ماکسی مارلینسپایک
ماکسی مارلینسپایک | |
---|---|
نام هنگام تولد | متیو روزنفلد |
زادهٔ | اوایل دههٔ ۱۹۸۰[۱] جورجیا، ایالات متحده |
شناختهشده برای |
|
وبگاه | |
پیشینه علمی | |
شاخه(ها) | رمزنگاری امنیت رایانه معمار نرمافزارure |
ماکسی مارلینسپایک،[۲] (نام شایعه تولد: متیو روزنفلد[۳] یا مایک بنهام[۴]) یک کارآفرین، رمزنگار، و محقق در زمینهٔ امنیت رایانهٔ آمریکایی است.[۱][۲] مارلینسپایک خالق سیگنال، یکی از بنیانگذاران بنیاد فناوری سیگنال، و اولین مدیر عامل Signal Messenger LLC بوده است. او همچنین یکی از نویسندگان رمزگذاری پروتکل سیگنال است که مورد استفادهٔ سیگنال، واتساپ،[۵] فیسبوک مسنجر،[۶] و اسکایپ است.[۷]
مارلینسپایک رئیس سابق تیم امنیتی توییتر و مؤلف یک سامانهٔ احراز هویت SSL پیشنهادی به نام Convergence است.[۸] او قبلاً یک سرویس کرک دسترسی حفاظت شده به WiFi مبتنی بر ابر و یک سرویس ناشناس هدفمند به نام GoogleSharing داشت.
حرفه[ویرایش]
مارلینسپایک که در اصل اهل ایالت جورجیا بود، در اواخر دهه ۱۹۹۰ در سن ۱۸ سالگی به سانفرانسیسکو نقل مکان کرد.[۵][۱][۹] او سپس برای چندین شرکت فناوری، از جمله سازندهٔ نرمافزار زیرساختهای سازمانی BEA Systems Inc. کار کرد.[۵][۹] در سال ۲۰۰۴، مارلینسپایک یک قایق بادبانی متروکه خرید و به همراه سه دوستش، آن را بازسازی کرد و در حوالی باهاما قایقرانی کرد، در حالی که یک «ولاگ» دربارهٔ سفر خود به نام Hold Fast ساخت.[۱][۵][۹]
در سال ۲۰۱۰، مارلینسپایک مدیر ارشد فناوری و یکی از بنیانگذاران Whisper Systems، یک شرکت راهاندازی امنیت تلفن همراه سازمانی بود. در می ۲۰۱۰، Whisper Systems TextSecure و RedPhone را راهاندازی کرد. اینها برنامههایی بودند که به ترتیب پیامک رمزگذاری شده و تماس صوتی را ارائه میکردند. توییتر در اواخر سال ۲۰۱۱ شرکت را به مبلغی نامشخص تصاحب کرد. این خرید «در درجهٔ اول به این دلیل انجام شد که آقای مارلینسپایک بتواند به استارتآپ آن زمان کمک کند تا امنیت خود را بهبود بخشد».[۹] در زمان او به عنوان رئیس امنیت سایبری توییتر، این شرکت برنامههای Whisper Systems را منبع باز ساخت.[۱۰][۱۱]
مارلینسپایک در اوایل سال ۲۰۱۳ توییتر را ترک کرد و Open Whisper Systems را به عنوان یک پروژهٔ منبع باز مشترک برای توسعه مداوم TextSecure و RedPhone تأسیس کرد.[۱۲][۱۳][۱۴] در آن زمان، مارلینسپایک و Trevor Perrin شروع به توسعهٔ پروتکل سیگنال کردند، نسخه اولیه آن برای اولین بار در برنامه TextSecure در فوریه ۲۰۱۴ معرفی.[۱۵] در نوامبر ۲۰۱۵، Open Whisper Systems برنامههای TextSecure و RedPhone را به عنوان سیگنال یکسان کرد.[۱۶] بین سالهای ۲۰۱۴ تا ۲۰۱۶، مارلینسپایک با واتساپ، فیسبوک و گوگل همکاری کرد تا پروتکل سیگنال را در سرویسهای پیامرسانی خود ادغام کند.[۱۷][۱۸][۱۹]
