Punta de marlín Moxie

empresario americano

Matthew Rosenfeld , más conocido por el seudónimo de Moxie Marlinspike , es un empresario , criptógrafo e investigador de seguridad informática estadounidense. ^{[1] [3]} Marlinspike es el creador de Signal , cofundador de Signal Technology Foundation y se desempeñó como el primer director ejecutivo de Signal Messenger LLC . También es coautor del cifrado Signal Protocol utilizado por Signal, WhatsApp , ^[4] Google Messages , ^[5] Facebook Messenger , ^[6] y Skype . ^[7]

Marlinspike es un ex jefe del equipo de seguridad de Twitter ^[8] y el autor de una propuesta de reemplazo del sistema de autenticación SSL llamada Convergence . ^[9] Anteriormente mantuvo un servicio de descifrado de WPA basado en la nube ^[10] y un servicio de anonimato específico llamado GoogleSharing. ^[11]

Carrera

Marlinspike comenzó su carrera trabajando para varias empresas de tecnología, incluido el fabricante de software de infraestructura empresarial BEA Systems Inc. [ ^{4] [12]}

En 2010, Marlinspike fue el director de tecnología y cofundador de Whisper Systems , ^[13] una empresa emergente de seguridad móvil empresarial. En mayo de 2010, Whisper Systems lanzó TextSecure y RedPhone . Se trataba de aplicaciones que proporcionaban mensajería SMS cifrada de extremo a extremo y llamadas de voz, respectivamente. Twitter adquirió la empresa por una cantidad no revelada a finales de 2011. ^[14] La adquisición se realizó "principalmente para que el Sr. Marlinspike pudiera ayudar a la entonces startup a mejorar su seguridad". ^[12] Durante su tiempo como jefe de ciberseguridad de Twitter, ^[15] la firma hizo que las aplicaciones de Whisper Systems fueran de código abierto . ^{[16] [17]}

Marlinspike dejó Twitter a principios de 2013 y fundó Open Whisper Systems como un proyecto colaborativo de código abierto para el desarrollo continuo de TextSecure y RedPhone. ^{[18] [19] [20]} En ese momento, Marlinspike y Trevor Perrin comenzaron a desarrollar el Protocolo Signal , una versión temprana del cual se introdujo por primera vez en la aplicación TextSecure en febrero de 2014. ^[21] En noviembre de 2015, Open Whisper Systems unificó las aplicaciones TextSecure y RedPhone como Signal . ^[22] Entre 2014 y 2016, Marlinspike trabajó con WhatsApp , Facebook y Google para integrar el Protocolo Signal en sus servicios de mensajería. ^{[23] [24] [25]}

El 21 de febrero de 2018, Marlinspike y el cofundador de WhatsApp, Brian Acton, anunciaron la formación de Signal Technology Foundation y su subsidiaria, Signal Messenger LLC. ^{[26] [1]} Marlinspike se desempeñó como el primer director ejecutivo de Signal Messenger hasta que renunció el 10 de enero de 2022. ^[27]

Investigación

Eliminación de SSL

En un artículo de 2009, Marlinspike introdujo el concepto de eliminación de SSL , un ataque de intermediario en el que un atacante de red podría impedir que un navegador web se actualice a una conexión SSL de una manera que probablemente pasaría desapercibida para un usuario. También anunció el lanzamiento de una herramienta, sslstrip, que realizaría automáticamente este tipo de ataques de intermediario. ^{[28] [29]} Posteriormente se desarrolló la especificación HTTP Strict Transport Security (HSTS) para combatir estos ataques. ^[30]

Ataques de implementación de SSL

Marlinspike ha descubierto una serie de vulnerabilidades diferentes en las implementaciones SSL más populares. Cabe destacar que publicó un artículo en 2002 sobre la explotación de las implementaciones SSL/TLS que no verificaban correctamente la extensión X.509 v3 "BasicConstraints" en las cadenas de certificados de clave pública . Esto permitía que cualquiera con un certificado válido firmado por una CA para cualquier nombre de dominio creara lo que parecían ser certificados válidos firmados por una CA para cualquier otro dominio. Las implementaciones SSL/TLS vulnerables incluían Microsoft CryptoAPI , lo que hacía que Internet Explorer y todo el resto del software de Windows que dependía de conexiones SSL/TLS fueran vulnerables a un ataque de intermediario. En 2011, se descubrió que la misma vulnerabilidad permanecía en la implementación SSL/TLS en iOS de Apple Inc. [ ^{31] [32]} También cabe destacar que Marlinspike presentó un artículo en 2009 en el que introdujo el concepto de un ataque de prefijo nulo en los certificados SSL. Reveló que todas las principales implementaciones de SSL no lograban verificar correctamente el valor del nombre común de un certificado, por lo que podían ser engañadas para aceptar certificados falsificados al incrustar caracteres nulos en el campo CN. ^{[33] [34]}

