Moxie Marlinspike

empresario americano

Moxie Marlinspike es un empresario , criptógrafo e investigador de seguridad informática estadounidense. ^{[1] [2]} Marlinspike es el creador de Signal , cofundador de Signal Technology Foundation y fue el primer director ejecutivo de Signal Messenger LLC . También es coautor del cifrado Signal Protocol utilizado por Signal, WhatsApp , ^[3] Google Messages , ^[4] Facebook Messenger , ^[5] y Skype . ^[6]

Marlinspike es ex jefe del equipo de seguridad de Twitter ^[7] y autor de una propuesta de reemplazo del sistema de autenticación SSL llamado Convergence . ^[8] Anteriormente mantuvo un servicio de descifrado WPA basado en la nube ^[9] y un servicio de anonimato dirigido llamado GoogleSharing. ^[10]

Carrera

Marlinspike comenzó su carrera trabajando para varias empresas de tecnología, incluido el fabricante de software de infraestructura empresarial BEA Systems Inc. ^{[3] [11]}

En 2010, Marlinspike fue director de tecnología y cofundador de Whisper Systems , ^[12] una empresa emergente de seguridad móvil empresarial. En mayo de 2010, Whisper Systems lanzó TextSecure y RedPhone . Se trataba de aplicaciones que proporcionaban mensajes SMS cifrados de extremo a extremo y llamadas de voz, respectivamente. Twitter adquirió la empresa por un monto no revelado a finales de 2011. ^[13] La adquisición se realizó "principalmente para que el Sr. Marlinspike pudiera ayudar a la entonces startup a mejorar su seguridad". ^[11] Durante su tiempo como jefe de ciberseguridad de Twitter, ^[14] la empresa hizo que las aplicaciones de Whisper Systems fueran de código abierto . ^{[15] [16]}

Marlinspike dejó Twitter a principios de 2013 y fundó Open Whisper Systems como un proyecto colaborativo de código abierto para el desarrollo continuo de TextSecure y RedPhone. ^{[17] [18] [19]} En ese momento, Marlinspike y Trevor Perrin comenzaron a desarrollar Signal Protocol , una de las primeras versiones del cual se introdujo por primera vez en la aplicación TextSecure en febrero de 2014. ^[20] En noviembre de 2015, Open Whisper Systems unificó las aplicaciones TextSecure y RedPhone como Signal . ^[21] Entre 2014 y 2016, Marlinspike trabajó con WhatsApp , Facebook y Google para integrar el protocolo Signal en sus servicios de mensajería. ^{[22] [23] [24]}

El 21 de febrero de 2018, Marlinspike y el cofundador de WhatsApp , Brian Acton, anunciaron la formación de Signal Technology Foundation y su subsidiaria, Signal Messenger LLC. ^{[25] [1]} Marlinspike fue el primer director ejecutivo de Signal Messenger hasta que dimitió el 10 de enero de 2022. ^[26]

Investigación

Eliminación de SSL

En un artículo de 2009, Marlinspike introdujo el concepto de eliminación de SSL , un ataque de intermediario en el que un atacante de red podría evitar que un navegador web se actualice a una conexión SSL de una manera que probablemente pasaría desapercibida para un usuario. También anunció el lanzamiento de una herramienta sslstripque realizaría automáticamente este tipo de ataques de intermediario. ^{[27] [28]} La especificación HTTP Strict Transport Security (HSTS) se desarrolló posteriormente para combatir estos ataques. ^[29]

Ataques de implementación SSL

Marlinspike ha descubierto varias vulnerabilidades diferentes en implementaciones SSL populares. En particular, publicó un artículo de 2002 sobre la explotación de implementaciones SSL/TLS que no verificaban correctamente la extensión "BasicConstraints" X.509 v3 en cadenas de certificados de clave pública . Esto permitió que cualquier persona con un certificado válido firmado por una CA para cualquier nombre de dominio creara lo que parecían ser certificados válidos firmados por una CA para cualquier otro dominio. Las implementaciones SSL/TLS vulnerables incluían Microsoft CryptoAPI , lo que hacía que Internet Explorer y todos los demás software de Windows que dependían de conexiones SSL/TLS fueran vulnerables a un ataque de intermediario. En 2011, se descubrió que la misma vulnerabilidad permanecía en la implementación SSL/TLS en iOS de Apple Inc. ^{[30] [31]} También en particular, Marlinspike presentó un artículo de 2009 en el que introdujo el concepto de un ataque de prefijo nulo en certificados SSL. Reveló que todas las principales implementaciones de SSL no lograron verificar adecuadamente el valor de Nombre común de un certificado, por lo que podrían ser engañados para que aceptaran certificados falsificados incrustando caracteres nulos en el campo CN. ^{[32] [33]}