در ۲۱ فوریه ۲۰۱۸، برایان اکتون، یکی از بنیانگذاران مارلینسپایک و واتساپ، تشکیل بنیاد فناوری سیگنال و زیرمجموعه آن، سیگنال مسنجر LLC را اعلام کرد.[۲۰][۱] مارلینسپایک تا زمانی که در ۱۰ ژانویه ۲۰۲۲ کنارهگیری کرد، به عنوان اولین مدیر عامل پیام رسان سیگنال خدمت کرد.[۲۱]
پژوهش[ویرایش]
حذف SSL[ویرایش]
در مقالهای در سال ۲۰۰۹، مارلینسپایک مفهوم SSL stripping را معرفی کرد، حملهای که در آن یک مهاجم شبکه میتواند از ارتقاء یک مرورگر وب به یک اتصال SSL به روشی جلوگیری کند که احتمالاً مورد توجه کاربر قرار نگیرد. او همچنین از انتشار ابزاری به نام sslstrip
[۲۲] خبر داد که بهطور خودکار این نوع حملات انسان در میان را انجام میدهد.[۲۳][۲۴] مشخصاتHTTP Strict Transport Security (HSTS) متعاقباً برای مبارزه با این حملات توسعه یافت.[نیازمند منبع]
حملات پیادهسازی SSL[ویرایش]
مارلینسپایک تعدادی آسیبپذیری مختلف را در پیادهسازیهای SSL محبوب کشف کرده است. قابل ذکر است، او مقاله ای در سال ۲۰۰۲[۲۵] در مورد بهرهبرداری از پیادهسازیهای SSL/TLS منتشر کرد که به درستی پسوند X.509 v3 "BasicConstraints" را در زنجیرههای گواهی کلید عمومی تأیید نکرد. این به هر کسی که یک گواهی معتبر امضا شده با CA برای هر نام دامنه ای داشته باشد، اجازه میدهد تا گواهینامههای معتبر امضا شده با CA را برای هر دامنه دیگری ایجاد کند. پیادهسازیهای آسیبپذیر SSL/TLS شامل Microsoft CryptoAPI میشد که اینترنت اکسپلورر و سایر نرمافزارهای ویندوز را که بر اتصالات SSL/TLS متکی بودند، در برابر حمله مرد میانی آسیبپذیر میکرد. در سال ۲۰۱۱، همان آسیبپذیری کشف شد که در اجرای SSL/TLS در iOS شرکت اپل باقی مانده است.[۲۶][۲۷] همچنین، مارلینسپایک مقالهای در سال ۲۰۰۹ ارائه کرد[۲۸] که در آن مفهوم حمله با پیشوند تهی به گواهیهای SSL را معرفی کرد. او فاش کرد که همه پیادهسازیهای اصلی SSL نتوانستند به درستی مقدار Common Name یک گواهی را تأیید کنند، به طوری که میتوان آنها را فریب داد تا گواهیهای جعلی را با جاسازی کاراکترهای تهی در فیلد CN بپذیرند.[۲۹][۳۰]
راه حلهایی برای مشکل مرجع صدور گواهی[ویرایش]
در سال ۲۰۱۱، مارلینسپایک در کنفرانس امنیتی کلاه سیاه در لاس وگاس سخنرانی با عنوان «SSL و آینده اصالت»[۳۱] ارائه کرد. او بسیاری از مشکلات مربوط به مراجع صدور گواهی را بیان کرد و از عرضه یک پروژه نرمافزاری به نام Convergence برای جایگزینی آنها خبر داد.[۳۲][۳۳] در سال ۲۰۱۲، مارلینسپایک و پرین یک پیش نویس اینترنتی برای TACK,[۳۴] که برای ارائه پین کردن گواهینامه SSL و کمک به حل مشکل CA طراحی شده بود، به کارگروه مهندسی اینترنت ارائه کردند.[۳۵]
کرک کردن MS-CHAPv2[ویرایش]
در سال ۲۰۱۲، مارلینسپایک و David Hulton تحقیقاتی را ارائه کردند که امکان کاهش امنیت دست دادن MS-CHAPv2 را به یک رمزگذاری DES فراهم میکند. هالتن سختافزاری ساخت که قادر بود رمزگذاری باقیمانده DES را در کمتر از ۲۴ ساعت شکست دهد و این دو سختافزار را در دسترس همگان قرار دادند تا به عنوان یک سرویس اینترنتی از آن استفاده کنند.[۳۶]
