Thứ Sáu,  16/11/2018, 05:52 
Đặt báo in

Thời của thợ săn lỗi bảo mật

H. Minh
Thứ Tư,  16/5/2018, 09:21 

Thời của thợ săn lỗi bảo mật

H. Minh

(TBVTSG) - Việc không nỗ lực tìm ra lỗi bảo mật của ứng dụng có nguy cơ dẫn đến một vụ tấn công của hacker xấu, khiến dữ liệu bị đánh cắp, tài chính và danh tiếng bị thiệt hại.

Không chỉ doanh nghiệp mà cả quân đội cũng cần những kỹ năng săn lỗi bảo mật của ông Frans Rosen (phải).

Thuật ngữ hacker (tin tặc) thường được sử dụng với nghĩa xấu dù thế giới có sự phân biệt giới hacker mũ trắng hàm ý người làm việc tốt và hacker mũ đen làm việc xấu. Nhưng ranh giới giữa hai nhóm trắng và đen này quá mờ nhạt, đặc biệt là trong bối cảnh các vụ tấn công mạng do hacker mũ đen thực hiện quá nhiều dẫn đến các tác động lớn về mặt kinh tế và xã hội. Dù vậy, thực tế cho thấy những người chuyên làm công việc phát hiện điểm yếu trong phần mềm của công ty và hệ thống an ninh mạng (bug hunters), còn được gọi là các hacker mũ trắng, hacker tốt, được các doanh nghiệp tìm kiếm. Bản thân họ cũng nhờ công việc này mà kiếm được nhiều tiền và ngành công nghiệp này đang phát triển.

Cuộc đua gay cấn

James Kettle là một thợ săn lỗi phần mềm. Ông quét các trang mã để tìm kiếm lỗi - những điểm yếu mà bọn tội phạm có thể khai thác để đột nhập vào mạng doanh nghiệp để lấy cắp dữ liệu. Với tấm bằng khoa học máy tính, ông muốn làm thứ gì đó phù hợp với sở thích và tình cờ bắt gặp chương trình săn lỗi bảo mật của Google và Mozilla, nhà phát triển trình duyệt cùng tên.

Đây là những chương trình trả tiền mặt cho hacker nào phát hiện những sai sót, hoặc lỗi, trong phần mềm của các công ty. “Chúng thực sự khích lệ bạn làm việc chăm chỉ và tôi mất khoảng 50 giờ mới tìm thấy một lỗi hợp lệ”, ông Kettle nhớ lại. Ngoài chuyện tiền bạc, chuyên gia này còn bị thôi thúc bởi sự khao khát tìm kiếm các lỗi bảo mật trong mã phần mềm và điều này rốt cuộc trở thành một công việc béo bở.

Ông Kettle hiện là một trong những thợ săn lỗi bảo mật hàng đầu trên HackerOne, một dịch vụ “mai mối” tin tặc với các công ty, chính phủ đang tìm kiếm chuyên gia để kiểm tra các phần mềm của họ. Những hacker mũ trắng này có thể kiếm được hơn 350.000 đô la mỗi năm. Các chương trình săn lỗi trả cho tin tặc bình quân 50.000 đô la mỗi tháng. Một số chương trình thậm chí trả tổng cộng 1 triệu đô la trong một năm cho một thợ săn lỗi gởi. Việc tìm thấy một lỗi chưa từng phát hiện trước đó là rất hiếm và có thể dẫn đến một khoản tiền thưởng đáng kể, có lẽ lên đến hàng trăm ngàn đô la.

Ông Kettle hiện làm việc cho PortSwigger – công ty phần mềm kiểm tra khả năng bảo mật của ứng dụng web, đặt trụ sở ở Anh. Đây còn là nhà phát triển công cụ Burp Suite được nhiều hacker sử dụng để thăm dò các trang web để xem liệu thời cơ khai thác lỗi bảo mật đã đến hay chưa. “Tôi tìm kiếm những cách mới để xâm nhập các trang web, tự động hóa điều đó rồi tham gia chương trình săn lỗi bảo mật để chứng minh các kỹ thuật mới của mình hoạt động. Đó là công việc thú vị nhưng cũng đầy thử thách”, ông nhận định.

Hầu hết các phần mềm đều có lỗi vì nó được viết bởi con người và bọn tội phạm liên tục quét mã để tìm kiếm những lỗ hổng này, thường thông qua các công cụ tự động. Vì thế, đây không khác gì cuộc đua phát hiện những điểm yếu trước khi kẻ xấu, hoặc tin tặc “mũ đen” tìm ra chúng. Vấn đề là không có nhiều công ty có đủ người để phát hiện ra lỗi bảo mật. Đó là lý do họ tìm  kiếm sự hỗ trợ của chuyên gia từ những công ty như HackerOne, Bugcrowd và Synack (đều của Mỹ). Những doanh nghiệp này đóng vai trò như đại lý cho giới hacker đã qua sát hạch về đạo đức, quản lý chương trình săn lỗi bảo mật nhận tiền thưởng, kiểm chứng công việc đã hoàn thành và bảo đảm sự bảo mật của khách hàng.

