Matthew Rosenfeld , [2] conocido como Moxie Marlinspike , [3] es un empresario , criptógrafo e investigador de seguridad informática estadounidense . [1] [3] Marlinspike es el creador de Signal , cofundador de Signal Foundation y se desempeña como CEO de Signal Messenger LLC . También es coautor del cifrado del Protocolo de señal utilizado por Signal, WhatsApp , [4] Facebook Messenger , [5] y Skype . [6]
Moxie Marlinspike | |
---|---|
Nació | Principios de la década de 1980 [1] |
Nacionalidad | americano |
Conocido por |
|
Carrera científica | |
Campos | Criptografía , Seguridad informática , Arquitectura de software |
Sitio web | moxie |
Marlinspike es un ex jefe del equipo de seguridad de Twitter [7] y el autor de un reemplazo propuesto del sistema de autenticación SSL llamado Convergence . [8] Anteriormente mantuvo un servicio de craqueo de WPA basado en la nube [9] y un servicio de anonimato específico llamado GoogleSharing. [10]
Biografía
Originario del estado de Georgia , [4] Moulinsart se trasladó a San Francisco a finales de 1990 a la edad de 18 años [1] [11] Posteriormente, trabajó para varias empresas de tecnología, incluyendo el fabricante de software de infraestructura empresarial de BEA Systems Inc . [4] [11] En 2004, Marlinspike compró un velero abandonado y, con tres amigos, lo renovó y navegó por las Bahamas mientras hacía un " video zine " sobre su viaje llamado Hold Fast . [1] [4] [11]
En 2010, Marlinspike fue director de tecnología y cofundador de Whisper Systems , [12] una empresa de nueva creación de seguridad móvil empresarial. En mayo de 2010, Whisper Systems lanzó TextSecure y RedPhone . Se trataba de aplicaciones que proporcionaban mensajes SMS cifrados de extremo a extremo y llamadas de voz, respectivamente. Twitter adquirió la compañía por una cantidad no revelada a fines de 2011. [13] La adquisición se realizó "principalmente para que el Sr. Marlinspike pudiera ayudar a la entonces startup a mejorar su seguridad". [11] Durante su tiempo como jefe de ciberseguridad de Twitter, [14] la empresa hizo que las aplicaciones de Whisper Systems fueran de código abierto . [15] [16]
Marlinspike dejó Twitter a principios de 2013 y fundó Open Whisper Systems como un proyecto colaborativo de código abierto para el desarrollo continuo de TextSecure y RedPhone. [17] [18] [19] En ese momento, Marlinspike y Trevor Perrin comenzaron a desarrollar el Protocolo de señales , una de las primeras versiones del cual se introdujo por primera vez en la aplicación TextSecure en febrero de 2014. [20] En noviembre de 2015, Open Whisper Systems unificó las aplicaciones TextSecure y RedPhone como Signal . [21] Entre 2014 y 2016, Marlinspike trabajó con WhatsApp , Facebook y Google para integrar el Protocolo de señal en sus servicios de mensajería. [22] [23] [24]
El 21 de febrero de 2018, Marlinspike y el cofundador de WhatsApp , Brian Acton, anunciaron la formación de la Signal Foundation . [25] [1]
Investigar
Eliminación de SSL
En un documento de 2009, Marlinspike introdujo el concepto de eliminación de SSL , un ataque de intermediario en el que un atacante de red podría evitar que un navegador web se actualice a una conexión SSL de una manera que probablemente pasaría desapercibida para un usuario. También anunció el lanzamiento de una herramienta, sslstrip
, [26] que realizar automáticamente estos tipos de ataques man-in-the-middle. [27] [28] La especificación HTTP Strict Transport Security (HSTS) se desarrolló posteriormente para combatir estos ataques. [ cita requerida ]
Ataques de implementación SSL
Marlinspike ha descubierto una serie de vulnerabilidades diferentes en implementaciones populares de SSL. En particular, publicó un artículo de 2002 [29] sobre la explotación de implementaciones de SSL / TLS que no verificaban correctamente la extensión X.509 v3 "BasicConstraints" en cadenas de certificados de clave pública . Esto permitió a cualquier persona con un certificado válido firmado por una CA para cualquier nombre de dominio crear lo que parecían ser certificados válidos firmados por una CA para cualquier otro dominio. Las implementaciones vulnerables de SSL / TLS incluyeron Microsoft CryptoAPI , lo que hizo que Internet Explorer y todos los demás programas de Windows que se basaban en conexiones SSL / TLS fueran vulnerables a un ataque de intermediario. En 2011, la misma vulnerabilidad fue descubierta haber permanecido en el SSL / TLS en la aplicación de Apple Inc. 's IOS . [30] [31] También notablemente, Marlinspike presentó un artículo de 2009 [32] en el que introdujo el concepto de un ataque de prefijo nulo en certificados SSL. Reveló que todas las principales implementaciones de SSL no pudieron verificar correctamente el valor de Nombre común de un certificado, por lo que podrían ser engañados para que aceptaran certificados falsificados incrustando caracteres nulos en el campo CN. [33] [34]
