Thời của thợ săn lỗi bảo mật

Việc không nỗ lực tìm ra lỗi bảo mật của ứng dụng có nguy cơ dẫn đến một vụ tấn công của hacker xấu, khiến dữ liệu bị đánh cắp, tài chính và danh tiếng bị thiệt hại.
Thời của thợ săn lỗi bảo mật - 231192
Thuật ngữ hacker (tin tặc) thường được sử dụng với nghĩa xấu dù thế giới có sự phân biệt giới hacker mũ trắng hàm ý người làm việc tốt và hacker mũ đen làm việc xấu. Nhưng ranh giới giữa hai nhóm trắng và đen này quá mờ nhạt, đặc biệt là trong bối cảnh các vụ tấn công mạng do hacker mũ đen thực hiện quá nhiều dẫn đến các tác động lớn về mặt kinh tế và xã hội. Dù vậy, thực tế cho thấy những người chuyên làm công việc phát hiện điểm yếu trong phần mềm của công ty và hệ thống an ninh mạng (bug hunters), còn được gọi là các hacker mũ trắng, hacker tốt, được các doanh nghiệp tìm kiếm. Bản thân họ cũng nhờ công việc này mà kiếm được nhiều tiền và ngành công nghiệp này đang phát triển.

Cuộc đua gay cấn

James Kettle là một thợ săn lỗi phần mềm. Ông quét các trang mã để tìm kiếm lỗi - những điểm yếu mà bọn tội phạm có thể khai thác để đột nhập vào mạng doanh nghiệp để lấy cắp dữ liệu. Với tấm bằng khoa học máy tính, ông muốn làm thứ gì đó phù hợp với sở thích và tình cờ bắt gặp chương trình săn lỗi bảo mật của Google và Mozilla, nhà phát triển trình duyệt cùng tên.

Đây là những chương trình trả tiền mặt cho hacker nào phát hiện những sai sót, hoặc lỗi, trong phần mềm của các công ty. “Chúng thực sự khích lệ bạn làm việc chăm chỉ và tôi mất khoảng 50 giờ mới tìm thấy một lỗi hợp lệ”, ông Kettle nhớ lại. Ngoài chuyện tiền bạc, chuyên gia này còn bị thôi thúc bởi sự khao khát tìm kiếm các lỗi bảo mật trong mã phần mềm và điều này rốt cuộc trở thành một công việc béo bở.

Ông Kettle hiện là một trong những thợ săn lỗi bảo mật hàng đầu trên HackerOne, một dịch vụ “mai mối” tin tặc với các công ty, chính phủ đang tìm kiếm chuyên gia để kiểm tra các phần mềm của họ. Những hacker mũ trắng này có thể kiếm được hơn 350.000 đô la mỗi năm. Các chương trình săn lỗi trả cho tin tặc bình quân 50.000 đô la mỗi tháng. Một số chương trình thậm chí trả tổng cộng 1 triệu đô la trong một năm cho một thợ săn lỗi gởi. Việc tìm thấy một lỗi chưa từng phát hiện trước đó là rất hiếm và có thể dẫn đến một khoản tiền thưởng đáng kể, có lẽ lên đến hàng trăm ngàn đô la.

Ông Kettle hiện làm việc cho PortSwigger – công ty phần mềm kiểm tra khả năng bảo mật của ứng dụng web, đặt trụ sở ở Anh. Đây còn là nhà phát triển công cụ Burp Suite được nhiều hacker sử dụng để thăm dò các trang web để xem liệu thời cơ khai thác lỗi bảo mật đã đến hay chưa. “Tôi tìm kiếm những cách mới để xâm nhập các trang web, tự động hóa điều đó rồi tham gia chương trình săn lỗi bảo mật để chứng minh các kỹ thuật mới của mình hoạt động. Đó là công việc thú vị nhưng cũng đầy thử thách”, ông nhận định.

