Рафай Балоч

Рафай Балоч
Рафай Балох в Tech Valley, 2019 год.
Рожденный	( 1993-02-05 ) 5 февраля 1993 г. (31 год)
Национальность	пакистанский
Известный	Эксперт по информационной безопасности
Заметная работа	Руководство по этичному взлому и тестированию на проникновение
Награды	Гордость Пакистана
Почести	Ученый Чевенинга
Веб-сайт	www .рафайбалоч .с

Рафай Балоч (родился 5 февраля 1993 г.) — пакистанский этический хакер и исследователь безопасности. Он был представлен и известен как национальными, так и международными средствами массовой информации и публикациями. ^{[ 1 ] [ 2 ]} как Форбс , ^{[ 3 ]} Би-би-си , ^{[ 4 ]} «Уолл Стрит Джорнал» , ^{[ 5 ]} Экспресс Трибьюн ^{[ 1 ]} и TechCrunch . ^{[ 6 ]} Он вошел в число «5 лучших этических хакеров 2014 года» по версии CheckMarx. ^{[ 1 ] [ 7 ]} Впоследствии он был включен в список «15 самых успешных этических хакеров мира». ^{[ 8 ]} и среди «25 лучших искателей угроз» ^{[ 9 ]} от журнала SC. Белудж также был добавлен в список TechJuice 25 до 25 за 2016 год и занял 13-е место в списке успешных людей. Компания Reflectiz, занимающаяся кибербезопасностью, опубликовала список «21 лучших экспертов по кибербезопасности, за которыми нужно следить в Твиттере в 2021 году», отметив Рафая Балоча как главного влиятельного человека. ^{[ 10 ]} 23 марта 2022 года ISPR отметил вклад Рафая Балоха в области кибербезопасности наградой «Гордость за Пакистан». ^{[ 11 ] [ 12 ] [ 13 ] [ 14 ] [ 15 ]} В 2021 году Высокий суд Исламабада назначил Рафая Балоча amicus curia по делу, касающемуся регулирования социальных сетей. ^{[ 16 ] [ 17 ] [ 18 ]}

Рафай Балоч родился в 1993 году в Карачи. ^{[ 19 ]} Он учился в Университете Бахрии , где получил степень бакалавра компьютерных наук. В настоящее время Белудж занесен в Зал славы Университета Бахрии. ^{[ 20 ]} В 2020 году Рафай также получил стипендию Chevening. ^{[ 21 ]}

Белудж начал свою хакерскую карьеру, когда еще учился на бакалавра. Затем он написал книгу под названием «Руководство по тестированию на проникновение этического взлома». ^{[ 22 ]} Выход его новой книги «Арсенал веб-хакеров: практическое руководство по современному веб-пентестингу» запланирован на август 2024 года. ^{[ 23 ] [ 24 ] [ 25 ] [ 26 ] [ 27 ] [ 28 ]} Он является одним из первых пакистанских исследователей безопасности, получивших признание Google , Facebook , PayPal , Apple , Microsoft. ^{[ 29 ]} и многие другие международные организации.

Он также написал несколько статей по информационной безопасности , а именно « HTML5 », «Обход брандмауэра веб-приложений» и «Обход политик безопасности браузера для развлечения и прибыли». Современные векторы атак ^{[ 30 ]}

Рафай Балоч работал в Управлении электросвязи Пакистана советником по кибербезопасности. ^{[ 31 ] [ 32 ]}

Белудж активно участвовал в программах вознаграждения за обнаружение ошибок и сообщил о нескольких критических уязвимостях. ^{[ 33 ]} в нескольких веб-приложениях с открытым исходным кодом, а также в программах поиска ошибок . Балоч обнаружил критические уязвимости в PayPal в 2012 году: он взломал серверы PayPal, воспользовавшись уязвимостью удаленного выполнения кода. Он получил вознаграждение в размере 10 000 долларов и предложение о работе у них в качестве исследователя безопасности, от которого он отказался, поскольку еще учился на бакалавра . в то время ^{[ 34 ]} HackRead, новостная платформа InfoSec, включила его в список «10 знаменитых охотников за ошибками всех времен». ^{[ 35 ]} Балоч также получил 5000 долларов от Google и Firefox за обнаружение уязвимости в своих браузерах. ^{[ 36 ]}