Soluciones al problema de CA

En 2011, Marlinspike presentó una charla, "SSL y el futuro de la autenticidad", ^[34] en la conferencia de seguridad Black Hat en Las Vegas . Describió muchos de los problemas con las autoridades certificadoras y anunció el lanzamiento de un proyecto de software llamado Convergencia para reemplazarlos. ^{[35] [36]} En 2012, Marlinspike y Perrin presentaron un borrador de Internet para TACK, ^[37] que está diseñado para proporcionar fijación de certificados SSL y ayudar a resolver el problema de CA, al Grupo de Trabajo de Ingeniería de Internet . ^[38]

Descifrando MS-CHAPv2

En 2012, Marlinspike y David Hulton presentaron una investigación que permite reducir la seguridad de los protocolos de enlace MS-CHAPv2 a un único cifrado DES . Hulton construyó hardware capaz de descifrar el cifrado DES restante en menos de 24 horas, y los dos pusieron el hardware a disposición de cualquiera para utilizarlo como servicio de Internet. ^[39]

Controversia de vigilancia móvil

En 2013, Marlinspike publicó correos electrónicos en su blog que, según él, eran del servicio de telecomunicaciones de Arabia Saudita Mobily solicitando su ayuda para vigilar a sus clientes, incluida la interceptación de comunicaciones que se ejecutan a través de varias aplicaciones. Marlinspike se negó a ayudar y, en cambio, hizo públicos los correos electrónicos. Mobility negó las acusaciones. "Nunca nos comunicamos con los piratas informáticos", afirmó la empresa. ^[40]

De viaje

Marlinspike dice que cuando vuela dentro de los Estados Unidos no puede imprimir su propia tarjeta de embarque , debe hacer que los agentes de venta de boletos de la aerolínea hagan una llamada telefónica para emitir una y está sujeto a un control secundario en los puntos de control de seguridad de la TSA . ^[41]

Mientras ingresaba a los EE. UU. en un vuelo desde la República Dominicana en 2010, Marlinspike fue detenido por agentes federales durante casi cinco horas, todos sus dispositivos electrónicos fueron confiscados y al principio los agentes afirmaron que solo los recuperaría si proporcionaba sus contraseñas para que pudieran podría descifrar los datos. Marlinspike se negó a hacer esto y los dispositivos finalmente fueron devueltos, aunque señaló que ya no podía confiar en ellos y dijo: "Podrían haber modificado el hardware o instalado un nuevo firmware de teclado". ^[42]

Reconocimiento

• En 2016, la revista Fortune nombró a Marlinspike entre sus 40 menores de 40 años por ser el fundador de Open Whisper Systems y "[cifrar] las comunicaciones de más de mil millones de personas en todo el mundo". ^[43] Wired también lo nombró en su "Próxima Lista 2016", como uno de los "25 genios que están creando el futuro de los negocios". ^[44]
• En 2017, Marlinspike y Perrin recibieron el Premio Levchin de Criptografía del Mundo Real "por el desarrollo y amplio despliegue del protocolo Signal". ^{[45] [46]}

Vida personal

Originario del estado de Georgia , ^[3] Marlinspike se mudó a San Francisco a fines de la década de 1990 a los 18 años. ^{[1] [11]} El nombre Moxie Marlinspike es un nombre falso derivado en parte de un apodo de la infancia. ^{[1] [3]}

Marlinspike es un entusiasta de la navegación y un maestro marinero . ^{[3] [47]} En 2004, compró un velero abandonado y, con tres amigos, lo renovó y navegó por las Bahamas mientras hacía una " revista de videos " sobre su viaje llamada Hold Fast . ^{[1] [3] [11]} También es anarquista , ^[3] y varios de sus ensayos y discursos están publicados en el sitio web The Anarchist Library , entre ellos "An Anarchist Critique of Democracy" ^[48] y "The Promise of Fracaso." ^[49]