Soluciones al problema de CA
En 2011, Marlinspike presentó una charla, "SSL y el futuro de la autenticidad", [35] en la conferencia de seguridad Black Hat en Las Vegas . Describió muchos de los problemas con las autoridades de certificación y anunció el lanzamiento de un proyecto de software llamado Convergence para reemplazarlos. [36] [37] En 2012, Marlinspike y Perrin enviaron un Borrador de Internet para TACK, [38] que está diseñado para proporcionar la fijación de certificados SSL y ayudar a resolver el problema de CA, al Grupo de Trabajo de Ingeniería de Internet . [39]
Rompiendo MS-CHAPv2
En 2012, Marlinspike y David Hulton presentaron una investigación que hace posible reducir la seguridad de los apretones de manos MS-CHAPv2 a un solo cifrado DES . Hulton construyó hardware capaz de descifrar el cifrado DES restante en menos de 24 horas, y los dos pusieron el hardware a disposición de cualquiera para usarlo como un servicio de Internet. [40]
Controversia de la vigilancia de la movilidad
En 2013, Marlinspike publicó correos electrónicos en su blog que, según él, eran del servicio de telecomunicaciones de Arabia Saudita, Mobily, solicitando su ayuda para vigilar a sus clientes, incluida la interceptación de comunicaciones que se ejecutan a través de varias aplicaciones. Marlinspike se negó a ayudar y, en cambio, hizo públicos los correos electrónicos. Mobily negó las acusaciones. "Nunca nos comunicamos con los piratas informáticos", dijo la empresa. [2]
De viaje
Marlinspike dice que cuando vuela dentro de los Estados Unidos no puede imprimir su propia tarjeta de embarque , debe hacer que los agentes de boletos de la aerolínea hagan una llamada telefónica para emitir una y está sujeto a una revisión secundaria en los puntos de control de seguridad de la TSA . [41]
Mientras ingresaba a los EE. UU. En un vuelo desde República Dominicana en 2010, Marlinspike fue detenido por agentes federales durante casi cinco horas, todos sus dispositivos electrónicos fueron confiscados y, al principio, los agentes afirmaron que solo los recuperaría si proporcionaba sus contraseñas. podría descifrar los datos. Marlinspike se negó a hacer esto y los dispositivos finalmente fueron devueltos, aunque señaló que ya no podía confiar en ellos, diciendo: "Podrían haber modificado el hardware o instalado un nuevo firmware de teclado". [42]
Charlas
- DEF CON 17: "Más trucos para derrotar SSL" [43]
- DEF CON 18 y Black Hat 2010: "Cambiar las amenazas a la privacidad" [44]
- DEF CON 19 y Black Hat 2011: "SSL y el futuro de la autenticidad" [45]
- DEF CON 20: "Derrotar a las VPN PPTP y WPA2 con MS-CHAPv2" [46]
- Webstock '15: "Simplificar la comunicación privada" [47]
- 36C3 : "El ecosistema se mueve" [48]
Reconocimiento
- En 2013 y 2014, la Fundación Shuttleworth proporcionó a Marlinspike un total de $ 289,487.18 en fondos para Open Whisper Systems. [49]
- En 2016, la revista Fortune nombró a Marlinspike entre sus 40 menores de 40 por ser el fundador de Open Whisper Systems y "[encriptar] las comunicaciones de más de mil millones de personas en todo el mundo". [50] Wired también nombró a Marlinspike en su "Next List 2016", como uno de los "25 genios que están creando el futuro de los negocios". [51]
- En 2017, Marlinspike y Perrin recibieron el premio Levchin de criptografía del mundo real "por el desarrollo y amplio despliegue del protocolo Signal". [52] [53]
Referencias
- ^ a b c d e f Wiener, Anna (19 de octubre de 2020). "Recuperar nuestra privacidad: Moxie Marlinspike, el fundador del servicio de mensajería cifrada de extremo a extremo Signal, está" tratando de llevar la normalidad a Internet. " " . The New Yorker . Consultado el 27 de octubre de 2020 .
- ^ a b Smith, Matt (15 de mayo de 2013). "Saudi's Mobily niega haber pedido ayuda para espiar a los clientes" . Reuters . Consultado el 21 de febrero de 2018 .
- ^ a b Rosenblum, Andrew (26 de abril de 2016). "Moxie Marlinspike hace cifrado para todos" . Ciencia popular . Bonnier Corporation . Consultado el 9 de julio de 2016 .
