topbar
Những hacker mũ trắng, họ là ai và họ sống như thế nào

Những hacker mũ trắng, họ là ai và họ sống như thế nào

01/05/2018

Trong 2 năm qua chúng ta liên tục thấy những vụ tấn công mạng trên quy mô lớn, ví dụ như vụ WannaCry, hay vụ tấn công DDoS khiến nhiều website lớn tại Mỹ tê liệt, chưa kể hàng nghìn trường hợp người dùng bị đánh cắp thông tin thẻ tín dụng rồi những cú lừa đảo hệ thống thanh toán tại cửa hàng, nhà hàng, đơn vị bản lẻ... Những hacker mũ đen với quyền lực và kiến thức của mình đã khiến nhiều người, nhiều doanh nghiệp điêu đứng. Nhưng ở bên kia chiến tuyến vẫn có những "chiến sĩ" thầm lặng chiến đấu chống lại những vụ tấn công này. Họ là những hacker mũ trắng - những hacker có đạo đức chuyên đi ngăn chặn, phòng ngừa cũng như báo lỗi cho chủ các hệ thống về lỗ hổng bảo mật trước khi nó bị kẻ xấu tấn công.

Từ tận năm 1983, Volkswagen đã thưởng cho những hacker nào tìm được lỗ hổng trong hệ điều hành dùng trên những chiếc xe Beetles của mình. 12 năm sau, Netscape tổ chức chương trình "bug bounty" đầu tiên để thưởng cho những người dùng báo lỗi của trình duyệt Navigator 2.0, và nhiều người đã nhận giải thưởng 1000$ và cũng có những người khác chỉ nhận được đồ lưu niệm. So với các chương trình bug bounty hiện nay thì giá trị không cao, nhưng nó cho thấy tiềm năng lớn. Một nhóm người dùng nhỏ của Netscape đã dành nhiều tiếng đồng hồ chỉ để tìm ra lỗi dù có thể họ chẳng nhận lại cái gì to tát.

Một số công ty khác bắt đầu làm theo Nestscape, trong đó có cả Mozilla với giá thưởng 500$ vào năm 2004. Nhưng phải đến năm 2010 thì những chương trình kiểu này mới bùng nổ khi Google triển khai một "gói hỗ trợ thử nghiệm mới" cho những nhóm / cá nhân nào phát hiện được lỗi của Chromium (Chromium chính là phiên bản nền tảng của Chrome). Giải thưởng được Google "treo" vào khoảng 1337$ cho các lỗ hổng nghiêm trọng và 500$ cho những lỗi bảo mật khác.

Hiện nay đa số các công lớn với nền tảng công nghệ vững mạnh đều có chương trình bug bounty, từ Snapchat, Dropbox, Tinder cho đến cả Starbucks. Họ thưởng tiền, nhiều nghìn đô la, thậm chí tuyển luôn các hacker mũ trắng xuất sắc.

Những hacker mũ trắng

Theo báo cáo của HackerOne - một nền tảng chuyên thưởng tiền cho hacker khi họ báo cáo lỗ hổng bảo mật cho chũ sở hữu hệ thống - đa số hacker mũ trắng sinh hoạt trên nền tảng này sống tại Ấn Độ (23%) và Mỹ (20%), ở Nga có 6%, Pakistan là 4% và Anh là 4%. Họ xuất phát từ nhiều môi trường giáo dục khác nhau: 58% hacker tự học, 50% đã từng học khoa học máy tính ở đại học, 26,4% từng học môn này ở trường cấp 3. 90% số hacker mũ trắng của HackerOne dưới 35 tuổi, 50% dưới 25 và 8% dưới 18 tuổi.

Nhưng có một điểm chung của các hacker mũ trắng, đó là họ cực kì tò mò. CEO của HackerOne, Marten Mickos, dùng chữ "tò mò không ngừng" để chỉ những người này. "Chúng tôi không tìm họ, họ tìm đến chúng tôi. Họ đọc, họ nghiên cứu các lỗ hổng rồi báo cáo chúng. Hầu hết họ đều bắt đầu khi còn rất trẻ tuổi".

Jack Cable cũng không phải là ngoại lệ. Anh tự học lập trình thông qua video YouTube từ năm 12 tuổi. Khi vừa làm bài tập, vừa phải lo nộp đơn vào đại học cũng như thi các cuộc thi toán của trường cấp 3, Cable đã phát hiện hơn 200 lỗ hổng của khoảng 50 công ty khác nhau, trong đó có những công ty lớn như Uber, Bitcoin Exchange, thậm chí cả Không quân Mỹ.

