Kiếm bộn tiền nhờ chương trình săn mã độc

Thị trường mở cho các hacker mũ trắng

Tháng 4-2016, chính quyền Mỹ lần đầu tiên phát động chương trình gọi là “săn tiền thưởng từ mã độc” dành cho những người đam mê nghiên cứu an ninh mạng có cơ hội thi thố tài năng phát hiện những lỗ hổng an ninh trên các trang web công cộng của Bộ Quốc phòng trước khi hacker mũ đen kịp hành động. Tiền thưởng 150.000 USD dành cho người nào phát hiện sớm những mã độc nguy hiểm nhất.

Giới hacker tội phạm có thể gây tổn hại nghiêm trọng khi phát tán mã độc, do đó nhiều tổ chức chính quyền cũng như công ty công nghệ đang nỗ lực tìm kiếm tài năng an ninh mạng thông qua chương trình săn tiền thưởng có giá trị cao tạo nên một thị trường mới béo bở.

Hiện nay, không chỉ có một số công ty công nghệ lớn như Google và Twitter công bố chương trình săn tiền thưởng từ mã độc mà còn có cả các nhà chế tạo ô tô (như Tesla và General Motors) và thậm chí những dịch vụ tài chính (bao gồm Western Union và Square) tham gia.

Uber tung ra chương trình săn tiền thưởng từ mã độc của riêng mình.

Hồi tháng 3-2016, công ty kinh doanh vận tải và taxi Uber đặt trụ sở tại San Francisco bang California (Mỹ) cũng thông báo chương trình săn tiền thưởng từ mã độc của riêng họ. Cuộc cạnh tranh quyết liệt đã tạo ra một thị trường mở - các hacker mũ trắng sẽ quyết định hợp tác với công ty nào trả giá cao hơn.

Katie Moussouris, nữ chuyên gia bảo mật phụ trách bộ phận chính sách công ty khởi nghiệp HackerOne, lập luận: “Đó chính là sức hấp dẫn của thị trường mở. Khi hacker mũ trắng phát hiện một mã độc, họ phải lựa chọn cách kiếm tiền từ nó”.

Các công ty cũng muốn được bảo vệ chống lại bọn tội phạm trực tuyến và mạng lưới gián điệp được chính phủ bảo trợ ngầm. Và, khi mà cơ sở hạ tầng trọng yếu của thế giới đã di chuyển lên Internet cũng như mối đe dọa tấn công tiềm ẩn trên không gian mạng ngày càng trở nên đáng sợ hơn, chính quyền các quốc gia rất cần thêm nhiều công cụ mạnh của hacker.

Nhờ đó mà một số hacker làm giàu nhanh nhờ bán công cụ của họ. Tháng 10-2014, công ty bảo mật Zerodium công bố chương trình gọi là “The Million Dollar iOS 9 Bug Bounty”, treo thưởng đến 1 triệu USD cho bất cứ ai tìm được lỗi bảo mật hệ điều hành iOS 9 mới nhất của Apple. Công ty Zerodium được thành lập bởi Chaouki Bekrar, người chuyên mua bán các lỗ hổng bảo mật chưa được công bố.

Vào giữa tháng 11-2014, Zerodium tiếp tục tuyên bố thưởng 50.000 USD cho hacker nào tấn công được máy tính một nạn nhân thông qua trình duyệt Sarafi hay Internet Explorer, và 80.000 USD cho cuộc tấn công tương tự qua trình duyệt Chrome của Google. Những đồng USD này thường chảy về Buenos Aires, nơi quy tụ nhiều công ty công nghệ khởi nghiệp và mỗi căn hộ hiện đại được thuê với giá 1.000 USD/tháng.

Arne Swinnen.

Tranh cãi về tiền thưởng

Tiền thưởng của Microsoft là 100.000 USD dành cho “những kỹ thuật khai thác lỗ hổng thực sự mới mẻ chống lại bức tường bảo vệ được xây dựng trong hệ diều hành mới của chúng tôi” - hay bất cứ mã độc nào vượt qua được mọi hệ thống an ninh trên nền tảng Windows. Trong thời gian qua, mạng xã hội Facebook đã chi trả gần 1 triệu USD cho những người săn tiền thưởng và hacker mũ trắng đến từ nhiều quốc gia - Ấn Độ, Ai Cập và Trinidad and Tobago.

Gianluca Stringhini, nhà khoa học máy tính và phó giáo sư Đại học London (Anh), đánh giá: “Với chương trình săn tiền thưởng, các công ty có thể bảo đảm những hacker giỏi nhất tìm ra mã độc nguy hiểm cho họ. Càng nhiều người tham gia chương trình, càng có nhiều mã độc được phát hiện. Đó cũng là sáng kiến giúp cho môi trường công ty công nghệ tìm kiếm tài năng”.

