Trong 2 năm qua, mình liên tục chứng kiến những vụ tấn công mạng kinh hoàng như WannaCry hay vụ DDoS làm tê liệt cả loạt website lớn ở Mỹ Chưa kể hàng nghìn vụ đánh cắp thông tin thẻ tín dụng, lừa đảo thanh toán ở nhà hàng, cửa hàng... Những hacker mũ đen với skill khủng đã khiến biết bao người và doanh nghiệp "toang" không phanh.
Nhưng đằng sau đó, vẫn có những "chiến sĩ" thầm lặng đang chiến đấu chống lại bọn xấu. Đó chính là hacker mũ trắng - những người có đạo đức chuyên đi tìm lỗ hổng bảo mật rồi báo cho chủ hệ thống biết trước khi bị hack thật
Lịch sử "bug bounty" - Săn bug kiếm tiền từ thời ông bà anh
Từ năm 1983, Volkswagen đã thưởng tiền cho ai tìm được lỗ hổng trong hệ điều hành xe Beetles của họ. Đến năm 1995, Netscape tổ chức chương trình "bug bounty" đầu tiên cho trình duyệt Navigator 2.0 - giải thưởng 1000$ và đồ lưu niệm. Nghe không khủng lắm nhưng đủ để thấy tiềm năng vô địch!
Một số công ty khác bắt đầu làm theo, như Mozilla với 500$ vào năm 2004. Nhưng phải đến năm 2010 khi Google ra tay với "gói hỗ trợ thử nghiệm mới" cho Chromium thì mọi thứ mới thực sự bùng nổ. Google "treo giải" 1337$ (con số leet code luôn ) cho lỗ hổng nghiêm trọng và 500$ cho các bug bảo mật khác.
Giờ đây, hầu hết các công ty công nghệ lớn từ Snapchat, Dropbox, Tinder đến cả Starbucks đều có chương trình bug bounty. Họ không chỉ thưởng tiền mà còn sẵn sàng tuyển luôn những hacker mũ trắng xuất sắc!
Chân dung những "thợ săn bug" thời đại
Theo báo cáo của HackerOne - nền tảng chuyên thưởng tiền cho hacker báo lỗ hổng - phần lớn hacker mũ trắng sống ở Ấn Độ (23%) và Mỹ (20%), Nga 6%, Pakistan 4% và Anh 4%. Background của họ cũng đa dạng lắm: 58% tự học, 50% học khoa học máy tính ở đại học, 26,4% học từ cấp 3. Và 90% dưới 35 tuổi, 50% dưới 25 tuổi, 8% còn dưới 18 tuổi nữa!
Điểm chung của họ? Siêu siêu siêu tò mó! CEO HackerOne - Marten Mickos - dùng cụm "tò mò không ngừng" để mô tả. "Chúng tôi không tìm họ, họ tìm đến chúng tôi. Họ đọc, nghiên cứu lỗ hổng rồi báo cáo. Hầu hết bắt đầu từ rất trẻ"
Jack Cable - Tài năng trẻ từ YouTube
Jack Cable tự học lập trình qua YouTube từ năm 12 tuổi. Vừa làm bài tập, vừa nộp đơn đại học, vừa thi toán cấp 3, bạn ấy vẫn phát hiện được hơn 200 lỗ hổng của khoảng 50 công ty khác nhau - từ Uber, Bitcoin Exchange đến cả Không quân Mỹ luôn
Cable dành phần lớn thời gian để phục vụ cộng đồng, giống nhiều hacker mũ trắng khác. Bạn ấy còn biết những người "cải tà quy chính" từ mũ đen sang mũ trắng để làm điều tốt.
Cable hay lên forum với khoảng 150 hacker, mọi người chia sẻ kỹ thuật mới, hợp tác tìm lỗ hổng dù cũng cạnh tranh nhau giành giải. "Mọi người xem nhau như đồng đội chứ không phải đối thủ. Khi giúp nhau, chúng mình giúp được các công ty lớn"
Sean Melia - Từ tò mò đến nghiện tìm bug
Sean Melia là kỹ sư bảo mật lâu năm của Gotham Digital Science. Cuối năm 2014, anh xem video về hacker nhận 15.000$ tiền thưởng. Tò mò search Google, thấy đó là chương trình của Yahoo. Vài tuần sau, anh dò được hơn 30 lỗi và bỏ túi hơn 22.000$! "Chưa bao giờ được chuyển khoản nhiều tiền đến vậy cùng lúc", anh kể. "Sau đó bị nghiện luôn"
Giờ sau giờ làm, anh lại lên mạng tìm bug - đã phát hiện hơn 800 vấn đề của hơn 50 công ty từ Uber, Twitter đến Starbucks.
Nhưng Melia khẳng định tiền không phải tất cả. "Để giỏi phải có đam mê. Chỉ vì tiền thì đi không xa đâu".
