باحث في الأمن المعلوماتي يروي لمصراوي أهم الثغرات التي اكتشفها في مواقع عالمية

كتب - أحمد عبد العزيز:

إبراهيم حجازي.. يعمل في مجال أمن المعلومات منذ 8 أعوام، تخصص في مجال اختبار الاختراق للمواقع والشبكات، استطاع اكتشاف 4 ثغرات في مواقع مختلفة تابعة لشركة ''ياهو''، وقامت الشركة بطرح اسمه علي قائمة أفضل الباحثين الأمنين لثلاث شهور متتالية، كما اكتشف ثغرات في مواقع عالمية.

يرى أن التكنولوجيا هي المستقبل، وأن من يحب هذا المجال ويبدع فيه، سيجد فرص عمل بسرعة، يوجه نصائح للشباب الذين يريدون دخول هذا المجال ويحكي لمصراوي أبرز الثغرات التي قام باكتشافها مؤخرا.

فى البداية أريد منك نبذة عنك؟

أعمل في مجال أمن المعلومات منذ ٨ سنوات تقريباً، مُتخصص في مجال اختبار الاختراق للمواقع والشبكات وبفضل الله تاريخ طويل من الثغرات بأكثر من أربعين ثغرة في Yahoo و11 ثغرة في Barracuda و7 في Google و 5 في Microsoft و 25 في Magento & Paypal و تويتر و فيسبوك.

كم عدد الثغرات التي اكتشفتها حتى الآن؟

ليس لدي إحصائية معينة، لأنني أقوم بالبحث واكتشاف الثغرات منذ سنوات لذا لا أذكر الرقم بالتحديد.

ما أهم الثغرات الخطيرة التي اكتشفتها؟

في الواقع ليست ثغرة واحدة لكنها عدة ثغرات أذكر منها علي سبيل المثال ﻻ الحصر، 4 ثغرات من نوع Remote Code Execution في مواقع مختلفة تابعة لشركة الياهو، وقد تمكنت من خلال هذه الثغرة بالتحكم الكامل في هذه المواقع التابعة لياهو، وبالطبع قمت بإبلاغهم عن الثغرة وقاموا بترقيعها وطُرِحَ إسمي علي قائمة أفضل الباحثين الأمنين لثلاث شهور متتالية.

وغيرها أيضا ثغرة في موقع Twitter قريبة لنفس الثغرة التي شرحتها بالأعلى ومثلها في موقع تابع لشركة Paypal.

كيف يتم مكافأتك من المواقع ؟

المواقع التي تدعو الباحثين الأمنين لاكتشاف ثغرات لديها فيما يسمي بـ Bug Bounty Programs ﻻ تتبع نفس الأسلوب في المكافآت، هناك مواقع تكافئ مادياً، وهناك مواقع تكافئ بطرح اسمك وشكرك علي موقعهم وهنا مواقع تعطيك شهادات شكر وغير ذلك من أنواع المكافآت.

وبالنسبة إلى ثغرة Paypal الجديدة كيف قُمت بإكتشافها ؟

أقوم بالبحث من حين لآخر عن الثغرات في المواقع العالمية مثل ال Paypal و Google وياهو وغيرها, وقمت باكتشاف ثغرة في موقع Paypal من نوع Stored XSS والثغرة تصيب أهم المواقع التابعة لشركة Paypal وهو موقع الدفع الآمن الخاص بالشركة أو ما يسمي Securepayments.paypal.com ، حيث تمكنني الثغرة في التعديل في محتوي هذا الموقع وبدل من أن يقوم مستخدمي شركة الـ Paypal بإدخال بياناتهم الخاصة كأرقام بطاقات الائتمان وغير ذلك إلي موقع ال Paypal فإنهم دون سابق معرفة يرسلونها إلي المخترقين.

هذه الثغرة كما تم تصنيفها من خلال موقع شركة Sophos و TheHackerNews وحتي Paypal أنفسهم كانت عالية الخطورة بسبب الموقع المصاب وليس بسبب نوعية الثغرة نفسها.

كيف تعامل معاك موقع Paypal بعدما قدمت لهم الثغرة؟

بالطبع هم يرحبون بمثل هذه التقارير التي يتم إرسالها لهم لإبلاغهم بوجود ثغرات في موقعهم، لأنك بهذه الطريقة تساعدهم علي حماية مستخدميهم، لكن الغريب هذه المرة أنهم تأخروا في ترقيع هذه الثغرة برغم خطورتها فقد استغرق الأمر شهرين حتي يقوموا بترقيعها، وتم توجيه الشكر لي وطرح اسمي علي حائط الشرف للباحثين الأمنيين لديهم.

ما هي أهم الأدوات التي تستخدمها في اكتشاف الثغرات؟

أهم الأدوات التي أستخدمها هي Proxy tools مثل BurpSuite و ZAP وأدوات أخرى من برمجتي تساعدنى في الـ Automatic scanning.

هل قُمت باكتشاف ثغرات في مواقع مصرية مهمة ؟

نعم.. أكثر من مرة.

وكيف يتعاملون معك؟

دائما أجد ترحيبا علي عكس المتوقع وهم متعاونون جدا في إنهم يوصلوا شركتهم لمستوي حماية أعلي

هل تمّ مكافأتك من مصر؟

كل الباحثين الأمنين في مصر تم مكافئتهم من خلال قانون الجريمة الإلكترونية الذى صدر مؤخراً.

ما هو هدفك في الحياة ؟

''السؤال ده بيفكرني بكل Interview بحضره لما بيسألوني شايف نفسك فين بعد خمس سنين، بالنسبة لإجابتي فطموحي أن يكون عندي شركتي الخاصة بأمن المعلومات، والتي تقوم بتطوير وبرمجة برامج وأدوات خاصة بأمن المعلومات وليست شركة تستورد وتبيع ما صنعه الأخرين''.

ما هي نصيحتك لمن يُريد دخول مجال الأمن المعلوماتي؟

''إعمل الحاجة اللي بتحبها، متخليش حد يحبطك أبداً لأن الناجح دايماً بيواجه بالإحباط، ودائما اتخذ صديق يعينك علي تحقيق حلمك، وتأكد أن التكنولوجيا هي المستقبل وإن أي أحد في مجال التكنولوجيا بيلاقي شغل بسرعة فمتتركش المجال أبدا''.