لم يفعل فى مصر أى نص قانونى عن كيفية التعامل مع الفئات المخربه إليكترونياً حتى الان
“الأخلاق” .. الحد الفاصل بين ” الهاكر المخرب ” وأصحاب “القبعات البيضاء”
الخبير الأمنى هو “قرصان” ولكن ذو قبعة بيضاء
“الهاكرز” خطر يهدد الأمن فى جميع الدول على حد سواء
إكتشفت ثغرتين برمجيتين في ” الفيس بوك ” وتم مكافأتي عليهما
شاركت في أعمال تطوعيه منها تعريب موقع التواصل الاجتماعى Twitter
إكتشفت ثغرات لبعض المواقع والتطبيقات ليس لدى الحق فى التحدث عنها بسبب اتفاق مسبق مع تلك الجهات
لم يطلب مني العمل مع جهات أمنية لمساعدتها في مجال الإنترنت كخبير أمني
مصر من البلدان الصاعده فى مجالات أمن المعلومات
خبير الأمن المعلوماتى هو “شرطى الإنترنت” ولا يمكن الإستغناء عن دوره
وضعته شبكة التواصل الإجتماعي “الفيس بوك” ضمن قائمة أصحاب “القبعات البيضاء White hat ” لعام 2013 لإكتشافه ثغرات بها .. محمد عبد الباسط النوبي الشهير بـ “سيمبيان” شاب مصرى تخرج في كلية السياحة والفنادق جامعة المنيا عام 2009 ،ويعتبر واحدا من الخبراء الأمنيين ذوى القبعات البيضاء في مصر .. هوايته الأساسية البرمجة ،وله بعض الأعمال التطوعيه منها المشاركه فى تعريب موقع التواصل الاجتماعى ” تويتر” وحالياً المدير التقنى ومدير الموارد البشرية فى مجتمع “جوجل” للأعمال بصعيد مصر والمشرف العام على ترجمة اللغة العربية فى تطبيق Foursquare ، السطور التالية تروي تفاصيل دخوله لعالم البرمجة والأمن المعلوماتي ورؤيته لمستقبل الإنترنت في مصر .
عن بدياته في عالم الإنترنت قال ” سيمبيان ” : “بداية شغفى بالتقنية كان منذ فترة كبيرة ، تقريباً عندما حصلت على أول جهاز كمبيوتر عام 1998 وكان أول سؤال لوالدى هو ” كيف تم تصميم وبرمجة تلك النوافذ ؟ أتمنى عمل مثلها ” ،وقمت فى البدايه بالعمل على Visual Basic for Applicationsالموجود ضمن نسخة مايكروسوفت اوفيس المكتبية”.
أضاف ” سمبيان ” أن والده عندما رأى ذلك الشغف فى داخلي، قرر عام 2000 شراء كتاب برمجى عن لغة Visual Basic 6 واهداه له فى مناسبة لا اتذكرها بشكل جيد وكانت هى شرارة البدء.
بين أن عام 1999 كان أشبه بـ “النكسة المعلوماتية” لعدم توافر محركات البحث بالشكل الفعال الموجود عليه الان ، بإستثناء بعض المحركات والتى كان أغلب الناس لا يجيدون التعامل معها، وايضا افتقار الانترنت للغة العربيه بشكل كبير ساهم ذلك فى إجادتى للغة الانجليزية فى وقت قياسى، كل شئ تم بالممارسه والتعلم الذاتى والبحث عن المعلومه والتسجيل فى المنتديات وطرح الاسئلة .
اللغات التى يتقنها تقريباً هى معظم لغات برمجة الويب ولكن تخصصه الأكبر كان لصالح اللغة الام PHP قبل أن يتحول عن برمجة الدسكتوب من خلال لغتى C++ و 6 Visual Basic اضافة الى لغات الويب الاساسية الاخرى والتى يجب توافرها مثل HTML – Javascript – بعدما اقتنع وبشكل كامل بأن المستقبل للويب والموبايل منذ عام 2004.
