Мохамед Эльнуби - Mohamed Elnouby

Мохамед Эльнуби
محمد عبد الباسط
Мохамед Абдельбасет Elnoby2.jpg
Родившийся
Мохамед А. Базет Эльнуби

(1988-01-01) 1 января 1988 г. (32 года)
Кена, Египет
ГражданствоМексика
ИзвестенАналитик по информационной безопасности и программист-фрилансер
Известная работа
Внесен в залы славы 22 лучших сайтов
НаградыСмотри ниже

Мохамед Абдельбассет Эльнуби (арабский: محمد عبد الباسط النوبي) - египетский программист и специалист по информационной безопасности, и один из самых известных белая шляпа Арабские хакеры.[1][2][3]

Его отправной точкой стал 2013 год, когда он проник и обнаружил уязвимость в Facebook.[4][5] Он также обнаружил множество уязвимостей на многих сайтах, например: Google, Yahoo, Amazon, Adobe и другие. Он был удостоен чести за эти усилия, а также за добавление своего имени в список дополнительных преимуществ и залы славы экспертов по безопасности на более чем 20 мировых веб-сайтах.[6][7][8]

Он стал руководителем проекта в OWASP в 2016 г.[9] он был главным специалистом по технологиям в Google бизнес-сообщество Верхнего Египта.[10] Как хакер в белой шляпе, он также помог многим известным компаниям исправить множество уязвимостей в их системах.[11]

Первая жизнь

Он родился в 1988 г. в г. Эсна, Кена, верхний Египет. Окончил факультет туризма и гостиниц Эльмения. Он начал работать в области программирования и компьютерных сетей с 1999 года и работал во многих организациях, таких как S3Geeks. Он сотрудничал с некоторыми волонтерскими работами, такими как арабизация известного твиттера социальных сетей, а также работал генеральным модератором арабской версии приложения Foursquare, программистом-фрилансером и главным специалистом по технологиям в бизнес-сообществе Google в Верхнем Египте.[12]

2012

В 2014 году он присоединился к OWASP Каирское отделение в качестве онлайн-координатора, затем он стал руководителем проекта OWASP (QRLJacking) после того, как обнаружил QRLJacking как новый вектор атаки социальной инженерии.[9][13]

Известные работы

Уязвимость Samsung 2014 г.

В октябре 2014 года в СМИ появились сообщения о том, что хакеры могут использовать Samsung Функция «Найти мой мобильный» для атаки на телефоны, и Мохамед Эльнуби обнаружил, что[14] эта функция позволяет пользователям удаленно блокировать или стирать свои телефоны, если они потеряны или украдены. Если функция «Найти мой мобильный» включена, хакеры могут удаленно заблокировать устройство и изменить его код разблокировки, что сделает его бесполезным. [15][16][17]

По данным Управления национальной кибербезопасности, которое является частью Министерство внутренней безопасности США: хакеры могут использовать уязвимость в системе Samsung Find My Mobile для выполнения атак типа «отказ в обслуживании».[15]

Согласно Национальной базе данных уязвимостей правительства США, когда данные кода блокировки поступают по сети, мобильные устройства Samsung не проверяют источник. Это делает телефоны Samsung более уязвимыми для такого рода удаленных атак.[18]

Samsung заявила, что изучает ситуацию.[15][19]

Утечка данных Организации Объединенных Наций

В 25 сентября 2018 г. Объединенные Нации был атакован двумя ужасающими обвинениями в утечке данных. Исследователи обнаружили пару недостатков, которые сделали ряд его записей и записей его сотрудников доступными для хакеров в Интернете.[20]

Исследователь безопасности Кушагра Патхак обнаружил, что ООН оставила незащищенный набор Trello, Jira и Гугл документы проекты, доступные в Интернете. Патак, специализирующийся на обнаружении уязвимых досок Trello и веб-приложений, сказал, что раскрытая информация включала учетные данные, внутренние коммуникации и документы, используемые сотрудниками ООН для планирования проектов.[20]

Второе разоблачение было обнаружено исследователем Мохамедом Эльнуби из Seekurity и привело к раскрытию «тысяч» резюме, представленных соискателями на работу. Нарушение было обнаружено исследователем безопасности Мохамедом Базетом из фирмы Seekurity, занимающейся тестированием на проникновение. Исследователь обнаружил уязвимость раскрытия пути и уязвимость раскрытия информации на веб-сайте ООН, который содержал резюме соискателей с 2016 года.[21]

Элнуби обнаружил, что соискатели, ищущие работу в ООН, загружали свои резюме через неправильно настроенное веб-приложение. В случае эксплуатации ошибки могли позволить злоумышленникам получить доступ к индексу каталога, в котором задокументированы заявки на вакансии, путем проведения Атаки Man-in-the-Middle (MiTM).[22][23]

Награды

Он был номинирован на премию Arab CISO of the Year Award (окончательный список) на Arab Security Conference 2019.[24][25]

