Hacker mũ trắng, từ niềm đam mê đến nghề kiếm cơm, và những điều ít được biết tới

Một ngày nọ, ở một khu phố yên bình, có một vài thanh niên rảnh rỗi, sở hữu kỹ năng công nghệ thông tin kha khá và đặc biệt đam mê tìm tòi, khám phá những hệ thống bảo mật tinh vi, đã bẻ gãy thành công hàng rào bảo vệ của một hệ thống khóa thông minh smart lock, vốn được sử dụng phổ biến trong những căn hộ hiện đại ngày nay và tỏ ra hiệu quả, tiện lợi hơn nhiều so với với loại khóa cửa truyền thống.

Tuy nhiên việc xuyên thủng lớp bảo mật bằng code “mỏng manh” đó không phải là mục đích thực sự của các thanh niên này. Nói đúng hơn, đó chỉ là một bước cần thiết để họ có thể xâm nhập được vào “smart hub” - trung tâm của hệ thống điều khiển thông minh - nơi điều tiết hoạt động của hệ thống khóa thông minh này (và cả những loại khóa thông minh khác tương tự), đang được sử dụng trong hàng triệu ngôi nhà trên khắp hành tinh. Và họ chỉ mất 2 ngày để lọt được vào hệ thống này.

Smart lock - thiết bị nhà thông minh đang ngày càng được sử dụng phổ biến - không an toàn như nhiều người vẫn tưởngSmart lock - thiết bị nhà thông minh đang ngày càng được sử dụng phổ biến - không an toàn như nhiều người vẫn tưởng

Khi Charles Dardaman, một hacker ngoài 20 tuổi - đồng thời cũng là con nghiện game có tiếng, còn sống ở Dallas, Hoa Kỳ, anh ta và người bạn thân của mình, Jason Wheeler, một chuyên gia bảo mật thông tin trẻ tuổi, đã cùng nhau xâm nhập vào trung tâm điều khiển của một hệ thống smart lock. Tại đây, cả hai đã tìm thấy mật khẩu quản trị viên được mã hóa cứng trên thẻ nhớ của nó. Điều này có giá trị hơn nhiều so với việc chỉ bẻ khóa bảo mật và tự đột nhập vào hệ thống smart lock đó.

Smart hub mà Charles Dardaman và Jason Wheeler đã xâm nhập vào chính là của Zipato, một công ty đang hoạt động trong lĩnh vực công nghệ nhà thông minh, hiện đang kiểm soát và điều hành nhiều hệ thống tiện ích từ khóa cửa thông minh đến bộ điều nhiệt và hệ thống bảo mật gia đình. Việc giành được quyền truy cập cấp quản trị viên vào smart hub cũng giống như nắm trong tay chìa khóa mở cửa bất kỳ ngôi nhà nào đang sử dụng công nghệ smart lock của Zipato.

Đến đây, nhiều người có lẽ đã nghĩ rằng Charles Dardaman và Jason Wheeler sẽ cùng nhau tìm đến những ngôi nhà đang sử dụng khóa thông minh Zipato, dùng key bảo mật mà mình vừa hack được, mở cửa và “chôm chỉa” thứ gì đó. Hay tệ hơn là rao bán những phát hiện của mình trên thị trường chợ đen và thu lời bất chính. Nhưng không, 2 thanh niên trẻ tuổi này không những không có ý đồ bất chính, mà còn quyết định báo cáo toàn bộ chi tiết liên quan đến vụ “vi phạm" mình đã thực hiện cho Zipato để công ty này có phương án khắc phục, tránh thiệt hại đáng tiếc. Đó chính là hành động của những “tin tặc” có đạo đức, hay còn được biết đến với cái tên: Hacker mũ trắng.

