Phỏng vấn hacker tấn công MySpace

Nếu Samy Kamkar cư xử tốt thì cậu có thể được phép truy cập MySpace trở lại sau vài tháng nữa. Nhưng ngay lúc này thì cậu thậm chí không được phép sờ vào máy tính sau khi bị buộc tội vì đã tạo ra sâu Web 2.0 đầu tiên: sâu Samy.

Con sâu của Samy không độc hại, nhưng nó đã buộc mạng xã hội MySpace của tập đoàn News phải ngắt tạm thời hồi cuối năm 2005. Con sâu đã “ép” hơn một triệu thành viên MySpace tung hô Samy là “anh hùng” trong trang thông tin cá nhân của họ.

Tuần trước, Samy, 21 tuổi, xuất hiện trước công chúng lần đầu tiên kể từ khi bị buộc tội, tại hội thảo OWASP App Sec 2007, do eBay tổ chức ở San Jose, California (Mỹ). Cậu được đối xử như một ngôi sao tại buổi lễ.

IDG News Service (IDGNS) đã phỏng vấn Samy về cuộc sống của cậu kể từ khi bị bắt và kế hoạch khi cậu được lên mạng trở lại.

IDGNS: Bạn nghĩ gì khi viết sâu Samy?

Samy Kamkar: Khi tôi viết con sâu đó, thì về cơ bản nó không phải là một con sâu. Ban đầu tôi chỉ định “chuốt” lại thông tin cá nhân ở MySpace. Tôi cũng muốn thể hiện với một số bạn bè, thế nên tôi nghĩ: "Chẳng phải sẽ rất hay nếu mình làm điều này sao? Chuyện gì sẽ xảy ra nếu mình làm một vài người trong số thành viên tự động thêm mình vào danh sách bạn bè?"

Và rồi tôi tự hỏi: "Nếu mình khiến họ phải gọi mình là một anh hùng thì sao?". Thế là tôi viết một đoạn mã ngắn để kết quả là mỗi khi ai đó xem thông tin cá nhân của tôi, họ sẽ tự động thêm "Nhưng trên hết, Samy là anh hùng của tôi" vào đoạn cuối của mục “anh hùng” trong thông tin cá nhân của họ.

Và sau cùng, tôi nghĩ: "Nếu mình có thể biến người này thành bạn, nếu mình có thể biến mình thành anh hùng của họ, sao mình lại không thể copy đoạn mã này lên trang thông tin cá nhân của họ?".

Tôi không nghĩ đấy là chuyện lớn nên đã thử. Tôi nghĩ có lẽ ngày mai mình sẽ có thêm một người bạn và vài người nữa sau đó. Mọi việc diễn ra rất nhanh. Thực ra, MySpace rộng lớn hơn tôi tưởng.

IDGNS: Viết sâu khó đến mức nào?

Samy Kamkar: Tôi không phải là một chuyên gia bảo mật ứng dụng web nhưng tôi quan tâm đến bảo mật và tôi quan tâm đến ứng dụng web.

Là một lập trình viên thì học cách dùng AJAX không quá vất vả, nó giúp ích nhiều trong việc viết sâu và thực sự phát tán rất nhanh. Chỉ mất có vài ngày để viết từ đầu đến cuối và chỉ đến ngày cuối cùng tôi mới biết đấy có thể là một con sâu.

IDGNS: Theo bạn, liệu viết một con sâu khác trên MySpace hiện nay có dễ không?

Samy Kamkar: Hiện nay thì viết một con sâu MySpace khó hơn rất nhiều vì họ đã tăng cường bảo mật, nhưng việc này vẫn luôn luôn khả thi và có nhiều trang khác vẫn mắc những lỗi này. Vì vậy mọi chuyện vẫn có thể xảy ra.

Một đoạn mã của sâu Samy . Ảnh từ hãng bảo mật F-Secure

Tôi nghĩ là sẽ có thêm nhiều sâu xuất hiện. Tôi được biết rằng nhiều sâu đang cố phát tán dựa trên mã mà tôi đã viết và chỉ sửa đổi chút ít. Thật may là các cải tiến về bảo mật đã thật sự hạn chế được hoạt động của chúng. Nhưng, từ giờ trở đi, tôi cho là sâu sẽ càng ngày càng mạnh hơn.

IDGNS: Cuộc sống của bạn ra sao từ khi bị buộc tội hồi cuối tháng 1?

Samy Kamkar: Cuộc sống của tôi đã khác đi chút ít. Tôi bị hạn chế về máy tính, tôi chỉ có thể dùng máy tính cho công việc. Tôi cũng lao động công ích và đang trong thời gian thử thách. Tức là bản án rất nhẹ nhàng.

IDGNS: Con sâu mà bạn viết thật ra không độc hại. Nó chỉ làm bạn thực sự nổi tiếng trên MySpace. Bạn cảm thấy thế nào khi bị khởi tố?

Samy Kamkar: Vâng, tôi không có ý định xấu khi viết con sâu đó. Tôi hiểu rằng đây là một ví dụ điển hình về những điều không nên làm, thế nên tôi nghĩ nếu tôi ở địa vị của họ, có thể tôi cũng sẽ làm điều tương tự.

Có thể tôi sẽ nói: "À, gã này gan đây. Hắn đang thể hiện, hack một trang web thế này này và viết một con sâu thế này này, và chúng tôi muốn chắc chắn rằng mọi người sẽ không làm thế".

Và tôi đồng ý rằng người ta không nên làm điều đó và đáng ra tôi không nên phát tán nó. Đại khái là tôi nhìn chuyện này từ cả hai phía.

IDGNS: Bạn có hối tiếc vì đã làm thế không?

Samy Kamkar: Tôi ước gì có thể rút lại hành động của mình.

IDGNS: Điều đầu tiên bạn sẽ làm khi được tự do dùng máy tính trở lại là gì?

Samy Kamkar: Điều đầu tiên tôi sẽ làm khi được tự do dùng máy tính trở lại có thể là quay về phát triển trang web (MySpace) và viết các dự án thú vị với tôi, và không độc hại. Sẽ không có sâu nữa.

IDGNS: Nếu MySpace muốn bạn làm việc cho họ thì bạn có đồng ý không?

Samy Kamkar: Tôi nghĩ là trong tương lai thì tôi sẽ rất vui được cộng tác vì họ đang cung cấp một địa chỉ khá thú vị. Ngay lúc này thì tôi đang tham gia một dự án với một công ty, nhưng trong tương lai, đó chắc chắn là một lựa chọn.

Đông Quang