Referencias

1. Wiener, Anna (19 de octubre de 2020). "Recuperando nuestra privacidad: Moxie Marlinspike, el fundador del servicio de mensajería cifrada de extremo a extremo Signal, está" tratando de llevar la normalidad a Internet. El neoyorquino . Archivado desde el original el 5 de marzo de 2021 . Consultado el 27 de octubre de 2020 .
2. Rosenblum, Andrew (26 de abril de 2016). "Moxie Marlinspike crea cifrado para todos". Ciencia popular . Corporación Bonnier . Consultado el 9 de julio de 2016 .
3. Greenberg, Andy (31 de julio de 2016). "Conozca a Moxie Marlinspike, el anarquista que nos trae el cifrado a todos". Cableado . Conde Nast. Archivado desde el original el 25 de enero de 2021 . Consultado el 31 de julio de 2016 .
4. Amadeo, Ron (16 de junio de 2021). "Google habilita el cifrado de extremo a extremo para la aplicación SMS/RCS predeterminada de Android". Ars Técnica . Consultado el 3 de marzo de 2022 .
5. Greenberg, Andy (4 de octubre de 2016). "Finalmente puedes cifrar Facebook Messenger, así que hazlo". Cableado .
6. Newman, Lily Hay (11 de enero de 2018). "Skype finalmente comienza a implementar el cifrado de extremo a extremo". Cableado .
7. Hern, Alex (17 de octubre de 2014). "El exjefe de seguridad de Twitter condena las fallas de privacidad de Whisper". El guardián . Consultado el 22 de enero de 2015 .
8. Messmer, Ellen (12 de octubre de 2011). "La industria de los certificados SSL puede y debe ser reemplazada". Mundo de la Red . IDG. Archivado desde el original el 1 de marzo de 2014 . Consultado el 25 de septiembre de 2016 .
9. "Un nuevo servicio basado en la nube roba contraseñas de Wi-Fi". Mundo PC. Archivado desde el original el 20 de abril de 2012 . Consultado el 9 de diciembre de 2013 .
10. "Una mejor manera de esconderse de Google". Forbes . 25 de noviembre de 2013. Archivado desde el original el 12 de octubre de 2013 . Consultado el 9 de diciembre de 2013 .
11. Yadron, Danny (9 de julio de 2015). "Moxie Marlinspike: el codificador que cifró sus textos". El periodico de Wall Street . Archivado desde el original el 10 de julio de 2015 . Consultado el 27 de septiembre de 2016 .
12. Mills, Elinor (15 de marzo de 2011). "CNet: la aplicación WhisperCore cifra todos los datos para Android". Noticias.cnet.com . Consultado el 9 de diciembre de 2013 .
13. "Twitter adquiere Encryption Startup Whisper Systems de Moxie Marlinspike". Forbes . Consultado el 4 de octubre de 2013 .
14. Poderes, Shawn M.; Jablonski, Michael (febrero de 2015). La verdadera guerra cibernética: la economía política de la libertad en Internet . Prensa de la Universidad de Illinois. pag. 198.ISBN​ 978-0-252-09710-2. JSTOR  10.5406/j.ctt130jtjf.
15. Chris Aniszczyk (20 de diciembre de 2011). "Los susurros son ciertos". El blog para desarrolladores de Twitter . Gorjeo. Archivado desde el original el 24 de octubre de 2014 . Consultado el 22 de enero de 2015 .
16. "¡RedPhone ahora es de código abierto!". Sistemas de susurros. 18 de julio de 2012. Archivado desde el original el 31 de julio de 2012 . Consultado el 22 de enero de 2015 .
17. Yadron, Danny (10 de julio de 2015). "Lo que hizo Moxie Marlinspike en Twitter". Dígitos . El periodico de Wall Street. Archivado desde el original el 18 de marzo de 2016 . Consultado el 27 de septiembre de 2016 .
18. Andy Greenberg (29 de julio de 2014). "Su iPhone finalmente puede realizar llamadas cifradas y gratuitas". Cableado . Consultado el 18 de enero de 2015 .
19. "Un nuevo hogar". Sistemas de susurro abiertos. 21 de enero de 2013 . Consultado el 11 de julio de 2015 .
20. Donohue, Brian (24 de febrero de 2014). "TextSecure elimina los SMS en la última versión". Puesto de amenaza . Consultado el 14 de julio de 2016 .
21. Greenberg, Andy (2 de noviembre de 2015). "Signal, la aplicación criptográfica aprobada por Snowden, llega a Android". Cableado . Conde Nast . Consultado el 24 de noviembre de 2015 .
22. Metz, Cade (5 de abril de 2016). "Olvídese de Apple contra el FBI: WhatsApp acaba de activar el cifrado para mil millones de personas". Cableado . Conde Nast . Consultado el 2 de agosto de 2016 .
23. Greenberg, Andy (8 de julio de 2016). "'Conversaciones secretas: el cifrado de extremo a extremo llega a Facebook Messenger ". Cableado . Conde Nast . Consultado el 24 de septiembre de 2016 .