Tài khoản Twitter của Charles Dardaman, hacker mũ trắng trẻ tuổi đang rất được yêu mếnTài khoản Twitter của Charles Dardaman, hacker mũ trắng trẻ tuổi đang rất được yêu mến

Vậy cụ thể Hacker mũ trắng là gì? Trước tiên phải khẳng định Hacker mũ trắng là những người đứng về chính nghĩa, đối lập hoàn toàn với Hacker mũ đen. Hacker mũ trắng là những chuyên gia an ninh mạng có kinh nghiệm và chuyên môn chẳng kém gì những hacker mũ đen, thế nhưng thay vì tìm cách tấn công hệ thống nhằm thu lợi trái phép thì họ lại dành thời gian để nghiên cứu, ngăn chặn, phòng ngừa cũng như báo lỗi cho chủ các hệ thống về lỗ hổng bảo mật trước khi nó bị kẻ xấu lợi dụng.

Theo thống kê của HackerOne - một nền tảng chuyên thưởng tiền cho hacker khi họ báo cáo lỗ hổng bảo mật - đa số hacker mũ trắng đang hoạt động nền tảng này sống tại Ấn Độ (23%) và Mỹ (20%), 6% ở Nga, 4% ở Pakistan, và ở Anh là 4%. Họ xuất phát từ nhiều môi trường giáo dục khác nhau, trong đó chủ yếu là tự học (58%), trong khi một số từng học chuyên ngành khoa học máy tính ở trường đại học hoặc trường trung học phổ thông. Đa số hacker mũ trắng đều là những người trẻ tuổi, 90% hacker mũ trắng trên HackerOne sở hữu tuổi đời dưới 35, 50% dưới 25 và 8% dưới 18 tuổi.

Dardaman và Wheeler cũng chính là những hacker mũ trắng - những người đột nhập vào một hệ thống với mong muốn giúp hệ thống đó trở nên toàn hơn. Bên cạnh những hacker mũ trắng tự do như Dardaman và Wheeler, nhiều cá nhân khác làm việc cho các cơ quan chính phủ hoặc các tập đoàn, doanh nghiệp lớn. Họ đôi khi còn được gọi chung là các chuyên gia bảo mật - an ninh mạng.

Hacker mũ trắng là những người đứng về chính nghĩa - trái ngược hoàn toàn với hacker mũ đenHacker mũ trắng là những người đứng về chính nghĩa - trái ngược hoàn toàn với hacker mũ đen

Tuy hoạt động của các hacker mũ trắng là không vi phạm pháp luật và mang màu sắc chính nghĩa, nhưng điều đó không có nghĩa là tất cả mọi hành vi xâm nhập hệ thống của họ đều được ủy quyền một cách nghiêm ngặt. Trong khi nhiều hacker mũ trắng làm việc theo “đơn đặt hàng”, yêu cầu họ kiểm tra các lỗ hổng của một công ty cụ thể nào đó, thì một số người như Dardaman và Wheeler lại dành nhiều ngày, thậm chí nhiều tháng trời để tìm cách đột nhập vào một hệ thống, theo đuổi các dự án phi chính thức, điều này đôi khi khiến họ gặp phải những rắc rối không đáng có với chủ sở hữu hệ thống mục tiêu.

Trở lại với phi vụ hack smart hub Zipato của 2 chàng thanh niên trẻ. Ban đầu họ không hề có ý tưởng thực hiện một phi vụ như vậy, suy nghĩ đó chỉ xuất hiện khi cả hai đọc được câu chuyên của một chuyên gia bảo mật thông tin giàu kinh nghiệm có tên Lesley Carhart. Số là Lesley Carhart sống trong một căn hộ chung cư cho thuê, một ngày đẹp trời, chủ căn hộ quyết định đổi sang sử dụng khóa cửa thông minh để đảm bảo an toàn, Lesley đương nhiên không phản đối nhưng cô đã gặp không ít phiền toái trong khi học cách sử dụng hệ thống “hiện đại hại điện này”. Tức mình, cộng thêm tính ham học hỏi và tài năng công nghệ thông tin thiên bẩm, nữ chuyên gia bảo mật này đã quyết định hack luôn hệ thống khóa thông minh mới lắp. Chính câu chuyện hài hước nhưng không kém phần "ngầu" này đã truyền cảm hứng cho Dardaman và Wheeler.