Nhà đồng sáng lập HackerOne, ông Jobert Abma.

Thị trường đông đúc

HackerOne là công ty lớn nhất trong số ba tên tuổi nói trên. Họ hiện nắm trong tay hơn 120.000 hacker và đã trả hơn 26 triệu đô la tiền thưởng kể từ khi ra đời năm 2012, ông Laurie Mercer – một kỹ sư cao cấp của công ty cho biết. “Các chương trình săn lỗi bảo mật nhận tiền thưởng cho phép doanh nghiệp thuê người bên ngoài để kiểm tra tính bảo mật của ứng dụng nhưng điều này đòi hỏi họ phải tốn tiền. Doanh nghiệp phải trả tiền để nhà cung cấp chương trình giới thiệu ứng dụng đến các nhà nghiên cứu độc lập, quản lý chương trình cho bạn và cuối cùng thanh toán bất kỳ khoản tiền thưởng hợp lệ nào”, ông Bob Egner, Phó chủ tịch hãng bảo mật Outpost24 (Thụy Điển), giải thích.

Một số công ty bảo mật mạng, như Check Point Software Technologies, Palo Alto Networks, Fortinet, Qualys, Proofpoint và FireEye vào tháng 1 năm nay đã đưa ra bản dự báo về đầu tư cho an ninh bảo mật, trong đó cho biết chi phí cho phần mềm và dịch vụ bảo mật của các doanh nghiệp và chính phủ trên toàn cầu sẽ tăng 19% trong năm 2018 này, đạt mức 90 tỉ đô la trong 12 đến 18 tháng tới. Các lĩnh vực chi tiêu bảo mật hàng đầu trong năm tới sẽ xung quanh bảo mật đám mây, công nghệ tường lửa thế hệ tiếp theo, bảo mật e-mail, lỗ hổng bảo mật và đe dọa mạng và quản lý truy cập danh tính.

Theo tờ csoonline, chi phí thiệt hại do hoạt động của các nhóm tội phạm mạng ảo sẽ lên đến 6.000 tỉ đô la mỗi năm vào năm 2021, tăng từ mức 3.000 tỉ đô la năm 2015. Chi phí cho an ninh mạng, cụ thể cho các sản phẩm và dịch vụ an ninh mạng, được dự báo sẽ vượt mức 1.000 tỉ đô la trong vòng năm năm, từ năm 2017 đến năm 2021. Sự gia tăng của tội phạm mạng đã đẩy chi phí an ninh thông tin ( information security - một nhánh của an ninh mạng ảo cybersecurity) lên tới hơn 86,4 tỉ đô la vào năm 2017, theo Gartner. Đó là chưa kể đến chi phí về an ninh bảo mật cho IoT, ngành công nghiệp IoT và an ninh hệ thống kiểm soát công nghiệp (ICS), an ninh cho các lĩnh vực tự động hóa hay xe hơi...

Chưa hết, khi thế giới tiến vào thời kỹ thuật số hóa mọi thứ, con người chứ không phải máy móc trở thành mục tiêu tấn công của các nhóm tội phạm mạng ảo. Khoảng 3,8 tỉ người sử dụng Internet trong năm 2017 (51% trong 7 tỉ dân số thế giới), tăng từ 2 tỉ trong năm 2015. Cybersecurity Ventures dự đoán sẽ có 6 tỉ người dùng Internet vào năm 2022 (75% dân số thế giới, theo dự kiến lúc đó là 8 tỉ) - và hơn 7,5 tỉ người dùng Internet vào năm 2030 (90% dân số thế giới từ sáu tuổi trở lên, dự kiến là 8,5 triệu người vào thời điểm đó).     
    P.A

Việc không nỗ lực tìm ra lỗi bảo mật của ứng dụng có nguy cơ dẫn đến một vụ tấn công của hacker xấu, khiến dữ liệu bị đánh cắp, tài chính và danh tiếng bị thiệt hại. Theo một bản báo cáo gần đây của công ty bảo mật Nuix (Úc), 71% số hacker mũ đen nói có thể phá vỡ hàng rào bảo mật của một mục tiêu trong vòng mười giờ đồng hồ.

Ông Frans Rosen, thợ săn lỗi bảo mật người Thụy Điển, đang sử dụng nguồn thu nhập từ công việc này để tài trợ cho các công ty khởi nghiệp trong lĩnh vực công nghệ cao. “Chúng tôi mang số tiền thưởng nhận được đi đầu tư, cũng là một cách sử dụng tiền thú vị”, ông cho biết, đồng thời nói thêm khoản tiền đầu tư này cho phép các công ty khởi nghiệp phát triển sản phẩm hoặc ứng dụng của mình.