Hầu hết các phần mềm đều có lỗi vì nó được viết bởi con người và bọn tội phạm liên tục quét mã để tìm kiếm những lỗ hổng này, thường thông qua các công cụ tự động. Vì thế, đây không khác gì cuộc đua phát hiện những điểm yếu trước khi kẻ xấu, hoặc tin tặc “mũ đen” tìm ra chúng. Vấn đề là không có nhiều công ty có đủ người để phát hiện ra lỗi bảo mật. Đó là lý do họ tìm kiếm sự hỗ trợ của chuyên gia từ những công ty như HackerOne, Bugcrowd và Synack (đều của Mỹ). Những doanh nghiệp này đóng vai trò như đại lý cho giới hacker đã qua sát hạch về đạo đức, quản lý chương trình săn lỗi bảo mật nhận tiền thưởng, kiểm chứng công việc đã hoàn thành và bảo đảm sự bảo mật của khách hàng.


Việc không nỗ lực tìm ra lỗi bảo mật của ứng dụng có nguy cơ dẫn đến một vụ tấn công của hacker xấu, khiến dữ liệu bị đánh cắp, tài chính và danh tiếng bị thiệt hại. Theo một bản báo cáo gần đây của công ty bảo mật Nuix (Úc), 71% số hacker mũ đen nói có thể phá vỡ hàng rào bảo mật của một mục tiêu trong vòng mười giờ đồng hồ.

Ông Frans Rosen, thợ săn lỗi bảo mật người Thụy Điển, đang sử dụng nguồn thu nhập từ công việc này để tài trợ cho các công ty khởi nghiệp trong lĩnh vực công nghệ cao. “Chúng tôi mang số tiền thưởng nhận được đi đầu tư, cũng là một cách sử dụng tiền thú vị”, ông cho biết, đồng thời nói thêm khoản tiền đầu tư này cho phép các công ty khởi nghiệp phát triển sản phẩm hoặc ứng dụng của mình.

Tuy nhiên, không phải hacker tìm lỗi nào cũng đều làm việc cho một công ty bảo mật thành danh. Vì thế, những ai được đại diện bởi một công ty như HackerOne hoặc Bug Crowd sẽ có thêm uy tín khi muốn cảnh báo doanh nghiệp về những lỗ hổng bảo mật. Ông Robbie Wiggins, chuyên gia kiểm tra bảo mật, cho rằng việc cảnh báo một công ty rằng trang web hoặc ứng dụng của họ có nguy cơ bị tấn công luôn là vấn đề phức tạp. Thường thì các doanh nghiệp không thiết lập cơ chế nhận cảnh báo bảo mật chính thức, ngoài một địa chỉ e-mail quản trị chung. Vì thế, một vai trò nữa của công ty săn lỗi đáng được nhận thưởng là giúp đưa bản báo cáo về lỗ hổng bảo mật đến đúng người có trách nhiệm xử lý.

Bên cạnh đó, sự xuất hiện của ngày càng nhiều chương trình săn lỗi nhận thưởng và giá trị phần thưởng đáng kể khiến thị trường này trở nên đông đúc trong lúc việc tìm ra lỗi ngày càng khó hơn. Vì thế, ông Wiggins chuyển hướng sang tìm lỗi trong những công ty có thể đã phạm sai lầm với tài khoản lưu trữ đám mây Amazon của họ. Cho đến giờ, ông đã tìm thấy hơn 5.000 tài khoản dường như “mở cửa” để người ngoài tiếp cận dữ liệu của họ. “Săn lỗi nhận thưởng giờ đây không khác gì một sở thích riêng và tỏ ra hữu ích khi tôi cần thêm tiền cho con cái”, ông cho biết.

Một ưu điểm khác của những chương trình như vậy là chúng có thể ngăn hacker đi sai đường. Ông Terry Ray, Giám đốc công nghệ của công ty bảo mật dữ liệu Imperva (Mỹ), giải thích: “Các chương trình tìm lỗi nhận thưởng cung cấp một sự chọn lựa thay thế một cách hợp pháp cho những người giỏi trong lĩnh vực công nghệ này. Nếu không có những chương trình loại này, họ có thể có khuynh hướng tiến hành những hoạt động sai trái, như xâm nhập hệ thống và bán dữ liệu bất hợp pháp”. Nguồn: congnghe5giay.com