Dardaman và Wheeler đã “đột nhập” vào hệ thống smart hub của Zipato để chứng minh rằng mối lo ngại của Lesley Carhart về những lỗ hổng bảo mật trong các hệ thống smart lock, thiết bị vốn được thiết kế để nâng cao sự an toàn, nay lại trở nên kém an toàn hơn, là hoàn toàn có cơ sở.

Vụ việc sau đó đã được diễn đàn công nghệ TechCrunch chia sẻ và tin tức ngay lập tức lan truyền. Một sự thật khác được phơi bày, các công ty hiện đang tập trung quảng bá sự tuyệt vời của công nghệ nhà thông minh mà ngó lơ đến việc nâng cao bảo mật, bởi có lẽ họ không nghĩ rằng những điểm yếu trên sản phẩm của mình lại bị phơi bày nhanh đến vậy.

Những phi vụ “hack có đạo đức” như vậy có ý nghĩa thực sự quan trọng đối với sự an toàn của mọi người, cũng như các doanh nghiệp liên quan.

Vào năm 2015, một nhóm tin tặc đã xâm nhập thành công vào hệ thống quản lý và chiếm quyền điều khiển từ xa một chiếc xe Jeep khi nó đang chạy trên đường - hành vi cực kỳ nguy hiểm, khiến hãng Chrysler phải ra quyết định thu hồi 1.4 triệu chiếc xe để sửa lỗi.

Năm 2018, một nhóm hacker mũ trắng đến từ tổ chức bảo mật Anonymous Calgary Hivemind đã âm thầm xâm nhập vào phần mềm hệ thống camera an ninh của Nest để cảnh báo mọi người về các lỗ hổng tiềm tàng - khiến khách hàng của Nest lo lắng, buộc công ty này phải vá lỗi hệ thống cũng như khuyến khích người dùng áp dụng phương thức xác minh 2 yếu tố.

Hay như trường hợp xảy ra hồi đầu năm nay, một nhóm hacker mũ trắng ẩn danh đã tiết lộ một loạt lỗ hổng bảo mật trong các thiết bị y tế hỗ trợ cấy ghép tim của công ty Medtronic, có thể cho phép kẻ tấn công kiểm soát thiết bị từ xa, gây nguy hiểm cho bệnh nhân. Ngay sau đó, Medtronic đã buộc phải giải trình sự việc trước Cục Quản lý Thực phẩm và Dược phẩm Hoa Kỳ (FDA) và tung ra bản vá lỗ hổng.

Mối quan hệ giữa hacker mũ trắng và những công ty sở hữu sản phẩm mà họ đã tìm ra lỗ hổng đôi khi không được suôn sẻ cho lắm.Mối quan hệ giữa hacker mũ trắng và những công ty sở hữu sản phẩm mà họ đã tìm ra lỗ hổng đôi khi không được suôn sẻ cho lắm.

Trên đây chỉ là những ví dụ nhỏ về đóng góp của hacker mũ trắng cho sự an toàn của mọi người, cũng như góp phần nâng cao chất lượng sản phẩm, dịch vụ. Nếu những lỗ hổng bảo mật đó không được tìm ra và báo trước khi bị kẻ xấu tận dụng, hậu quả sẽ rất khó lường.

Tuy nhiên mối quan hệ giữa các hacker có đạo đức này và những công ty sở hữu sản phẩm mà họ đã xâm nhập đôi khi không được suôn sẻ cho lắm. Trong khi một số tổ chức, doanh nghiệp luôn đánh giá cao hoạt động của hacker mũ trắng và coi đây là những đóng góp quý báu giúp mình hoàn thiện sản phẩm, thì cũng có không ít công ty khác coi hacker nói chung là kẻ thù, và hầu như không phân biệt nổi giữa hacker mũ trắng và tội phạm mạng. “Đối với nhiều công ty, họ thà nộp phạt hoặc thậm chí hy sinh lợi ích của khách hàng thay vì đầu tư sửa lỗ hổng bảo mật” một hacker mũ trắng giấu tên cho biết. Trong bối cảnh mà chế tài, quy định về vấn đề này vẫn chưa được ban hành đầy đủ như hiện nay, sự chú ý của truyền thông và áp lực từ dư luận vẫn sẽ đóng vai trò như một biện pháp tối ưu nhất để buộc doanh nghiệp phải thực thi chính sách bảo mật một cách hợp ý, tôn trọng quyền lợi khách hàng.