Tuy nhiên, không phải hacker tìm lỗi nào cũng đều làm việc cho một công ty bảo mật thành danh. Vì thế, những ai được đại diện bởi một công ty như HackerOne hoặc Bug Crowd sẽ có thêm uy tín khi muốn cảnh báo doanh nghiệp về những lỗ hổng bảo mật. Ông Robbie Wiggins, chuyên gia kiểm tra bảo mật, cho rằng việc cảnh báo một công ty rằng trang web hoặc ứng dụng của họ có nguy cơ bị tấn công luôn là vấn đề phức tạp. Thường thì các doanh nghiệp không thiết lập cơ chế nhận cảnh báo bảo mật chính thức, ngoài một địa chỉ e-mail quản trị chung. Vì thế, một vai trò nữa của công ty săn lỗi đáng được nhận thưởng là giúp đưa bản báo cáo về lỗ hổng bảo mật đến đúng người có trách nhiệm xử lý.

Bên cạnh đó, sự xuất hiện của ngày càng nhiều chương trình săn lỗi nhận thưởng và giá trị phần thưởng đáng kể khiến thị trường này trở nên đông đúc trong lúc việc tìm ra lỗi ngày càng khó hơn. Vì thế, ông Wiggins chuyển hướng sang tìm lỗi trong những công ty có thể đã phạm sai lầm với tài khoản lưu trữ đám mây Amazon của họ. Cho đến giờ, ông đã tìm thấy hơn 5.000 tài khoản dường như “mở cửa” để người ngoài tiếp cận dữ liệu của họ. “Săn lỗi nhận thưởng giờ đây không khác gì một sở thích riêng và tỏ ra hữu ích khi tôi cần thêm tiền cho con cái”, ông cho biết.

Một ưu điểm khác của những chương trình như vậy là chúng có thể ngăn hacker đi sai đường. Ông Terry Ray, Giám đốc công nghệ của công ty bảo mật dữ liệu Imperva (Mỹ), giải thích: “Các chương trình tìm lỗi nhận thưởng cung cấp một sự chọn lựa thay thế một cách hợp pháp cho những người giỏi trong lĩnh vực công nghệ này. Nếu không có những chương trình loại này, họ có thể có khuynh hướng tiến hành những hoạt động sai trái, như xâm nhập hệ thống và bán dữ liệu bất hợp pháp”.

(BBC)

In bài
Gửi bài cho bạn bè
Top
TÀI CHÍNH - NGÂN HÀNG
NGÂN HÀNG
BẢO HIỂM
CHỨNG KHOÁN
TIỀN TỆ
KINH DOANH
THƯƠNG MẠI - DỊCH VỤ
XUẤT NHẬP KHẨU
CHUYỂN ĐỘNG CÔNG THƯƠNG
THƯƠNG MẠI ĐIỆN TỬ
KHUYẾN MÃI
WEB GIÁ RẺ
DIỄN ĐÀN
Ý KIẾN
GHI NHẬN
BẠN ĐỌC VIẾT
BLOG
VIỆC GÌ? Ở ĐÂU?
DOANH NGHIỆP
CHUYỆN LÀM ĂN
QUẢN TRỊ SỨC KHỎE
PHÁP LUẬT
QUẢN TRỊ
MỘT VÒNG DOANH NGHIỆP
DỮ LIỆU DOANH NGHIỆP
VĂN HÓA - XÃ HỘI
VĂN HÓA
XÃ HỘI
ĐỊA ỐC
NHÀ ĐẤT
QUY HOẠCH - HẠ TẦNG
DỰ ÁN
GÓC TƯ VẤN
THẾ GIỚI
PHÂN TÍCH - BÌNH LUẬN
THỊ TRƯỜNG - DOANH NGHIỆP
 
Giấy phép Báo điện tử số: 2302/GP-BTTTT, cấp ngày 29/11/2012
Tổng biên tập: Trần Minh Hùng.
Thư ký tòa soạn: Hồng Văn; Phó thư ký tòa soạn: Yến Dung.
Tòa soạn: Số 35 Nam Kỳ Khởi Nghĩa, Quận 1, Thành phố Hồ Chí Minh.
Điện thoại: (8428) 3829 5936; Fax: (8428) 3829 4294; Email: online@kinhtesaigon.vn
Thời báo Kinh tế Sài Gòn giữ bản quyền nội dung của trang web www.thesaigontimes.vn. Không được sử dụng lại nội dung trên Thời báo Kinh tế Sài Gòn Online dưới mọi hình thức, trừ khi được Thời báo Kinh tế Sài Gòn đồng ý bằng văn bản.
Trang ngoài sẽ được mở ra ở cửa sổ mới. Thời báo Kinh tế Sài Gòn Online không chịu trách nhiệm nội dung trang ngoài.
Bản quyền thuộc về SaigonTimesGroup.
Thời của thợ săn lỗi bảo mật
Thứ Tư,  16/5/2018, 09:21 
H. Minh

Thời của thợ săn lỗi bảo mật

H. Minh

(TBVTSG) - Việc không nỗ lực tìm ra lỗi bảo mật của ứng dụng có nguy cơ dẫn đến một vụ tấn công của hacker xấu, khiến dữ liệu bị đánh cắp, tài chính và danh tiếng bị thiệt hại.