Nhà nghiên cứu an ninh mạng Chris Vickey lập luận rằng chương trình săn tiền thưởng từ mã độc cũng trở thành công việc bán thời gian giúp cho những người có tài kiếm được bộn tiền. Dĩ nhiên, nhiều công ty cũng gặp khó khăn trong vấn đề chi trả tiền thưởng cho hacker mũ trắng.

Kể từ khi khởi động chương trình săn tiền thưởng hồi năm 2013, Công ty Yahoo đã chi trả 1,6 triệu USD. Giá trị của mã độc là bao nhiêu tiền được xác định qua rất nhiều yếu tố - ví dụ như nó sẽ tác động nặng nề đến mức nào cho an ninh công ty - và luôn được bàn luận đằng sau cánh cửa đóng kín.

Các chương trình săn tiền thưởng đang tạo ra thị trường mở hấp dẫn.

Thời gian qua, một trường hợp liên quan đến số tiền thưởng đã làm dậy sóng trong giới an ninh mạng. Nhà nghiên cứu an ninh mạng Behrouz Sadeghipour, 24 tuổi, sống ở thành phố Sacramento (Mỹ), phát hiện một lỗ hổng bảo mật có thể giúp bọn tội phạm phát tán mã độc qua hình ảnh đăng tải sử dụng công cụ ImageMagick - thư viện xử lý hình ảnh phổ biến.

Lỗ hổng trên ImageMagick cũng có thể được lợi dụng để tấn công Polyvore - trang web thương mại điện tử về thời trang được Yahoo sở hữu năm 2015. Nhờ phát hiện của mình, Sadeghipour nhận được 2.000 USD và Yahoo nhanh chóng vá lỗ hổng trong vòng chưa đến 2 giờ. Nhưng, Sadeghipour nói số tiền thưởng lẽ ra phải nhiều hơn: “Tôi cho rằng mình sẽ được trả nhiều tiền hơn bởi vì tính nghiêm trọng của lỗ hổng được phát hiện”.

Chuyên gia bảo mật Doug DePerry cũng nhận định: “Một lỗ hổng an ninh tác động đến hàng trăm, hàng ngàn hay hàng triệu người dùng. Đó là vấn đề nghiêm trọng. Do đó, số tiền thưởng dĩ nhiên phải nhiều hơn bình thường”.

“Săn tiền thưởng từ mã độc” dành cho những người đam mê nghiên cứu an ninh mạng.

Chuyên gia săn tiền thưởng người Bỉ Arne Swinnen hiện là chuyên gia số 2 trong đội ngũ hacker mũ trắng của Facebook - mạng xã hội có danh sách dài những chuyên gia giúp phát hiện những lỗ hổng an ninh trước khi tội phạm kịp khai thác chúng để tấn công phá hoại. Với công việc bán thời gian này, Swinnen kiếm được khoảng 15.000 USD trong vài tháng.

Ông kể: “Một số mã độc được tìm thấy trong vài ngày, trong khi một số khác phát hiện nhanh chỉ trong vài phút. Mã độc nguy hiểm nhất mà tôi phát hiện được trong 5 phút đã mang về số tiền thưởng 2.500 USD. Swinnen chuyên nghiên cứu mã độc trực tuyến và bắt đầu công việc săn tiền thưởng trên nền tảng Instagram thuộc sở hữu của Facebook.

Swinnen thừa nhận đây là công việc thú vị hái ra tiền: “Đó là sở thích riêng của tôi. Tôi thích săn tiền thưởng bởi vì nó thật sự kích thích”.

Công cụ ImageMagick - thư viện xử lý hình ảnh phổ biến.

Môi trường phát triển cho các tài năng trẻ tuổi

Tại các quốc gia đang phát triển như Ấn Độ, săn tiền thưởng từ virus được coi là môn “thể thao trí tuệ” đang phát triển mạnh. Năm 2015, Facebook nhận được 13.233 đóng góp từ 5.543 hacker mũ trắng. Đội ngũ đông đảo “hacker mũ trắng” của Ấn Độ đang kiếm bộn tiền từ Facebook và Google nhờ vào khả năng bóc trần những lỗ hổng an ninh trên trang web của 2 công ty Mỹ.

Ở Ấn Độ, với dân số hơn 1 tỷ người, việc tìm được việc làm là vô cùng khó khăn cho nên phương án săn tiền thưởng trở thành lựa chọn hàng đầu hiện nay cho các chuyên gia máy tính trẻ tuổi tài năng nước này.