Ngược lại đối với Dardaman, vi phạm pháp luật để trục lợi cá nhân, chẳng hạn như tìm ra lỗ hổng để tống tiền doanh nghiệp, chưa bao giờ là một lựa chọn đáng để tâm. “Tôi muốn có một cuộc sống bình thường, làm điều mà mình cho là có ý nghĩa, và giúp đỡ mọi người”, hacker trẻ tuổi cho biết.

Cơ may dẫn dắt Dardaman trở thành một hacker mũ trắng cũng khá tình cờ. Trong kì nghỉ hè sau khi đã tốt nghiệp trung học phổ thông và chuẩn bị bước vào đại học, cậu thanh niên trẻ rảnh rỗi cả ngày và đã thử viết phần mềm gian lận cho tựa game Minecraft. Dardaman chỉ định viết chơi để xem khả năng của mình đến đâu nhưng “trời xui đất khiến” thế nào lại thành công. Từ đó anh bắn đầu quan tâm nhiều hơn đến việc tự mình tìm ra cách thức xâm nhập vào một hệ thống.

Thời gian dần trôi, nuôi dưỡng niềm đam mê của Dardaman với cuộc sống của một hacker, và cho đến khi cầm trên tay tấm bằng tốt nghiệp đại học chuyên ngành công nghệ thông tin, anh đã thực sự nhận ra rằng mình chắc chắn sẽ phải trở thành một hacker mũ trắng, nghề chọn người, không thể nào khác được.

Hiện Charles Dardaman đang làm việc tại Critical Start, một công ty môi giới trung gian, chuyên giúp các hacker mũ trắng ký hợp đồng giám sát bảo mật cho các tập đoàn thương mại và ngân hàng lớn. Những công ty như Critical Start là một phần của “ngành công nghiệp bảo mật thông tin” - một lĩnh vực mới nổi và đang có tốc độ phát triển nhanh chóng, song hành với thực trạng các cuộc tấn công mạng đang ngày càng gia tăng cả về số lượng, mức độ phức tạp và thiệt hại mà chúng gây ra như nhiều năm trở lại đây.

Lĩnh vực này đã xuất hiện từ lâu nhưng mới chỉ manh nha phát triển vào đầu những năm 2000 như một phương án đối phó với các vụ vi phạm dữ liệu thời kỳ tiền bùng nổ internet toàn cầu hóa, và sự ra đời của các phương tiện truyền thông xã hội cũng như bán lẻ trực tuyến. Ở thời điểm đó, việc hacker mũ đen “rửa tay gác kiếm, cải tà quy chính” sang làm hacker mũ trắng sau khi đã bị bắt hoặc chịu án phạt là điều cực kỳ khó xảy ra, đôi khi còn được coi là bất thường. Còn bây giờ, những trường hợp như vậy không hề hiếm, chẳng hạn như trường hợp của “người hùng WannaCry” Marcus “MalwareTech” Hutchins. Marcus Hutchins xuất thân là một tên tội phạm mạng, đã từng bị FBI bắt giữ với các cáo buộc liên quan đến hành vi tạo và phát hành các loại mã độc khác nhau nhằm ăn cắp tiền trong các ngân hàng vào năm 2014, nhưng sau đó đã “cải tà quy chính” và trở thành một nhà nghiên cứu bảo mật nổi tiếng, đóng vai trò quan trọng trong chiến dịch ngăn chặn các cuộc tấn công của mã độc WannaCry vào năm 2017.