Soluciones al problema de CA

En 2011, Marlinspike presentó una charla, "SSL y el futuro de la autenticidad", ^[35] en la conferencia de seguridad Black Hat en Las Vegas . Describió muchos de los problemas con las autoridades de certificación y anunció el lanzamiento de un proyecto de software llamado Convergence para reemplazarlas. ^{[36] [37]} En 2012, Marlinspike y Perrin presentaron un borrador de Internet para TACK, ^[38] que está diseñado para proporcionar fijación de certificados SSL y ayudar a resolver el problema de las CA, al Grupo de trabajo de ingeniería de Internet . ^[39]

Descifrado de MS-CHAPv2

En 2012, Marlinspike y David Hulton presentaron una investigación que permite reducir la seguridad de los protocolos de enlace MS-CHAPv2 a un único cifrado DES . Hulton construyó un hardware capaz de descifrar el cifrado DES restante en menos de 24 horas y los dos pusieron el hardware a disposición de cualquiera para que lo use como un servicio de Internet. ^[40]

La controversia sobre la vigilancia móvil

En 2013, Marlinspike publicó en su blog mensajes de correo electrónico que, según él, provenían del servicio de telecomunicaciones saudí Mobily, en el que se le solicitaba ayuda para vigilar a sus clientes, incluida la interceptación de comunicaciones a través de varias aplicaciones. Marlinspike se negó a ayudar y, en su lugar, hizo públicos los mensajes de correo electrónico. Mobily negó las acusaciones. "Nunca nos comunicamos con piratas informáticos", afirmó la empresa. ^[41]

De viaje

Marlinspike dice que cuando vuela dentro de los Estados Unidos no puede imprimir su propia tarjeta de embarque , debe hacer una llamada telefónica a los agentes de venta de billetes de las aerolíneas para poder emitirla y está sujeto a una revisión secundaria en los controles de seguridad de la TSA . ^[42]

En 2010, cuando entró en Estados Unidos en un vuelo procedente de la República Dominicana, Marlinspike fue detenido por agentes federales durante casi cinco horas, todos sus dispositivos electrónicos fueron confiscados y, en un primer momento, los agentes afirmaron que sólo los recuperaría si proporcionaba sus contraseñas para que pudieran descifrar los datos. Marlinspike se negó a hacerlo y los dispositivos finalmente le fueron devueltos, aunque señaló que ya no podía confiar en ellos, diciendo que "podrían haber modificado el hardware o instalado un nuevo firmware en el teclado". ^[43]

Reconocimiento

• En 2016, la revista Fortune nombró a Marlinspike entre sus 40 menores de 40 años por ser el fundador de Open Whisper Systems y "[encriptar] las comunicaciones de más de mil millones de personas en todo el mundo". ^[44] Wired también lo incluyó en su "Next List 2016", como uno de los "25 genios que están creando el futuro de los negocios". ^[45]
• En 2017, Marlinspike y Perrin recibieron el Premio Levchin de Criptografía del Mundo Real "por el desarrollo y la amplia implementación del protocolo Signal". ^{[46] [47]}

Vida personal

Originariamente del estado de Georgia , ^[4] Marlinspike se mudó a San Francisco a fines de la década de 1990 a los 18 años . ^{[1] [12]} El nombre Moxie Marlinspike es un nombre falso derivado en parte de un apodo de la infancia. ^{[1] [4]}

Marlinspike es un entusiasta de la navegación y un maestro marinero . ^{[4] [48]} En 2004, compró un velero abandonado y, con tres amigos, lo restauró y navegó por las Bahamas mientras hacía un " videozine " sobre su viaje llamado Hold Fast . ^{[1] [4] [12]} También es anarquista , ^[4] y varios de sus ensayos y discursos se publican en el sitio web The Anarchist Library , incluidos "An Anarchist Critique of Democracy" ^[49] y "The Promise of Defeat". ^[50]