Không chỉ doanh nghiệp mà cả quân đội cũng cần những kỹ năng săn lỗi bảo mật của ông Frans Rosen (phải).

Thuật ngữ hacker (tin tặc) thường được sử dụng với nghĩa xấu dù thế giới có sự phân biệt giới hacker mũ trắng hàm ý người làm việc tốt và hacker mũ đen làm việc xấu. Nhưng ranh giới giữa hai nhóm trắng và đen này quá mờ nhạt, đặc biệt là trong bối cảnh các vụ tấn công mạng do hacker mũ đen thực hiện quá nhiều dẫn đến các tác động lớn về mặt kinh tế và xã hội. Dù vậy, thực tế cho thấy những người chuyên làm công việc phát hiện điểm yếu trong phần mềm của công ty và hệ thống an ninh mạng (bug hunters), còn được gọi là các hacker mũ trắng, hacker tốt, được các doanh nghiệp tìm kiếm. Bản thân họ cũng nhờ công việc này mà kiếm được nhiều tiền và ngành công nghiệp này đang phát triển.

Cuộc đua gay cấn

James Kettle là một thợ săn lỗi phần mềm. Ông quét các trang mã để tìm kiếm lỗi - những điểm yếu mà bọn tội phạm có thể khai thác để đột nhập vào mạng doanh nghiệp để lấy cắp dữ liệu. Với tấm bằng khoa học máy tính, ông muốn làm thứ gì đó phù hợp với sở thích và tình cờ bắt gặp chương trình săn lỗi bảo mật của Google và Mozilla, nhà phát triển trình duyệt cùng tên.

Đây là những chương trình trả tiền mặt cho hacker nào phát hiện những sai sót, hoặc lỗi, trong phần mềm của các công ty. “Chúng thực sự khích lệ bạn làm việc chăm chỉ và tôi mất khoảng 50 giờ mới tìm thấy một lỗi hợp lệ”, ông Kettle nhớ lại. Ngoài chuyện tiền bạc, chuyên gia này còn bị thôi thúc bởi sự khao khát tìm kiếm các lỗi bảo mật trong mã phần mềm và điều này rốt cuộc trở thành một công việc béo bở.

Ông Kettle hiện là một trong những thợ săn lỗi bảo mật hàng đầu trên HackerOne, một dịch vụ “mai mối” tin tặc với các công ty, chính phủ đang tìm kiếm chuyên gia để kiểm tra các phần mềm của họ. Những hacker mũ trắng này có thể kiếm được hơn 350.000 đô la mỗi năm. Các chương trình săn lỗi trả cho tin tặc bình quân 50.000 đô la mỗi tháng. Một số chương trình thậm chí trả tổng cộng 1 triệu đô la trong một năm cho một thợ săn lỗi gởi. Việc tìm thấy một lỗi chưa từng phát hiện trước đó là rất hiếm và có thể dẫn đến một khoản tiền thưởng đáng kể, có lẽ lên đến hàng trăm ngàn đô la.

Ông Kettle hiện làm việc cho PortSwigger – công ty phần mềm kiểm tra khả năng bảo mật của ứng dụng web, đặt trụ sở ở Anh. Đây còn là nhà phát triển công cụ Burp Suite được nhiều hacker sử dụng để thăm dò các trang web để xem liệu thời cơ khai thác lỗi bảo mật đã đến hay chưa. “Tôi tìm kiếm những cách mới để xâm nhập các trang web, tự động hóa điều đó rồi tham gia chương trình săn lỗi bảo mật để chứng minh các kỹ thuật mới của mình hoạt động. Đó là công việc thú vị nhưng cũng đầy thử thách”, ông nhận định.

Hầu hết các phần mềm đều có lỗi vì nó được viết bởi con người và bọn tội phạm liên tục quét mã để tìm kiếm những lỗ hổng này, thường thông qua các công cụ tự động. Vì thế, đây không khác gì cuộc đua phát hiện những điểm yếu trước khi kẻ xấu, hoặc tin tặc “mũ đen” tìm ra chúng. Vấn đề là không có nhiều công ty có đủ người để phát hiện ra lỗi bảo mật. Đó là lý do họ tìm  kiếm sự hỗ trợ của chuyên gia từ những công ty như HackerOne, Bugcrowd và Synack (đều của Mỹ). Những doanh nghiệp này đóng vai trò như đại lý cho giới hacker đã qua sát hạch về đạo đức, quản lý chương trình săn lỗi bảo mật nhận tiền thưởng, kiểm chứng công việc đã hoàn thành và bảo đảm sự bảo mật của khách hàng.