وعن إمكانية أن يصبح المستخدم العادي للإنترنت ” هاكر ” قال “سمبيان” : “يمكن لأى شخص أن يصبح مايشاء فى أى مجال بالتعلم الذاتى ، تحديداً الفارق مابين الهاكر المخرب “ذوى القبعات السوداء” وخبير الأمن المعلوماتى “ذوى القبعات البيضاء” هو مبدأ “الاخلاق” ولكن الخطوات تحديداً متشابهه الى حد كبير مابين الاثنين الفارق الوحيد هو إعلاء المبادئ الانسانية والقيم الخيّره عن تلك الشريرة الكامنه بداخل الانسان، تتلخص هذه الخطوات فى عدة نقاط وهى: إتقان اللغة الانجليزية ” أهم شئ في الأمر” ، تعلم مبادئ البرمجة والمفاهيم العامة والتركيز على لغة برمجة واحده والبعد عن التشتيت ، التركيز بشكل كبير على الويب والموبايل لأنهما ببساطه .
قال انه بالإضافة الى التعلم الذاتى والمثابره وإتقان مهارات البحث ، الايمان بمبدأ الـ Ethical Hacking وإعلاء القيم الانسانية الحسنة عن تلك الشريرة الدفينة إفتراضياً فى النفس البشرية.
اكد إجادة لغات برمجة الويب والقيام بتنمية المهارات البرمجية ، وانه سيساعد فى البداية لمعرفه اللغة التى تمت كتابة موقع ما بها حتى يقوم بالبحث والاستكشاف عن نقاط الضعف والابلاغ عنها ، ودراسة الشبكات ومخدمات الانترنت وانظمتها جيداً.
إتقان اللغات Ruby – Perl – Python “على الرغم انه يسمح بإستخدامهم فى انشاء Web Services and Web Application مثلهم كمثل ASP او PHP الا انهم متخصصين اكتر فى اختبار الاختراق” .
-استخدام بعض الادوات الاحترافية مثل Wireshark – Ettercap – Metasploit Mantra Browser – Fiddler.، واجادة استخدام بعض انظمة التشغيل المخصصة للإختبارات الامنية كتوزيعات Backtrack بإصداراتها من نسخة Linux .
ومحاولة حضور بعض المؤتمرات والمسابقات المهمة جدا على مستوى العالم سواء اونلاين او الحضور الفعلى والاستفاده مثل Defcon – Pown2own.
-شهادة CEH – Certified Ethical Hacking
الاهتمام بتنمية المهارت الامنيه من خلال البحث وايجاد المعلومة فى محركات البحث بطريقة اكثر تخصصية بالاعتماد على الذات.
وبناء معمل اختبار امنى وهمى للقيام ببعض التجارب على سبيل المثال بواسطة تطبيقات مخصصه لذلك منها Virtual PC – VMWare – VirtualBox.
وحول مواصفات ” الهاكرز ” من وجهة نظره أكد ” سيمبيان ” أنه شخص شديد التركيز، صبور ، شرير الى حد ما، يتقن لغات البرمجة عادة والعمل عليها بإحترافيه كبيره والعمل على مختلف انظمة التشغيل والخوادم ذات طبيعة متقلبه، شخص لا تستطيع الوثوق به حتى وان كنت مقرب منه ، على عكس الخبراء الامنيين والذين يتشابهون فى بعض النقاط التى تخص الخبره تقريبا ماعدا بعض انقاط الاخرى ككونه شرير مثلا .
اضاف : “الخبير الامنى “قرصان” ولكن ذو قبعه بيضاء وذلك للدلاله على نواياه الحسنه فى الكشف عن الاخطاء وتبليغ الجهات المختصه بها وشخص تستطيع الوثوق به ايضاً على عكس الهاكر الذى يقوم بإستغلال تلك المعلومات لصالحه او القيام ببيعها فى السوق السوداء مثلا.