Người hùng WannaCry” Marcus “MalwareTech” Hutchins, người đã từng đổi màu mũ thành công và được cộng đồng yêu mếnNgười hùng WannaCry” Marcus “MalwareTech” Hutchins, người đã từng đổi màu mũ thành công và được cộng đồng yêu mến

Với những người trẻ muốn trở thành hacker mũ trắng như Dardaman, hoàn toàn có thể dễ dàng đăng ký tham gia các khóa học hack đạo đức ở trường, hoặc online, và nhận chứng chỉ trực tuyến về an ninh mạng.

Dardaman ký hợp đồng kiểm tra lỗ hổng hệ thống với các doanh nghiệp gần như liên tục, và mỗi hợp đồng như vậy thường được hoàn thành trong khoảng từ 1 đến 2 tuần. Thông thường, công ty đã kỹ hợp đồng với Dardaman sẽ không tiết lộ cho đội ngũ bảo mật nội bộ của họ về bản hợp đồng cũng như sự xuất hiện của Dardaman. Họ cho phép anh ta tự do “lang thang" trong hệ thống mạng của mình một cách lặng lẽ, quan sát cách thức mọi thứ hoạt động và tìm đường thâm nhập vào sâu hơn trong hệ thống. Tuy nhiên trò chơi mèo vờn chuột này sẽ chỉ kéo dài trong vài ngày mà thôi.

Ngay sau màn thăm dò đầy thiện chí đó sẽ là những “cú đấm thép” mà Dardaman giáng vào hệ thống bảo mật của doanh nghiệp đó để kiểm tra khả năng phòng thủ cũng như khắc phục thiệt hại trên hệ thống. Cụ thể hơn, đích đến cuối cùng của anh ta thường là giành quyền truy cập tuyệt đối vào các máy chủ của công ty để “thử tài” đội ngũ bảo mật. Để Dardaman xâm nhập được vào hệ thống tức là bức tường bảo mật của công ty đó có vấn đề, và nếu sau vài ngày vẫn không thể “tóm sống” Dardaman, đội ngũ CNTT của công ty đó sẽ buộc phải đánh giá lại các công cụ bảo mật của họ.

Trong thời gian rảnh rỗi, không có hợp đồng, Dardaman thường hack công nghệ nhà thông minh - những thiết bị có thể được kích hoạt bằng giọng nói, điều khiển từ xa bằng cảm biến hoặc kết nối internet - bởi vì anh tin rằng hầu hết mọi người đều không nắm được sự nguy hiểm từ những rủi ro bảo mật trên các thiết bị này.

Trở lại năm 2018, một vụ hack nhắm vào hệ thống camera an ninh của hãng Guardzilla đã cho phép Dardaman nắm trong tay quyền truy cập vào kho thông tin được lưu trữ trên các thiết bị của người dùng. Tuy nhiên Dardaman không hề “động chạm” vào lượng dữ liệu trong kho lưu trữ đó, bởi làm như vậy là bất hợp pháp, không còn là hành động của một hacker mũ trắng.

“Không có cách nào tốt để bảo vệ hệ thống của bạn hơn là thử nghiệm nó trong những tình huống tấn công thực tế. Tình huống này chính là trường hợp một kẻ tấn công hoặc một nhóm tội phạm mạng cố gắng hết sức để xâm nhập vào hệ thống, hoàn toàn không có chút khoan nhượng nào”, Phillip Wylie, một chuyên gia thử nghiệm thâm nhập hệ thống tại Ngân hàng Trung ương Hoa Kỳ, kiêm giáo sư bảo mật thông tin tại đại học Richland College, nhận định.

Phillip Wylie là một chuyên gia thử nghiệm thâm nhập hệ thống - Hacker mũ trắng "chính hiệu"Phillip Wylie là một chuyên gia thử nghiệm thâm nhập hệ thống - Hacker mũ trắng "chính hiệu"

Cũng giống như Charles Dardaman, Phillip Wylie bị cuốn hút vào những tình huống toát mồ hôi hột khi tìm cách xâm nhập vào một hệ thống, sự phấn khích khi khoan thủng thành công một bức tường bảo mật khép kín, và trên tất cả là niềm vui sướng xen lẫn tự hào khi thông báo lỗ hổng đó cho chủ sở hữu hệ thống bởi anh biết rằng mình vừa làm được một điều có ý nghĩa.

