Hacker “mũ trắng”
Đó là tên gọi của nhóm hacker đang được lực lượng không quân Mỹ sử dụng trong một chương trình mang tên “Hack the Air Force” nhằm giúp xác định và sửa chữa các lỗ hổng bảo mật của hệ thống trong quân đội Mỹ.
Theo hãng Reuters, “hacker mũ trắng” (tên tiếng Anh “White hat hacker”) nhằm chỉ những người thích tìm kiếm những lỗ hổng bảo mật trong một hệ thống máy tính với mục đích “vá” những lỗ hổng đó hơn là khai thác chúng với ý đồ xấu.
 |
| Người đồng sáng lập HackerOne Jobert Abma (trái) và “hacker mũ trắng”. |
Một người muốn trở thành một “hacker mũ trắng” chuyên nghiệp phải có kinh nghiệm về bảo mật hệ thống, hiểu biết rõ về pháp luật và đặc biệt phải tôn trọng và tuân thủ nguyên tắc của pháp luật.
Hiện nay, nhiều “hacker mũ trắng” tập hợp lại thành những nhóm kiểm tra bảo mật, được các công ty thuê để xâm nhập vào hệ thống mạng nội bộ hay các dịch vụ trên web nhằm kiểm tra tính nguyên vẹn của nó. Ngoài ra, các “hacker mũ trắng” còn được thuê để xâm nhập vào các sản phẩm phần mềm nhằm phát hiện những yếu điểm bên trong chương trình đó.
Tờ Telegraph cho hay, trong mấy tháng mùa hè vừa qua, hàng trăm “hacker mũ trắng” đã tham gia chương trình “Hack the Air Force”. Chỉ trong vòng 24 ngày, từ 30-5 đến 23-6, hơn 200 lỗ hổng hệ thống của lực lượng không quân đã được tìm thấy.
Với mỗi lỗ hổng được xác định và kiểm chứng, các “hacker mũ trắng” sẽ được trả thưởng từ 100 USD-500 USD. Đối với những lỗ hổng cực kỳ nguy hiểm được phát hiện thì mức thù lao cũng có thể gia tăng từ 1.000 USD-5.000 USD.
Báo cáo mới nhất của Lầu Năm Góc cho biết, trong số các “hacker mũ trắng” làm việc cho lực lượng không quân Mỹ năm nay thì nổi lên có một thiếu niên 17 tuổi tên là Jack Cable. Em này đã giúp phát hiện được hơn 30 yếu điểm quan trọng trong hệ thống thông tin của không quân Mỹ khi tham gia chương trình mang tên “Bounty Bounty”.
Jack Cable cũng là người đã được Lầu Năm Góc quyết định trao thưởng nhiều khoản tiền lớn trong tổng số tiền thưởng 130.000 USD cho các “hacker mũ trắng”.
Những chiến dịch tuyển chọn khắt khe
Đại diện Bộ Quốc phòng Mỹ cho biết, Jack Cable và một nhóm thanh thiếu niên tuổi dưới 20 được một công ty tập hợp “hacker mũ trắng” tên là HackerOne tuyển dụng từ đầu năm và sau đó giao cho nhiệm vụ tìm kiếm các lỗ hổng trong hệ thống bảo mật của Chính phủ và của các công ty từ hồi tháng 5.
Khi Bộ Quốc phòng Mỹ ký hợp đồng với HackerOne thì Jack Cable cùng các bạn được tham gia 4 chương trình bao gồm “Hack the Pentagon” (có từ năm 2016), “Hack the Army” (khởi đồng từ tháng 2), “Bounty Bounty” (bắt đầu từ tháng 5) và “Hack the Air Force”.
Đến nay, Jack Cable đã giúp phát hiện 138 lỗ hổng trong chương trình “Hack the Pentagon” và 118 điểm yếu của “Hack the Army”. Riêng sự kiện, “Bounty Bounty” thì có tới 272 “hacker mũ trắng” tham gia và có nhiệm vụ “đào xới” mọi điểm yếu của 13 trang web trong lực lượng không quân Mỹ.