وعن كيفية تنمية مهاراته في علوم البرمجة قال أن التعلم الذاتى والبحث والتنقيب والإعتماد على المصادر الاجنبية لأنها الاقوى على الاطلاق فى هذا المجال، تخصيص بعض الوقت فى اليوم لقراءة الاخبار التقنية ومتابعة كل جديد فى مجال التقنية والبرمجه والحماية والامان.
وحول التأثير الإيجابي والسلبي لخبراء أمن المعلومات في مجتمعاتهم بين أنه ليس هناك أى تأثير سلبى على الإطلاق، بالعكس الخبير الامنى هو الشخص الذى يتم وضعه على خط الدفاع ليقوم بالكشف عن الأخطاء فى أقصر وقت ممكن وتبليغ الجهات المعنيه لتقوم بإصلاح تلك الاخطاء قبل وقوعها فى الأيادى الخاطئه ويتم استغلالها استغلال سئ، فمن المحتمل ان يكون هناك موقع او تقنيه تحتوى على معلومات سياديه تابعه لدولة هذا الخبير الامنى او لا تكون تابعه لدولته بالضروره نظرا لأن الخبراء الامنيين يتحلون بالاخلاق وهذا ما يميزهم عن الهاكرز او المخترقين او المخربين فيقوم بالتبليغ عنها ليمنع حدوث اى كوارث محتمله فى المقابل يأخذ مكافأه على هذا الابلاغ نظير ما قام به من عمل نبيل.
وعن أقصى الأضرار التي يمكن أن يلحقها ” الهاكرز ” في الحاسبات وهل يعتبرون خطرا يهدد أمن الدول أشار ” سمبيان ” الى أن أقصى الاضرار بإختصار هى تحكم الهاكرز فى جهاز الضحيه بطريقه اكبر من تحكم الضحيه نفسه فى جهازه، بالطبع خطراً يهدد الامن فى جميع الدول على حد سواء ، واعتقد أنه لم يفعل فى مصر حتى الان أى نص قانونى بشكل عملى عن كيفية التعامل مع تلك الفئات المخربه إليكترونياً.
وعن قصته مع الـ ” فيسبوك ” وكيف توصل لثغرتين في الموقع خلال شهرين قال منذ سنتين أو أكثر وأنا أقوم بإرسال بعض المقترحات التطويريه لما قد اجده مفيد او ابلغ عن اى خلل اجده قد يضر تجربة المستخدم او المستخدمين، لا اقول انهم بقوموا بتطبيق تلك المقترحات او الشكاوى فى الحال ولكن من المحتمل ان اى مستخدم او مجموعه من المستخدمين مثلى شعروا بأن هناك خطأ او هناك ميزه يطلبونها ، وبناء على ذلك اخذها فيسبوك فى الاعتبار لأن هذا الاجراء او السيناريو هو المتبع من قبل فريق التطوير الخاص بالمميزات أو العيوب، اول شئ قمت بمراسلتهم عنه هو وضع صورة Cover للجروب واقتراح ضم ميزة اضافة ملفات حتى يتحول الجروب الى مساحة عمل فعليه وليس مجرد مجموعة للنقاش فقط مع بعض التحسينات مثل عملية البحث عن المنشورات داخل الجروب نفسه لصعوبة الوصول لها فيما بعد، هناك قسم خاص فى قسم مركز المساعده العامه يسمى بقسم المقترحات يستطيع أى شخص لديه خلفية إستخدام عاديه ويمتلك ميزه حقيقيه فى انه يرسلها دون اى عائق.
أما بالنسبة للعيوب والأخطاء البرمجية فالخطأ البرمجى الأول الذى اكتشفته هو أنه عندما قام شخص ما بمتابعتى على فيسبوك فقمت بالضغط على ايقونة التنبيهات ومن ثم الضغط على التنبيه الخاص بالمتابعه ليدخلنى فيسبوك الى قائمة المتابعين الخاصه بى .