Nhà đồng sáng lập HackerOne, ông Jobert Abma.

Thị trường đông đúc

HackerOne là công ty lớn nhất trong số ba tên tuổi nói trên. Họ hiện nắm trong tay hơn 120.000 hacker và đã trả hơn 26 triệu đô la tiền thưởng kể từ khi ra đời năm 2012, ông Laurie Mercer – một kỹ sư cao cấp của công ty cho biết. “Các chương trình săn lỗi bảo mật nhận tiền thưởng cho phép doanh nghiệp thuê người bên ngoài để kiểm tra tính bảo mật của ứng dụng nhưng điều này đòi hỏi họ phải tốn tiền. Doanh nghiệp phải trả tiền để nhà cung cấp chương trình giới thiệu ứng dụng đến các nhà nghiên cứu độc lập, quản lý chương trình cho bạn và cuối cùng thanh toán bất kỳ khoản tiền thưởng hợp lệ nào”, ông Bob Egner, Phó chủ tịch hãng bảo mật Outpost24 (Thụy Điển), giải thích.

Một số công ty bảo mật mạng, như Check Point Software Technologies, Palo Alto Networks, Fortinet, Qualys, Proofpoint và FireEye vào tháng 1 năm nay đã đưa ra bản dự báo về đầu tư cho an ninh bảo mật, trong đó cho biết chi phí cho phần mềm và dịch vụ bảo mật của các doanh nghiệp và chính phủ trên toàn cầu sẽ tăng 19% trong năm 2018 này, đạt mức 90 tỉ đô la trong 12 đến 18 tháng tới. Các lĩnh vực chi tiêu bảo mật hàng đầu trong năm tới sẽ xung quanh bảo mật đám mây, công nghệ tường lửa thế hệ tiếp theo, bảo mật e-mail, lỗ hổng bảo mật và đe dọa mạng và quản lý truy cập danh tính.

Theo tờ csoonline, chi phí thiệt hại do hoạt động của các nhóm tội phạm mạng ảo sẽ lên đến 6.000 tỉ đô la mỗi năm vào năm 2021, tăng từ mức 3.000 tỉ đô la năm 2015. Chi phí cho an ninh mạng, cụ thể cho các sản phẩm và dịch vụ an ninh mạng, được dự báo sẽ vượt mức 1.000 tỉ đô la trong vòng năm năm, từ năm 2017 đến năm 2021. Sự gia tăng của tội phạm mạng đã đẩy chi phí an ninh thông tin ( information security - một nhánh của an ninh mạng ảo cybersecurity) lên tới hơn 86,4 tỉ đô la vào năm 2017, theo Gartner. Đó là chưa kể đến chi phí về an ninh bảo mật cho IoT, ngành công nghiệp IoT và an ninh hệ thống kiểm soát công nghiệp (ICS), an ninh cho các lĩnh vực tự động hóa hay xe hơi...

Chưa hết, khi thế giới tiến vào thời kỹ thuật số hóa mọi thứ, con người chứ không phải máy móc trở thành mục tiêu tấn công của các nhóm tội phạm mạng ảo. Khoảng 3,8 tỉ người sử dụng Internet trong năm 2017 (51% trong 7 tỉ dân số thế giới), tăng từ 2 tỉ trong năm 2015. Cybersecurity Ventures dự đoán sẽ có 6 tỉ người dùng Internet vào năm 2022 (75% dân số thế giới, theo dự kiến lúc đó là 8 tỉ) - và hơn 7,5 tỉ người dùng Internet vào năm 2030 (90% dân số thế giới từ sáu tuổi trở lên, dự kiến là 8,5 triệu người vào thời điểm đó).     
    P.A

Việc không nỗ lực tìm ra lỗi bảo mật của ứng dụng có nguy cơ dẫn đến một vụ tấn công của hacker xấu, khiến dữ liệu bị đánh cắp, tài chính và danh tiếng bị thiệt hại. Theo một bản báo cáo gần đây của công ty bảo mật Nuix (Úc), 71% số hacker mũ đen nói có thể phá vỡ hàng rào bảo mật của một mục tiêu trong vòng mười giờ đồng hồ.

Ông Frans Rosen, thợ săn lỗi bảo mật người Thụy Điển, đang sử dụng nguồn thu nhập từ công việc này để tài trợ cho các công ty khởi nghiệp trong lĩnh vực công nghệ cao. “Chúng tôi mang số tiền thưởng nhận được đi đầu tư, cũng là một cách sử dụng tiền thú vị”, ông cho biết, đồng thời nói thêm khoản tiền đầu tư này cho phép các công ty khởi nghiệp phát triển sản phẩm hoặc ứng dụng của mình.