جنجال نظارت Mobily[ویرایش]
در سال ۲۰۱۳، مارلینسپایک ایمیلهایی را در وبلاگ خود منتشر کرد که ادعا میکرد از طرف سرویس مخابراتی عربستان سعودی Mobily است و از او برای نظارت بر مشتریانشان، از جمله رهگیری ارتباطاتی که از طریق برنامههای کاربردی مختلف انجام میشود، کمک میخواست. مارلینسپایک از کمک خودداری کرد و در عوض ایمیلها را عمومی کرد. موبیلی این اتهامات را رد کرد. این شرکت گفت: «ما هرگز با هکرها ارتباط برقرار نمیکنیم.»[۳]
مسافرت کردن[ویرایش]
مارلینسپایک میگوید زمانی که در داخل ایالات متحده پرواز میکند، نمیتواند کارت پرواز خود را چاپ کند، برای صدور آن باید از نمایندگان فروش بلیط هواپیما تماس تلفنی برقرار کند و در پستهای بازرسی امنیتی TSA تحت غربالگری ثانویه قرار میگیرد.[۳۷]
مارلینسپایک در حالی که در سال ۲۰۱۰ با یک پرواز از جمهوری دومینیکن وارد ایالات متحده میشد، توسط مأموران فدرال به مدت نزدیک به پنج ساعت بازداشت شد، تمام دستگاههای الکترونیکی او مصادره شد و در ابتدا مأموران ادعا کردند که او تنها در صورتی آنها را پس میگیرد که رمز عبور خود را ارائه دهد تا آنها بتوانند پسوردهای خود را ارائه دهند. میتواند دادهها را رمزگشایی کند. مارلینسپایک از انجام این کار امتناع کرد و دستگاهها در نهایت بازگردانده شدند، اگرچه او خاطرنشان کرد که دیگر نمیتواند به آنها اعتماد کند، و گفت: «آنها میتوانستند سختافزار را اصلاح کنند یا سیستم عامل صفحهکلید جدیدی را نصب کنند».[۳۸]
سخنرانیها[ویرایش]
- DEF CON 17: "ترفندهای بیشتر برای شکست دادن SSL"
- DEF CON 18 و Black Hat 2010: "تغییر تهدیدات به حریم خصوصی"
- DEF CON 19 و Black Hat 2011: "SSL و آینده اصالت"
- DEF CON 20: "شکست PPTP VPN و WPA2 با MS-CHAPv2"
- Webstock '15: "ساده کردن ارتباطات خصوصی"
- 36C3: "اکوسیستم در حال حرکت است"
به رسمیت شناخته شدن[ویرایش]
- در سالهای ۲۰۱۳ و ۲۰۱۴، بنیاد شاتلورث مجموعاً ۲۸۹٬۴۸۷٫۱۸ دلار به مارلینسپایک برای Open Whisper Systems کمک مالی کرد.[۳۹]
- در سال ۲۰۱۶، مجله فورچون مارلینسپایک را در میان ۴۰ نفر زیر ۴۰ سال خود به دلیل مؤسس Open Whisper Systems و «[رمزگذاری] ارتباطات بیش از یک میلیارد نفر در سراسر جهان» معرفی کرد.[۴۰] Wired همچنین مارلینسپایک را به عنوان یکی از ۲۵ نابغه ای که آینده کسب و کار را خلق میکنند، به "لیست بعدی ۲۰۱۶" خود معرفی کرد.[۴۱]
- در سال ۲۰۱۷، مارلینسپایک و پرین جایزه Levchin را برای رمزنگاری دنیای واقعی «برای توسعه و استقرار گسترده پروتکل سیگنال» دریافت کردند.[۴۲][۴۳]
منابع[ویرایش]
- ↑ ۱٫۰ ۱٫۱ ۱٫۲ ۱٫۳ ۱٫۴ Wiener, Anna (19 October 2020). "Taking Back Our Privacy: Moxie Marlinspike, the founder of the end-to-end encrypted messaging service Signal, is "trying to bring normality to the Internet."". The New Yorker. Retrieved 27 October 2020.