Cable đã dành một quãng lớn trong quỹ thời gian của mình để phục vụ cho cộng đồng, giống như nhiều hacker mũ trắng khác. Cable cũng biết những người đã từng là hacker mũ đen nhưng giờ "cải tà quy chính" đi làm hacker mũ trắng để giúp ích cho đời.

Cable thường dạo chơi ở một forum có khoảng 150 hacker, họ thường chia sẻ với nhau các kĩ thuật hack mới, hợp tác tìm lỗ hổng bảo mật ngay cả khi họ thường cạnh tranh nhau để giành giải thưởng. "Mọi người xem nhau như những người hợp tác chứ không phải là đối thủ. Khi chúng tôi giúp nhau, chúng tôi sẽ giúp được những công ty lớn kia".

Sean Melia lại là một kĩ sư bảo mật lâu năm của công ty Gotham Digital Science. Cuối năm 2014, anh thấy đoạn video về một hacker nhận 15.000$ tiền thưởng. Cảm thấy tò mò, Melia dò trên mạng và thấy chương trình này là của Yahoo. Trong vài tuần kế tiếp, anh dò được hơn 30 lỗi của Yahoo và bỏ túi hơn 22.000$. "Tôi chưa từng được chuyển khoản nhiều tiền đến vậy cùng lúc", anh nói. "Sau đó tôi bị thu hút vào chuyện này". Giờ đây, sau giờ làm việc, anh bắt đầu chui lên mạng để tiếp tục tìm lỗi và đã phát hiện hơn 800 vấn đề của hơn 50 công ty từ Uber, Twitter cho đến Starbucks.

Nhưng Melia vẫn khẳng định tiền không phải là tất cả. "Để giỏi trong vụ này, anh phải có đam mê. Nếu anh chỉ muốn tìm, anh sẽ không đi được tới đâu cả".

Dù sao thì tiền vẫn là một phần thưởng tốt. Một hacker có nick robd4k mới đây đã nhận đủ tiền để tự xây nhà, một dữ liệu khác từ HackerOne thì cho thấy hacker đến từ Ấn Độ nhận tiền gấp 16 lần so với lương trung bình của một kĩ sư phần mềm.

Cốt lõi của việc mời hacker mũ trắng bên ngoài hack hệ thống, theo Mickos, xuất phát từ việc người "trong nhà" thường không tìm thấy lỗ hổng của chính căn nhà. Người ta hay nói "bụt nhà không thiên" là thế. Những hacker ở bên ngoài có thể có nhiều kinh nghiệm hơn, sáng tạo hơn và tìm được những ngóc ngách mà nhân viên của chính công ty đó không thể thấy.

Liệu những hacker mũ trắng có trục lợi từ những lỗ hổng này không? Thường là không, miễn là phần thưởng cho việc "có đạo đức" đủ lớn. Cable nói anh chưa từng tìm thấy trường hợp nào mà anh có thể nhận được nhiều tiền hơn từ việc khai thác lỗ hổng so với việc báo cáo nó cho công ty chủ quản.

Quy trình dò bug

Melia phát hiện ra những lỗ hổng gần đây một cách tình cờ. Anh thường hay quét app Stackbucks để mua hàng, và khi đặt cà phê anh nhận thấy rằng nếu anh đổi mã đơn hàng của mình thì anh có thể chỉnh sửa luôn đơn hàng của người khác. Điều này cho phép anh gửi cà phê đến nhà của người lạ, hay lấy đơn hàng của người khác tự gửi cho mình, như vậy anh sẽ có cà phê uống miễn phí. Melia báo lỗi này và nhận được vài nghìn đô tiền thưởng. "Tôi tích có 4000$, 6000$ hơn là cơ hội nhận được một ly cà phê miễn phí", Melia nói vui.

Cable nói thêm về quá trình tìm kiếm bug: "Đa số đều là thử - sai. Việc thử nghiệm là mấu chốt. 99% các bài thử nghiệm sẽ không dò ra lỗi, khi đó bạn phải tiếp tục đi tìm thứ khác để làm". Nhưng mấu chốt là bạn phải kiên trì, Cable nói. "Nếu bạn liên tục học hỏi và thử nghiệm những cái mới, bạn sẽ phát hiện ra nhiều lỗ hổng thú vị".

Melia thích cách "black box", tức là khi anh mở một ứng dụng hay trang web, anh sẽ dùng nó như một người dùng bình thường, sau đó anh sẽ thử tìm cách chỉnh sửa nội dung hay những thứ hiện trên app theo hướng mà app không được thiết kế để làm. Trong lúc đó, anh tìm hiểu thêm nhiều thông tin về công ty nhất có thể: mạng lưới của họ rộng đến cỡ nào, họ nhắm đến tập khách hàng ra sao, vị trí như thế nào, các cấu trúc của app / web có gì lạ không...

