Các hacker mũ trắng săn lùng hacker mũ đen bằng cách nào?

Khi xảy ra một cuộc tấn công an ninh mạng, những hacker mũ trắng, những nhà điều tra sẽ đóng vai các thám tử trên không gian mạng. Giống như các thám tử ngoài đời thực, họ sẽ phải kiểm tra hệ thống máy tính, mạng để tìm ra cách hacker mũ đen xâm nhập vào hệ thống.

Họ phải tìm kiếm bằng chứng mà hacker mũ đen bỏ lại giống như những dấu vân tay hay vết chân ngoài đời. Họ cũng phải cố gắng xác định những gì đã bị hacker mũ đen sao chép hoặc lấy cắp.

Vậy cụ thể các hacker mũ trắng tìm ra hacker mũ đen bằng cách nào? Họ là những ai và họ phải làm những gì? Bài viết này sẽ cho bạn câu trả lời.

Phát hiện xâm nhập

Thông thường, một cuộc điều tra bắt đầu khi ai đó hoặc thứ gì đó phát hiện ra sự xâm nhập trái phép. Hầu hết các hệ thống máy tính hiện đại đều có hệ thống phát hiện xâm nhập giúp các quản trị viên có thể theo dõi mọi thứ. Giống như chuông báo động, phần mềm phát hiện xâm nhập sẽ theo dõi các khu vực nhạy cảm, nơi lưu trữ dữ liệu quan trọng...

Khi phát hiện ra hoạt động bất thường, ví dụ như truy cập trái phép hoặc lưu lượng tới máy chủ bên ngoài tăng đột biến, hệ thống sẽ cảnh báo cho quản trị viên. Quản trị viên là những người đầu tiên phản ứng với các cuộc tấn công an ninh mạng. Họ sẽ phải xem xét các thông báo và cố gắng tìm hiểu điều gì đang diễn ra cũng như tìm cách ngăn chặn.

Phản ứng ngay lập tức

Trong quá trình điều tra ban đầu, các thám tử online sẽ tập trung vào việc thu thập, sắp xếp và phân tích một lượng lớn dữ liệu internet. Điều tra thiết bị mạng máy tính và máy chủ, họ sẽ tìm được hồ sơ về những người kết nối, kết nối tới từ đâu và hacker làm gì trên hệ thống.

Tùy thuộc vào kết quả phân tích, quản trị viên có thể khắc phục sự cố ngay lập tức bằng cách chặn một người dùng cụ thể đăng nhập vào mạng hoặc chặn truy cập mạng từ một nơi cụ thể. Nhưng với những vấn đề phức tạp, quản trị viên sẽ phải gọi người tri viện.

Thông thường, các quốc gia sẽ có đội phản ứng an ninh mạng riêng. Nhóm này tập trung các chuyên gia an ninh mạng hàng đầu của đất nước cũng như các hacker mũ trắng tài năng. Họ được đào tạo và có kỹ năng xâm nhập, họ hiểu hệ thống mạng, hệ thống máy tính. Quan trọng hơn, họ có đầu óc nhạy bén nên có thể áp dụng kỹ năng của họ vào các tình huống mới một cách hiệu quả, nhanh chóng.

Khi được yêu cầu, họ sẽ tiến hành các cuộc điều tra pháp y kỹ thuật số quy mô lớn. Các phần mềm, mã độc mà hacker mũ đen dùng trong cuộc tấn công cũng sẽ bị phân tích một cách kỹ càng. Thông thường, nhóm chuyên gia và hacker mũ trắng sẽ tìm cách để ngăn chặn cuộc tấn công và đưa ra giải pháp để hệ thống không bị những kiểu tấn công tương tự trong tương lai. Tuy nhiên, trong một số trường hợp họ được cho phép săn lùng các hacker mũ đen.

Phân tích chuyên sâu

Rất khó để xác định danh tính hoặc vị trí của tội phạm mạng vì không thể thu thập hay quan sát được bằng chứng vật lý. Các hacker mũ đen cũng có thể xóa dấu vết kỹ thuật số của chúng. Vì thế, nhóm điều tra sẽ phải dùng nhiều kỹ thuật khác nhau để xem xét kỹ lượng bất kỳ tập tin hoặc dữ liệu nào mà hacker mũ đen bỏ lại hoặc bị đánh cắp nhưng sau đó được phát tán ra internet.