Referencias

1. Wiener, Anna (19 de octubre de 2020). «Recuperando nuestra privacidad: Moxie Marlinspike, fundador del servicio de mensajería cifrada de extremo a extremo Signal, está «tratando de devolver la normalidad a Internet»». The New Yorker . Archivado desde el original el 5 de marzo de 2021. Consultado el 27 de octubre de 2020 .
2. "Moxie Marlinspike abandona la aplicación de mensajería cifrada Signal". BBC News . 11 de enero de 2022 . Consultado el 7 de julio de 2024 .
3. Rosenblum, Andrew (26 de abril de 2016). «Moxie Marlinspike hace que el cifrado sea accesible para todos». Popular Science . Bonnier Corporation . Consultado el 9 de julio de 2016 .
4. Greenberg, Andy (31 de julio de 2016). «Conoce a Moxie Marlinspike, el anarquista que nos trae el cifrado a todos». Wired . Condé Nast. Archivado desde el original el 25 de enero de 2021 . Consultado el 31 de julio de 2016 .
5. Amadeo, Ron (16 de junio de 2021). «Google habilita el cifrado de extremo a extremo para la aplicación SMS/RCS predeterminada de Android». Ars Technica . Consultado el 3 de marzo de 2022 .
6. Greenberg, Andy (4 de octubre de 2016). "Por fin puedes cifrar Facebook Messenger, así que hazlo". Wired .
7. Newman, Lily Hay (11 de enero de 2018). "Skype finalmente comienza a implementar el cifrado de extremo a extremo". Wired .
8. Hern, Alex (17 de octubre de 2014). «El ex jefe de seguridad de Twitter condena las fallas de privacidad de Whisper». The Guardian . Consultado el 22 de enero de 2015 .
9. Messmer, Ellen (12 de octubre de 2011). «La industria de los certificados SSL puede y debe ser reemplazada». Network World . IDG. Archivado desde el original el 1 de marzo de 2014 . Consultado el 25 de septiembre de 2016 .
10. "Nuevo servicio basado en la nube roba contraseñas de Wi-Fi". PC World. Archivado desde el original el 20 de abril de 2012. Consultado el 9 de diciembre de 2013 .
11. "Una mejor manera de esconderse de Google". Forbes . 25 de noviembre de 2013. Archivado desde el original el 12 de octubre de 2013 . Consultado el 9 de diciembre de 2013 .
12. Yadron, Danny (9 de julio de 2015). «Moxie Marlinspike: el codificador que encriptó tus textos». The Wall Street Journal . Archivado desde el original el 10 de julio de 2015. Consultado el 27 de septiembre de 2016 .
13. Mills, Elinor (15 de marzo de 2011). "CNet: la aplicación WhisperCore encripta todos los datos de Android". News.cnet.com . Consultado el 9 de diciembre de 2013 .
14. "Twitter adquiere Whisper Systems, la startup de cifrado de Moxie Marlinspike". Forbes . Consultado el 4 de octubre de 2013 .
15. Powers, Shawn M.; Jablonski, Michael (febrero de 2015). La verdadera guerra cibernética: la economía política de la libertad en Internet . University of Illinois Press. pág. 198. ISBN 978-0-252-09710-2.JSTOR  10.5406/j.ctt130jtjf .
16. Chris Aniszczyk (20 de diciembre de 2011). "Los susurros son ciertos". El blog de desarrolladores de Twitter . Twitter. Archivado desde el original el 24 de octubre de 2014. Consultado el 22 de enero de 2015 .
17. "¡RedPhone ahora es de código abierto!". Whisper Systems. 18 de julio de 2012. Archivado desde el original el 31 de julio de 2012. Consultado el 22 de enero de 2015 .
18. Yadron, Danny (10 de julio de 2015). "What Moxie Marlinspike Did at Twitter". Digits . The Wall Street Journal. Archivado desde el original el 18 de marzo de 2016 . Consultado el 27 de septiembre de 2016 .
19. Andy Greenberg (29 de julio de 2014). "Tu iPhone finalmente puede hacer llamadas gratuitas y encriptadas". Wired . Consultado el 18 de enero de 2015 .
20. "Un nuevo hogar". Open Whisper Systems. 21 de enero de 2013. Consultado el 11 de julio de 2015 .
21. Donohue, Brian (24 de febrero de 2014). "TextSecure elimina los SMS en la última versión". Threatpost . Consultado el 14 de julio de 2016 .
22. Greenberg, Andy (2 de noviembre de 2015). «Signal, la aplicación de cifrado aprobada por Snowden, llega a Android». Wired . Condé Nast . Consultado el 24 de noviembre de 2015 .
23. Metz, Cade (5 de abril de 2016). «Olvídense de Apple contra el FBI: WhatsApp acaba de activar el cifrado para mil millones de personas». Wired . Condé Nast . Consultado el 2 de agosto de 2016 .
