Tâm sự của một hacker mũ trắng: "Đừng coi tất cả hacker là tội phạm"

Là một hacker mũ trắng làm việc cho IBM, công việc của Charles Henderson là đột nhập vào mạng, các ứng dụng hoặc các địa điểm vật lý để tìm những lỗ hổng và những hậu quả của lỗ hổng có thể gây ra cho doanh nghiệp và hiểu cách một hacker mũ đen sẽ thực hiện để thâm nhập vào hệ thống.

Ngày càng có nhiều các cuộc tấn công an ninh mạng nên các doanh nghiệp, tập đoàn lớn, chính phủ cần có những tăng cường, củng cố về an ninh mạng. Nhiều tập đoàn chọn cách thuê hacker đánh giá sự an toàn của các hệ thống, mạng trực tuyến và các địa điểm vật lý bằng cách tấn công vào chúng, IBM nói.

Thực tế, Henderson chỉ là một trong số 1.000 chuyên gia bảo mật mà các gã khổng lồ công nghệ thuê trong năm 2015.

Trang tin Business Insider vừa có cuộc nói chuyện với Henderson, hacker mũ trắng 40 tuổi, về những gì anh phải làm tại IBM. Dưới đây là những gì Henderson chia sẻ.

"Tôi là một đứa trẻ tò mò"

Tôi lớn lên và sinh sống ở Austin, Texas, thiên đường với các kỹ thuật viên trẻ với một thị trường bảo mật máy tính sôi động. Tôi học Khoa học Máy tính tại Đại học Texas.

Năm tôi 11 tuổi, cha tôi mua chiếc máy tính đầu tiên. Trong vòng một tuần tôi đã trở thành một thành viên tích cực trên Bulletin Board Systems (BBS). Hệ thống BBS này giúp tôi làm quen với những cá nhân có cùng suy nghĩ và hacker trên toàn thế giới. Đột nhiên, toàn bộ thế giới này trở nên dễ tiếp cận hơn với tôi.

Tôi nhanh chóng nhận ra rằng mình quan tâm nhiều hơn tới việc tháo rỡ mọi thứ chứ không phải là ghép chúng lại với nhau.

Năm 12 tuổi, tôi quan tâm tới mạng, lúc đó mới chỉ là hệ thống điện thoại. Tôi có một bốt điện thoại trong phòng của mình, tôi mua lại nó một cách hợp pháp và tháo nó ra từng phần để tìm hiểu. Ngày nay, rất nhiều trang web hướng dẫn chúng ta cách tháo rỡ và lắp ráp các thiết bị. Nhưng khi tôi lớn lên những trang web đó chưa tồn tại và đó lại là may mắn của tôi. Tính tò mò của tôi được thúc đẩy khi đứng trước những thiết bị lạ mắt do vậy tôi đã tháo chúng ra để tìm hiểu xem chúng hoạt động như thế nào. Nếu đã có sách giải thích thì không bao giờ tôi mày mò tìm hiểu.

"Tôi luôn bị ràng buộc bởi vấn đề đạo đức"

Vấn đề đạo đức mà tôi nói không chỉ đơn giản là trẻ con thì không nên làm những điều ngu ngốc.

Ví dụ, khi còn học tiểu học, tôi phát hiện ra mình có thể sử dụng điện thoại không dây của bố mẹ như một máy quét để nghe lén các cuộc nói chuyện của hàng xóm. Nhưng bố mẹ tôi đâu có thích việc thằng con trai yêu quý tháo rời thiết bị điện tử đắt tiền mà họ mới mua được vài ngày. Nhưng nếu muốn thành một hacker, tôi phải hiểu cách hoạt động của mọi thứ.

"Trong 20 năm qua, tôi xây dựng sự nghiệp bằng cách để sự tò mò đưa tôi tới với nghiên cứu bảo mật và đánh giá sự an toàn của hệ thống"

Bảy năm trước, khi tôi đang muốn thay đổi công việc, IBM đã dành cho tôi một vị trí rất thú vị và đầy thử thách mà tôi không thể cưỡng lại. Tôi bị thu hút bởi sự giàu có của thông tin và các nguồn lực mà IBM có.

Tôi gia nhập công ty vào tháng 10/2015 và thực sự làm việc cho IBM rất thú vị khi tôi được làm việc với một vài trong số những thương hiệu lớn nhất thế giới.

Khi ở một nhóm bảo mật nhỏ hơn, chúng tôi không có quyền truy cập vào các công cụ mà tôi đang sử dụng tại IBM. Chúng tôi thường phải tạo ra các công cụ Adhoc, một công việc rất mất thời gian. Tại IBM, chúng tôi mạnh mẽ hơn nhờ có một số công cụ như BlueMix và Watson cùng nhiều tài nguyên khác. Tôi có quyền truy cập vào bất kỳ điều gì mà tôi có thể tưởng tượng, đó thực sự là một điều thú vị với một nhà nghiên cứu. Ở IBM tôi dường như chỉ bị giới hạn bởi bầu trời.