Tuy nhiên, không phải hacker tìm lỗi nào cũng đều làm việc cho một công ty bảo mật thành danh. Vì thế, những ai được đại diện bởi một công ty như HackerOne hoặc Bug Crowd sẽ có thêm uy tín khi muốn cảnh báo doanh nghiệp về những lỗ hổng bảo mật. Ông Robbie Wiggins, chuyên gia kiểm tra bảo mật, cho rằng việc cảnh báo một công ty rằng trang web hoặc ứng dụng của họ có nguy cơ bị tấn công luôn là vấn đề phức tạp. Thường thì các doanh nghiệp không thiết lập cơ chế nhận cảnh báo bảo mật chính thức, ngoài một địa chỉ e-mail quản trị chung. Vì thế, một vai trò nữa của công ty săn lỗi đáng được nhận thưởng là giúp đưa bản báo cáo về lỗ hổng bảo mật đến đúng người có trách nhiệm xử lý.

Bên cạnh đó, sự xuất hiện của ngày càng nhiều chương trình săn lỗi nhận thưởng và giá trị phần thưởng đáng kể khiến thị trường này trở nên đông đúc trong lúc việc tìm ra lỗi ngày càng khó hơn. Vì thế, ông Wiggins chuyển hướng sang tìm lỗi trong những công ty có thể đã phạm sai lầm với tài khoản lưu trữ đám mây Amazon của họ. Cho đến giờ, ông đã tìm thấy hơn 5.000 tài khoản dường như “mở cửa” để người ngoài tiếp cận dữ liệu của họ. “Săn lỗi nhận thưởng giờ đây không khác gì một sở thích riêng và tỏ ra hữu ích khi tôi cần thêm tiền cho con cái”, ông cho biết.

Một ưu điểm khác của những chương trình như vậy là chúng có thể ngăn hacker đi sai đường. Ông Terry Ray, Giám đốc công nghệ của công ty bảo mật dữ liệu Imperva (Mỹ), giải thích: “Các chương trình tìm lỗi nhận thưởng cung cấp một sự chọn lựa thay thế một cách hợp pháp cho những người giỏi trong lĩnh vực công nghệ này. Nếu không có những chương trình loại này, họ có thể có khuynh hướng tiến hành những hoạt động sai trái, như xâm nhập hệ thống và bán dữ liệu bất hợp pháp”.

(BBC)

TIN BÀI LIÊN QUAN
In bài
Gửi bài cho bạn bè
CÙNG CHUYÊN MỤC

Mobile

Thời của thợ săn lỗi bảo mật
Thứ Tư,  16/5/2018, 09:21 
H. Minh

Thời của thợ săn lỗi bảo mật

H. Minh

(TBVTSG) - Việc không nỗ lực tìm ra lỗi bảo mật của ứng dụng có nguy cơ dẫn đến một vụ tấn công của hacker xấu, khiến dữ liệu bị đánh cắp, tài chính và danh tiếng bị thiệt hại.

Không chỉ doanh nghiệp mà cả quân đội cũng cần những kỹ năng săn lỗi bảo mật của ông Frans Rosen (phải).

Thuật ngữ hacker (tin tặc) thường được sử dụng với nghĩa xấu dù thế giới có sự phân biệt giới hacker mũ trắng hàm ý người làm việc tốt và hacker mũ đen làm việc xấu. Nhưng ranh giới giữa hai nhóm trắng và đen này quá mờ nhạt, đặc biệt là trong bối cảnh các vụ tấn công mạng do hacker mũ đen thực hiện quá nhiều dẫn đến các tác động lớn về mặt kinh tế và xã hội. Dù vậy, thực tế cho thấy những người chuyên làm công việc phát hiện điểm yếu trong phần mềm của công ty và hệ thống an ninh mạng (bug hunters), còn được gọi là các hacker mũ trắng, hacker tốt, được các doanh nghiệp tìm kiếm. Bản thân họ cũng nhờ công việc này mà kiếm được nhiều tiền và ngành công nghiệp này đang phát triển.

Cuộc đua gay cấn

James Kettle là một thợ săn lỗi phần mềm. Ông quét các trang mã để tìm kiếm lỗi - những điểm yếu mà bọn tội phạm có thể khai thác để đột nhập vào mạng doanh nghiệp để lấy cắp dữ liệu. Với tấm bằng khoa học máy tính, ông muốn làm thứ gì đó phù hợp với sở thích và tình cờ bắt gặp chương trình săn lỗi bảo mật của Google và Mozilla, nhà phát triển trình duyệt cùng tên.

Đây là những chương trình trả tiền mặt cho hacker nào phát hiện những sai sót, hoặc lỗi, trong phần mềm của các công ty. “Chúng thực sự khích lệ bạn làm việc chăm chỉ và tôi mất khoảng 50 giờ mới tìm thấy một lỗi hợp lệ”, ông Kettle nhớ lại. Ngoài chuyện tiền bạc, chuyên gia này còn bị thôi thúc bởi sự khao khát tìm kiếm các lỗi bảo mật trong mã phần mềm và điều này rốt cuộc trở thành một công việc béo bở.

