Moxie Marlinspike

Matthew Rosenfeld, cunoscut sub numele de Moxie Marlinspike, este un antreprenor american, criptograf și cercetător în domeniul securității informatice. Marlinspike este creatorul Signal, co-fondator al Signal Foundation, iar în prezent lucrează ca Director Executiv la Signal Messenger. El este, de asemenea, coautor al criptării Protocolul Signal utilizat de Signal, WhatsApp, Facebook Messenger, și Skype, responsabil pentru cea mai mare implementare a criptării end-to-end pentru consumatori.

Marlinspike este un fost șef al echipei de securitate de la Twitter și autorul unei propuneri de înlocuire a sistemului de autentificare SSL numită Convergență. El a menținut anterior un serviciu de cracare WPA bazat pe cloud și un serviciu de anonimat vizat numit GoogleSharing.

Biografie

Originar din statul Georgia, Marlinspike s-a mutat la San Francisco la sfârșitul anilor 1990. El a lucrat apoi pentru mai multe companii de tehnologie, inclusiv producătorul de software pentru infrastructură pentru întreprinderi BEA Systems Inc. În 2004, Marlinspike a cumpărat o barcă cu pânze abandonată și, împreună cu trei prieteni, a renovat-o și a navigat în jurul Bahamas-ului în timp ce făcea un documentar despre călătoria lor numită Hold Fast.

În 2010, Marlinspike a fost director de tehnologie și co-fondator al Whisper Systems, o companie de pornire de securitate mobilă pentru întreprinderi. În mai 2010, Whisper Systems a lansat TextSecure și RedPhone. Acestea erau aplicații care furnizau mesagerie SMS criptată end-to-end și, respectiv, apeluri vocale. Compania a fost achiziționată de firma de social-media Twitter pentru o sumă secretă la sfârșitul anului 2011. Achiziția a fost făcută „în primul rând pentru ca domnul Marlinspike să poată ajuta startup-ul de atunci să-și îmbunătățească securitatea”. În perioada în care a fost șef al departamentului de securitate cibernetică la Twitter, firma a făcut aplicațiile Whisper Systems open source.

Marlinspike a părăsit Twitter la începutul anului 2013 și a fondat Open Whisper Systems ca un proiect open source colaborativ pentru dezvoltarea continuă a TextSecure și RedPhone. La acea vreme, Marlinspike și Trevor Perrin au început să dezvolte Protocolul Signal, a cărui versiune timpurie a fost introdusă pentru prima dată în aplicația TextSecure în februarie 2014.
În noiembrie 2015, Open Whisper Systems a unificat aplicațiile TextSecure și RedPhone ca Signal. Între 2014 și 2016, Marlinspike a colaborat cu WhatsApp, Facebook și Google pentru a integra Protocolul Signal în serviciile lor de mesagerie.

Pe 21 februarie 2018, Marlinspike și co-fondatorul WhatsApp, Brian Acton, au anunțat formarea Fundației Signal.

Cercetare

Separare SSL

Într-o lucrare din 2009, Marlinspike a introdus conceptul de separare SSL, un atac man-in-the-middle în care un atacator de rețea ar putea împiedica un browser web să facă upgrade la o conexiune SSL într-un mod subtil care ar trece probabil neobservat de un utilizator. El a anunțat, de asemenea, lansarea unui instrument, sslstrip, care va efectua automat aceste tipuri de atacuri man-in-the-middle. Specificația HTTP Strict Transport Security (HSTS) a fost dezvoltată ulterior pentru a combate aceste atacuri.

Atacuri de implementare SSL

Marlinspike a descoperit o serie de vulnerabilități diferite în implementările SSL populare. În special, Marlinspike a publicat o lucrare din 2002 privind exploatarea implementărilor SSL/TLS care nu au verificat corect extensia X.509 v3 „BasicConstraints” în lanțurile de certificate public key. Acest lucru a permis oricui cu un certificat semnat CA valid pentru orice nume de domeniu de a crea ceea ce părea a fi certificate CA valid semnate pentru orice alt domeniu. Implementările SSL/TLS vulnerabile au inclus Microsoft CryptoAPI, făcând Internet Explorer și toate celelalte software-uri Windows care se bazau pe conexiuni SSL/TLS vulnerabile la un atac man-in-the-middle. În 2011, s-a descoperit că aceeași vulnerabilitate a rămas prezentă în implementarea SSL/TLS pe iOS-ul Apple Inc.