- ↑ ۲٫۰ ۲٫۱ Rosenblum, Andrew (26 April 2016). "Moxie Marlinspike Makes Encryption for Everyone". Popular Science. Bonnier Corporation. Retrieved 9 July 2016.
- ↑ ۳٫۰ ۳٫۱ Smith, Matt (15 May 2013). "Saudi's Mobily denies asking for help to spy on customers". Reuters. Retrieved 21 February 2018.
- ↑ https://businesssearch.sos.ca.gov/Document/RetrievePDF?Id=201215710007-22872499
- ↑ ۵٫۰ ۵٫۱ ۵٫۲ ۵٫۳ Greenberg, Andy (31 July 2016). "Meet Moxie Marlinspike, the Anarchist Bringing Encryption to All of Us". Wired. Condé Nast. Retrieved 31 July 2016.
- ↑ Greenberg, Andy (4 October 2016). "You can finally encrypt Facebook Messenger, so do it". Wired.
- ↑ Newman, Lily Hay (11 January 2018). "Skype Finally Starts Rolling Out End-to-End Encryption". Wired.
- ↑ Messmer, Ellen (12 October 2011). "The SSL certificate industry can and should be replaced". Network World. IDG. Archived from the original on 1 March 2014. Retrieved 25 September 2016.
- ↑ ۹٫۰ ۹٫۱ ۹٫۲ ۹٫۳ Yadron, Danny (9 July 2015). "Moxie Marlinspike: The Coder Who Encrypted Your Texts". The Wall Street Journal. Archived from the original on 10 July 2015. Retrieved 27 September 2016.
- ↑ Chris Aniszczyk (20 December 2011). "The Whispers Are True". The Twitter Developer Blog. Twitter. Archived from the original on 24 October 2014. Retrieved 22 January 2015.
- ↑ "RedPhone is now Open Source!". Whisper Systems. 18 July 2012. Archived from the original on 31 July 2012. Retrieved 22 January 2015.
- ↑ Yadron, Danny (10 July 2015). "What Moxie Marlinspike Did at Twitter". Digits. The Wall Street Journal. Archived from the original on 18 March 2016. Retrieved 27 September 2016.
- ↑ Andy Greenberg (29 July 2014). "Your iPhone Can Finally Make Free, Encrypted Calls". Wired. Retrieved 18 January 2015.
- ↑ "A New Home". Open Whisper Systems. 21 January 2013. Retrieved 11 July 2015.
- ↑ Donohue, Brian (24 February 2014). "TextSecure Sheds SMS in Latest Version". Threatpost. Retrieved 14 July 2016.
- ↑ Greenberg, Andy (2 November 2015). "Signal, the Snowden-Approved Crypto App, Comes to Android". Wired. Condé Nast. Retrieved 24 November 2015.
- ↑ Metz, Cade (5 April 2016). "Forget Apple vs. the FBI: WhatsApp Just Switched on Encryption for a Billion People". Wired. Condé Nast. Retrieved 2 August 2016.
- ↑ Greenberg, Andy (8 July 2016). "'Secret Conversations:' End-to-End Encryption Comes to Facebook Messenger". Wired. Condé Nast. Retrieved 24 September 2016.
