Bạn có biết hacker mũ trắng là ai và cuộc sống của họ như thế nào?

Trong thời gian qua, các doanh nghiệp, người dùng phải liên tục phải đối mặt với những vụ tấn công qua mạng với quy mô lớn, điển hình như vụ tấn công mạng WannaCry vào tháng 5/2017, hay mới đây là vụ tấn công DDoS khiến nhiều website lớn tại Mỹ tê liệt, chưa kể hàng nghìn trường hợp người dùng bị đánh cắp thông tin thẻ tín dụng rồi những cú lừa đảo hệ thống thanh toán tại cửa hàng, nhà hàng, đơn vị bản lẻ... Gây ra những điều phiền toái này, không ai khác chính là những hacker mũ đen với kinh nghiệm và kiến thức vốn có, những hacker này khiến cho các doanh nghiệp phải khốn đốn. Tuy nhiên, trên chiến tuyến này vẫn luôn tồn tại chính nghĩa, vẫn còn những anh hùng mang tên hacker mũ trắng thầm lặng ngày đêm chiến đấu chống lại những vụ tấn công này.

Những hacker mũ trắng có kinh nghiệm và chuyên môn chẳng kém gì những hacker mũ đen, thế nhưng thay tìm cách đi tấn công hệ thống thì họ lại dành thời gian để nghiên cứu, ngăn chặn, phòng ngừa cũng như báo lỗi cho chủ các hệ thống về lỗ hổng bảo mật trước khi nó bị kẻ xấu lợi dụng.

Kể từ năm 1983, một số công ty, tổ chức đã treo giải kêu gọi những hacker nào có thể tìm được lỗi trong một số hệ thống, trình duyệt và đã có rất nhiều người nhận được giải thưởng từ các chương trình này. Vài năm sau đó, các trương trình này được phát triển rộng hơn, đỉnh điểm là năm 2011 khi Google triển khai một "gói hỗ trợ thử nghiệm mới" cho những nhóm/ cá nhân nào phát hiện được lỗi của Chromium (Chromium chính là phiên bản nền tảng của Chrome) sẽ nhận được giải thưởng lên tới 1337$ cho các lỗ hổng nghiêm trọng và 500$ cho những lỗi bảo mật khác.

Hiện nay một số công ty công nghệ lớn như Snapchat, Dropbox, Tinder và Starbucks cũng đưa ra các chương trình với mức giải thưởng lên tới hàng nghìn đô la, với phương pháp này vừa giúp họ tuyển dụng được nhân tài, lại còn có thể bảo mật cho công ty.

Những hacker mũ trắng họ là ai?

Theo báo cáo của HackerOne - một nền tảng chuyên thưởng tiền cho hacker khi họ báo cáo lỗ hổng bảo mật cho chủ sở hữu hệ thống - đa số hacker mũ trắng sinh hoạt trên nền tảng này sống tại Ấn Độ (23%) và Mỹ (20%), ở Nga có 6%, Pakistan là 4% và Anh là 4%. Họ xuất phát từ nhiều môi trường giáo dục khác nhau: 58% hacker tự học, 50% đã từng học khoa học máy tính ở đại học, 26,4% từng học môn này ở trường cấp 3. 90% số hacker mũ trắng của HackerOne dưới 35 tuổi, 50% dưới 25 và 8% dưới 18 tuổi.

Tuy xuất phát điểm khác nhau, nhưng những con người này lại cùng có điểm chung đó là cực kỳ tò mò. Những hacker mũ trắng này thường làm việc rất kín tiếng, luôn tự tìm tòi những lỗ hổng sau đó báo cáo đến những công ty, doanh nghiệp để nhận được thù lao xứng đáng. Hầu hết những hacker mũ trắng này thường bắt đầu khi còn rất trẻ.

Jack Cable một nhân vật điển hình trong giới hacker mũ trắng này. Anh bắt đầu học lập trình từ khi 12 tuổi thông qua các video trên Youtube. Cũng như các học sinh khác Cable cũng phải làm bài tập và thi các cuộc thi toán của trường cấp 3. Thế nhưng, nhờ có vốn hiểu biết về lập trình Cable vô tình phát hiện được hơn 200 lỗ hổng của khoảng 50 công ty khác nhau, trong đó có những công ty lớn như Uber, Bitcoin Exchange, thậm chí cả Không quân Mỹ.

Ngoài thời gian lên lớp, Cable dành hầu hết thời gian còn lại để phục vụ cho cộng đồng. Hằng ngày Cable thường dạo chơi ở một forum có khoảng 150 hacker, tại đây những hacker thường chia sẻ, trò chuyện với nhau về những kỹ thuật hack mới, bắt tay cùng nhau tìm lỗ hổng bảo mật ngay cả khi họ thường cạnh tranh nhau để nhận giải thưởng.