"Điều đầu tiên tôi làm mỗi sáng là bắt kịp những gì đã xảy ra trong khi tôi ngủ"

Tôi điều hành một nhóm toàn cầu do vậy khi tôi ngủ, nhóm của tôi vẫn tiếp tục nghiên cứu và làm việc với khách hàng.

Vì vậy, tôi bắt đầu buổi sáng bằng cách đặt những câu hỏi như: "Chúng ta có tìm thấy bất kỳ lỗ hổng nghiêm trọng nào hay không"? hoặc "Tôi có cần thông báo cho khách hàng rằng chúng ta đã tìm ra một lỗ hổng và đang tiến hành vá nó"? Sau đó, tôi tiếp tục làm việc với nhóm để đánh giá mức độ an toàn của hệ thống và đảm bảo rằng chúng tôi có đủ nguồn lực chúng tôi cần để giải quyết các vấn đề mà chúng tôi tìm ra. Chẳng giờ nào trôi qua mà chúng tôi không tìm ra một thứ gì đó thú vị hoặc một cách mới để làm một điều gì đó. Điều này có nghĩa là một ngày làm việc của tôi luôn không thể đoán trước và rất thú vị.

Tôi cũng tự tiến hành nhiều nghiên cứu. Tôi thích "tí toáy" các thiết bị điện tử tiêu dùng, thiết bị di động và bất kỳ phương tiện nào khác từ máy bay tới xe lửa và xe hơi tự lái. Tôi muốn tìm ra cách đột nhập hoặc tháo rỡ những thứ này ra thành từng phần để tìm kiếm những lỗ hổng bảo mật mới. Và trong làn sóng phát triển của Internet of Things, tôi luôn quan tâm tới việc tìm hiểu cách các thiết bị kết nối với thiết bị khác và lỗ hổng nào sẽ xuất hiện.

Khi không ở Texas, tôi đi khắp thế giới để gặp khách hàng, giúp họ hiểu rõ hơn về các vấn đề bảo mật mà họ đang gặp phải và tình hình bảo mật nói chung. Tôi được làm việc với một số công ty lớn nhất và thú vị nhất trên thế giới. Tôi thường tổ chức các cuộc họp kín nhắm đánh giá khả năng bảo mật của một công ty và cách họ giải quyết vấn đề. Tôi cũng nghe họ chia sẻ các nguyện vọng, nhu cầu và thách thức mà họ phải đối mặt. Sau đó, tôi cùng họ đưa ra những giải pháp khắc phục chúng.

"Đây là một ví dụ về những gì chúng tôi làm"

Một lần, với sự cho phép của khách hàng, tôi được thuê để tiến hành một vụ xâm nhập văn vào văn phòng. Tôi đã làm vụ đó suôn sẻ và thậm chí tẩu thoát cùng rất nhiều tài liệu bí mật trên chính chiếc xe của công ty thuê tôi.

Mục đích của vụ tấn công này là để xem nhóm của tôi có thể gây ra bao nhiêu thiệt hại. Và liệu chúng tôi có thể xâm nhập vào tòa nhà hay không cũng như sẽ đánh cắp được bao nhiêu tài liệu, thông tin bí mật khi sử dụng các công cụ như social engineering.

Cuối cùng, chúng tôi còn làm được nhiều hơn khi xâm nhập thành công tòa nhà, đánh cắp nhiều dữ liệu quan trọng sau đó tẩu thoát bằng chính chiếc xe của công ty đó. Tất nhiên, đó chỉ là một thử nghiệm và sau đó mọi thứ được trả lại cho khách hàng.

Khi phải hack một địa điểm vật lý, chúng tôi thường triển khai nhóm mà tôi thường gọi là "Tiger Team" để đột nhập vào trụ sở của khách hàng nhằm kiểm tra mức độ an ninh của họ. Chúng tôi không cạy cửa xông vào, thay vào đó, chúng tôi sử dụng các phương thức công nghệ cao để đột nhập. Ví dụ như tấn công vào các hệ thống an ninh không được bảo mật, sao chép thẻ nhân viên... Những việc này được thực hiện dưới sự cho phép của khách hàng.

"Phần thú vị nhất trong công việc của tôi là tìm kiếm và sửa lỗ hổng bảo mật trước khi tội phạm có cơ hội khai thác nó"

Tôi luôn có cảm giác như trong một cuộc truy đuổi. Mỗi khi chúng tôi giúp khách hàng vá một lỗ hổng bảo mật lớn, con đường tới đích khai thác lỗ hổng của tội phạm lại trở nên xa hơn. Khi tôi nói từ khách hàng, tôi không chỉ nhắc tới những khách hàng doanh nghiệp của IBM mà còn muốn nói tới bạn và những người tiêu dùng khác, những khách hàng của các doanh nghiệp và IBM. Mỗi ngày tôi đều phải đối mặt với một thách thức mới, một câu hỏi cân não mới và đó thực sự là một điều thú vị.