Melia nói thêm rằng khi anh cảm thấy nản, anh sẽ nghỉ, không ngồi máy tính nữa mà đi coi Netflix. Đã có nhiều lúc anh không tìm được vấn đề, sau đó anh ra giường nằm chơi rồi một lát sau nghĩ được cách để tiếp tục. Tất nhiên bạn cũng không thể nghỉ quá lâu vì có thể lỗ hổng đó bị một hacker khác phát hiện và họ sẽ lãnh thưởng trước bạn.

Tương lai

Nhiều cá nhân với kĩ năng hack rất tốt nhưng họ không làm những việc này vì họ không thích bị gọi là hacker. Truyền thông chưa làm đủ tốt để giúp người ta hiểu rằng hacker không phải ai cũng xấu. Mickos nói: "Cứ mỗi hacker xấu thì có 1000 hacker tốt. Nhưng họ thường không xuất hiện trên báo chí nên bạn không nghe nhiều về họ".

Mikos chia sẻ rằng nhiều hacker phát triển kĩ năng của mình ở thời mà chính họ cũng đang phát triển về tư duy đạo đức, rồi các phần thưởng khi đó rất khó lấy và chỉ một ly cà phê miễn phí cũng vui rồi. Nhưng giờ đây, khi họ cảm thấy công sức của mình không được tôn trọng và đánh giá cao, họ không có nhiều động lực giúp người khác nữa.

Thứ hai, luật ở nhiều nơi phản ánh rõ sự hoài nghi của người khác về cộng đồng hacking, và điều đó có thể làm cản trở những hacker lành tính. Như bộ luật chống lừa đảo máy tính năm 1980 mô tả khái niệm "lừa đảo bằng máy tính" theo cách có thể được mở rộng ra và bao hàm luôn cả những việc mà nhóm hacker mũ trắng đang làm, dẫn đến họ có khả năng bị phạt khoản tiềng lớn hay thậm chí đi tù. Những rào cản như thế này khiến hacker không muốn chia sẻ những thứ mình tìm thấy, và cũng không giúp được nhiều cho cả ngành bảo mật.

Chính Melia cũng từng lo lắng về lực lượng hành pháp. Anh từng phát hiện lỗ hổng trong một website cho phép anh truy cập dữ liệu của 3000 người dùng. Ngay lập tức anh hủy bỏ những gì mình đang làm và báo cáo lỗ hổng nhưng vẫn nhận một cuộc gọi mang tính đe dọa từ công ty nọ. Cuối cùng được tặng một cái thẻ quà tặng 500$ sau khi đảm bảo rằng anh không làm gì với dữ liệu này. Anh cảm thấy may mắn khi không bị bắ nhưng vẫn phải kí thỏa thuận không tiết lộ.

Nhưng không phải ai cũng may mắn thế, năm 2008, Cơ quan vận tải Vịnh Massachusetts đã nhờ cơ quan chức năng can thiệp để ngăn không cho 3 sinh viên trường MIT phát biểu về lỗ hổng mà họ tìm thấy trong hệ thống bán vé điện tử. Tòa tuyên rằng việc nói về lỗ hổng này cũng tệ như việc hack nó.

Và năm 2005, một cậu bé 19 tuổi tên Samy Kamkar đã tạo được script buộc bất kì ai ghé thăm trang Myspace, hay trang của những người từng xem tài khoản của anh, phải gửi cho anh một lời mời kết bạn. Kamkar báo cáo lỗ hổng này cho Myspace nhưng đã muộn. Một triệu lời mời kết bạn đã được gửi đi, sau đó Sở cảnh sát Los Angeles đã tịch thu máy tính của Kamkar và bị phạt án treo 3 năm không được vào Internet.

Những nhà làm luật cần phải thay đổi luật để cho phép những hacker mũ trắng báo cáo lỗi khi họ tìm thấy nó, vì khi họ im lặng thì thế giới chỉ trở nên tệ hơn mà thôi, tệ nhất là khi họ im lặng chỉ vì sợ bị bắt. Các công ty và báo chí cũng cần phải thừa nhận công lao của những nhóm hacker này.

Bởi vì theo Mickos, hacker chính là những người sẽ giải cứu thế giới và giúp bảo vệ cộng đồng khỏi những ý đồ xấu.
 

Nguồn: Mashable

VIẾT BÌNH LUẬN CỦA BẠN:

Sản phẩm đã được thêm vào giỏ hàng

popup

Số lượng:

Tổng tiền:

Sale

Không sẵn có

Hết hàng