Peter Kim, chuyên gia an ninh thông tin của chương trình “Hack the Air Force” nói: “Chúng tôi muốn xem xét mức độ an toàn của hệ thống bảo mật từ mọi góc độ để từ đó có thể có những phương cách bảo mật tốt hơn. Những kẻ chống đối đang liên tục tấn công vào các trang web của chúng tôi và chúng tôi thực sự cần sự hỗ trợ của các “hacker mũ trắng”.
Trong khi đó, một nghiên cứu của Hewlett Packard cho thấy, cứ mỗi giây lại có 30 cuộc tấn công vào hệ thống mạng của quân đội Mỹ. Chính vì thế mà từ năm ngoái, khi được lựa chọn làm nhà thầu cho các hoạt động liên quan đến hacker, HackerOne đã phải chuẩn bị cho mình một lượng nhân sự khá lớn.
Giám đốc điều hành HackerOne, Marten Mickos tiết lộ, từ năm ngoái, khi tham gia chương trình “Hack the Pentagon”, HackerOne đã phải tuyển dụng tới gần 500 hacker tham gia giai đoạn 1 của chương trình (kéo dài trong tháng 12 năm 2016).
Khi đó, phần thưởng được trao cho các hacker nào tấn công được vào hệ thống tên miền của quân đội Mỹ rồi vá lại những lỗ hổng đó. Hacker nào tìm kiếm được nhiều lỗ hổng thì càng được nhiều tiền.
Hai tháng sau đó, HackerOne lại được Lầu Năm Góc trả tiền để thử nghiệm tấn công các hệ thống trọng yếu khác do cơ quan quốc phòng số (DDS) đưa ra. Lúc này, số lượng hacker tham gia chỉ khoảng 100 người và có nhiệm vụ thâm nhập vào “cơ chế chuyển tệp tin” mô phỏng theo hệ thống mà DDS sử dụng để gửi đi các email, tài liệu, hình ảnh nhạy cảm giữa các mạng lưới.
Lisa Wiswell, là một “hacker” của DDS nói rằng chỉ trong vòng mấy giờ, báo cáo đầu tiên từ một hacker của HackerOn đã cho thấy có rủi ro trong hệ thống. Sau này, do lo ngại về những lỗ hổng an ninh mạng ngày càng gia tăng, Lầu Năm Góc còn ký thêm hợp đồng bảo mật trị giá 4 triệu USD với Công ty bảo mật mạng Synack Inc.
Synack chuyên tuyển dụng những nhà nghiên cứu bảo mật đến từ Mỹ, Canada, Australia và Anh. Từ đó, các hacker của HackerOne và Synack Inc đã được DDS thúc giục cố gắng vượt qua các tường rào bảo vệ, lấy dữ liệu ra khỏi hệ thống, và kiểm soát cả hệ thống. Các hacker sẽ không chỉ rõ những lỗ hổng bị phát hiện, mà yêu cầu chuyên gia bảo mật của Bộ Quốc phòng phải khắc phục sự cố.
Cùng lúc thực hiện những chiến dịch đặc biệt này, Lầu Năm Góc cũng đã thành lập một ủy ban có tên “Cố vấn cải tiến Quốc phòng”. Đây là một ủy ban đặc biệt sẽ chịu trách nhiệm đảm bảo an ninh mạng và giúp đỡ Bộ Quốc phòng điều tra các cuộc tấn công mạng. Chủ tịch điều hành Eric Schmidt của công ty Alphabet (công ty mẹ của Google) sẽ là người đứng đầu ủy ban này.
Theo số liệu của Trung tâm nghiên cứu Zecurion Analytics, ngân sách nhà nước Mỹ tài trợ cho các hoạt động an ninh mạng lên tới gần 7 tỷ USD/năm và số các hacker cộng tác với Mỹ vào khoảng 9.000 người (chưa kể con số 61.000 hacker được Mỹ trả lương để thực hiện các hoạt động tấn công mạng trên toàn thế giới).