- ^ a b c d Greenberg, Andy (31 de julio de 2016). "Conoce a Moxie Marlinspike, el anarquista que nos lleva el cifrado a todos" . Cableado . Condé Nast . Consultado el 31 de julio de 2016 .
- ^ Greenberg, Andy (4 de octubre de 2016). "Finalmente puedes encriptar Facebook Messenger, así que hazlo" . Cableado .
- ^ Newman, Lily Hay (11 de enero de 2018). "Skype finalmente comienza a implementar el cifrado de extremo a extremo" . Cableado .
- ^ Hern, Alex (17 de octubre de 2014). "El ex jefe de seguridad de Twitter condena las fallas de privacidad de Whisper" . The Guardian . Consultado el 22 de enero de 2015 .
- ^ Messmer, Ellen (12 de octubre de 2011). "La industria de los certificados SSL puede y debe ser reemplazada" . Mundo de la red . IDG. Archivado desde el original el 1 de marzo de 2014 . Consultado el 25 de septiembre de 2016 .
- ^ "Nuevo servicio basado en la nube roba contraseñas de Wi-Fi" . PC World . Consultado el 9 de diciembre de 2013 .
- ^ "Una mejor manera de esconderse de Google" . Forbes . 25 de noviembre de 2013. Archivado desde el original el 12 de octubre de 2013 . Consultado el 9 de diciembre de 2013 .
- ^ a b c d Yadron, Danny (9 de julio de 2015). "Moxie Marlinspike: el codificador que cifró sus textos" . El Wall Street Journal . Archivado desde el original el 10 de julio de 2015 . Consultado el 27 de septiembre de 2016 .
- ^ Mills, Elinor (15 de marzo de 2011). "CNet: WhisperCore App cifra todos los datos para Android" . News.cnet.com . Consultado el 9 de diciembre de 2013 .
- ^ "Twitter adquiere sistemas de susurros de inicio de cifrado de Moxie Marlinspike" . Forbes . Consultado el 4 de octubre de 2013 .
- ^ Powers, Shawn M .; Jablonski, Michael (febrero de 2015). La verdadera guerra cibernética: la economía política de la libertad en Internet . Prensa de la Universidad de Illinois. pag. 198. ISBN 978-0-252-09710-2. JSTOR 10.5406 / j.ctt130jtjf .
- ^ Chris Aniszczyk (20 de diciembre de 2011). "Los susurros son verdaderos" . El blog de desarrolladores de Twitter . Gorjeo. Archivado desde el original el 24 de octubre de 2014 . Consultado el 22 de enero de 2015 .
- ^ "¡RedPhone ahora es de código abierto!" . Sistemas de susurros. 18 de julio de 2012. Archivado desde el original el 31 de julio de 2012 . Consultado el 22 de enero de 2015 .
- ^ Yadron, Danny (10 de julio de 2015). "Lo que hizo Moxie Marlinspike en Twitter" . Dígitos . El periodico de Wall Street. Archivado desde el original el 18 de marzo de 2016 . Consultado el 27 de septiembre de 2016 .
- ^ Andy Greenberg (29 de julio de 2014). "Su iPhone finalmente puede realizar llamadas gratuitas y cifradas" . Cableado . Consultado el 18 de enero de 2015 .
- ^ "Un nuevo hogar" . Open Whisper Systems. 21 de enero de 2013 . Consultado el 11 de julio de 2015 .
- ^ Donohue, Brian (24 de febrero de 2014). "TextSecure arroja SMS en la última versión" . Threatpost . Consultado el 14 de julio de 2016 .
- ^ Greenberg, Andy (2 de noviembre de 2015). "Signal, la aplicación de cifrado aprobada por Snowden, llega a Android" . Cableado . Condé Nast . Consultado el 24 de noviembre de 2015 .
- ^ Metz, Cade (5 de abril de 2016). "Olvídese de Apple contra el FBI: WhatsApp acaba de activar el cifrado para mil millones de personas" . Cableado . Condé Nast . Consultado el 2 de agosto de 2016 .
- ^ Greenberg, Andy (8 de julio de 2016). " ' Conversaciones secretas:' El cifrado de extremo a extremo llega a Facebook Messenger" . Cableado . Condé Nast . Consultado el 24 de septiembre de 2016 .
- ^ Greenberg, Andy (18 de mayo de 2016). "Con Allo y Duo, Google finalmente cifra las conversaciones de un extremo a otro" . Cableado . Condé Nast . Consultado el 24 de septiembre de 2016 .
- ^ Marlinspike, Moxie; Acton, Brian (21 de febrero de 2018). "Fundación de la señal" . Signal.org . Consultado el 21 de febrero de 2018 .
- ^ "sslstrip" . Thoughtcrime.org . Consultado el 9 de diciembre de 2013 .