De asemenea, Marlinspike a prezentat o lucrare din 2009, în care a introdus conceptul de atac null-prefix asupra certificatelor SSL. El a dezvăluit că toate implementările SSL majore nu au reușit să verifice corect valoarea numelui comun a unui certificat, astfel încât acestea ar putea fi păcălite în acceptarea certificatelor falsificate prin încorporarea caracterelor nule în câmpul CN.

Soluții la problema CA

În 2011, Marlinspike a prezentat un discurs intitulat SSL And The Future Of Authenticity la conferința de securitate Black Hat din Las Vegas. El a subliniat multe dintre problemele actuale cu autoritățile de certificare și a anunțat lansarea unui proiect software numit Convergence pentru a înlocui autoritățile de certificare. În 2012, Marlinspike și Trevor Perrin au prezentat un proiect de internet pentru TACK, care este conceput pentru a oferi fixarea certificatului SSL și pentru a ajuta la rezolvarea problemei CA, la Internet Engineering Task Force.

Cracarea MS-CHAPv2

În 2012, Marlinspike și David Hulton au prezentat cercetări care fac posibilă reducerea securității strângerilor de mână MS-CHAPv2 la o singură criptare DES. Hulton a construit hardware capabil să spargă criptarea DES rămasă în mai puțin de 24 de ore, iar cei doi au pus hardware-ul la dispoziția tuturor pentru a fi utilizat ca serviciu de Internet.

Călătorii

Marlinspike spune că atunci când zboară în Statele Unite, el nu este în măsură să-și printeze propriul permis de îmbarcare, este obligat să ceară agențiilor de bilete de avion să dea un apel telefonic, în scopul de a emite unul, și este supus la screening-ul secundar la punctele de control de securitate TSA.

În timp ce intra în Statele Unite cu zbor din Republica Dominicană în 2010, Marlinspike a fost reținut de agenții federali timp de aproape cinci ore, toate dispozitivele sale electronice au fost confiscate, iar la început agenții au susținut că le va primi înapoi doar dacă le va furniza parolele pentru a putea decripta datele. Marlinspike a refuzat să facă acest lucru, iar dispozitivele au fost în cele din urmă returnate, deși a menționat că nu mai poate avea încredere în ele, spunând: „Ar fi putut modifica hardware-ul sau instala un nou firmware de tastatură”.

Discursuri

• DEF CON 17: „Mai multe trucuri pentru înfrângerea SSL”
• DEF CON 18 și Black Hat 2010: „Schimbarea amenințărilor la adresa vieții private”
• DEF CON 19 și Black Hat 2011: „SSL și viitorul autenticității”
• DEF CON 20: „Înfrângerea VPN-urilor PPTP și WPA2 cu MS-CHAPv2”
• Webstock ’15: „Simplificarea comunicării private”
• 36C3: „Ecosistemul se mișcă”

Recunoaștere

• În 2013 și 2014, Fundația Shuttleworth i-a oferit lui Marlinspike un total de 289.487,18 USD finanțare pentru Open Whisper Systems.
• În 2016, revista Fortune l-a numit pe Marlinspike printre cei 40 sub 40 de ani pentru că a fost fondatorul Open Whisper Systems și „criptarea comunicațiilor a peste un miliard de oameni din întreaga lume”. Wired l-a numit, de asemenea, pe Marlinspike în „Lista următoare 2016”, ca fiind unul dintre „cele 25 de genii care creează viitorul afacerilor”.
• În 2017, Moxie Marlinspike împreună cu Trevor Perrin au primit Premiul Levchin pentru criptografie în lumea reală „pentru dezvoltarea și implementarea pe scară largă a protocolului Signal”.