Белох активно сообщал о нескольких критических уязвимостях в браузерах. Он начал с поиска обхода Same Origin Policy (SOP) в браузере Android Stock, который изначально был отклонен Google; ^{[ 37 ]} однако позже это было подтверждено Google после того, как это подтвердили исследователи из Rapid7. Это было придумано как CVE - 2014-6041 . ^{[ 38 ]} Затем Белудж сообщил о нескольких других нарушениях СОП. Исследователи из Trend Micro обнаружили, что эта ошибка более распространена. ^{[ 39 ]} Позже сообщалось, что хакеры активно использовали эксплойты Балоча для обхода SOP для взлома учетных записей Facebook . Ошибка обхода SOP была обнаружена исследователем Rapid7 Джо Венниксом для проведения удаленного выполнения кода. ^{[ 40 ] [ 41 ]} Балоч также обнаружил несколько уязвимостей в WebView, которые позволяли злоумышленнику читать локальные файлы, а также красть файлы cookie с пользовательского устройства. ^{[ 42 ]} В октябре 2020 года Балоч представил несколько уязвимостей подмены адресной строки, затрагивающих Apple Safari, Yandex, Opera Mini, UC Browser, Opera Touch, Bolt Browser и браузер RITS. ^{[ 43 ] [ 44 ] [ 45 ]} Раскрытие уязвимостей координировало Rapid7, который предоставил 60-дневный срок для исправления уязвимостей. По истечении 60 дней Белох опубликовал POC-эксплойты затронутых браузеров. ^{[ 46 ] [ 47 ] [ 48 ] [ 49 ] [ 50 ] [ 51 ] [ 52 ]} Рафай вместе с другим исследователем обнаружили многочисленные уязвимости безопасности, влияющие на настольный клиент PureVPN для Linux. ^{[ 53 ]}

В 2018 году Балоч представил уязвимость в Safari и браузере Microsoft Edge , которая позволила отображать URL-адрес безопасного веб-сайта в адресной строке, в то время как пользователи фактически перенаправлялись на другой, возможно, вредоносный веб-сайт. ^{[ 54 ]} Рафай Балох выявил проблему безопасности и проинформировал Apple и Microsoft в начале июня 2018 года. Microsoft устранила проблему в течение двух месяцев, но Apple не ответила на отчет Балоха, несмотря на установленный крайний срок в 90 дней льготного периода, поэтому он обнародовал подробности. ^{[ 55 ]} Рафай Балох написал в своей статье, что адресную строку можно использовать, чтобы легко взломать чью-либо конфиденциальность, даже не заметив этого. ^{[ 56 ]} Причина, по которой это возможно, заключается в том, что адресная строка является единственным надежным индикатором безопасности в новых браузерах, поскольку она отображает URL-адрес сайта и другие сведения, связанные с веб-страницей, на которой вы находитесь. ^{[ 57 ] [ 58 ] [ 59 ] [ 60 ]}

В 2014 году, после того как Рафай Балох и Джо Венникс сообщили Google об ошибке, которая могла позволить хакерам обойти политику одинакового происхождения (SOP) браузера Android Open Source Platform (AOSP), ^{[ 61 ]} они обнаружили, что Google уже прекратила поддержку WebView на устройствах Android под управлением Android 4.3 или более ранних версий, одновременно возложив на OEM-производителей и сообщество безопасности с открытым исходным кодом ответственность за предоставление исправлений пользователям. ^{[ 62 ]} В то время как официальная позиция Google в отношении WebView для старых устройств до Android 4.4 была следующей: «Если затронутая версия [WebView] до 4.4, мы, как правило, не разрабатываем исправления сами, а приветствуем исправления с отчетом на рассмотрение. Кроме уведомления OEM-производителей, мы не сможем принять меры по любому отчету, затрагивающему версии до 4.4, которые не сопровождаются патчем». ^{[ 63 ]} К сожалению, в более старых версиях Android не исправлены ошибки WebView, в основном из-за плохого пути обновления, из-за которого пользователи остаются незащищенными. ^{[ 63 ] [ 64 ]}

Затем Google выпустила WebView как отдельное приложение, которое можно было обновлять отдельно от версии устройства Android. Проще говоря, переработка WebView пойдет на пользу последним версиям Android: Lollipop 5.0 и Marshmallow 6.0. ^{[ 63 ]} Но эта опция остается недоступной никому в более старой версии операционной системы. ^{[ 55 ]}

Что касается политики Google без обновлений, Балох поделился своим мнением с Zimperium, заявив, что «решение Google больше не исправлять критические ошибки безопасности (до KitKat), безусловно, повлияет на подавляющее большинство пользователей. Охранные компании уже наблюдают атаки, когда пользователи злоупотребляют ошибкой обхода Same Origin Policy (SOP), чтобы нацеливаться на пользователей Facebook». ^{[ 65 ]}

Metasploit Framework, принадлежащий Rapid7, содержал 11 таких эксплойтов WebView, которые необходимо было исправить, большинство из которых были созданы Рафаем Балочом и Джо Венниксом. ^{[ 66 ] [ 67 ]}