- ^ Greenberg, Andy (18 de febrero de 2009). "Romper el candado de su navegador" . Forbes . Archivado desde el original el 27 de febrero de 2014.
- ^ Kelly Jackson Higgins 24 de febrero de 2009 (24 de febrero de 2009). "Lanzamiento de la herramienta de piratería SSLStrip" . Darkreading.com . Consultado el 9 de diciembre de 2013 .
- ^ "Vulnerabilidad de BasicConstraints" . Consultado el 9 de diciembre de 2013 .
- ^ Error de Apple iOS peor de lo anunciado /
- ^ "Lanzamiento de la herramienta de interceptación de datos de iPhone" . Scmagazine.com.au. 27 de julio de 2011. Archivado desde el original el 14 de diciembre de 2013 . Consultado el 9 de diciembre de 2013 .
- ^ "Más trucos nuevos para derrotar a SSL en la práctica" . Youtube.com. 15 de enero de 2011 . Consultado el 9 de diciembre de 2013 .
- ^ Zetter, Kim (30 de julio de 2009). "Las vulnerabilidades permiten a los atacantes hacerse pasar por cualquier sitio web" . Wired.com . Consultado el 9 de diciembre de 2013 .
- ^ Goodin, Dan (30 de julio de 2009). "El certificado comodín falsifica la autenticación web" . Theregister.co.uk . Consultado el 9 de diciembre de 2013 .
- ^ "SSL y el futuro de la autenticidad" . Youtube.com. 18 de agosto de 2011 . Consultado el 9 de diciembre de 2013 .
- ^ "Nueva alternativa SSL" . Informationweek.com. Archivado desde el original el 1 de octubre de 2011 . Consultado el 9 de diciembre de 2013 .
- ^ "¿El futuro de SSL en duda?" . Infosecurity-magazine.com. 9 de agosto de 2011 . Consultado el 9 de diciembre de 2013 .
- ^ "Aserciones de confianza para claves de certificado" . Tack.io . Consultado el 9 de diciembre de 2013 .
- ^ Goodin, Dan (23 de mayo de 2012). "Certificados falsificados de banderas de corrección de SSL" . Arstechnica.com . Consultado el 9 de diciembre de 2013 .
- ^ "Nueva herramienta de Moxie Marlinspike rompe algunas contraseñas de cifrado" . Threatpost. 19 de agosto de 2012. Archivado desde el original el 19 de agosto de 2012.CS1 maint: bot: estado de URL original desconocido ( enlace )
- ^ Mills, Elinor (18 de noviembre de 2010). "Investigador de seguridad: sigo siendo detenido por los federales" . CNET . Consultado el 19 de junio de 2019 .
- ^ Zetter, Kim (18 de noviembre de 2010). "Portátil de otro hacker, teléfonos móviles buscados en la frontera" . Wired.com . Consultado el 19 de junio de 2019 .
- ^ "DEF CON 17 - Moxie Marlinspike - Más trucos para derrotar a SSL" . YouTube . DEF CON . Consultado el 22 de enero de 2015 .
- ^ "DEF CON 18 - Moxie Marlinspike - Cambiar las amenazas a la privacidad: de TIA a Google" . YouTube . DEF CON . Consultado el 22 de enero de 2015 .
- ^ "DEF CON 19 - Moxie Marlinspike - SSL y el futuro de la autenticidad" . YouTube . DEF CON . Consultado el 22 de enero de 2015 .
- ^ "DEF CON 20 - Marlinspike Hulton y Ray - Derrotando a PPTP VPN y WPA2 Enterprise con MS-CHAPv2" . YouTube . DEF CON . Consultado el 22 de enero de 2015 .
- ^ "Webstock '15: Moxie Marlinspike - Facilitando la comunicación privada" . Vimeo . Webstock . Consultado el 22 de abril de 2015 .
- ^ "36C3 - El ecosistema se mueve" . media.ccc.de . 36C3 . Consultado el 6 de enero de 2020 .
- ^ "Moxie Marlinspike" . Fundación Shuttleworth. nd Archivado desde el original el 15 de noviembre de 2016 . Consultado el 25 de septiembre de 2016 .
- ^ "Moxie Marlinspike - 40 menores de 40" . Fortuna . Time Inc. 2016 . Consultado el 22 de septiembre de 2016 .
- ^ Staff, WIRED (26 de abril de 2016). "25 genios que están creando el futuro de los negocios" . Cableado . ISSN 1059-1028 . Consultado el 19 de marzo de 2020 .
- ^ "El premio Levchin de criptografía del mundo real" . RealWorldCrypto.
- ^ Levchin, Max (4 de enero de 2017). "Premio Levchin 2017 de criptografía del mundo real" . Yahoo! Finanzas . Consultado el 7 de febrero de 2018 .
enlaces externos
- Página web oficial