Ông Kettle hiện là một trong những thợ săn lỗi bảo mật hàng đầu trên HackerOne, một dịch vụ “mai mối” tin tặc với các công ty, chính phủ đang tìm kiếm chuyên gia để kiểm tra các phần mềm của họ. Những hacker mũ trắng này có thể kiếm được hơn 350.000 đô la mỗi năm. Các chương trình săn lỗi trả cho tin tặc bình quân 50.000 đô la mỗi tháng. Một số chương trình thậm chí trả tổng cộng 1 triệu đô la trong một năm cho một thợ săn lỗi gởi. Việc tìm thấy một lỗi chưa từng phát hiện trước đó là rất hiếm và có thể dẫn đến một khoản tiền thưởng đáng kể, có lẽ lên đến hàng trăm ngàn đô la.

Ông Kettle hiện làm việc cho PortSwigger – công ty phần mềm kiểm tra khả năng bảo mật của ứng dụng web, đặt trụ sở ở Anh. Đây còn là nhà phát triển công cụ Burp Suite được nhiều hacker sử dụng để thăm dò các trang web để xem liệu thời cơ khai thác lỗi bảo mật đã đến hay chưa. “Tôi tìm kiếm những cách mới để xâm nhập các trang web, tự động hóa điều đó rồi tham gia chương trình săn lỗi bảo mật để chứng minh các kỹ thuật mới của mình hoạt động. Đó là công việc thú vị nhưng cũng đầy thử thách”, ông nhận định.

Hầu hết các phần mềm đều có lỗi vì nó được viết bởi con người và bọn tội phạm liên tục quét mã để tìm kiếm những lỗ hổng này, thường thông qua các công cụ tự động. Vì thế, đây không khác gì cuộc đua phát hiện những điểm yếu trước khi kẻ xấu, hoặc tin tặc “mũ đen” tìm ra chúng. Vấn đề là không có nhiều công ty có đủ người để phát hiện ra lỗi bảo mật. Đó là lý do họ tìm  kiếm sự hỗ trợ của chuyên gia từ những công ty như HackerOne, Bugcrowd và Synack (đều của Mỹ). Những doanh nghiệp này đóng vai trò như đại lý cho giới hacker đã qua sát hạch về đạo đức, quản lý chương trình săn lỗi bảo mật nhận tiền thưởng, kiểm chứng công việc đã hoàn thành và bảo đảm sự bảo mật của khách hàng.

Nhà đồng sáng lập HackerOne, ông Jobert Abma.

Thị trường đông đúc

HackerOne là công ty lớn nhất trong số ba tên tuổi nói trên. Họ hiện nắm trong tay hơn 120.000 hacker và đã trả hơn 26 triệu đô la tiền thưởng kể từ khi ra đời năm 2012, ông Laurie Mercer – một kỹ sư cao cấp của công ty cho biết. “Các chương trình săn lỗi bảo mật nhận tiền thưởng cho phép doanh nghiệp thuê người bên ngoài để kiểm tra tính bảo mật của ứng dụng nhưng điều này đòi hỏi họ phải tốn tiền. Doanh nghiệp phải trả tiền để nhà cung cấp chương trình giới thiệu ứng dụng đến các nhà nghiên cứu độc lập, quản lý chương trình cho bạn và cuối cùng thanh toán bất kỳ khoản tiền thưởng hợp lệ nào”, ông Bob Egner, Phó chủ tịch hãng bảo mật Outpost24 (Thụy Điển), giải thích.

Một số công ty bảo mật mạng, như Check Point Software Technologies, Palo Alto Networks, Fortinet, Qualys, Proofpoint và FireEye vào tháng 1 năm nay đã đưa ra bản dự báo về đầu tư cho an ninh bảo mật, trong đó cho biết chi phí cho phần mềm và dịch vụ bảo mật của các doanh nghiệp và chính phủ trên toàn cầu sẽ tăng 19% trong năm 2018 này, đạt mức 90 tỉ đô la trong 12 đến 18 tháng tới. Các lĩnh vực chi tiêu bảo mật hàng đầu trong năm tới sẽ xung quanh bảo mật đám mây, công nghệ tường lửa thế hệ tiếp theo, bảo mật e-mail, lỗ hổng bảo mật và đe dọa mạng và quản lý truy cập danh tính.