"Phần tồi tệ nhất trong công việc của tôi là thông báo cho khách hàng rằng hệ thống của họ có một lỗ hổng lớn"

Thông thường, phản ứng đầu tiên của họ là sợ hãi nhưng câu chuyện không thể trở nên tệ hơn bởi chúng tôi có cách khắc phục nó nhằm bảo vệ khách hàng. Nhưng bao giờ cũng vậy, chia sẻ tin buồn luôn là một điều khó khăn.

"Câu hỏi đầu tiên mà mọi người dành cho tôi khi biết tôi là hacker luôn là: Anh có thể hack tài khoản ngân hàng của tôi không"?

Câu trả lời của tôi luôn là: Tùy vào ngân hàng mà anh đang dùng. Mọi người cũng thường hỏi tôi rằng tôi đã bao giờ chế tạo một công cụ gián điệp hay chưa?

"Sai lầm lớn nhất của mọi người là coi tất cả hacker là tội phạm"

Thật không may khi từ hacker được đóng đinh với nghĩa là kẻ xâm nhập vào máy tính và mạng máy tính. Tuy nhiên, điều quan trọng là nó không đồng nghĩa với từ tội phạm.

Đối với tôi, hacker là những người có sự tò mò không thể kiềm chế về cách hoạt động của mọi thứ trên thế giới. Trong khi nhiều người nhìn vào một công nghệ mới và suy nghĩ về khả năng sáng tạo, hacker nhìn vào một công nghệ mới và muốn hiểu cách phân rã cấu trúc của công nghệ đó. Chúng tôi luôn luôn tò mò một cách vô độ về cách thế giới hoạt động và chúng tôi coi việc tìm ra lỗ hổng trong công nghệ trước khi tội phạm có cơ hội lợi dụng là thách thức cá nhân của chúng tôi.

Phim ảnh miêu tả hacker chỉ đơn giản là những người biết cách làm một điều gì đó. Nhưng thực tế, hack là tháo gỡ mọi thứ ra thành từng thành phần vật lý hoặc có thể nhìn thấy và thấu hiểu cách hoạt động bên trong.

"Hacker mũ trắng và hacker mũ đen khác nhau ở điểm nào"?

Một tên tội phạm, hacker mũ đen, thường khai thác lỗ hổng để kiếm tiền hoặc một lợi thế tiềm ẩn, không quan tâm tới việc giúp đỡ người khác vá lỗ hổng mà chúng sử dụng để truy cập. Tội phạm chọn con đường dễ dàng nhất trong khi hacker mũ trắng, những người tốt, chọn mục tiêu dựa trên mức thử thách hoặc quá trình học tập.

Là một hacker mũ trắng, chúng tôi được định hướng để hiểu cách mọi thứ làm việc. Khi chúng tôi tìm ra lỗ hổng, chúng tôi chia sẻ thông tin đó và chúng tôi làm việc với trách nhiệm phải thông báo về lỗ hổng và vá chúng khi tìm thấy. Hacker mũ trắng luôn có một "la bàn đạo đức" định hướng họ giúp mọi người tránh những lỗ hổng mà họ tìm ra.

"Hacker cũng chỉ là một con người"

Phim ảnh và xã hội luôn thuyết phục mọi người rằng hacker là những kẻ khiếm khuyết nhân cách, chọn nghiệp hack vì luôn có cảm giác lo sợ, bất mãn. Hầu hết mọi người cho rằng nếu là một hacker, anh sẽ không có bạn. Nhưng thành thật mà nói trên thế giới có rất nhiều hacker cân bằng được giữa công việc và cuộc sống. Chúng tôi cũng chỉ là con người, những người tò mò, luôn muốn tìm hiểu sâu hơn về cách thế giới hoạt động. Tôi có một cuộc hôn nhân hạnh phúc và hiện đang là cha của hai nhóc tì xinh xắn.

Ngoài ra, trình độ của tôi trong giới hack khiến tôi trở thành một "thánh đùa đẳng cấp thế giới" trong nhóm của tôi. Tôi nghĩ rằng những trò đùa của tôi giúp thúc đẩy tư duy phán đoán.

"Để trở thành một hacker bạn phải luôn đặt câu hỏi cho tất cả mọi thứ"

Luôn luôn tò mò. Đừng vào giờ đánh giá bất cứ thứ gì qua những gì bạn thấy.

Và thứ hai, luôn luôn làm việc theo đạo đức, chia sẻ thông tin một cách có trách nhiệm. Bất kể sai lầm ngu ngốc nào cũng có thể làm bạn đi tong cả sự nghiệp đầy hứa hẹn. Hãy nhớ rằng, một công ty không thể bảo vệ người dùng khỏi một lỗ hổng được tìm thấy bởi một hacker cho tới khi hacker chia sẻ thông tin về lỗ hổng cho công ty đó. Một lỗ hổng không thể được vá nếu công ty bị ảnh hưởng không biết gì về nó.

Tham khảo BI