı herkesin İnternet hizmeti olarak kullanmasını sağladı.[41]

Seyahat

Marlinspike, Amerika Birleşik Devletleri içinde uçarken kendisininkini yazdıramadığını söylüyor biniş kartı, havayolu bilet acentelerinin bir telefon görüşmesi düzenleyebilmesi için bir telefon görüşmesi yapmaları gerekir ve tabi ikincil tarama -de TSA güvenlik kontrol noktaları.[42]

2010 yılında Dominik Cumhuriyeti'nden bir uçuşla Amerika Birleşik Devletleri'ne girerken, Marlinspike federal ajanlar tarafından yaklaşık beş saat boyunca gözaltına alındı, tüm elektronik cihazlarına el konuldu ve ilk başta ajanlar, yalnızca şifrelerini sağlaması halinde onları geri alacağını iddia etti. verilerin şifresini çözebilirler. Marlinspike bunu yapmayı reddetti ve cihazlar sonunda iade edildi, ancak artık onlara güvenemeyeceğini belirterek, "Donanımı değiştirebilirlerdi veya yeni klavye bellenimi kurabilirlerdi" dedi.[43]

Konuşma görevleri

  • DEF CON 17: "SSL'yi Yenmek İçin Daha Fazla Püf Noktası"[44]
  • DEF CON 18 ve Siyah şapka 2010: "Tehditleri Gizliliğe Dönüştürüyor"[45]
  • DEF CON 19 ve Black Hat 2011: "SSL ve Orijinalliğin Geleceği"[46]
  • DEF CON 20: "PPTP VPN'leri ve WPA2'yi MS-CHAPv2 ile yenmek"[47]
  • Webstock '15: "Özel iletişimi basitleştirme"[48]
  • 36C3: "Ekosistem hareket ediyor"[49]

Tanıma

  • 2013 ve 2014 yıllarında Shuttleworth Vakfı Marlinspike'a Open Whisper Systems için toplam 289.487,18 $ fon sağladı.[50]
  • 2016 yılında Servet Marlinspike adlı dergi, 40'ın altında 40 Open Whisper Systems'ın kurucusu olduğu ve "dünya çapında bir milyardan fazla insanın iletişimini [şifrelediği]" için.[51] Kablolu ayrıca Marlinspike'ı "Geleceğin Geleceğini Yaratan 25 Dahi" arasında "Sonraki Liste 2016" listesine aldı.[52]
  • Moxie Marlinspike, 2017 yılında Trevor Perrin ile birlikte Levchin Ödülü Gerçek Dünya Kriptografisi için "Signal protokolünün geliştirilmesi ve geniş yayılımı için".[53][54]