Рекомендации

  1. ^ Вэй, Ван (27 октября 2014 г.). «Недостаток Samsung« Найди мой мобильный »позволяет хакеру удаленно заблокировать ваше устройство». Хакерские новости.
  2. ^ Кук, Джеймс (29 октября 2014 г.). «Хакеры используют« Найди мой мобильный », чтобы стереть данные с любого телефона Samsung - Business Insider». Business Insider.
  3. ^ داود, دجى. "يف أنقذ الهاكر المصري محمد عبدالباسط طيران" الاتحاد "؟". Alaraby (по-арабски). Получено 2019-10-24.
  4. ^ حوار - إيمان بسطاوي. ""صعيدي جيكس ".. من قرصان للمواقع إلى قائمة الشرف بـ" فيس بوك"".
  5. ^ ""الفيسبوك "يكرم مبرمجًا مصريًا لاكتشافه ثغرات في الموقع .. وتضعه في قائمة" الخبراء الأمنيين"". بوابة الأهرام.
  6. ^ Чимпану, Каталин (4 августа 2015 г.). «WordPress 4.2.4 устраняет три уязвимости XSS и одно возможное внедрение SQL». софтпедия.
  7. ^ سيد, محمد. "حوار مع المبرمج محمد عبد الباسط الذي كافأته فيسبوك لإبلاغه عن ثغرات أمنية". صدى التقنية.
  8. ^ البوابة العربية للأخبار التقنية. "اكرز أخلاقيون عرب: مكافآت" فيس بوك "عادلة". الإمارات اليوم.
  9. ^ а б "Проекты / QRLJacking - OWASP". www.owasp.org. Получено 2019-10-24.
  10. ^ "للمرة الخامسة .. شاب من الأقصر يكتشف ثغرة بالفيس بوك وينال إشادة ومكافأة الموقع العالمى .. عبد الباسط النوبى ينجح فى تعديل المنشورات الخاصة على صفحة مارك زوكربيرج .. ويدخل قائمة الخبراء الأمنيين للموقع". اليوم السابع. 2014-03-08. Получено 2019-10-24.
  11. ^ "بير أمن معلوماتي يكشف ثغرات بأنظمة" اتصالات مصر "تهدد المستخدمين". www.aljazeera.net (по-арабски). Получено 2019-10-24.
  12. ^ Baianat (24.03.2019). "حوار خاص مع محمد عبد الباسط النوبي - الخبير العالمى فى الأمن السيبراني". حميدة سعيد (по-арабски). Получено 2019-10-24.
  13. ^ Дык, Хип Нгуен (14.11.2016). "'Фобия безопасности - это хорошо и здорово »- Интервью с Мохамедом А. Басетом, создателем QRLJacking». Hakin9 - Журнал ИТ-безопасности. Получено 2019-10-24.
  14. ^ Сторм, Дарлин (27.10.2014). «Нулевой день в сервисе Samsung Find My Mobile позволяет злоумышленнику удаленно заблокировать телефон». Computerworld. Получено 2019-10-24.
  15. ^ а б c Сантус, Рекс. «Хакеры могут использовать функцию Samsung Find My Mobile для атак на телефоны». Mashable. Получено 2019-10-24.
  16. ^ «Эксплойт позволяет удаленным злоумышленникам заблокировать ваш телефон Samsung». Engadget. Получено 2019-10-24.
  17. ^ Октябрь 2014 г., фон Аня Шмоль-Траутманн, 28 утра; Ур, 16:48 (28.10.2014). "Samsungs Ortungsdienst" Find My Mobile ": Lücke erlaubt Gerätezugriff [Обновление]". CNET.de (на немецком). Получено 2019-10-24.CS1 maint: числовые имена: список авторов (связь)
  18. ^ Паглиери, Хосе (2015-06-17). «600 миллионов телефонов Samsung Galaxy уязвимы для хакерских атак». CNNMoney. Получено 2019-10-24.
  19. ^ «Недостаток безопасности может настроить функцию Samsung Find My Mobile против вас». Цифровые тенденции - Foxnews. 2015-03-24. Получено 2019-10-24.
  20. ^ а б в 21:29, Шон Николс в Сан-Франциско 25 сентября 2018 г. «Пока ООН смеялась над Трампом, хакеры хихикали над ужасной безопасностью веб-приложений ООН». www.theregister.co.uk. Получено 2019-10-24.
  21. ^ "Хакеры заражают sitios de gobierno pasados ​​en Abandono". Vanguardia (на испанском). Получено 2019-10-24.
  22. ^ Inc, QuickSilk. "SAAS | Системы управления контентом | CMS | электронная торговля | веб-сайты | QuickSilk | Оттава | Канада". Quicksilk. Получено 2019-10-24.
  23. ^ "Сайт United Nation WordPress публично выставляет тысячи резюме | Новости Cyware Hacker". cyware.com. Получено 2019-10-24.
  24. ^ «Премия Arab CISO of the Year 2019 - Arab Security Conference 2019».
  25. ^ «Третья арабская конференция по безопасности стартует в Каире 22, 23 сентября». Daily News Egypt. 2019-09-12. Получено 2019-10-24.

дальнейшее чтение

внешняя ссылка