Ngoài Cable thì giới hacker mũ trắng cũng biết đến Sean Melia một kĩ sư bảo mật lâu năm của công ty Gotham Digital Science là người dò ra được hơn 30 lỗi của Yahoo và bỏ túi hơn 22.000$. Sau lần đầu tiên đấy, Melia bắt đầu đam mê hơn và dành nhiều thời gian để làm việc này, sau giờ làm việc, anh bắt đầu chui lên mạng để tiếp tục tìm lỗi và đã phát hiện hơn 800 vấn đề của hơn 50 công ty từ Uber, Twitter cho đến Starbucks.

Để giỏi trong vụ này, ngoài phần thưởng lớn thì Melia cho rằng mỗi người phải có lòng đam mê, bởi khi yêu thích một thứ gì đó bạn sẽ đi được xa hơn và thành công hơn.

Các doanh nghiệp lý giải về việc thường xuyên treo giải cho các hacker mũ trắng là bởi, "những người trong chăn thường không biết được chăn có giận" chính vì thế họ khó có thể tìm thấy lỗ hổng xuất phát từ bên trong. Những hacker ở bên ngoài có thể có nhiều kinh nghiệm hơn, sáng tạo hơn và tìm được những ngóc ngách mà nhân viên của chính công ty đó không thể thấy.

Quy trình dò bug

Có rất nhiều cách để các hacker mũ trắng tìm ra các lỗ hổng, với Melia anh phát hiện ra một cách vô cùng tình cờ. Cũng như mọi ngày, Melia dùng app Stackbucks để mua hàng, và khi đặt cà phê anh nhận thấy rằng nếu anh đổi mã đơn hàng của mình thì anh có thể chỉnh sửa luôn đơn hàng của người khác. Điều này cho phép anh gửi cà phê đến nhà của người lạ, hay lấy đơn hàng của người khác tự gửi cho mình, như vậy anh sẽ có cà phê uống miễn phí. Sau đó Melia đã báo lỗi này và nhận được vài nghìn đô tiền thưởng.

Đối với Cable thì quy trình dò bung của anh chính là liên tục thử nghiệm, liên tục tìm kiếm càng chuyên sâu bạn sẽ phát hiện ra có nhiều lỗ hổng thú vị hơn bạn nghĩ. Tuy nhiên quá trình này cần thời gian và sự kiên trì. Vậy nên hãy không ngừng cố gắng, bạn sẽ đạt được thành công.

Riêng với Melia anh lại thích cách "black box", tức là khi anh mở một ứng dụng hay trang web, anh sẽ dùng nó như một người dùng bình thường, sau đó anh sẽ thử tìm cách chỉnh sửa nội dung hay những thứ hiện trên app theo hướng mà app không được thiết kế để làm. Trong lúc đó, anh tìm hiểu thêm nhiều thông tin về công ty nhất có thể: mạng lưới của họ rộng đến cỡ nào, họ nhắm đến tập khách hàng ra sao, vị trí như thế nào, các cấu trúc của app/ web có gì lạ không...

Tương lai

Hiện nay có rất nhiều người có kỹ năng rất tốt, thế nhưng họ lại không làm những việc này bởi họ không muốn mang danh là hacker. Bởi truyền thông cũng như nhiều người chưa hiểu hết về hacker, họ sẽ đánh đồng tất cả và cho rằng hacker nào cũng là người xấu. Bên cạnh đó nhiều nơi ban hành những bộ luật khiến họ hoài nghi về cộng đồng hacking. Như bộ luật chống lừa đảo máy tính năm 1980 mô tả khái niệm "lừa đảo bằng máy tính" theo cách có thể được mở rộng ra và bao hàm luôn cả những việc mà nhóm hacker mũ trắng đang làm, dẫn đến họ có khả năng bị phạt khoản tiềng lớn hay thậm chí đi tù. Những rào cản như thế này khiến hacker không muốn chia sẻ những thứ mình tìm thấy, và cũng không giúp được nhiều cho cả ngành bảo mật.

Xem thêm:

• Ngoài hacker mũ trắng và hacker mũ đen, giới hacker còn những màu mũ nào nữa? Có công việc chân chính nào dành cho họ không?
• Những "quái kiệt" hacker mũ trắng
• Alibaba cùng bức tường thành kiên cố do Jack Ma tạo ra khiến giới hacker Trung Quốc phải khiếp sợ