Trước khi gia nhập vào đội ngũ bảo mật của Ngân hàng Trung ương Hoa Kỳ, Wylie đã từng có thời gian dài làm việc như một chuyên gia tư vấn bảo mật, chuyên đảm nhiệm việc triển khai các bài kiểm tra thâm nhập hoặc các cuộc tấn công mạng được ủy quyền trên các ứng dụng web. Có lần, Wylie tìm thấy một lỗ hổng nghiêm trọng cho phép anh ta truy cập vào cơ sở dữ liệu lõi của một hệ thống máy khách. Mật khẩu của hệ thống này được đặt theo kiểu không thể hớ hênh hơn, chỉ là ‘password1', và Wylie đã không tốn nhiều công sức để bẻ gãy nó. Sau đó, anh sử dụng một công cụ có tên John the Ripper để thâm nhập vào bên trong hệ thống (quá trình này chỉ mất tổng cộng 30 giây). “Tôi có thể thêm người dùng vào hệ thống đó; Tôi có thể đóng máy chủ, tắt cơ sở dữ liệu, xóa hồ sơ. Tôi có toàn quyền kiểm soát hệ thống”, Wylie cho biết. Và đương nhiên sau đó Phillip Wylie đã báo cáo lại toàn bộ thông tin về lỗ hổng cũng như cách thức xâm nhập hệ thống cho công ty chủ quản. Anh được trao tiền thưởng, nhưng thứ có ý nghĩa nhất với Wylie chính là sự ngưỡng mộ và những lời cảm ơn.

Nhưng không phải tất cả các hacker đều bỏ nhiều công sức thâm nhập vào hệ thống chỉ để tiết lộ rủi ro bảo mật. Jane Manchun Wong, một nữ kỹ sư khoa học máy tính 23 tuổi sống ở Hồng Kông, thường dành thời gian rảnh rỗi để “tôi luyện” những ứng dụng từ kỹ thuật đảo ngược (reverse-engineering) của mình để tìm hiểu những tính năng của tương lai. “Những thứ tôi tìm thấy là thông tin công khai”, Wong nói, “chúng ẩn chứa trong điện thoại, máy tính của mọi người, và việc trích xuất những dữ liệu này sẽ vô cùng khó khăn”.

Jane Manchun Wong đã từng tiết lộ những thông tin gây sốc về InstagramJane Manchun Wong đã từng tiết lộ những thông tin gây sốc về Instagram

Vào tháng tư vừa qua, nữ hacker này đã tiết lộ một thông tin gây sốc rằng Instagram đã, đang, và sẽ cố gắng che giấu dữ liệu về các lượt truy cập, chẳng hạn như số lượt xem trên các bức ảnh, đối với những đối tượng người dùng nhất định. “Lần đầu tiên khi tôi đăng bài về phát hiện này, Instagram đã cố gắng nói rằng: "Chúng tôi không làm như vậy”. Tuy nhiên, đoạn mã đó trên thực tế vẫn tồn tại - đó là dòng dưới cùng”, Wong cho biết. Cuối tháng tư, Instagram thông báo rằng họ sẽ bắt đầu thử nghiệm các lượt thích ẩn cho một số người dùng ở 7 quốc gia cụ thể, đúng như phát hiện của nữ hacker người Trung Quốc.

Tuy nhiên, mục đích sau cùng của Jane Manchun Wong với những phát hiện của mình cũng giống với các hacker mũ trắng khác, đó là báo cáo cho chủ sở hữu. Sau khi tìm thấy dữ liệu người dùng bị rò rỉ trong mã, cô đã báo cáo cho công ty để họ có thể khắc phục trước những vi phạm tiềm năng, đó chính là công việc của một hacker mũ trắng “thứ thiệt”.