Tiền thưởng - động lực nhưng không phải tất cả
Dù sao tiền vẫn là phần thưởng xứng đáng! Hacker nick robd4k mới đây nhận đủ tiền tự xây nhà. Số liệu HackerOne cho thấy hacker Ấn Độ kiếm gấp 16 lần lương kỹ sư phần mềm trung bình
Theo Mickos, việc mời hacker bên ngoài hack hệ thống xuất phát từ việc người "trong nhà" thường không thấy lỗ hổng của chính căn nhà mình. "Bụt nhà không thiên" mà! Hacker từ bên ngoài có kinh nghiệm, sáng tạo hơn, tìm được những ngóc ngách mà nhân viên nội bộ không thể thấy.
Liệu hacker mũ trắng có trục lợi từ lỗ hổng không? Thường là không, miễn phần thưởng "có đạo đức" đủ hấp dẫn. Cable nói chưa từng gặp trường hợp nào khai thác lỗ hổng có lời hơn báo cáo cho công ty.
Quy trình dò bug - Nghệ thuật "thử-sai"
Melia phát hiện lỗ hổng Starbucks một cách tình cờ. Khi quét app đặt cà phê, anh nhận ra nếu đổi mã đơn hàng mình thì có thể chỉnh sửa luôn đơn hàng người khác! Có thể gửi cà phê đến nhà người lạ hoặc lấy đơn người khác về - cà phê free suốt đời Nhưng Melia báo lỗi và nhận vài nghìn đô. "Tôi thích có 4000$, 6000$ hơn là một ly cà phê miễn phí", anh nói đùa.
Cable chia sẻ về quá trình tìm bug: "Đa số là thử-sai. Thử nghiệm là mấu chốt. 99% các lần thử không dò ra lỗi, khi đó phải tiếp tục tìm thứ khác". Nhưng phải kiên trì! "Nếu liên tục học hỏi và thử nghiệm, bạn sẽ phát hiện nhiều lỗ hổng thú vị"
Melia thích phương pháp "black box" - mở app/web như người dùng bình thường, rồi thử chỉnh sửa theo hướng không được thiết kế. Đồng thời tìm hiểu tối đa về công ty: mạng lưới, khách hàng, vị trí, cấu trúc app/web...
Khi nản, Melia nghỉ, không ngồi máy tính nữa mà đi xem Netflix. Nhiều lúc không tìm được gì, ra giường nằm chơi rồi đột nhiên nghĩ ra cách tiếp tục. Nhưng không thể nghỉ quá lâu vì hacker khác có thể phát hiện trước và lãnh thưởng mất!
Tương lai - Những thách thức còn lại
Nhiều người có skill hack đỉnh nhưng không làm vì không thích bị gọi là hacker. Truyền thông chưa làm đủ tốt để mọi người hiểu hacker không phải ai cũng xấu. Mickos nói: "Cứ mỗi hacker xấu thì có 1000 hacker tốt. Nhưng họ không xuất hiện trên báo chí nên bạn không nghe nhiều về họ".
Mikos chia sẻ nhiều hacker phát triển kỹ năng khi chính họ đang phát triển tư duy đạo đức, lúc đó phần thưởng khó lấy và chỉ một ly cà phê free cũng vui rồi. Nhưng giờ khi công sức không được tôn trọng và đánh giá cao, họ mất động lực giúp người khác.
Thứ hai, luật pháp ở nhiều nơi phản ánh sự hoài nghi về cộng đồng hacking, có thể cản trở hacker lành tính. Như bộ luật chống lừa đảo máy tính năm 1980 mô tả "lừa đảo bằng máy tính" theo cách có thể mở rộng bao gồm cả việc hacker mũ trắng đang làm - dẫn đến khả năng bị phạt tiền lớn hoặc đi tù. Những rào cản này khiến hacker không muốn chia sẻ phát hiện, không giúp được gì cho ngành bảo mật
Chính Melia từng lo lắng về lực lượng hành pháp. Anh phát hiện lỗ hổng website cho phép truy cập dữ liệu 3000 người dùng. Ngay lập tức hủy bỏ và báo cáo nhưng vẫn nhận cuộc gọi đe dọa từ công ty. Cuối cùng được tặng thẻ quà 500$ sau khi đảm bảo không làm gì với dữ liệu. Anh may mắn không bị bắt nhưng phải ký thỏa thuận không tiết lộ.
Không phải ai cũng may mắn thế. Năm 2008, Cơ quan vận tải Vịnh Massachusetts nhờ cơ quan chức năng ngăn 3 sinh viên MIT phát biểu về lỗ hổng họ tìm thấy trong hệ thống bán vé điện tử. Tòa tuyên việc nói về lỗ hổng cũng tệ như hack nó
Năm 2005, Samy Kamkar 19 tuổi tạo script buộc ai ghé thăm trang Myspace hoặc trang của người từng xem tài khoản anh phải gửi lời mời kết bạn. Kamkar báo lỗ hổng cho Myspace nhưng đã muộn. Một triệu lời mời đã được gửi, sau đó Sở cảnh sát Los Angeles tịch thu máy tính và phạt án treo 3 năm không được vào Internet.
Kết
Các nhà làm luật cần thay đổi luật để cho phép hacker mũ trắng báo cáo lỗi khi tìm thấy. Vì khi họ im lặng, thế giới chỉ tệ hơn mà thôi - tệ nhất là im lặng vì sợ bị bắt. Các công ty và báo chí cũng cần thừa nhận công lao của họ.
Nguồn: tinhte.vn