Sự thật buồn: Apple ra giá cao cho lỗi tìm được trên iPhone, giới hacker vẫn quay lưng bán ra ngoài chợ đen

Tháng 8 năm 2016, Trưởng Bộ phận Bảo mật của Apple, ông Ivan Krstic đã dành hết sự chú ý tại một trong những hội nghị bảo mật lớn nhất thế giới, bằng một thông báo không ai ngờ đến. Lúc đó, tại hội nghị Black Hat, ông đã công bố chương trình “bug bounty” (thưởng tiền cho việc tìm ra lỗi) của Apple dành cho những hacker có thiện chí báo lỗi cho hãng.

Đám đông hacker khi đó đã bùng lên những tiếng hoan hô vang dội. Thế nhưng, gần 1 năm kể từ thời điểm đó, chương trình vốn đã được chờ đợi từ lâu của Apple dường như lại gặp nhiều khó khăn để thực sự hoạt động, khi mà không có bất cứ khoản tiền thưởng nào được trao cho các hacker.

Ivan Krstic - Trưởng Bộ phận Bảo mật của Apple tại Black Hat 2016

Có thể thấy, mức độ bảo mật của hệ điều hành iOS nói chung hay của những chiếc iPhone là rất cao, dẫn đến hệ quả là việc tìm ra lỗ hổng là cực kì khó. Chính vì vậy, bất cứ lỗi nào có thể phát hiện được đều được rao với một cái giá trên trời – tất nhiên là trên những “chợ đen” của giới hacker. Những nhà nghiên cứu bảo mật đều lưỡng lự khi được hỏi về việc báo cáo lỗi cho Apple, phần là vì giá trị của chúng, phần khác là bởi việc báo cáo lỗi này sẽ thực sự cản trở họ trong việc tiếp tục nghiên cứu.

Theo như anh Nikias Bassen, chuyên gia bảo mật từ công ty Zimperium, người mới tham gia chương trình của Apple, thì: “Mọi người có thể kiếm nhiều tiền hơn nếu bán lỗi họ tìm ra cho những người khác. Nếu bạn đang làm việc này (tìm kiếm lỗi) chỉ vì tiền, chắc chắn bạn sẽ chẳng gửi thông tin lỗi cho Apple đâu.”

Cựu nhân viên NSA, anh Patrick Wardle, người cũng được mời tham gia chương trình “bug bounty” của Apple đồng tình với quan điểm này. Anh nhấn mạnh, những lỗi của iOS “quá giá trị để báo cáo tới Apple”.

Để có thể chắc chắn về vấn đề này, tôi đã liên lạc với 8 “thợ săn tiền thưởng” có tham gia chương trình, với điều kiện là giữ kín danh tính để có thể bày tỏ thoải mái quan điểm, cũng như có thể nói chi tiết hơn về chương trình này. Tất cả bọn họ đều cho hay chưa có ai báo cáo một lỗi nào tới Apple cả, và họ cũng không biết bất cứ ai từng làm vậy. Phía Apple thì từ chối trả lời khi được hỏi về vấn đề này.

Năm ngoái, chỉ 1 tháng sau hội nghị Black Hat, Apple đã đón một nhóm nhỏ các hacker mũ trắng tới trụ sở Cupertino của hãng. Trong số đó có Patrick Wardle, cũng như “đệ nhất cao thủ” jailbreak iPhone – Luca Todesco (nickname là qwertyuiop).

Luca Todesco cũng thuộc nhóm hacker mũ trắng mà Apple mời tham dự chương trình

Trong suốt thời gian nhóm hacker này ở Cupertino, Apple đã mời họ cộng tác với hãng bằng cách tham gia chương trình “bug bounty”. Các nhân viên bảo mật của Apple đã trình chiếu nhiều chủ đề cho họ xem, dẫn họ ra ngoài ăn tối, và tạo cơ hội cho họ nói chuyện, thảo luận về những gì họ đang làm. Thậm chí cả Phó Chủ tịch chịu trách nhiệm về phần mềm tại Apple, ông Craig Federighi cũng bất ngờ tới gặp và chào hỏi họ rất thân mật.

