Мохамед Эльнуби
Мохамед Эльнуби | |
|---|---|
محمد عبد الباسط | |
 | |
| Рожденный | Мохамед А.Басет Эльнуби ( 1988-01-01 )1 января 1988 г. Кена, Египет |
| Гражданство | Египет |
| Известный | Аналитик по информационной безопасности и внештатный программист |
| Известная работа | Включен в залы славы 22 лучших сайтов |
| Награды | См. ниже |
Мохамед Абдельбассет Эльнуби ( араб . محمد عبد الباسط النوبي ) — египетский программист и специалист по информационной безопасности , а также один из самых известных арабских хакеров в белой шляпе . [1] [2] [3]
Его отправной точкой был 2013 год, когда он проник и обнаружил уязвимость на Facebook. [4] [5] Он также обнаружил множество уязвимостей на многих веб-сайтах, таких как: Google , Yahoo , Amazon , Adobe и других. Он был удостоен чести за эти усилия, а также за добавление своего имени в список добавленной стоимости и зала славы экспертов по безопасности на более чем 20 глобальных веб-сайтах. [6] [7] [8]
Он стал руководителем проекта в OWASP в 2016 году, [9] он был главным техническим директором в бизнес-сообществе Google в Верхнем Египте. [10] Как белый хакер, он также помог многим известным компаниям устранить множество уязвимостей в их системах. [11]
Ранний период жизни
Он родился в 1988 году в Эсне, Кена , Верхний Египет. Он окончил факультет туризма и гостиничного дела в университете Элмения. Он начал работать в области программирования и компьютерных сетей с 1999 года и работал во многих организациях, таких как S3Geeks. Он сотрудничал с некоторыми волонтерскими работами, такими как арабизация известного сайта социальных сетей Twitter, а также работал главным модератором арабской версии приложения Foursquare, внештатным программистом и главным техническим директором в бизнес-сообществе Google в Верхнем Египте. [12]
В 2014 году он присоединился к Каирскому отделению OWASP в качестве онлайн-координатора, затем стал лидером проекта OWASP (QRLJacking), когда обнаружил QRLJacking как новый вектор атаки социальной инженерии. [9] [13]
Известные работы
Уязвимость Samsung 2014
В октябре 2014 года в СМИ появились сообщения о том, что хакеры могут использовать функцию Samsung «Find My Mobile» для атак на телефоны, и Мохамед Эль-Нуби обнаружил, что [14] эта функция позволяет пользователям удаленно блокировать или стирать данные со своих телефонов, если они утеряны или украдены. Если функция «Find My Mobile» включена, хакеры могут удаленно заблокировать устройство и изменить его код разблокировки, сделав его бесполезным. [15] [16] [17]
По данным Национального отдела кибербезопасности, входящего в состав Министерства внутренней безопасности США , хакеры могут использовать уязвимость в системе Find My Mobile компании Samsung для осуществления атак типа «отказ в обслуживании». [15]
Согласно Национальной базе данных уязвимостей правительства США, когда данные о коде блокировки поступают по сети, мобильные устройства Samsung не проверяют источник. Это делает телефоны Samsung более восприимчивыми к такому виду удаленной атаки. [18]
Samsung заявила, что изучает ситуацию. [15] [19]
Утечка данных ООН
25 сентября 2018 года Организация Объединенных Наций столкнулась с двумя громкими обвинениями в утечке данных. Исследователи обнаружили пару уязвимостей, из-за которых ряд ее записей и записей ее сотрудников стали доступны хакерам в Интернете. [20]
Исследователь безопасности Кушагра Патхак обнаружил, что ООН оставила незащищенный набор проектов Trello , Jira и Google Docs открытым для доступа в Интернет. Патхак, специализирующийся на раскрытии уязвимых досок Trello и веб-приложений, сказал, что раскрытая информация включала учетные данные, а также внутренние сообщения и документы, используемые сотрудниками ООН для планирования проектов. [20]
Второе раскрытие было обнаружено исследователем Мохамедом Эльнуби из Seekurity и привело к раскрытию «тысяч» резюме, поданных соискателями работы. Нарушение было обнаружено исследователем безопасности Мохамедом Басетом из компании Seekurity, проводящей тестирование на проникновение. Исследователь обнаружил уязвимость раскрытия пути и уязвимость раскрытия информации на веб-сайте ООН, содержащем резюме соискателей работы с 2016 года. [21]
Elnouby обнаружил, что кандидаты, ищущие работу в ООН, загружали свои резюме через неправильно настроенное веб-приложение. Если бы они были использованы, ошибки могли бы позволить злоумышленникам получить доступ к индексу каталога, в котором документировались заявления о приеме на работу, проведя атаки типа «человек посередине» (MiTM) . [22] [23]
Награды
Он был номинирован на премию «Арабский директор по информационной безопасности года» (финальный шорт-лист) на Арабской конференции по безопасности 2019 года. [24] [25]
Ссылки
- ^ Вэй, Ван (27 октября 2014 г.). «Уязвимость Samsung «Найти мой мобильный» позволяет хакеру удаленно заблокировать ваше устройство». The Hacker News .