Referanslar

  1. ^ Smith, Matt (15 Mayıs 2013). "Suudi Mobily müşterileri gözetlemek için yardım istediğini yalanladı". Reuters. Alındı 21 Şubat 2018.
  2. ^ Rosenblum, Andrew (26 Nisan 2016). "Moxie Marlinspike Herkes İçin Şifreleme Yapar". Popüler Bilim. Bonnier Corporation. Alındı 9 Temmuz 2016.
  3. ^ a b c d Greenberg, Andy (31 Temmuz 2016). "Hepimize Şifreleme Getiren Anarşist Moxie Marlinspike ile Tanışın". Kablolu. Övmek. Alındı 31 Temmuz 2016.
  4. ^ Wiener, Anna. "Gizliliğimizi Geri Almak". The New Yorker. Alındı 2020-10-28.
  5. ^ Greenberg, Andy (4 Ekim 2016). "Sonunda Facebook Messenger'ı şifreleyebilirsin, öyle yap". Kablolu.
  6. ^ Newman, Lily Hay (11 Ocak 2018). "Skype Sonunda Uçtan Uca Şifreleme Sunmaya Başladı". Kablolu.
  7. ^ Hern, Alex (17 Ekim 2014). "Twitter'ın eski güvenlik başkanı, Whisper'ın gizlilik kusurlarını kınıyor". Gardiyan. Alındı 22 Ocak 2015.
  8. ^ Messmer, Ellen (12 Ekim 2011). "SSL sertifika endüstrisi değiştirilebilir ve değiştirilmelidir". Ağ Dünyası. IDG. Arşivlenen orijinal 1 Mart 2014 tarihinde. Alındı 25 Eylül 2016.
  9. ^ "Yeni Bulut Tabanlı Hizmet Wi-Fi Şifrelerini Çalıyor". bilgisayar Dünyası. Alındı 2013-12-09.
  10. ^ "Google'dan Saklanmanın Daha İyi Bir Yolu". Forbes. 2013-11-25. Arşivlenen orijinal 12 Ekim 2013 tarihinde. Alındı 2013-12-09.
  11. ^ a b c Wiener, Anna (19 Ekim 2020). "Gizliliğimizi Geri Almak: Uçtan uca şifreli mesajlaşma hizmeti Signal'in kurucusu Moxie Marlinspike" İnternet'e normalliği getirmeye çalışıyor."". The New Yorker. Alındı 27 Ekim 2020.
  12. ^ a b c d Yadron, Danny (9 Temmuz 2015). "Moxie Marlinspike: Metinlerinizi Şifreleyen Kodlayıcı". Wall Street Journal. Arşivlenen orijinal 10 Temmuz 2015 tarihinde. Alındı 27 Eylül 2016.
  13. ^ Mills, Elinor (2011-03-15). "CNet: WhisperCore Uygulaması Android İçin Tüm Verileri Şifreler". News.cnet.com. Alındı 2013-12-09.
  14. ^ "Twitter, Moxie Marlinspike'ın Şifreleme Başlangıç ​​Whisper Sistemlerini Satın Aldı". Forbes. Alındı 2013-10-04.
  15. ^ Powers, Shawn M .; Jablonski, Michael (Şubat 2015). Gerçek Siber Savaş: İnternet Özgürlüğünün Politik Ekonomisi. Illinois Üniversitesi Yayınları. s. 198. ISBN  978-0-252-09710-2. JSTOR  10.5406 / j.ctt130jtjf.
  16. ^ Chris Aniszczyk (20 Aralık 2011). "Fısıltılar Doğru". Twitter Geliştirici Blogu. Twitter. Arşivlenen orijinal 24 Ekim 2014. Alındı 22 Ocak 2015.
  17. ^ "RedPhone artık Açık Kaynak!". Fısıltı Sistemleri. 18 Temmuz 2012. Arşivlendi orijinal 31 Temmuz 2012 tarihinde. Alındı 22 Ocak 2015.
  18. ^ Yadron, Danny (10 Temmuz 2015). "Moxie Marlinspike Twitter'da Ne Yaptı?". Rakamlar. Wall Street Journal. Arşivlenen orijinal 18 Mart 2016'da. Alındı 27 Eylül 2016.
  19. ^ Andy Greenberg (29 Temmuz 2014). "İPhone'unuz Sonunda Ücretsiz, Şifreli Aramalar Yapabilir". Kablolu. Alındı 18 Ocak 2015.
  20. ^ "Yeni bir ev". Fısıltı Sistemlerini açın. 21 Ocak 2013. Alındı 11 Temmuz 2015.
  21. ^ Donohue, Brian (24 Şubat 2014). "TextSecure SMS'i En Son Sürümde Tutuyor". Tehdit noktası. Alındı 14 Temmuz 2016.
  22. ^ Greenberg, Andy (2 Kasım 2015). "Signal, Snowden Onaylı Kripto Uygulaması, Android'e Geliyor". Kablolu. Övmek. Alındı 24 Kasım 2015.
  23. ^ Metz, Cade (5 Nisan 2016). "Apple ve FBI'ı Unutun: WhatsApp Bir Milyar Kişi İçin Şifrelemeyi Açtı". Kablolu. Övmek. Alındı 2 Ağustos 2016.
  24. ^ Greenberg, Andy (8 Temmuz 2016). "'Gizli Sohbetler: 'Uçtan Uca Şifreleme Facebook Messenger'a Geliyor ". Kablolu. Övmek. Alındı 24 Eylül 2016.
