تعرف على مكتشف الثغرات المغربي قطرس نظارة

السلام عليكم
اسمي الكامل هو قطرس نظارة، مبرمج و مختبر اختراق تطبيقات الويب، قد يسألني البعض، من تكون؟ أنا مجرد شخص عادي مثل الجميع، شخص لديه حلم ويعمل على تحقيقه، لا شيء مميز بي سوى أنني أسعى إلى اكتساب المعرفة، وأتعلم كل يوم أشياء 
تخص المجال الذي أحبه 

من أي بلد أنا، لنقل أنا من الكرة الأرضية، أقيم مع عائلتي بمدينة أكادير الموجودة بدولة المغرب.كم عمري، لنقل أني شاب مهووس عمره 19 سنة يمضي معظم وقته قرب حاسوبه.

 ماذا أفعل كل يوم؟
 أعيش مثل أي شخص (أعيش لتحقيق الوهم)، أمضي الوقت كله قرب الحاسوب منذ استيقاظي حتى يأتيني النوم، وأحيانا أذهب لممارسة بعض التمارين الرياضية حتى أكسر الروتين الممل.

متى دخلت إلى هذا المجال؟
بدأ اهتمامي بالكومبيوتر والبرمجة في سن صغيرة، حيث تعلمت لغة php في سن 15، إلى غيرها من الأمور
 وأنا الآن أجيد لغة بايثون و القليل في لغة جافا، ولدي رصيد معرفي مهم في الهندسة العكسية...

متى بدأت مجال اختبار الاختراق؟؟
في شهر يوليوز سنة 2013، لقد مر عام تقريبا، حيث كانت بدايتي سيئة طيلة الشهرين الأولين من بدايتي، حتى إنني لم ألقى دعما من والداي، وأغلب الأشخاص المحيطين بي، ظنا منهم أنني كنت أضيع وقتي فقط، لكنني قررت عدم الاستسلام، وقد جعلت انتقادات الآخرين تشجيعات بالنسبة لي حتى أبذل مجهودا أكبر، والمواصلة حتى أجد ثغرة في أحد مواقع الشركات الكبرى. إلى درجة أنني في بعض الأيام كنت أنام ما بين 3 ساعات و4 ساعات٠

قد يسألني البعض كيف كانت وضعيتك المالية؟؟
لست غنيا يا أخي، ولا حول لي ولا قوة، فقد كنت في الصيف الماضي أصرف مصروفي القليل على الإنترنيت وأحاول الحصول على مال من أجل يوم واحد فقط من الأنترنيت٠ الآن الأمور لا بأس بها، حققت اكتفاء ذاتي.
ولا أعتقد أني بالسابق كنت أحلم أني سأحقق كل هذا في وقت قصير.

ماهي إنجازاتي؟؟
قمت باكتشاف ثغرات أمنية في العديد من الشركات العملاقة، واسمي موضوع في أكثر من 30 لائحة شرف  دولية،
منها شركة Yahoo فقد تم إدراج اسمي في قائمة العشر الأوائل لشهر دجنبر 2013، كما قمت باكتشاف ثغرة  في أحد ملفات الفلاش (آخر إصدارة)، وفي الترتيب العالمي لإحصائيات الباحثين الأمنيين (sakurity)، فقد تم إدراج اسمي في الرتبة 50، مع أن هذه الائحة تضم أكثر من 2600 اسم.
كما تم إدراج اسمي 7 مرات في لوائح شركة Microsoft،و تم إدراج اسمي كذلك في لائحة الشرف الخاصة بشركةApple العملاقة، واسمي أيضا في قائمة شركة Blackberry التي تقوم بتصنيع الهواتف لسنتي 2013 2014,  موقعEbay للبيع والشراء...
وتلقيت عدة هدايا وجوائز مالية كشكر وتقدير على مجهوداتي.
 
يمكنكم إلقاء نظرة على الروابط أسفله للتحقق مما أقوله: (ابحثوا عن اسمKoutrouss Naddara)
http://en.altervista.org/credits.php

https://www.paypal.com/webapps/mpp/security-tools/wall-of-fame-honorable-mention

http://helpx.adobe.com/security/acknowledgements.html

http://bugbounty.yahoo.com/security_wall.html

https://hackerone.com/yahoo/thanks

http://sakurity.com/hustlers

 http://pages.ebay.com/bo/en-us/securitycenter/ResearchersAcknowledgement.html

http://support.apple.com/kb/ht1318

https://secure.sony.net/hallofthanks

http://technet.microsoft.com/en-us/security/cc308589.aspx

http://technet.microsoft.com/en-us/security/cc308575.aspx

http://www.constantcontact.com/legal/report-vulnerability

https://my.kayako.com/Knowledgebase/Article/View/853/185/security-vulnerability-fix-and-patch-policy

https://basecamp.com/security/response

https://bugbounty.att.com/hof.php

 https://www.eventbrite.com/walloffame/

https://support.bitcasa.com/hc/en-us/articles/202210658-How-To-Responsibly-Report-Security-Concerns

https://www.siteground.com/term/92.htm

http://www.opentext.com/who-we-are/copyright-information/security-acknowledgements

https://company.zynga.com/security/whitehats

http://goanimate.com/video-maker-tips/security/

http://www.telekom.com/security/acknowledgements

http://www.chip.de/s_specials/Hall-of-Fame_68517619.html

https://commando.io/security.html

http://www.formassembly.com/blog/formassembly-vulnerability-and-security-reporting/

https://access.redhat.com/site/articles/66234

https://barracudalabs.com/research-resources/bug-bounty-program/bug-bounty-hall-of-fame-2/