Đó là cả một bước chuyển mình lớn với giới hacker độc lập, vì Apple khi đó là ông lớn cuối cùng trong làng công nghệ không có chương trình “bug bounty” của riêng mình. Microsoft, Google, Facebook và vô số công ty khác nhỏ hơn đều đã có những chương trình tương tự hoạt động suốt nhiều năm trời. Những chương trình này đã trả cho giới hacker những khoản tiền xứng đáng với việc họ báo cáo lỗi cho công ty, thay vì sử dụng nó cho mục đích xấu.

Theo một cựu nhân viên bảo mật Apple, người này cũng chủ động muốn giữ kín danh tính bởi thỏa thuận không tiết lộ thông tin, thì rõ ràng là: “Apple sẽ không đưa ra bất cứ thứ gì – gồm cả chương trình “bug bounty” – khi mà họ chưa hoàn toàn chắc chắn về nó. Họ là những kẻ theo chủ nghĩa hoàn hảo.”

Còn nhớ, hồi năm ngoái, Apple đã chống lại FBI hàng tháng trời, khi công ty đã từ chối giúp đỡ cơ quan này thâm nhập chiếc iPhone của kẻ sát nhân hàng loạn trong vụ việc xảy ra ở San Bernardino. Cơ quan điều tra cuối cùng cũng thâm nhập được vào chiếc iPhone này mà không cần đến sự trợ giúp của Apple. Thay vào đó, FBI đã trả nhiều tiền cho một lỗ hổng được tìm ra bởi những nhà nghiên cứu độc lập vô danh. Báo The New York Times khi đó đã chỉ ra vấn đề, rằng có lẽ nguyên nhân khiến nhiều hacker có thông tin về những lỗ hổng để bán lại cho FBI là bởi họ không được phía Apple khuyến khích báo cáo lỗi tới hãng.

Dù cho thông báo về chương trình được công khai rộng rãi, gần như mọi thông tin còn lại được Apple giữ kín. Chúng ta chỉ biết, chương trình hiện tại chỉ dành cho các hacker được chính Apple mời. Những người tham gia sẽ có cơ hội kiếm khoản tiền thưởng dao động từ 25.000 USD tới 200.000 USD cho việc tìm ra lỗi trên iOS và macOS.

Thông cáo về mức Apple trả cho từng loại lỗi cụ thể tại Black Hat 2016

Số tiền này mới nghe thì có vẻ nhiều đấy. Thế nhưng, một trong những nguyên nhân những nhà nghiên cứu chúng tôi phỏng vấn không có hứng thú báo lỗi tới Apple, đó là khoản tiền thưởng này không cao như mong muốn. Ở những chợ đen hoạt động trên deep web, nơi nhiều công ty đóng vai trò mua lại lỗ hổng từ hacker và bán lại cho các khách hàng của họ, ví như một công ty hoạt động công khai có tên gọi Zerodium đã từng mua một "cách thức" bao gồm nhiều lỗi để jailbreak iPhone với giá 1,5 triệu USD. Một tổ chức khác, Exodus Intelligence, cũng ra giá 500.000 USD cho những lỗ hổng tương tự trên iOS. Những công ty này khẳng định họ chỉ bán lại cho các tổ chức để giúp bảo vệ hệ thống mạng của họ, hay các cơ quan hành pháp hoặc cơ quan tình báo để giúp họ thâm nhập các mục tiêu giá trị cao.

CEO hãng nghiên cứu an ninh mạng Trail Of Bits, Dan Guido thì bày tỏ: “Apple phải ra giá cạnh tranh với giá trị thực của những lỗi mà họ muốn mua. Họ đang thử ra giá 200.000 USD cho một lỗ hổng nguy hiểm, nhưng rõ ràng nó đắt hơn thế rất nhiều”. Nói cách khác, lượng tiền mà chương trình của Apple mang lại không hề “đúng giá” chứ đừng nói tới chuyện “được giá”. Không chỉ vậy, hacker tham gia chương trình “bug bounty” còn phải ký một thỏa thuận giữ kín mọi thông tin về lỗi, không được phép thảo luận về lỗi trước khi lỗi hoàn toàn được khắc phục. Vừa thêm phiền phức, vừa được ít tiền hơn, chẳng ai chọn Apple khi muốn bán phát hiện của mình cả!