- ↑ Greenberg, Andy (18 May 2016). "With Allo and Duo, Google Finally Encrypts Conversations End-to-End". Wired. Condé Nast. Retrieved 24 September 2016.
- ↑ Marlinspike, Moxie; Acton, Brian (21 February 2018). "Signal Foundation". Signal.org. Retrieved 21 February 2018.
- ↑ Marlinspike, Moxie (10 January 2022). "New year, new CEO". signal.org. Signal Messenger. Retrieved 10 January 2022.
- ↑ "sslstrip". Thoughtcrime.org. Retrieved 2013-12-09.[پیوند مرده]
- ↑ Greenberg, Andy (18 February 2009). "Breaking Your Browser's Padlock". Forbes. Archived from the original on 27 February 2014.
- ↑ Kelly Jackson Higgins February 24, 2009 (2009-02-24). "SSLStrip Hacking Tool Released". Darkreading.com. Archived from the original on 15 December 2013. Retrieved 2013-12-09.
- ↑ "BasicConstraints Vulnerability". Retrieved 2013-12-09.[پیوند مرده]
- ↑ Apple iOS Bug Worse Than Advertised[پیوند مرده]/
- ↑ "iPhone data interception tool released". Scmagazine.com.au. 2011-07-27. Archived from the original on 2013-12-14. Retrieved 2013-12-09.
- ↑ "More New Tricks For Defeating SSL In Practice". Youtube.com. 2011-01-15. Archived from the original on 23 February 2022. Retrieved 2013-12-09.
{{cite web}}
: نگهداری یادکرد:ربات:وضعیت نامعلوم پیوند اصلی (link) - ↑ Zetter, Kim (2009-07-30). "Vulnerabilities Allow Attackers To Impersonate Any Website". Wired.com. Retrieved 2013-12-09.
- ↑ Goodin, Dan (2009-07-30). "Wildcard certificate spoofs web authentication". Theregister.co.uk. Retrieved 2013-12-09.
- ↑ "SSL And The Future Of Authenticity". Youtube.com. 2011-08-18. Archived from the original on 24 February 2022. Retrieved 2013-12-09.
{{cite web}}
: نگهداری یادکرد:ربات:وضعیت نامعلوم پیوند اصلی (link) - ↑ "New SSL Alternative". Informationweek.com. Archived from the original on 2011-10-01. Retrieved 2013-12-09.
- ↑ "Future of SSL in doubt?". Infosecurity-magazine.com. 2011-08-09. Retrieved 2013-12-09.
- ↑ "Trust Assertions For Certificate Keys". Tack.io. Retrieved 2013-12-09.
- ↑ Goodin, Dan (2012-05-23). "SSL fix flags forged certificates". Arstechnica.com. Retrieved 2013-12-09.
- ↑ "New Tool From Moxie Marlinspike Cracks Some Crypto Passwords". threatpost. 19 August 2012. Archived from the original on 19 August 2012.
- ↑ Mills, Elinor (2010-11-18). "Security researcher: I keep getting detained by feds". CNET. Retrieved 2019-06-19.
- ↑ Zetter, Kim (2010-11-18). "Another Hacker's Laptop, Cellphones Searched At Border". Wired.com. Retrieved 2019-06-19.
- ↑ "Moxie Marlinspike". Shuttleworth Foundation. n.d. Archived from the original on 15 November 2016. Retrieved 25 September 2016.
- ↑ "Moxie Marlinspike - 40 under 40". Fortune. Time Inc. 2016. Archived from the original on 18 August 2017. Retrieved 22 September 2016.
- ↑ Staff, WIRED (2016-04-26). "25 Geniuses Who Are Creating the Future of Business". Wired. ISSN 1059-1028. Retrieved 2020-03-19.
- ↑ "The Levchin Prize for Real World Cryptography". RealWorldCrypto.
- ↑ Levchin, Max (4 January 2017). "2017 Levchin Prize for Real World Cryptography". Yahoo! Finance. Retrieved 7 February 2018.