 https://bounty.github.com/bounty-hunters.html

http://www.rackspace.com/pt/information/legal/rsdp

http://nsn.com/responsible-disclosure

http://www.oracle.com/ocom/groups/public/@otn/documents/webcontent/1865183.xml

http://www.oracle.com/ocom/groups/public/@otn/documents/webcontent/1932653.xml

http://www.oracle.com/ocom/groups/public/@otn/documents/webcontent/2188432.xml

http://lesardoises.com/auteurs

http://frawin.com/auteurs

http://www.frandroid.com/auteurs

بماذا أنصح الجميع؟يا أخي لاتقم بشيء ما، لأن شخصا آخر قام به ونجح، بل اسعى لتحقيق حلمك أنت واعمل على ذلك،
 فكما يقول إبراهام لنكولين:< إذا كان أمامي ست ساعات لقطع شجرة، فسأمضي الساعات الأربع الأولى أشحذ فأسي ؛) فلا تستسلم٠٠٠فلربما كانت لحظة يأسك هي لحظة وصولك وبدايتك لتحقيق النجاح٠
وإذا كنت يا أخي مهتما بمجالي هذا، أقول لك يا أخي إن اكتساب المعرفة ضروري، ليس أن تتعلم حيلة أو حيلتين لتجد نوع معين من الثغرات مثلا، لابد لك أن تعرف كل شيء عن الثغرة، لماذا تحدث؟ كيف يمكن ترقيعها؟... فهذا ليس مستحيلا يا أخي، أو صعبا، فلن يتطلب منك ذلك سوى جزء صغير من وقتك.
وكمختبر اختراق يا أخي، أود إعلامك بأنني ساعدت عدة مرات فرق حماية على ترقيع ثغرات قمت بالتبليغ عنها أنا، وهذا بعدما طلب الفريق الأمني مني ذلك، وسألني عن رأيي بخصوص ذلك.
فلا تقم بالتبليغ عن ثغرة لا تعرف عنها شيئا سوى عنوانها
فقد انتشرت مؤخرا ظاهرة غريبة، 'والعياذ بالله'، ألا وهي أنني أرى أشخاصا كثيرين يدخلون إلى هذا المجال، وكل مايعرفونه هو ثغرة واحدة هيXSS (Cross Site Scripting) فهذه هي الثغرة الوحيدة تقريبا التي يعرفونها، وإذا سألتهم عن هذه الأخيرة، سيخبرونك كلاما يدل على جهلهم، يأخذون كودا لا يفقهون فيه شيئا ، ويبدأون بحقنه في أي بارامتر يظهر لهم، إلى أن 
 تظهر لهمPop'up
 
وفي الأخير يقومون بالتباهي بإنجازهم هذا، ويسمون أنفسهم هاكرز، يصورون فيديوهات تشرح ثغرتهم، ويكتبون مقالات عنها، إن هذا من أكثر الأشياء تفاهة أراها في حياتي.
لذا أتمنى من كل واحد منكم ألا يصبح من هذه الفئة، وإذا كنت واحدا من هؤلاء الذين أتحدث عنهم، فأنصحك أن تراجع نفسك وتسعى إلى تثقيف نفسك بنفسك، فلن يحترمك أحد لإنجازاتك فقط، بل سيحترمك أكثر مما تملكه من معرفة وأشياء قمت بتعلمها سابقا...فهذا هو الفرق بينك وبين الآخرين، فالمعرفة بالأشياء وكيفية استغلالها لصالحك هي سلاح تفوقك ضد الآخرين،
و أرجو أن أكون قد وضحت هذه النقطة للجميع.

هل تعمل لدى شركة ما؟؟
 أقول لك يا أخي، إنني لا أعمل لدى أي شركة، أنا أعمل بشكل مستقل، أكتفي ببرامج المكافآت التي تضعها الشركات العملاقة لتشجع الآخرين على إيجاد ثغرات بمواقعها، أمثال شركة ياهوو وبايبال ٠٠٠

هل سبق وتلقيت عروض عمل؟؟نعم، أول عرض كان من شركة لاختبار الاختراق، وعرض آخر من موقع عربي ضخم للعمل كمستشار أمني، وأخيرا وليس آخرا شركة عالمية ضخمة، وهي من بين 100 الأوائل حسب ترتيب أليكسا، والتي لا أود ذكر اسمها لأسباب خاص،
ومؤخرا، قبل 3 أو4 أيام، تلقيت عرضا للعمل في أحد الشركات للعمل ضمن فريقهم الأمني.

هل سبق وشاركت بأحد مسابقات الهاكينغ؟للأسف لا، لم يسبق لي وأن شاركت بمسابقة ما، ولكني أنوي مستقبلا أن أجمع فريقا للمشاركة في أحد المنافسات، بهدف التعرف على الهاكرز المغاربة، والرغبة في التحدي٠٠٠

إذا أردت معرفة المزيد عني، أو التواصل معي،
 قم بمراسلتي على حسابي في الفايسبوك أو من خلال الصفحة أسفله:
https://www.facebook.com/profile.php?id=100008222891851

https://www.facebook.com/HackForSec

تحياتي للجميع

بقلم

محمد لحلو

المدير التقني لمدونة مجتمع الأمن المعلوماتي مدون ومغرد حول مجال الأمن المعلوماتي والحماية الإلكترونية ! مهتم بكل جديد حول المجال الأمني بصفة خاصة والتقني بصفة عامة من مواليد مدينة فاس المغرب .

2016 © جميع الحقوق محفوظة
تطوير : عدنان المجدوبي