Моксі Марлінспайк
Моксі Марлінспайк (англ. Moxie Marlinspike) — американський дослідник кібербезпеки, чиї дослідження зосереджені в першу чергу на методах перехвату зв'язку, а також методів посилення інфраструктури зв'язку проти перехоплення. Марлінспайк — колишній лідер команди безпеки в Twitter і засновник Open Whisper Systems. Він керує хмарної службою злому WPA і цільової службою анонімності під назвою GoogleSharing.
Моксі Марлінспайк | |
---|---|
англ. Moxie Marlinspike | |
| |
Псевдо | Moxie Marlinspike, Mike Benham, Matthew Rosenberg, Johnny McDouglas, Matthew Rosenfield, Matthew Rosenfeld і Clement D. |
Народився | Штат Джорджія |
Країна | США |
Національність | США |
Місце проживання | Сан-Франциско, США |
Діяльність | |
Галузь | комп'ютерна безпека, Архітектура програмного забезпечення і Криптографія |
Знання мов | англійська |
Заклад | Twitter, Inc.d[1], Whisper Systemsd[2], Signal Messengerd і Open Whisper Systems |
Роки активності | 1999[3] — тепер. час |
Magnum opus | Протокол Signal, Double Ratchet Algorithmd і Convergenced |
Нагороди |
Shuttleworth Foundation Fellowshipd |
Сайт | moxie.org |
Житєпис
Родом зі штату Джорджія, Марлінспайк переїхав в Сан-Франциско в кінці 1990-х років. Згодом він працював в декількох технічних компаніях, включаючи створення програмного забезпечення інфраструктури підприємства BEA Systems Inc. В 2004 році Марлінспайк купив занедбаний вітрильник і разом з трьома друзями відремонтував його і відплив до Багамських островів, знявши документальний фільм про їхню подорож під назвою Hold Fast.
У 2010 році Марлінспайк був головним технічним директором і співзасновником Whisper Systems. У травні 2010 року Whisper Systems запустила TextSecure і RedPhone. Це були додатки, які надавали наскрізні зашифровані SMS-повідомлення і голосові виклики, відповідно. Компанія була придбана соціальної медіа-фірмою Twitter за нерозкриту суму в кінці 2011 року. Придбання було зроблено «перш за все для того, щоб пан Марлінспайк міг допомогти тодішньому стартапу поліпшити свою безпеку». Під час свого перебування в якості голови кібербезпеки в Twitter, фірма зробила додатки Whisper Systems з відкритим програмним забезпеченням.
Марлінспайк покинув Twitter на початку 2013 року і заснував Open Whisper Systems для подальшого розвитку TextSecure і RedPhone. В цей же час Марлінспайк і Тревор Перрін почали розробку протоколу сигналу, рання версія якого була вперше представлена в додатку TextSecure в лютому 2014 року. У лютому 2015 року відкриті системи Whisper об'єднали програми TextSecure і RedPhone в додаток Signal. Між 2014 і 2016 роками Марлінспайк працював з WhatsApp, Facebook і Google, щоб інтегрувати протокол сигналу в свої служби обміну повідомленнями.
21 лютого 2018 року Марлінспайк і співзасновник WhatsApp Брайан Ектон оголосили про створення Signal Foundation.
Дослідження
SSL stripping
У 2009 році Марлінспайк представив концепцію SSL stripping, атаки «людина посередині», в якій мережевий зловмисник може запобігти оновленню веб-браузера до SSL-з'єднання тонким способом, який, ймовірно, залишиться непоміченим користувачем. Він також оголосив про випуск інструменту sslstrip, який буде автоматично виконувати ці типи атак «людина посередині». Специфікація HTTP Strict Transport Security (HSTS) була згодом розроблена для боротьби з цими атаками.
Вирішення проблем з центром сертифікації
У 2011 році Марлінспайк представив доповідь під назвою SSL And The Future Of Authenticity на конференції Black Hat security в Лас-Вегасі. Він оголосив про випуск програмного проекту під назвою Convergence to replace Certificate Authorities. У 2012 році Марлінспайк і Тревор Перрін представили інтернет-проект для TACK, який призначений для забезпечення закріплення сертифіката SSL і вирішення проблеми з центром сертифікації, в IETF.
Злом MS-CHAPv2
У 2012 році Марлінспайк та Девід Халтон представили дослідження, яке дозволяє знизити безпеку MS-CHAPv2 до одного шифрування DES. Халтон розробив апаратне забезпечення, здатне розбити залишене шифрування DES менше за 24 години, і обидва зробили апаратне забезпечення доступним для будь-якого користувача, щоб використовувати його як інтернет-сервіс.
Подорожі
Марлінспайк каже, що під час польоту в межах Сполучених Штатів він не в змозі надрукувати свій власний посадковий талон, потрібно, щоб агенти з продажу авіаквитків зробити телефонний дзвінок для того, щоб видати один, і він піддається вторинній перевірки на контрольно-пропускних пунктах безпеки TSA. [ 40]
При в'їзді в США через рейс з Домініканської Республіки в 2010 році, Марлінспайк був затриманий на п'ять годин; федеральні агенти попросили його паролі, і всі його електронні пристрої були вилучені, а потім повернуті.
Виступи
- DEF CON 17: «Більше трюків для перемоги над SSL»[4]
- DEF CON 18 and Black Hat 2010: «Зміна загроз конфіденційності»[5]
- DEF CON 19 and Black Hat 2011: "SSL та його майбутнє "[6]
- DEF CON 20: «Перемога над PPTP VPNs і WPA2 з MS-CHAPv2»[7]
- Webstock 15: «Спрощення приватного спілкування»[8]
- HackIT 4.0: «The ecosystem of moving»[9]
Примітки
- http://blogs.wsj.com/digits/2015/07/10/what-moxie-marlinspike-did-at-twitter/
- http://www.bloomberg.com/research/stocks/private/snapshot.asp?privcapId=141104009
- https://web.archive.org/web/20160801054645/https://www.wired.com/2016/07/meet-moxie-marlinspike-anarchist-bringing-encryption-us/ — 2016.
- «DEF CON 17 — Moxie Marlinspike — More Tricks for Defeating SSL». YouTube. DEF CON. Retrieved 22 January 2015.
- «DEF CON 18 — Moxie Marlinspike — Changing Threats To Privacy: From TIA to Google». YouTube. DEF CON. Retrieved 22 January 2015.
- «DEF CON 19 — Moxie Marlinspike — SSL And The Future Of Authenticity». YouTube. DEF CON. Retrieved 22 January 2015.
- «DEF CON 20 — Marlinspike Hulton and Ray — Defeating PPTP VPNs and WPA2 Enterprise with MS-CHAPv2». YouTube. DEF CON. Retrieved 22 January 2015.
- «Webstock '15: Moxie Marlinspike — Making private communication simple». Vimeo. Webstock. Retrieved 22 April 2015.
- HackIT Conference Agenda for Attack and Defense Day. HackIT (амер.). Архів оригіналу за 1 квітня 2019. Процитовано 1 квітня 2019.