Mohamed Elnouby - Mohamed Elnouby

Mohamed Elnouby
محمد عبد الباسط
Mohamed Abdelbaset Elnoby2.jpg
narozený
Mohamed A.baset Elnouby

(1988-01-01) 1. ledna 1988 (věk 32)
Qena, Egypt
Státní občanstvíMexiko
Známý jakoAnalytik bezpečnosti informací a programátor na volné noze
Pozoruhodná práce
Uvedeno v síních slávy 22 nejlepších webů
OceněníViz. níže

Mohamed Abdelbasset Elnouby (arabština: محمد عبد الباسط النوبي) Je egyptský programátor a specialista na bezpečnost informací a jeden z nejznámějších bílý klobouk Arabští hackeři.[1][2][3]

Jeho výchozím bodem byl rok 2013, kdy pronikl a objevil zranitelnost na Facebooku.[4][5] Objevil také mnoho chyb zabezpečení na mnoha webech, jako jsou: Google, Yahoo, Amazonka, Adobe a další. Byl oceněn za toto úsilí a navíc přidal své jméno k přidané hodnotě a seznamu síně slávy bezpečnostních expertů na bílý klobouk na více než 20 globálních webech.[6][7][8]

Stal se vedoucím projektu v OWASP v roce 2016[9] byl vedoucím technonogy důstojník v Google podnikatelská komunita v horním Egyptě.[10] Jako hacker bílých klobouků také pomohl mnoha známým společnostem opravit mnoho zranitelných míst ve svých systémech.[11]

První život

Narodil se v roce 1988 v Esně, Qena, Horní Egypt. Vystudoval fakultu univerzity cestovního ruchu a hotelů Elmenia. Od roku 1999 začal pracovat v oblasti programování a počítačových sítí a pracoval pro mnoho organizací, jako je S3Geeks. Spolupracoval s několika dobrovolnickými pracemi, jako je Arabizace slavného twitterového webu sociálních médií, a pracoval také jako generální moderátor arabské verze aplikace Foursquare a programátor na volné noze a hlavní technický pracovník v obchodní komunitě Google v horním Egyptě.[12]

2012

V roce 2014 nastoupil OWASP Cairo Chapter jako online koordinátor, poté se stal lídrem v OWASP pro projekt (QRLJacking) poté, co objevil QRLJacking nový útočný vektor sociálního inženýrství.[9][13]

Pozoruhodné práce

Zranitelnost společnosti Samsung 2014

V říjnu 2014 se objevily mediální zprávy o tom, že hackeři mohou používat Samsung Funkce „Najít můj mobil“ k útoku na telefony a Mohamed Elnouby zjistil, že[14] tato funkce umožňuje uživatelům vzdáleně zamknout nebo vymazat jejich telefony, pokud jsou ztraceny nebo odcizeny. Pokud je zapnutá funkce Najít můj mobil, mohou hackeři zařízení na dálku zamknout a změnit jeho odemykací kód, což ho činí zbytečným. [15][16][17]

Podle národní divize kybernetické bezpečnosti, která je součástí Americké ministerstvo pro vnitřní bezpečnost: hackeři mohou zneužít chybu v systému Samsung Find My Mobile k provedení útoků odmítnutí služby.[15]

Když data zamykacího kódu přicházejí přes síť, mobilní zařízení Samsung neověří zdroj, podle národní databáze zranitelnosti vlády USA. Díky tomu jsou telefony Samsung náchylnější k tomuto druhu vzdáleného útoku.[18]

Samsung uvedl, že situaci zkoumá.[15][19]

Únik dat OSN

V 25. září 2018 se The Spojené národy byla zasažena dvěma zatracujícími údaji o úniku dat. Vědci odhalili dvojici nedostatků, které zanechaly řadu jeho záznamů a záznamů jeho zaměstnanců přístupných hackerům online.[20]

Výzkumník bezpečnosti Kushagra Pathak zjistil, že OSN opustila nezajištěnou sadu Trello, Jira a Google dokumenty projekty vystavené na internetu. Pathak, který se specializuje na odhalování zranitelných desek a webových aplikací Trello, uvedl, že odhalené informace zahrnovaly pověření účtu a interní komunikaci a dokumenty používané zaměstnanci OSN k plánování projektů.[20]

Druhé odhalení odhalil výzkumník Mohamed Elnouby ze společnosti Seekurity a vedlo k odhalení „tisíců“ životopisů předložených uchazeči o zaměstnání. Porušení zjistil výzkumník v oblasti bezpečnosti Mohamed Baset z penetrační testovací firmy Seekurity. Výzkumník zjistil zranitelnost odhalení cesty a zranitelnost odhalení informací na webových stránkách OSN, které obsahovaly životopisy uchazečů o zaměstnání od roku 2016.[21]

Elnouby zjistil, že uchazeči hledající práci v OSN nahráli své životopisy prostřednictvím nesprávně nakonfigurované webové aplikace. Pokud budou využity, mohly chyby umožnit útočníkům získat přístup k indexu adresářů, který dokumentoval aplikace úloh provedením Man-in-the-Middle (MiTM) útoky.[22][23]

Ocenění

Byl nominován na cenu Arab CISO roku (finální užší výběr) na Arab Security Conference 2019.[24][25]