Trong một cuộc phỏng vấn với BBC, Wong giải thích: “Ngay từ khi tôi bắt đầu nhận được những sự quan tâm, các công ty bắt đầu theo dõi các bài tweet của tôi, nhiều công ty đã cải thiện khả năng bảo mật ứng dụng của họ nhờ vào những phát hiện của tôi, và tôi thấy vui về điều đó. Ngoài sự đam mê, đây cũng là một trong những động lực quan trọng giúp tôi vượt qua khó khăn và theo đuổi sự nghiệp của một hacker có đạo đức. Khi các công ty cải thiện thành công khả năng bảo mật của mình, họ gửi đến tôi những lời cảm ơn và thậm chí cả thù lao. Tôi như thấy cuộc sống có ý nghĩa hơn”.

Đôi khi Manchun Wong khiến các công ty lớn “muối mặt” sau khi tiết lộ lỗ hổng trong sản phẩm của họ Đôi khi Manchun Wong khiến các công ty lớn “muối mặt” sau khi tiết lộ lỗ hổng trong sản phẩm của họ

Những phi vụ hack của Wong thực sự đã thu hút được sự chú ý của giới truyền thông. Khi cô tiết lộ tin tức về Instagram, trên mạng, hầu như các trang báo công nghệ lớn đều đưa tin, hàng ngàn cuộc tranh luận nổ ra trên khắp các diễn đàn công nghệ trên toàn thế giới, danh tiếng của nữ hacker này cũng vì thế mà được nâng cao. Đôi khi Manchun Wong khiến các công ty lớn “muối mặt” sau khi tiết lộ lỗ hổng trong sản phẩm của họ, và đương nhiên chẳng ai muốn bị bẽ mặt cả. Nhiều công ty không thích Wong, nhưng vì sức ép từ dư luận, họ buộc phải nhanh chóng đưa ra bản vá sửa lỗi, và người dùng sẽ là đối tượng được hưởng lợi nhiều nhất, đó mới chính là điều mà cô thực sự quan tâm.

Hầu hết các hacker mũ trắng đều cam kết rằng họ không có chủ đích “bới lông tìm vết” để hạ thấp uy tín của các công ty hay cố gắng châm ngòi một cuộc khủng hoảng truyền thông để đánh sập một thương hiệu nào đó. Thật vậy, thông thường, lỗ hổng sẽ được các hacker mũ trắng thông báo riêng, bí mật cho chủ sở hữu, và để cho họ khoảng 90 ngày - khoảng thời gian tiêu chuẩn được đề xuất bởi Google ED Project Zero - để vá bất kỳ lỗ hổng bảo mật nào. Sau khoảng thời gian đó, nếu lỗ hổng chưa được vá, họ sẽ hiểu là công ty cố tình không quan tâm, và sẽ công bố công khai phát hiện của mình, đó là quy trình làm việc thường thấy của các hacker mũ trắng.

“Nếu họ đáp lại báo cáo của chúng tôi và ngay lập tức bắt tay vào vá lỗi, điều đó thật tuyệt vời, thể hiện tinh thần trách nhiệm và sự tôn trọng với đóng góp từ những người như chúng tôi. Nhưng nếu họ chây ì không vá lỗi, hoặc đơn giản là làm ngơ trước báo cáo của chúng tôi, toàn bộ thông tin về lỗ hổng sẽ được công khai. 90 ngày là mức thời gian giới hạn, quá mức này, mọi giải thích đều là ngụy biện. Nếu doanh nghiệp biết đặt lợi ích của khách hàng lên hàng đầu, họ sẽ phải vá xong lỗ hổng trong khoảng thời gian đó”, Dardaman, người luôn tuân thủ quy tắc đạo đức nghiêm ngặt này, nhận xét.

Jane Manchun Wong cũng luôn sẵn lòng làm việc với các công ty sở hữu sản phẩm mà cô ấy tìm ra vấn đề. Năm ngoái, Wong phát hiện ra rằng Facebook đang âm thầm triển khai một thư viện javascript để làm cho các ứng dụng web nhanh hơn. Khi cô bắt đầu “bóng gió” về dự án bí mật này trên Twitter, một nhân viên của Facebook đã liên lạc và yêu cầu Wong không tiết lộ chi tiết những thông tin mà cô có được, vì Facebook đã dự định sẽ công bố nó vào năm sau - và Wong đã chấp thuận lời đề nghị đó. Phía Facebook cũng đã giữ đúng lời hứa với Wong khi phát hành dự án này dưới dạng nguồn mở vào tháng năm vừa qua, điều này khiến Wong cảm thấy hài lòng vì mình được tôn trọng.

