Chương trình săn lỗ hổng an ninh của các công ty công nghệ
- NSA hỗ trợ tình báo Anh tìm kiếm lỗ hổng an ninh trong các bức tường lửa
- Lỗ hổng an ninh trong bệnh viện
Tiền thưởng 150.000 USD dành cho người nào phát hiện sớm những mã độc nguy hiểm nhất. Giới hacker tội phạm có thể gây tổn hại nghiêm trọng khi phát tán mã độc, do đó nhiều tổ chức chính quyền cũng như công ty công nghệ đang nỗ lực tìm kiếm tài năng an ninh mạng thông qua chương trình săn tiền thưởng có giá trị cao tạo nên một thị trường mới béo bở.
| Các chương trình săn tiền thưởng đang tạo ra thị trường mở hấp dẫn. |
Hồi tháng 3-2016, công ty kinh doanh vận tải và taxi Uber đặt trụ sở tại San Francisco bang California (Mỹ) cũng thông báo chương trình săn tiền thưởng từ mã độc của riêng họ - sáng kiến được các công ty công nghệ như Facebook và Microsoft triển khai từ vài năm qua.
Tiền thưởng của Microsoft hiện thời là 100.000 USD dành cho “những kỹ thuật khai thác lỗ hổng thực sự mới mẻ chống lại bức tường bảo vệ được xây dựng trong hệ điều hành mới của chúng tôi” – hay bất cứ mã độc nào vượt qua được mọi hệ thống an ninh trên nền tảng Windows.
| Công ty Uber mới tung ra chương trình săn tiền thưởng từ mã độc của riêng mình. |
Trong thời gian qua, mạng xã hội Facebook đã chi trả gần 1 triệu USD cho những người săn tiền thưởng và hacker mũ trắng đến từ nhiều quốc gia - Ấn Độ, Ai Cập và Trinidad and Tobago.
Gianluca Stringhini, nhà khoa học máy tính và Phó Giáo sư Đại học London, đánh giá: “Với chương trình săn tiền thưởng, các công ty có thể bảo đảm những hacker giỏi nhất tìm ra mã độc nguy hiểm cho họ. Càng nhiều người tham gia chương trình, càng có nhiều mã độc được phát hiện. Đó cũng là sáng kiến giúp cho môi trường công ty công nghệ tìm kiếm tài năng”.
Nhà nghiên cứu an ninh mạng Chris Vickey lập luận rằng chương trình săn tiền thưởng từ mã độc cũng trở thành công việc bán thời gian giúp cho những người có tài kiếm được bộn tiền. Chuyên gia săn tiền thưởng người Bỉ Arne Swinnen hiện là chuyên gia số 2 trong đội ngũ hacker mũ trắng của Facebook – mạng xã hội có danh sách dài những chuyên gia giúp phát hiện những lỗ hổng an ninh trước khi tội phạm kịp khai thác chúng để tấn công phá hoại. Với công việc bán thời gian này, Swinnen kiếm được khoảng 15.000 USD trong vài tháng qua.
| Arne Swinnen. |
Ông kể: “Một số mã độc được tìm thấy trong vài ngày, trong khi một số khác phát hiện nhanh chỉ trong vài phút. Mã độc nguy hiểm nhất mà tôi phát hiện được trong 5 phút đã mang về số tiền thưởng 2.500 USD. Swinnen chuyên nghiên cứu mã độc trực tuyến và bắt đầu công việc săn tiền thưởng trên nền tảng Instagram thuộc sở hữu của Facebook. Swinnen thừa nhận đây là công việc thú vị hái ra tiền : “Đó là sở thích riêng của tôi. Tôi thích săn tiền thưởng bởi vì nó thật sự kích thích”.
Dĩ nhiên, nhiều công ty cũng gặp khó khăn trong vấn đề chi trả tiền thưởng cho hacker mũ trắng. Kể từ khi khởi động chương trình săn tiền thưởng hồi năm 2013, Công ty Yahoo đã chi trả 1,6 triệu USD. Giá trị của mã độc là bao nhiêu tiền được xác định qua rất nhiều yếu tố - ví dụ như nó sẽ tác động nặng nề đến mức nào cho an ninh công ty – và luôn được bàn luận đằng sau cánh cửa đóng kín.
Mới đây, một trường hợp liên quan đến số tiền thưởng đã làm dậy sóng trong giới an ninh mạng. Nhà nghiên cứu an ninh mạng Behrouz Sadeghipour, 24 tuổi sống ở thành phố Sacramento (Mỹ), phát hiện một lỗ hổng bảo mật có thể giúp cho tội phạm phát tán mã độc qua hình ảnh đăng tải sử dụng công cụ ImageMagick – thư viện xử lý hình ảnh phổ biến. Lỗ hổng trên ImageMagick cũng có thể được lợi dụng để tấn công Polyvore – trang web thương mại điện tử về thời trang được Yahoo sở hữu năm 2015.
Nhờ phát hiện của mình, Sadeghipour nhận được 2.000 USD và Yahoo nhanh chóng vá lỗ hổng trong vòng chưa đến 2 giờ. Nhưng, Sadeghipour nói số tiền thưởng lẽ ra phải nhiều hơn: “Tôi cho rằng mình sẽ được trả nhiều tiền hơn bởi vì tính nghiêm trọng của lỗ hổng được phát hiện”. Chuyên gia bảo mật Doug DePerry cũng nhận định: “Một lỗ hổng an ninh tác động đến hàng trăm, hàng ngàn hay hàng triệu người dùng. Đó là vấn đề nghiêm trọng. Do đó, số tiền thưởng dĩ nhiên phải nhiều hơn bình thường”.
Hiện nay, không chỉ có một số công ty công nghệ lớn như Google và Twitter công bố chương trình săn tiền thưởng từ mã độc mà còn có cả các nhà chế tạo ôtô (như Tesla và General Motors) và thậm chí những dịch vụ tài chính (bao gồm Western union và Square) tham gia.
Cuộc cạnh tranh quyết liệt đã tạo ra một thị trường mở - các hacker mũ trắng sẽ quyết định hợp tác với công ty nào trả giá cao hơn. Katie Moussouris, nữ chuyên gia bảo mật phụ trách bộ phận chính sách của Công ty khởi nghiệp HackerOne, lập luận: “Đó chính là sức hấp dẫn của thị trường mở. Khi hacker mũ trắng phát hiện một mã độc, họ phải lựa chọn cách kiếm tiền từ nó”.