Không ai nghĩ rằng Anand Prakash có một ngày trở thành triệu phú! Lớn lên trong thị trấn nhỏ Bhadra ở miền tây Ấn Độ, Praksh thích tiêu pha thời gian rỗi với game máy tính trong những quán cà phê Internet hơn là ra ngoài trời chơi cricket với những người đồng trang lứa với mình. Và, trong khi cố gắng tìm kiếm việc làm thì bất ngờ anh phát hiện chương trình “săn mã độc, nhận tiền thưởng” do Facebook phát động với đối tượng hacker “mũ trắng” - đội ngũ những chuyên gia test trang web đề tìm ra virus giúp bảo vệ dữ liệu người dùng.

Công ty bảo mật Zerodium công bố chương trình gọi là “The Million Dollar iOS 9 Bug Bounty”.

Hiện nay, Prakesh kiếm được hơn 10 triệu rupee Ấn Độ (khoảng 150.720 USD) với công việc test các trang web hỗ trợ các công ty như Facebook và Google bảo vệ dữ liệu cá nhân hàng triệu người dùng. Tự học kỹ thuật xâm nhập máy tính từ xa thông qua đọc blog và xem video trên YouTube, Prakesh tìm thấy con virus đầu tiên một cách khá dễ dàng và anh được Facebook thưởng 33.000 rupee (499,2 USD) vì khám phá này.

Kể từ đó, Prakesh phát hiện hơn 90 virus chỉ riêng trên trang Facebook và nhiều hơn nữa cho các công ty khác - bao gồm Twitter, Google, Dropbox, Adobe, eBay, PayPal... Con virus đầu tiên mà Prakesh tìm thấy cho phép hacker kiểm soát bất cứ thông tin nào của hơn 1 tỷ người dùng Facebook - bao gồm thông điệp, thông tin thẻ tín dụng và hình ảnh cá nhân. Mặc dù bỏ túi hàng triệu rupee, song Prakesh vẫn tuyên bố rằng anh không làm vì tiền.

Anh thú thật: “Tôi quan tâm đến các công ty như Facebook và Google bởi vì họ có kho dữ liệu người dùng lớn nhất thế giới. Tôi làm chỉ để bảo vệ dữ liệu. Nếu chỉ vì tiền, tôi sẽ làm cho những công ty có kho dữ liệu người dùng ít hơn. Tôi lo ngại về quyền riêng tư nên muốn dữ liệu cá nhân được an toàn”.

Trishneet Arora là hacker mũ trắng 22 tuổi, sống ở thành phố Ludhiana miền bắc Ấn Độ đã tạo dựng thành công một doanh nghiệp an ninh mạng với kỹ năng của mình. Arora tin rằng cuộc chiến tranh thế giới trong tương lai sẽ diễn ra trên Internet và cộng đồng chuyên gia an ninh mạng của Ấn Độ sẽ đóng vai trò chủ chốt.

Arora giải thích rằng, phần mềm bệnh viện đặc biệt dễ bị tấn công và đội ngũ hacker mũ trắng như anh đang tìm cách để giữ an toàn cho bệnh nhân. Anh cảnh báo: “Hành động xâm nhập thông tin nhạy cảm có thể hủy hoại cuộc sống của nhiều người”.

Rahul Tyagi, hacker mũ trắng ở thị trấn nhỏ Gurdaspur miền bắc Ấn Độ, kể rằng nhiều người bạn của anh có được cuộc sống tươm tất cũng nhờ tài săn tiền thưởng như thế trên Facebook và Twitter. Rahul Tyagi tiết lộ: “Họ miệt mài làm việc trong phòng ngủ và kiếm được khoảng từ 10.000 rupee (hơn 700 USD) hoặc hơn trong một tháng”. Đó là lý do mà tỷ lệ hacker mũ trắng rất cao ở Ấn Độ.

Động cơ làm hacker mũ trắng của Tyagi hơi khác: “Đó là muốn nhận sự đánh giá cao từ những ông lớn công nghệ trên thế giới. Công việc đòi hỏi sự cần cù và óc sáng tạo. Anh phải học hỏi mỗi ngày bởi vì công nghệ luôn thay đổi nhanh đến chóng mặt”.

Cũng giống như nhiều tên tuổi lớn khác trong giới hacker mũ trắng ở Ấn Độ, Tyagi trải nghiệm máy tính từ lúc còn nhỏ và phần lớn kỹ năng có được là do tự học. Tyagi cũng thừa nhận bản tính tò mò và ham học hỏi giúp anh trở thành hacker mũ trắng chuyên nghiệp như hiện nay.

Diên San (tổng hợp)