Hacker mũ trắng không “bới lông tìm vết” để hạ thấp uy tín của các công ty, tống tiền, hay tìm kiếm khoản tiền thưởngHacker mũ trắng không “bới lông tìm vết” để hạ thấp uy tín của các công ty, tống tiền, hay tìm kiếm khoản tiền thưởng

Tuy nhiên nhiều hacker mũ trắng khác lại không được “dễ tính” như Wong, họ đứng về phía quyền lợi của người dùng nhiều hơn là doanh nghiệp. Họ cảm thấy có trách nhiệm phải cho người dùng biết về các lỗi bảo mật, mặc cho việc doanh nghiệp có thể chịu những tổn thất nặng nề về uy tín. Điều này đôi khi khiến họ phải hứng chịu những cơn thịnh nộ và đòn trả đũa của không ít công ty. Nhưng khi đó, dư luận sẽ đặt ra câu hỏi rằng liệu doanh nghiệp này có đang thực sự quan tâm đến quyền lợi, sự an toàn của khách hàng một cách nghiêm túc, hay chỉ chú trọng đến việc đảm bảo uy tín cá nhân, lúc này, uy tín của doanh nghiệp sẽ càng sụt giảm thê thảm hơn.

Nhưng đôi khi các hacker mũ trắng cũng gặp rắc rối với việc tốt mà mình làm. Nhiều doanh nghiệp thậm chí còn tố cáo ngược các hacker mũ trắng vì đã xâm phạm vào hệ thống của họ. “Nếu bạn tìm thấy một lỗ hổng và báo cáo nó, nhưng chủ sở hữu sản phẩm lại nói rằng họ sẽ tố cáo hành vi xâm nhập của bạn với cơ quan thực thi pháp luật, đó là một vấn đề không dễ giải quyết", Wylie nói. Mặc dù điều này không thường xuyên xảy ra, và đôi khi chỉ là những lời đe dọa suông. “Nhưng đừng quá lo lắng, khi đó bạn sẽ được thử làm một bài kiểm tra kiến thức pháp luật miễn phí”.

Trong trường hợp của hacker trẻ tuổi Charles Dardaman với hệ thống smart hub của công ty sản xuất thiết bị nhà thông minh Zipato đã nêu phía trên. Doanh nghiệp này đã đưa ra phản hồi ngay sau khi nhận được báo cáo về lỗ hổng, đồng thời cam kết sẽ khắc phục các lỗ hổng trong thời gian sớm nhất. Những doanh nghiệp như vậy không những không mất uy tín khi bị phát hiện sản phẩm có lỗi, mà thậm chí danh tiếng của họ còn được nâng cao, với tư cách một công ty có trách nhiệm với khách hàng của mình. “Họ đương nhiên chẳng vui vẻ gì khi nghe tôi thông báo lỗ hổng”, anh chàng Dardaman vừa nói vừa cười, “tuy nhiên, họ đã nhanh chóng sửa lỗi và tôi vui vì điều đó”.

Hacker mũ trắng - những vị anh hùng không áo choàng!Hacker mũ trắng - những vị anh hùng không áo choàng!

Hy vọng sau bài viết này, chúng ta đã có cái nhìn sâu sắc hơn về công việc và những khó khăn mà một hacker mũ trắng phải đối mặt. Họ chính là những người đang ngày đêm chiến đấu bảo vệ sự bình yên trên không gian mạng, để đảm bảo quyền lợi của người dùng công nghệ trên toàn thế giới - đó là đóng góp thầm lặng của những vị anh hùng không áo choàng!

Thứ Sáu, 16/08/2019 15:35
4,610 👨 1.868