  25. ^ Greenberg, Andy (18 Mayıs 2016). "Allo ve Duo ile Google Nihayet Görüşmeleri Uçtan Uca Şifreliyor". Kablolu. Övmek. Alındı 24 Eylül 2016.
  26. ^ Marlinspike, Moxie; Acton, Brian (21 Şubat 2018). "Signal Foundation". Signal.org. Alındı 21 Şubat 2018.
  27. ^ "sslstrip". Thoughtcrime.org. Alındı 2013-12-09.
  28. ^ Greenberg, Andy (18 Şubat 2009). "Tarayıcınızın Asma Kilidini Kırmak". Forbes. Arşivlenen orijinal 27 Şubat 2014.
  29. ^ Kelly Jackson Higgins 24 Şubat 2009 (2009-02-24). "SSLStrip Hacking Tool Yayınlandı". Darkreading.com. Alındı 2013-12-09.
  30. ^ "Temel Kısıtlamalar Güvenlik Açığı". Alındı 2013-12-09.
  31. ^ İlan Edilenden Daha Kötü Apple iOS Hatası /
  32. ^ "iPhone veri yakalama aracı yayınlandı". Scmagazine.com.au. 2011-07-27. Arşivlenen orijinal 2013-12-14 tarihinde. Alındı 2013-12-09.
  33. ^ "Uygulamada SSL'yi Yenmek İçin Daha Yeni Hileler". Youtube.com. 2011-01-15. Alındı 2013-12-09.
  34. ^ Zetter, Kim (2009-07-30). "Güvenlik Açıkları Saldırganların Herhangi Bir Web Sitesini Taklit Etmesine İzin Veriyor". Wired.com. Alındı 2013-12-09.
  35. ^ Goodin, Dan (2009-07-30). "Wildcard sertifika sahte web kimlik doğrulaması". Theregister.co.uk. Alındı 2013-12-09.
  36. ^ "SSL ve Orijinalliğin Geleceği". Youtube.com. 2011-08-18. Alındı 2013-12-09.
  37. ^ "Yeni SSL Alternatifi". Informationweek.com. Arşivlenen orijinal 2011-10-01 tarihinde. Alındı 2013-12-09.
  38. ^ "SSL'nin geleceği şüpheli mi?". Infosecurity-magazine.com. 2011-08-09. Alındı 2013-12-09.
  39. ^ "Sertifika Anahtarları İçin Güven Onayları". Tack.io. Alındı 2013-12-09.
  40. ^ Goodin, Dan (2012-05-23). "Sahte sertifikaların SSL düzeltme işaretleri". Arstechnica.com. Alındı 2013-12-09.
  41. ^ "Moxie Marlinspike'tan Yeni Araç Bazı Kripto Parolalarını Kırıyor". tehdit direği. 19 Ağustos 2012. 19 Ağustos 2012 tarihinde orjinalinden arşivlendi.CS1 bakımlı: BOT: orijinal url durumu bilinmiyor (bağlantı)
  42. ^ Mills, Elinor (2010-11-18). "Güvenlik araştırmacısı: Federaller tarafından gözaltına alınmaya devam ediyorum". CNET. Alındı 2019-06-19.
  43. ^ Zetter, Kim (2010-11-18). "Başka Bir Hacker'ın Dizüstü Bilgisayarı, Cep Telefonları Sınırda Arandı". Wired.com. Alındı 2019-06-19.
  44. ^ "DEF CON 17 - Moxie Marlinspike - SSL'yi Yenmek İçin Daha Fazla Püf Noktaları". Youtube. DEF CON. Alındı 22 Ocak 2015.
  45. ^ "DEF CON 18 - Moxie Marlinspike - Tehditleri Gizliliğe Değiştirme: TIA'dan Google'a". Youtube. DEF CON. Alındı 22 Ocak 2015.
  46. ^ "DEF CON 19 - Moxie Marlinspike - SSL ve Orijinalliğin Geleceği". Youtube. DEF CON. Alındı 22 Ocak 2015.
  47. ^ "DEF CON 20 - Marlinspike Hulton and Ray - PPTP VPN'leri ve WPA2 Enterprise'ı MS-CHAPv2 ile Yenmek". Youtube. DEF CON. Alındı 22 Ocak 2015.
  48. ^ "Webstock '15: Moxie Marlinspike - Özel iletişimi basitleştiriyor". Vimeo. Webstock. Alındı 22 Nisan 2015.
  49. ^ "36C3 - Ekosistem hareket ediyor". Youtube. 36C3. Alındı 6 Ocak 2020.
  50. ^ "Moxie Marlinspike". Shuttleworth Vakfı. tarih yok Arşivlenen orijinal 15 Kasım 2016'da. Alındı 25 Eylül 2016.
  51. ^ "Moxie Marlinspike - 40 yaş altı". Servet. Time Inc. 2016. Alındı 22 Eylül 2016.
  52. ^ Personel, KABLOLU (2016-04-26). "İşletmenin Geleceğini Yaratan 25 Dahi". Kablolu. ISSN  1059-1028. Alındı 2020-03-19.
  53. ^ "Gerçek Dünya Kriptografisi için Levchin Ödülü". RealWorldCrypto.
  54. ^ Levchin, Max (4 Ocak 2017). "Gerçek Dünya Şifreleme için 2017 Levchin Ödülü". Yahoo! Finansman. Alındı 7 Şubat 2018.

daha fazla okuma

Dış bağlantılar