24. Greenberg, Andy (18 de mayo de 2016). "Con Allo y Duo, Google finalmente cifra las conversaciones de un extremo a otro". Cableado . Conde Nast . Consultado el 24 de septiembre de 2016 .
25. Marlinspike, Moxie; Acton, Brian (21 de febrero de 2018). "Fundación de la señal". Señal.org . Consultado el 21 de febrero de 2018 .
26. Marlinspike, Moxie (10 de enero de 2022). "Año nuevo, nuevo director general". señal.org . Mensajero de señales . Consultado el 10 de enero de 2022 .
27. Greenberg, Andy (18 de febrero de 2009). "Romper el candado de su navegador". Forbes . Archivado desde el original el 27 de febrero de 2014.
28. Kelly Jackson Higgins 24 de febrero de 2009 (24 de febrero de 2009). "Lanzamiento de la herramienta de piratería SSLStrip". Darkreading.com . Consultado el 9 de diciembre de 2013 .{{cite web}}: Mantenimiento CS1: nombres numéricos: lista de autores ( enlace )
29. Bramwell, Phil (2018). Pruebas prácticas de penetración en Windows: libere las herramientas de depuración de Kali Linux, PowerShell y Windows para pruebas y análisis de seguridad. Publicación de paquetes. pag. 96.ISBN​ 978-1-78829-509-3.
30. Error de Apple iOS peor de lo anunciado /
31. "Lanzamiento de la herramienta de interceptación de datos del iPhone". Scmagazine.com.au. 27 de julio de 2011. Archivado desde el original el 14 de diciembre de 2013 . Consultado el 9 de diciembre de 2013 .
32. Zetter, Kim (30 de julio de 2009). "Las vulnerabilidades permiten a los atacantes hacerse pasar por cualquier sitio web". Cableado.com . Consultado el 9 de diciembre de 2013 .
33. Goodin, Dan (30 de julio de 2009). "El certificado comodín falsifica la autenticación web". Theregister.co.uk . Consultado el 9 de diciembre de 2013 .
34. "SSL y el futuro de la autenticidad". Youtube.com. 18 de agosto de 2011. Archivado desde el original el 21 de diciembre de 2021 . Consultado el 9 de diciembre de 2013 .
35. "Nueva alternativa SSL". Semana de información.com. Archivado desde el original el 1 de octubre de 2011 . Consultado el 9 de diciembre de 2013 .
36. "¿El futuro de SSL está en duda?". Infosecurity-magazine.com. 9 de agosto de 2011 . Consultado el 9 de diciembre de 2013 .
37. "Afirmaciones de confianza para claves de certificado". Tack.io.​ Consultado el 9 de diciembre de 2013 .
38. Goodin, Dan (23 de mayo de 2012). "Certificados falsificados de indicadores de corrección SSL". Arstechnica.com . Consultado el 9 de diciembre de 2013 .
39. "La nueva herramienta de Moxie Marlinspike descifra algunas contraseñas criptográficas". puesto de amenaza. 19 de agosto de 2012. Archivado desde el original el 19 de agosto de 2012.{{cite web}}: Mantenimiento CS1: bot: estado de la URL original desconocido ( enlace )
40. Smith, Matt (15 de mayo de 2013). "Mobily de Arabia Saudita niega haber pedido ayuda para espiar a los clientes". Reuters . Consultado el 21 de febrero de 2018 .
41. Mills, Elinor (18 de noviembre de 2010). "Investigador de seguridad: los federales me siguen deteniendo". CNET . Consultado el 19 de junio de 2019 .
42. Zetter, Kim (18 de noviembre de 2010). "La computadora portátil de otro hacker y los teléfonos móviles registrados en la frontera". Cableado.com . Consultado el 19 de junio de 2019 .
43. "Moxie Marlinspike - 40 menores de 40". Fortuna . Time Inc. 2016. Archivado desde el original el 18 de agosto de 2017 . Consultado el 22 de septiembre de 2016 .
44. Personal de WIRED (26 de abril de 2016). "25 genios que están creando el futuro de los negocios". Cableado . ISSN  1059-1028 . Consultado el 19 de marzo de 2020 .
45. "El Premio Levchin de Criptografía del Mundo Real". Mundo realCrypto.
46. Levchin, Max (4 de enero de 2017). "Premio Levchin 2017 de criptografía del mundo real". Yahoo! Finanzas . Consultado el 7 de febrero de 2018 .
47. "Moxie Marlinspike >> Acerca de" . Consultado el 22 de noviembre de 2022 .
48. Marlinspike, Moxie; Hart, Windy (21 de junio de 2012). "Una crítica anarquista de la democracia". La Biblioteca Anarquista . Consultado el 22 de noviembre de 2022 .
49. Marlinspike, Moxie (4 de agosto de 2020). "La promesa de la derrota". La Biblioteca Anarquista . Consultado el 22 de noviembre de 2022 .

enlaces externos

• Página web oficial