67% người được hỏi đã chọn Zerodium thay vì Apple khi có trong tay lỗi 0-day

Guido cũng giải thích, các hệ điều hành của Apple có mức độ bảo mật rất cao, nên việc đảm bảo tìm ra một lỗi đáng giá 200.000 USD là tương đối bất khả thi, dù người ta có thể dành ra hàng tuần, hàng tháng tìm kiếm. Đó là lý do tại sao nhiều người không muốn làm việc này, để tránh phí thời gian mà không mang lại lợi ích gì cả.

Nhưng tất nhiên, vấn đề quan trọng với giới hacker không phải là tiền thưởng tức thời. iOS vốn là một hệ điều hành phức tạp, được khóa chặt và có tính bảo mật cao, đến mức dù chỉ muốn thăm dò và nghiên cứu nó, một người sẽ cần nhiều lỗi 0-day chưa bị vá, thậm chí cả một bản jailbreak đầy đủ. Nói một cách dễ hiểu hơn thì bạn sẽ cần những lỗi chưa được biết đến để tìm lỗi trong các phần khác của hệ điều hành mà có thể sẽ bị khóa khi có bản vá (nếu bạn thông báo lỗi mà mình biết). Đây chính là lí do tại sao nhiều hacker lựa chọn giữ những lỗi tìm được cho bản thân để tiếp tục nghiên cứu, thay vì thông báo chúng và kiếm lượng tiền ít ỏi.

Luca Todesco thì khá thẳng thắn: “Chẳng có ai dại gì mà giết chết lỗi mình tìm ra trừ khi họ quá ngớ ngẩn. Đơn giản khi làm thế, họ sẽ tự chặn con đường tương lai của chính mình. Thế này, nếu tôi báo cáo những lỗi chỉ mình tôi biết, thì tôi sẽ không thể nghiên cứu tiếp được nữa.”

Một nhà nghiên cứu khác cũng trong chương trình của Apple thì bày tỏ: “Hoặc là bạn báo cáo cho Apple và rồi hủy diệt lỗi do mình tìm ra, hoặc là bạn quyết định giữ chúng lại để không tự làm khó bản thân và bạn có thể tiếp tục nghiên cứu. Hoặc cách khác, bạn tới một công ty độc lập có trả tiền xứng đáng cho lỗi bạn tìm ra, để không lãng phí 2-3 lỗi khi đổi lấy khoản tiền vỏn vẹn 50.000 USD từ Apple.”

Trong chuyến “tham quan” trụ sở Cupertino của Apple, nhóm các hacker đã thử yêu cầu đội ngũ bảo mật của Apple cung cấp những chiếc iPhone đặc biệt được loại bỏ nhiều rào cản, hạn chế cụ thể để việc hack chúng trở nên dễ dàng hơn. Những thiết bị này nên được vô hiệu hóa nhiều tính năng bảo mật, ví như sandbox, nhằm giúp công việc nghiên cứu của nhóm này thuận tiện, nhanh chóng hơn.

Nhưng Apple cho tới nay vẫn không sẵn lòng cung cấp những thiết bị đặc biệt này, theo thông tin mà vài người trong nhóm này cung cấp. Có lẽ trước khi Apple chịu cấp thiết bị, hay mời thêm nhiều người tham gia, thì chương trình “bug bounty” của họ vẫn sẽ giữ nguyên tình trạng như gần một năm vừa rồi: chẳng hacker độc lập nào quan tâm tới nó.

Công bằng mà nói, vẫn theo như Dan Guido, thì: “Apple lại đang thử nghiệm một điều mới mẻ (với họ), cụ thể là đưa ra khoản tiền rất lớn cho những lỗi đầy đủ chức năng, thế nhưng có vẻ họ chưa hiểu đúng mặt bằng chung giá trị trên thị trường “bug bounty”, cũng như hiểu cách khuyến khích mọi người tham gia, giúp đỡ họ.”

Dù sao, nhìn từ một góc độ khác, việc không có ai báo lỗi cũng có thể được coi là một khẳng định thêm cho tính bảo mật của chiếc iPhone, nhưng cũng có thể là dấu hiệu chương trình cần sự thay đổi. Apple vốn rất bảo thủ trong các chính sách bảo mật của mình, và họ vẫn đang làm thế ngay cả trong lần tưởng chừng là “đổi mới” này. Hy vọng trong tương lai, chúng ta sẽ được thấy Apple mở rộng cửa chương trình “bug bounty” cho nhiều người, như cách mà những ông lớn khác đang làm.