حديث حصري مع الباحث الأمن المعلوماتى الشهير إبراهيم حجازى

حديث حصري مع الباحث الأمن المعلوماتى الشهير إبراهيم حجازى

username

حديث حصري مع الباحث الأمن المعلوماتى الشهير إبراهيم حجازى
حديث حصري مع الباحث الأمن المعلوماتى الشهير إبراهيم حجازى

إبراهيم حجازى, مصرى, يعمل فى مجال إختبار الإختراق للمواقع و يُعد من أشهر الباحثيين الأمنيين على مستوى العالم حيث تمّ تكريمه العديد من المرات من أكبر المواقع العالمية.

أظهر المقالة بالكامل

نبذة صغيرة عن حضرتك مبدئياً ؟

إسمي إبراهيم حجازي, أعمل في مجال أمن المعلومات منذ ٨ سنوات تقريباً, متخصص في مجال إختبار الإختراق للمواقع والشبكات وبفضل الله تاريخ طويل من الثغرات بأكثر من أربعين ثغرة في Yahoo و11 ثغره في Barracuda و7 في Google و 5 في Microsoft و 25 في Magento & Paypal وغيرهم تويتر والفيس بوك إلخ إلخ ...
أيضا كنت متحدثاً عن الحرب الإلكترونية في الشرق الأوسط في مؤتمر Cairo Security Camp وضيفاً في أكثر من لقاء تلفزيوني.

كم عدد الثغرات التى إكتشفتها حتى الآن ؟

ليس لدي إحصائية معينة لأنني أقوم بالبحث وإكتشاف الثغرات منذ سنوات لذا لا أذكر الرقم بالتحديد.

ما أهم الثغرات التى إكتشفتها حتى الآن ؟

ف الواقع ليست ثغرة واحدة لكنها عدة ثغرات أذكر منها علي سبيل المثال ﻻ الحصر, 4 ثغرات من نوع Remote Code Execution في مواقع مختلفة تابعة لشركة الياهو وقد تمكنت من خلال هذه الثغرة بالتحكم الكامل في هذه المواقع التابعة لياهو, وبالطبع قمت بإبلاغ شركة الياهو عن الثغرة وقاموا بترقيعها وطرح إسمي علي قائمة أفضل الباحثين الأمنين لثلاث شهور متتالية, وغيرها أيضاً ثغرة في موقع Twitter قريبة لنفس الثغرة التي شرحتها بالأعلي ومثلها في موقع تابع لشركة Paypal.

كيف يتم مكافأتك من قِبَل الشركات ؟

المواقع التي تدعوا الباحثين الأمنين لإكتشاف ثغرات لديها فيما يسمي ب Bug Bounty Programs ﻻ تتبع نفس الإسلوب في المكافآت, هناك مواقع تكافئ مادياً وهناك مواقع تكافئ بطرح إسمك وشكرك علي موقعهم و هنا مواقع تعطيك شهادات شكر وغير ذلك من أنواع المكافآت.

بالنسبة لثغرة الباى بال كيف قُمت بإكتشافها ؟

أقوم بالبحث من حين لآخر عن الثغرات في المواقع العالمية مثل الـ Paypal و Google وياهو وغيرها, وقمت بإكتشاف ثغرة في موقع Paypal من نوع Stored XSS والثغرة تصيب أهم المواقع التابعة لشركة Paypal وهو موقع الدفع الآمن الخاص بالشركة أو ما يسمي Securepayments.paypal.com حيث تمكنني الثغرة في التعديل بمحتوي هذا الموقع وبدل من أن يقوم مستخدموا شركة ال Paypal بإدخال بياناتهم الخاصة كأرقام بطاقات الإئتمان وغير ذلك إلي موقع Paypal فإنهم دون سابق معرفة يرسلونها إلي المخترقين. هذه الثغرة كما تم تصنيفها من خلال موقع شركة Sophos و TheHackerNews وحتي Paypal أنفسهم كانت عالية الخطورة بسبب الموقع المصاب وليس بسبب نوعية الثغرة نفسها.

كيف قام موقع باى بال بالتعامل معك ؟

بالطبع هم يرحبون بمثل هذه التقارير التي يتم إرسالها لهم لإبلاغهم بوجود ثغرات في موقعهم لإنك بهذه الطريقة تساعدهم علي حماية مستخدميهم, لكن الغريب هذه المره أنهم تأخروا جداً في ترقيع هذه الثغرة برغم خطورتها فقد إستغرق الأمر شهرين حتي يقوموا بترقيع الثغرة ثم شكري وطرح إسمي علي حائط الشرف للباحثين الأمنيين لديهم.

هل إكتشفت ثغرات فى مواقع مصرية مهمة ؟

نعم, أكثر من مرة !

كيف قاموا بالتعامل معك ؟

دايماً كنت بلاقي ترحيب علي عكس المتوقع ويكونوا متعاونين جداً في إنهم يوصلوا شركتهم لمستوي حماية أعلي.

هل تم مكافأتك من مصر ؟

كل الباحثين الأمنين في مصر تم مكفأتهم من مصر من خلال قانون الجريمة الإلكترونية الذى صدر مؤخراً .. لو مقرأتوش تقدر تقرأه عشان تعرف إننا تم مكفأتنا من مصر كويس جداً.

إيه أهم الأدوات اللى بتستخدمها ؟

أهم الأدوات اللي بستخدمها هي Proxy tools زي BurpSuite و ZAP و أدوات تانية من برمجتي بتساعدني في الـ Automatic scanning.

عايز توصل لإيه فى حياتك ؟

السؤال ده بيفكرني بكل Interview بحضره لما بيسألوني شايف نفسك فين بعد خمس سنين, بالنسبة لإجابتي فإن شاء الله طموحي إنه يكون عندي شركتي الخاصة بأمن المعلومات والتي تقوم بتطوير وبرمجة برامج وأدوات خاصة بأمن المعلومات وليست شركة تستورد وتبيع ما صنعه الغير.

بتنصح طلبة كلية حاسبات و معلومات بإيه ؟ و بتنصح كل شخص عايز يدخل مجال الحماية بإيه ؟

إعمل الحاجة اللي بتحبها, متخليش حد يحبطك أبداً لأن الناجح دايماً بيواجه بالإحباط, ودايماً إتخذ صديق ليك يعينك علي تحقيق حلمك. وتأكد إن التكنولوجيا هي المستقبل و إن أي حد في مجال التكنولوجيا بيلاقي شغل بسرعة فمتتركش المجال أبداً.