Nhóm điều tra có thể phân tích ngữ pháp được sử dụng trong các dòng chú thích trong code phần mềm. Các nhà phát triển thường dùng chú thích để code trở nên mạch lạc hơn, dễ hiểu hơn với các nhà phát triển khác. Tiếp theo, nhóm điều tra có thể kiểm tra metadata để xem văn bản có bị dịch từ ngôn ngữ này sang ngôn ngữ khác hay chưa.

Ví dụ, trong vụ văn phòng Đảng Dân Chủ (DNC) Mỹ bị hack, các chuyên gia của Mỹ đã tiếp cận được các tập tin bị hacker công bố trên Wikileaks. Metadata của những tập tin đó cho thấy một số tập tin văn bản đã được chuyển từ ký tự Cyrillic trong bảng chữ cái của Nga sang ký tự Latin trong bảng chữ cái tiếng Anh.

Nhóm điều tra còn có thể xác định các tham chiếu văn hóa, xã hội để tìm manh mối về kẻ tấn công. Cá nhân hoặc tổ chức hack vào DNC sử dụng biệt danh Guccifer 2.0 và tự nhận là người Romania. Nhưng hắn ta lại không thể nói trôi chảy tiếng Romania vì thế hắn không thể là người gốc Romania. Ngoài ra, Guccifer 2.0 đã sử dụng một biểu tượng mặt cười khác với người Mỹ. Thay vì gõ phím ":)", Guccifer 2.0 chỉ gõ ")" bỏ đi dấu hai chấm. Điều này cho thấy nhiều khả năng hắn ta là người Đông Âu.

Bên cạnh đó, những chuyên gia an ninh mạng có kinh nghiệm còn tự xây dựng lợi thế cho mình bằng cách liên tục theo dõi các mối đe dọa an ninh mạng trên toàn cầu. Ví dụ, Microsoft có một nhóm riêng, chuyên theo dõi mọi hoạt động của những nhóm hacker, hacker nguy hiểm trên thế giới. Nhờ vậy, họ luôn chủ động trong việc phản ứng, phòng thủ những hệ thống quan trọng.

Một lợi thế khác của các chuyên gia bảo mật, hacker mũ trắng, đó là họ có sự phối hợp, hợp tác trên toàn cầu. Trong khi đó, những tên tội phạm mạng, hacker mũ đen, thường làm việc đơn lẻ hoặc theo nhóm nhỏ. Khi có bất cứ manh mối nào, các hacker mũ trắng thường chia sẻ với nhau để mau chóng lần ra kẻ đứng đằng sau một vụ tấn công cụ thể.

Thông thường, các báo cáo từ những cuộc điều tra sẽ chỉ đưa ra manh mối hoặc gợi ý như có thể kẻ tấn công là người Nga hoặc kẻ tấn công sử dụng bàn phím có các ký tự tiếng Hàn... Chỉ khi có kết luận rõ ràng, không thể bác bỏ, nhóm điều tra mới trực tiếp buộc tội kẻ tấn công cụ thể.

Sau khi buộc tội kẻ tấn công, tất cả thông tin mà nhóm điều tra có sẽ được  công khai. Điều này giúp tăng độ tin cậy cho kết quả và để cộng đồng cùng đánh giá xem kết quả có hợp lý không, có tồn tại lỗ hổng nào không. Ngoài ra, việc chia sẻ kiến thức với cộng đồng còn giúp các cuộc điều tra sau này diễn ra dễ dàng hơn.

Những hacker mũ đen nguy hiểm có thể viết code tự hủy, giả mạo địa chỉ web, định tuyến các cuộc tấn công thông qua những tài khoản vô can và giả vờ như chúng đang ở nhiều quốc gia cùng lúc. Tuy nhiên, vỏ quýt dày có móng tay nhọn, với sự hợp tác của cơ quan chức năng và các hacker mũ trắng, rất nhiều hacker mũ đen đã bị bắt giữ,

• Ngoài hacker mũ trắng và hacker mũ đen, giới hacker còn những màu mũ nào nữa? Có công việc chân chính nào dành cho họ không?