24. Greenberg, Andy (8 de julio de 2016). «'Conversaciones secretas': el cifrado de extremo a extremo llega a Facebook Messenger». Wired . Condé Nast . Consultado el 24 de septiembre de 2016 .
25. Greenberg, Andy (18 de mayo de 2016). «Con Allo y Duo, Google finalmente cifra las conversaciones de extremo a extremo». Wired . Condé Nast . Consultado el 24 de septiembre de 2016 .
26. Marlinspike, Moxie; Acton, Brian (21 de febrero de 2018). «Signal Foundation». Signal.org . Consultado el 21 de febrero de 2018 .
27. Marlinspike, Moxie (10 de enero de 2022). «Año nuevo, nuevo director ejecutivo». signal.org . Signal Messenger . Consultado el 10 de enero de 2022 .
28. Greenberg, Andy (18 de febrero de 2009). "Cómo romper el candado de su navegador". Forbes . Archivado desde el original el 27 de febrero de 2014.
29. Kelly Jackson Higgins 24 de febrero de 2009 (24 de febrero de 2009). "Se lanza la herramienta de piratería SSLStrip". Darkreading.com . Consultado el 9 de diciembre de 2013 .{{cite web}}: CS1 maint: nombres numéricos: lista de autores ( enlace )
30. Bramwell, Phil (2018). Pruebas de penetración prácticas en Windows: aproveche las herramientas de depuración de Kali Linux, PowerShell y Windows para realizar pruebas y análisis de seguridad. Packt Publishing. pág. 96. ISBN 978-1-78829-509-3.
31. Error de Apple iOS peor de lo anunciado/
32. "Se lanza herramienta de interceptación de datos de iPhone". Scmagazine.com.au. 27 de julio de 2011. Archivado desde el original el 14 de diciembre de 2013. Consultado el 9 de diciembre de 2013 .
33. Zetter, Kim (30 de julio de 2009). "Vulnerabilidades permiten a los atacantes hacerse pasar por cualquier sitio web". Wired.com . Consultado el 9 de diciembre de 2013 .
34. Goodin, Dan (30 de julio de 2009). "Un certificado comodín falsifica la autenticación web". Theregister.co.uk . Consultado el 9 de diciembre de 2013 .
35. "SSL y el futuro de la autenticidad". Youtube.com. 18 de agosto de 2011. Archivado desde el original el 21 de diciembre de 2021. Consultado el 9 de diciembre de 2013 .
36. "Nueva alternativa a SSL". Informationweek.com. Archivado desde el original el 1 de octubre de 2011. Consultado el 9 de diciembre de 2013 .
37. "¿El futuro de SSL en duda?". Infosecurity-magazine.com. 9 de agosto de 2011. Consultado el 9 de diciembre de 2013 .
38. "Afirmaciones de confianza para claves de certificado". Tack.io. Consultado el 9 de diciembre de 2013 .
39. Goodin, Dan (23 de mayo de 2012). "La corrección de SSL detecta certificados falsificados". Arstechnica.com . Consultado el 9 de diciembre de 2013 .
40. "Nueva herramienta de Moxie Marlinspike descifra algunas contraseñas criptográficas". threatpost. 19 de agosto de 2012. Archivado desde el original el 19 de agosto de 2012.{{cite web}}: CS1 maint: bot: estado de URL original desconocido ( enlace )
41. Smith, Matt (15 de mayo de 2013). "Mobily, la empresa saudí, niega haber pedido ayuda para espiar a sus clientes". Reuters . Consultado el 21 de febrero de 2018 .
42. Mills, Elinor (18 de noviembre de 2010). "Investigadora de seguridad: los federales me siguen deteniendo". CNET . Consultado el 19 de junio de 2019 .
43. Zetter, Kim (18 de noviembre de 2010). "Otra computadora portátil de un hacker y teléfonos celulares registrados en la frontera". Wired.com . Consultado el 8 de noviembre de 2024 .
44. "Moxie Marlinspike - 40 under 40". Fortune . Time Inc. 2016. Archivado desde el original el 18 de agosto de 2017 . Consultado el 22 de septiembre de 2016 .
45. WIRED Staff (26 de abril de 2016). «25 genios que están creando el futuro de los negocios». Wired . ISSN  1059-1028 . Consultado el 19 de marzo de 2020 .
46. "El premio Levchin de criptografía del mundo real". RealWorldCrypto.
47. Levchin, Max (4 de enero de 2017). «Premio Levchin 2017 de criptografía del mundo real». Yahoo! Finance . Consultado el 7 de febrero de 2018 .
48. "Moxie Marlinspike >> Acerca de" . Consultado el 22 de noviembre de 2022 .
49. Marlinspike, Moxie; Hart, Windy (21 de junio de 2012). "Una crítica anarquista de la democracia". La Biblioteca Anarquista . Consultado el 22 de noviembre de 2022 .
50. Marlinspike, Moxie (4 de agosto de 2020). "La promesa de la derrota". La Biblioteca Anarquista . Consultado el 22 de noviembre de 2022 .

Enlaces externos

• Sitio web oficial