Theo tờ csoonline, chi phí thiệt hại do hoạt động của các nhóm tội phạm mạng ảo sẽ lên đến 6.000 tỉ đô la mỗi năm vào năm 2021, tăng từ mức 3.000 tỉ đô la năm 2015. Chi phí cho an ninh mạng, cụ thể cho các sản phẩm và dịch vụ an ninh mạng, được dự báo sẽ vượt mức 1.000 tỉ đô la trong vòng năm năm, từ năm 2017 đến năm 2021. Sự gia tăng của tội phạm mạng đã đẩy chi phí an ninh thông tin ( information security - một nhánh của an ninh mạng ảo cybersecurity) lên tới hơn 86,4 tỉ đô la vào năm 2017, theo Gartner. Đó là chưa kể đến chi phí về an ninh bảo mật cho IoT, ngành công nghiệp IoT và an ninh hệ thống kiểm soát công nghiệp (ICS), an ninh cho các lĩnh vực tự động hóa hay xe hơi...

Chưa hết, khi thế giới tiến vào thời kỹ thuật số hóa mọi thứ, con người chứ không phải máy móc trở thành mục tiêu tấn công của các nhóm tội phạm mạng ảo. Khoảng 3,8 tỉ người sử dụng Internet trong năm 2017 (51% trong 7 tỉ dân số thế giới), tăng từ 2 tỉ trong năm 2015. Cybersecurity Ventures dự đoán sẽ có 6 tỉ người dùng Internet vào năm 2022 (75% dân số thế giới, theo dự kiến lúc đó là 8 tỉ) - và hơn 7,5 tỉ người dùng Internet vào năm 2030 (90% dân số thế giới từ sáu tuổi trở lên, dự kiến là 8,5 triệu người vào thời điểm đó).     
    P.A

Việc không nỗ lực tìm ra lỗi bảo mật của ứng dụng có nguy cơ dẫn đến một vụ tấn công của hacker xấu, khiến dữ liệu bị đánh cắp, tài chính và danh tiếng bị thiệt hại. Theo một bản báo cáo gần đây của công ty bảo mật Nuix (Úc), 71% số hacker mũ đen nói có thể phá vỡ hàng rào bảo mật của một mục tiêu trong vòng mười giờ đồng hồ.

Ông Frans Rosen, thợ săn lỗi bảo mật người Thụy Điển, đang sử dụng nguồn thu nhập từ công việc này để tài trợ cho các công ty khởi nghiệp trong lĩnh vực công nghệ cao. “Chúng tôi mang số tiền thưởng nhận được đi đầu tư, cũng là một cách sử dụng tiền thú vị”, ông cho biết, đồng thời nói thêm khoản tiền đầu tư này cho phép các công ty khởi nghiệp phát triển sản phẩm hoặc ứng dụng của mình.

Tuy nhiên, không phải hacker tìm lỗi nào cũng đều làm việc cho một công ty bảo mật thành danh. Vì thế, những ai được đại diện bởi một công ty như HackerOne hoặc Bug Crowd sẽ có thêm uy tín khi muốn cảnh báo doanh nghiệp về những lỗ hổng bảo mật. Ông Robbie Wiggins, chuyên gia kiểm tra bảo mật, cho rằng việc cảnh báo một công ty rằng trang web hoặc ứng dụng của họ có nguy cơ bị tấn công luôn là vấn đề phức tạp. Thường thì các doanh nghiệp không thiết lập cơ chế nhận cảnh báo bảo mật chính thức, ngoài một địa chỉ e-mail quản trị chung. Vì thế, một vai trò nữa của công ty săn lỗi đáng được nhận thưởng là giúp đưa bản báo cáo về lỗ hổng bảo mật đến đúng người có trách nhiệm xử lý.

Bên cạnh đó, sự xuất hiện của ngày càng nhiều chương trình săn lỗi nhận thưởng và giá trị phần thưởng đáng kể khiến thị trường này trở nên đông đúc trong lúc việc tìm ra lỗi ngày càng khó hơn. Vì thế, ông Wiggins chuyển hướng sang tìm lỗi trong những công ty có thể đã phạm sai lầm với tài khoản lưu trữ đám mây Amazon của họ. Cho đến giờ, ông đã tìm thấy hơn 5.000 tài khoản dường như “mở cửa” để người ngoài tiếp cận dữ liệu của họ. “Săn lỗi nhận thưởng giờ đây không khác gì một sở thích riêng và tỏ ra hữu ích khi tôi cần thêm tiền cho con cái”, ông cho biết.

Một ưu điểm khác của những chương trình như vậy là chúng có thể ngăn hacker đi sai đường. Ông Terry Ray, Giám đốc công nghệ của công ty bảo mật dữ liệu Imperva (Mỹ), giải thích: “Các chương trình tìm lỗi nhận thưởng cung cấp một sự chọn lựa thay thế một cách hợp pháp cho những người giỏi trong lĩnh vực công nghệ này. Nếu không có những chương trình loại này, họ có thể có khuynh hướng tiến hành những hoạt động sai trái, như xâm nhập hệ thống và bán dữ liệu bất hợp pháp”.

(BBC)

TIN BÀI LIÊN QUAN
In bài
Gửi bài cho bạn bè
CÙNG CHUYÊN MỤC