هذه الثغرة من نوع URL Manipulation عن طريق التلاعب بالرابط والذى يحتوى على معلومات ومتغيرات لم يتم تغليفها بالشكل الصحيح واحد منها هو المتغير notif_ids والذي يسند له ارقام التعريف الخاصه بالملف الشخصى profile id لكل مستخدم قام بمتابعتى حسب ترتيب توقيت المتابعه بحيث يعمل كمؤشر فى ترتيب قائمة المتابعين حسب توقيت المتابعه، فقمت بتغيير واحد من الايديهات الى الرقم 4 وهو الرقم الخاص ببروفايل مؤسس فيسبوك مارك زوكربرج فوجدته ضمن القائمة “وكأنه قام بمتابعتى من قبل” ،فتمت مكافأتى على هذا الخطأ البرمجى بوضع اسمى فى لوحة الشرف الخاصه بالقراصنة ذوى القبعات البيضاء ومكافأه ماليه قدرها 500 دولار.
أيضا قمت بكشف ثغرتين اخرتين احداهما تتعلق بنشر الروابط المحجوبه من قبل فيسبوك والاخرى تتمحور حول خداع المستخدمين بواسطة المنشورات ليكون هناك اسم ورابط وصوره مختلفه للمنشور عن مضمونه ويمكن استغلال ذلك فى توجية المستخدمين العاديين الى مواقع الاصطياد Phishing وسرقة حساباتهم الشخصيه وتمت مكافأتى ايضا على هذه الثغره ب 1500 دولار .
بعيداً عن فيسبوك قمت أيضاً بالكشف عن ثغرات أخرى فى بعض المواقع والتطبيقات على مستوى الويب والدسكتوب وللأسف ليس لدى الحق فى التحدث عنها بسبب اتفاق مسبق مع تلك الجهات.
وحول ما إذا كان إكتشافه لثغرتين أمنيتين في فترة قصيرة في موقع فيسبوك بأن هناك خللا ما في تأمين فيسبوك أجاب بنعم ، فلا يوجد هناك شئ كامل فالكمال لله وحده ، ومن ضمن قناعاتى أن كل مشروع مهما توصل لتقنيات كبيره جداً فهناك دوماً خلل ما او شئ يمكن تخطيه واختراقه، وموقع بحجم فيسبوك يتوسع دوما ويقوم بتحديث واضافة مميزات جديده دوريا ، وأن فى كل تلك المميزات يوجد باب ما يجعلنى قادراً على التلاعب بها او استغلالها، ولكن المغزى الاكبر هى سرعه الاستجابه لتلك البلاغات والتقارير وإن تأخرت استجابتهم.
وعن الجوائز والتكريمات التي حصل عليها قال حصلت فى 2007 على المركز الاول على مستوى الجمهوريه فى مسابقة المبرمج الصغير بالتعاون مع شركة مايكروسوفت مصر ، وفى 2013 حصلت على المركز الاول فى المسابقة العالميه Startup Weekend لعام 2013 وهي عبارة عن مسابقة للمشاريع التقنية تقام كل فتره في محافظة معينه بمحافظات مصر يسمي باسمها حيث أقيم هذا العام في محافظة أسيوط وكان اسم المشروع الخاص به Spotivty والذي كان عبارة عن شبكة اجتماعيه للأماكن وتجمعات الأصدقاء ، وفى 2013 حصلت على شهادة Advanced Power Searching with Google من شركة جوجل من خلال الانترنت.
وفى 2013 حصل على شهادة Google Analytics Fundamentals من شركة جوجل من خلال الانترنت.