Reference

  1. ^ Wei, Wang (27. října 2014). „Chyba Samsungu„ Najít můj mobil “umožňuje hackerům vzdáleně uzamknout vaše zařízení“. Hackerské zprávy.
  2. ^ Cook, James (29. října 2014). „Hackeři používají k vyhledání telefonu Samsung funkci„ Najít můj mobil “- Business Insider“. Business Insider.
  3. ^ داود, دجى. "كيف أنقذ الهاكر المصري محمد عبدالباسط طيران" الاتحاد "؟". alaraby (v arabštině). Citováno 2019-10-24.
  4. ^ حوار - إيمان بسطاوي. ""صعيدي جيكس ".. من قرصان للمواقع إلى قائمة الشرف بـ" فيس بوك"".
  5. ^ ""الفيسبوك "يكرم مبرمجًا مصريًا لاكتشافه ثغرات في الموقع .. وتضعه في قائمة" الخبراء الأمنيين"". بوابة الأهرام.
  6. ^ Cimpanu, Catalin (4. srpna 2015). „WordPress 4.2.4 opravuje tři chyby zabezpečení XSS a jednu potenciální injekci SQL“. softpedie.
  7. ^ سيد, محمد. „حوار مع المبرمج محمد عبد الباسط الذي كافأته فيسبوك لإبلاغه عن ثغرات أمنية“. صدى التقنية.
  8. ^ البوابة العربية للأخبار التقنية. "هاكرز أخلاقيون عرب: مكافآت" فيس بوك "عادلة". الإمارات اليوم.
  9. ^ A b „Projects / QRLJacking - OWASP“. www.owasp.org. Citováno 2019-10-24.
  10. ^ "للمرة الخامسة .. شاب من الأقصر يكتشف ثغرة بالفيس بوك وينال إشادة ومكافأة الموقع العالمى .. عبد الباسط النوبى ينجح فى تعديل المنشورات الخاصة على صفحة مارك زوكربيرج .. ويدخل قائمة الخبراء الأمنيين للموقع". اليوم السابع. 2014-03-08. Citováno 2019-10-24.
  11. ^ "خبير أمن معلوماتي يكشف ثغرات بأنظمة" اتصالات مصر "تهدد المستخدمين". www.aljazeera.net (v arabštině). Citováno 2019-10-24.
  12. ^ Baianat (2019-03-24). "حوار خاص مع محمد عبد الباسط النوبي - الخبير العالمى فى الأمن السيبراني". حميدة سعيد (v arabštině). Citováno 2019-10-24.
  13. ^ Duc, Hiep Nguyen (14.11.2016). "'Bezpečnostní fobie je dobrá a zdravá věc '- rozhovor s Mohamedem A. Basetem, tvůrcem QRLJacking “. Hakin9 - IT Security Magazine. Citováno 2019-10-24.
  14. ^ Storm, Darlene (2014-10-27). „Služba Zero-day ve službě Samsung„ Najít můj mobil “umožňuje útočníkovi vzdáleně zamknout telefon“. Computerworld. Citováno 2019-10-24.
  15. ^ A b C Santus, Rex. „Hackeři mohou k útoku na telefony použít funkci Samsung Find My Mobile“. Mashable. Citováno 2019-10-24.
  16. ^ „Exploit umožňuje vzdáleným útočníkům zamknout váš telefon Samsung“. Engadget. Citováno 2019-10-24.
  17. ^ Říjen 2014, von Anja Schmoll-Trautmann am 28; Uh, 16:48 (2014-10-28). „Samsungs Ortungsdienst" Find My Mobile ": Lücke erlaubt Gerätezugriff [Aktualizovat]". CNET.de (v němčině). Citováno 2019-10-24.CS1 maint: číselné názvy: seznam autorů (odkaz)
  18. ^ Pagliery, Jose (2015-06-17). „600 milionů telefonů Samsung Galaxy vystaveno hackerům“. CNNMoney. Citováno 2019-10-24.
  19. ^ „Bezpečnostní chyba by mohla obrátit funkci Samsung Find My Mobile proti vám“. Digitální trendy - Foxnews. 2015-03-24. Citováno 2019-10-24.
  20. ^ A b v 21:29, Shaun Nichols v San Francisku 25. září 2018. „Zatímco se OSN vysmívala Trumpovi, hackeři se chlubili mizerným zabezpečením webových aplikací OSN“. www.theregister.co.uk. Citováno 2019-10-24.
  21. ^ „Hackeři infikují situace, kdy jsou pasažéři opuštěni“. Vanguardia (ve španělštině). Citováno 2019-10-24.
  22. ^ Inc, QuickSilk. "SAAS | Systémy pro správu obsahu | CMS | elektronický obchod | webové stránky | QuickSilk | Ottawa | Kanada". Quicksilk. Citováno 2019-10-24.
  23. ^ „Web WordPress United Nation veřejně zveřejňuje tisíce životopisů | Cyware Hacker News“. cyware.com. Citováno 2019-10-24.
  24. ^ „Cena arabského CISO roku 2019 - Arabská bezpečnostní konference 2019“.
  25. ^ „Třetí arabská bezpečnostní konference bude zahájena v Káhiře 22., 23. září“. Daily News Egypt. 2019-09-12. Citováno 2019-10-24.

Další čtení

externí odkazy