- ↑ Кук, Джеймс (29 октября 2014 г.). «Хакеры используют «Find My Mobile», чтобы стереть данные с любого телефона Samsung — Business Insider». Business Insider .
- ^ Дэн, Дэн. "Когда он был убит в фильме "Страна"". алараби (на арабском языке) . Проверено 24 октября 2019 г.
- Ссылки «"Дэвид Джонс".. В фильме "Лиллинн" в фильме "Дэвид Бэнг"".
- Ссылки Название "Старый мир"". بوابة الأهرام .
- ^ Cimpanu, Catalin (4 августа 2015 г.). «WordPress 4.2.4 устраняет три уязвимости XSS и одну потенциальную SQL-инъекцию». softpedia .
- ^ Сэнсэй, США. "Дэви был убит в 1990-х годах, когда Кейна Хейлз вернулась к работе. Даша». صدى التقنية .
- ^ Ссылки на страницы сайта. «Название фильма: фильм «Нет Сэнсэя» ». الإمارات اليوم .
- ^ ab "Проекты/QRLJacking - OWASP". www.owasp.org . Получено 24.10.2019 .
- Ссылки Он был в центре внимания. Он сказал, что его сын Стоун. Проверено 24 октября 2019 г. .
- Ссылки www.aljazeera.net (на арабском языке) . Проверено 24 октября 2019 г.
- ^ Баианат (24 марта 2019 г.). "Дэмиен сделал это в 1990-х годах - الخبير العالمى فى الأمن السيبراي". حميدة سعيد (на арабском языке) . Проверено 24 октября 2019 г.
- ^ Дюк, Хьеп Нгуен (14.11.2016). «Безопасность — это хорошая и здоровая вещь» — интервью с Мохамедом А. Басетом, создателем QRLJacking. Hakin9 — Журнал IT Security . Получено 24.10.2019 .
- ^ Storm, Darlene (27.10.2014). «Уязвимость нулевого дня в сервисе Samsung «Find My Mobile» позволяет злоумышленнику удаленно заблокировать телефон». Computerworld . Получено 24.10.2019 .
- ^ abc Сантус, Рекс. «Хакеры могут использовать функцию Samsung Find My Mobile для атак на телефоны». Mashable . Получено 24.10.2019 .
- ^ "Эксплойт позволяет удаленным злоумышленникам заблокировать ваш телефон Samsung". Engadget . Получено 24.10.2019 .
- ^ Шмолл-Траутманн, Аня (28 октября 2014 г.). «Samsungs Ortungsdienst «Find My Mobile»: Lücke erlaubt Gerätezugriff [Обновление]». CNET.de (на немецком языке) . Проверено 24 октября 2019 г.
- ^ Pagliery, Jose (2015-06-17). «600 миллионов телефонов Samsung Galaxy подверглись атакам хакеров». CNNMoney . Получено 24 октября 2019 г.
- ^ "Уязвимость безопасности может настроить функцию Samsung Find My Mobile против вас". Digital Trends - Foxnews . 2015-03-24 . Получено 2019-10-24 .
- ^ ab Nichols, Shaun. «Пока ООН смеялась над Трампом, хакеры хихикали над паршивой безопасностью веб-приложений ООН». www.theregister.co.uk . Получено 24.10.2019 .
- ^ «Хакеры заразили заброшенные дома» . Вангардия (на испанском языке) . Проверено 24 октября 2019 г.
- ^ "SAAS". Quicksilk . Получено 24.10.2019 .
- ^ "Сайт United Nation WordPress публично раскрывает тысячи резюме | Cyware Hacker News". cyware.com . Получено 24.10.2019 .
- ^ «Премия «Арабский руководитель информационной безопасности года 2019» — Арабская конференция по безопасности 2019».
- ^ "Третья арабская конференция по безопасности начнется в Каире 22, 23 сентября". Daily News Egypt . 2019-09-12 . Получено 2019-10-24 .
Дальнейшее чтение
- Люке в Samsung «Find My Mobile» - Dienst erlaubt Angreifern Gerätezugriff [Обновление]
- http://www.cnet.de/88139133/samsungs-ortungsdienst-find-mobile-luecke-erlaubt-angreifern-geraetezugriff/
Внешние ссылки