وفى 2013 ايضاً قام بإكتشاف الثغرات البرمجية فى فيسبوك وقام الفيسبوك بمكافأتى ماليا ووضع اسمى فى قائمة الخبراء الامنيين ذوى القبعات البيضاء Whitehat وهذه القائمة ضمت أيضا 11 شخص عربى على مستوى العالم ، منهم 6 فى مصر وهذا شئ يدعو للفخر وهم:محمد رمضان ومحمد عبدالباسط ومحمد نصار وعبدالرحيم خالد ومحمد فايز البنا ورامي عمر .
وحول ما اذا كان قد طلب منه العمل مع جهات أمنية لمساعدتها في مجال الإنترنت كخبير أمني أكد أنه لم يحدث ذلك.
وعن رؤيته لمستقبل الإنترنت في مصر قال حتى الان اراه مستقبل غير واضح المعالم فى ظل بنيه تحتيه غير سليمه او مستقره بالمره للأسف ، فتقدم الدول الان يعتمد بشكل كلى على الانترنت، على سبيل المثال لا الحصر يتحدث العالم الان عن الجيل الخامس فى سرعة شبكات الانترنت عبر المحمول ونحن لم نستطع حتى الوصول الى نصف سرعات الجيل الثالث وإن طبقناه بالفعل.
وحدد ” سمبيان ” الصعوبات والتحديات التي تقف أمام تطوير مهاراته في البنية التحتيه للإنترنت، واللغة الانجليزيه ، فأى شخص لدية إتصال جيد بالإنترنت وجهاز كمبيوتر يستطيع فعل أى شئ ، نظرا للإنفتاح المعلوماتى الان ومدى توافر جميع مصادر التعلم فى مختلف المجالات واخيراً لا توجد اى صعوبات إلا “انت” فأنت من يصنع الاعذار والصعوبات، مستقبلك هو ما تحدده انت.
وحول أكثر الدول إنفاقا في مجال تأمين المعلومات على الانترنت قال عالمياً الولايات المتحده الامريكية، روسيا، المانيا، الصين ، فرنسا وايران، وعربياً الامارات تتصدر البلدان العربيه يليها قطر .
وعن أكثر البلدان عرضة للإختراقات بين أن هناك دول كثيرة ابرزها الدول الناميه التى لا تستطيع انفاق المال الكافى فى هذا المجال كحال جميع بلدان القاره الافريقية وبعض البلدان التى تتبع القارات الاخرى .
وحول موقع مصر من الدول الاكثر عرضة للإختراقات قال ” سمبيان ” للأسف مصر ليست فى مركز متقدم فى هذا المجال ولكن هذا لا يمنع ان مصر من البلدان الصاعده فى امن المعلومات وهذا افضل بكثير من الدول الى تتخلف بإستمرار فى الخط الزمنى الخاص بها المجال.
مبينا أن الحكومة تحاول جاهده فى الوقت الحالى الإهتمام بهذا المجال مؤخرا وانشاء غرف عمليات خاصه به ، كما كفل القانون ايضا فى طياته بعض المواد التى تجرم وتعاقب على ذلك الا انها ليست مفعله حتى هذه اللحظه .
وفيما يتعلق بضرورة تأسيس شركات متخصصة فى مواجهة إختراقات الهاكرز أجاب سيمبيان : بالطبع فهذا النوع من الشركات قليل جدا وهذا التوقيت هو الافضل فى البدء فى تأسيس مثل هذه الشركات نظرا لأن الامن المعلوماتى فى الوقت الحالى يعتبر شئ مهم جدا ولا يقل اهمية عن الاعلام او مجال الصناعة او الزراعة ونظرا للإنفتاح المعلوماتى الرهيب الذى شهدتة مصر فى الاونه الاخير يحتم علينا إلقاء الضوء على مثل هذه المجالات المغموره والمتخصصه فى الحماية من التخريب والاختراق فخبير الامن المعلوماتى الان هو شرطى الانترنت فهل تستطيع دوله التخلى عن الشرطه مثلاً ؟! ..