Моксі Марлінспайк

Матеріал з Вікіпедії — вільної енциклопедії.
(Перенаправлено з Moxie Marlinspike)
Перейти до навігації Перейти до пошуку
Моксі Марлінспайк
англ. Moxie Marlinspike
Moxie Marlinspike.jpg
Ім'я при народженні невідомо
Народився Штат Джорджія
Громадянство
(підданство)
Flag of the United States.svg США
Національність  США
Місце проживання Сан-Франциско, США
Діяльність
Галузь комп'ютерна безпека і Архітектура програмного забезпечення
Заклад Twitter, Inc.[d][1] і Whisper Systems[d][2]
Нагороди
Сторінка в Інтернеті moxie.org

Моксі Марлінспайк (англ. Moxie Marlinspike) — американський дослідник кібербезпеки, чиї дослідження зосереджені в першу чергу на методах перехвату зв'язку, а також методів посилення інфраструктури зв'язку проти перехоплення. Марлінспайк — колишній лідер команди безпеки в Twitter і засновник Open Whisper Systems. Він керує хмарної службою злому WPA і цільової службою анонімності під назвою GoogleSharing.

Біографія[ред. | ред. код]

Родом зі штату Джорджія, Марлінспайк переїхав в Сан-Франциско в кінці 1990-х років. Згодом він працював в декількох технічних компаніях, включаючи створення програмного забезпечення інфраструктури підприємства BEA Systems Inc. В 2004 році Марлінспайк купив занедбаний вітрильник і разом з трьома друзями відремонтував його і відплив до Багамських островів, знявши документальний фільм про їхню подорож під назвою Hold Fast.

У 2010 році Марлінспайк був головним технічним директором і співзасновником Whisper Systems. У травні 2010 року Whisper Systems запустила TextSecure і RedPhone. Це були додатки, які надавали наскрізні зашифровані SMS-повідомлення і голосові виклики, відповідно. Компанія була придбана соціальної медіа-фірмою Twitter за нерозкриту суму в кінці 2011 року. Придбання було зроблено "перш за все для того, щоб пан Марлінспайк міг допомогти тодішньому стартапу поліпшити свою безпеку". Під час свого перебування в якості голови кібербезпеки в Twitter, фірма зробила додатки Whisper Systems з відкритим програмним забезпеченням.

Марлінспайк покинув Twitter на початку 2013 року і заснував Open Whisper Systems для подальшого розвитку TextSecure і RedPhone. В цей же час Марлінспайк і Тревор Перрін почали розробку протоколу сигналу, рання версія якого була вперше представлена в додатку TextSecure в лютому 2014 року. У лютому 2015 року відкриті системи Whisper об'єднали програми TextSecure і RedPhone в додаток Signal. Між 2014 і 2016 роками Марлінспайк працював з WhatsApp, Facebook і Google, щоб інтегрувати протокол сигналу в свої служби обміну повідомленнями.

21 лютого 2018 року Марлінспайк і співзасновник WhatsApp Брайан Ектон оголосили про створення Signal Foundation.

Дослідження[ред. | ред. код]

SSL stripping[ред. | ред. код]

У 2009 році Марлінспайк представив концепцію SSL stripping, атаки "людина посередині", в якій мережевий зловмисник може запобігти оновлення веб-браузера до SSL-з'єднання тонким способом, який, ймовірно, залишиться непоміченим користувачем. Він також оголосив про випуск інструменту sslstrip, який буде автоматично виконувати ці типи атак "людина посередині". Специфікація HTTP Strict Transport Security (HSTS) була згодом розроблена для боротьби з цими атаками.

Вирішення проблем з центром сертифікації[ред. | ред. код]

У 2011 році Марлінспайк представив доповідь під назвою SSL And The Future Of Authenticity на конференції Black Hat security в Лас-Вегасі. Він оголосив про випуск програмного проекту під назвою Convergence to replace Certificate Authorities. У 2012 році Марлінспайк і Тревор Перрін представили інтернет-проект для TACK, який призначений для забезпечення закріплення сертифіката SSL і вирішення проблеми з центром сертифікації, в IETF.

Взлом MS-CHAPv2[ред. | ред. код]

У 2012 році Марлінспайк та Девід Халтон представили дослідження, яке дозволяє знизити безпеку MS-CHAPv2 до одного шифрування DES. Халтон розробив апаратне забезпечення, здатне розбити залишене шифрування DES менше за 24 години, і обидва зробили апаратне забезпечення доступним для будь-якого користувача, щоб використовувати його як інтернет-сервіс.

Подорожі[ред. | ред. код]

Марлінспайк каже, що під час польоту в межах Сполучених Штатів він не в змозі надрукувати свій власний посадковий талон, потрібно, щоб агенти з продажу авіаквитків зробити телефонний дзвінок для того, щоб видати один, і він піддається вторинній перевірки на контрольно-пропускних пунктах безпеки TSA. [ 40]

При в'їзді в США через рейс з Домініканської Республіки в 2010 році, Марлінспайк був затриманий на п'ять годин; федеральні агенти попросили його паролі, і всі його електронні пристрої були вилучені, а потім повернуті.

Виступи[ред. | ред. код]

  • DEF CON 17: "Більше трюків для перемоги над SSL"[3]
  • DEF CON 18 and Black Hat 2010: "Зміна загроз конфіденційності"[4]
  • DEF CON 19 and Black Hat 2011: "SSL та його майбутнє "[5]
  • DEF CON 20: "Перемога над PPTP VPNs і WPA2 з MS-CHAPv2"[6]
  • Webstock 15: "Спрощення приватного спілкування"[7]
  • HackIT 4.0: "The ecosystem of moving"[8]

Примітки[ред. | ред. код]