Thứ Tư, 17 tháng 11, 2010

VĂN HOÁ TIN TẶC ( HACKERS)

Tác giả: Brett Featherstone,
Phóng viên Đại Kỷ Nguyên
Thứ hai, 27 Tháng 4 2009 09:31
Họ là những phù thủy trong lĩnh vực thông tin điện toán. Chúng ta thường xem họ là những thành phần bất hảo có khả năng phá hoại đến hàng triệu cá nhân khác. Nhưng bạn có biết một số người trong họ đã làm việc cật lực để bảo vệ bạn ?

         clip_image002
Kris Constable, nhân viên của PrivaSecTech, một hãng bảo mật máy tính của Canada, đã tiết lộ cho tờ báo điện tử Đại Kỷ Nguyên (Epoch Times) về văn hóa của các chuyên gia về thông tin và bảo mật máy tính hay còn gọi là các hacker này. Kris giải thích: "Các thuật ngữ hay dùng để gọi họ là phe mũ trắngmũ đen. Phe mũ trắng là các hacker sử dụng các kỹ năng của họ để làm điều tốt trong khi phe mũ đen chuyên phá phách gây hại".

Các lỗi trong phần mềm, trình duyệt internet, hệ điều hành và điện thoại di động được gọi là lỗ mọt (bug). Khi một người khám phá ra lỗ mọt, họ có thể dùng lỗi đó để khai thác viết ra các trình bẻ khóa, được gọi là exploit, để khai thác lỗi này để can thiệp vào phần mềm của người dùng. Các exploit có các mức độ nguy hiểm khác nhau, từ khả năng gây ra sụp đổ hoàn toàn hệ thống cho đến những khó khăn nho nhỏ. Một số hacker chuyên đi tìm lỗ mọt, số khác thì chuyên viết trình vá lỗi để trám lỗ, phe thứ ba là đi khai thác các lỗ mọt này đưa vào sử dụng.
Các nhà nghiên cứu tại Tipping Point, một công ty bảo mật có trụ sở tại Texas cho rằng "Số những người nghiên cứu tốt bụng với khả năng phát hiện các lổ hổng bảo mật là khá lớn và đang ngày càng phát triển hơn".
Tuy nhiên có ý kiến khác cho rằng "Ranh giới giữa trắng và đen của họ không hoàn toàn rõ ràng vì đôi khi bạn cũng phải nhập vai vào mũ đen để hiểu cách làm của họ, thu thập kinh nghiệm từ những điều không tốt... Bạn phải đi trước họ một bước". Vì lý do này, một phần rất lớn những chuyên gia bảo mật thường là không phải mũ trắng cũng như mũ đen.
"Tôi không thích sự ẩn dụ về màu sắc vì tất cả đều là xám", Dragos Ruiu đã cho Đại Kỷ Nguyên biết tại hội nghị Bảo Mật Máy Tính và Thông Tin mà ông tổ chức bốn lần một năm tại Tokyo, Buenos Aires, London và Vancouver, một trong những hội nghị khá quan trọng trong ngành.
"Tất cả các thông tin đều có hai mặt - nó có thể được sử dụng cho mục đích tốt lẫn xấu. Nó chỉ phụ thuộc vào mục đích của người dùng và bạn không thể phân biệt được bằng cách hỏi xem một người đã sử dụng thứ này cho mục đích tốt hay xấu. Chắc chắn bạn có thể nói một người là không tốt vì luôn làm điều xấu, nhưng thỉnh thoảng cả những người tốt đang làm những việc tốt cũng vô tình làm những điều gây nguy hại".
Ngày Không, Exploit và Script Kiddies
Một khi exploit đã được viết, tác giả của nó sẽ quyết định cần làm gì tiếp theo. Điều anh ta sẽ làm sẽ làm rõ anh ta là loại người nào. Theo Constable, nhiều cao thủ trong ngành an ninh máy tính chỉ muốn được công nhận và hài lòng với thành công như vậy.
Sau khi tìm thấy một lỗ hổng cửa hậu (backdoor) trong một hệ thống mà đang được hàng triệu người sử dụng, một số người chuyển thông tin này cho công ty mà sẽ sửa lỗi mà không nhận bất kỳ phần thưởng nào. Trong những tình huống thế này, cảm giác là mình đang làm một việc đúng đắn đã là một phần thưởng đầy đủ. Trong những trường hợp này, năng lực của họ đã không bị làm suy thoái.
Một số khác sử dụng khả năng của họ cho mục đích cá nhân. Một hacker có thể bán thông tin về lỗi mà anh ta biết cho công ty để có một số tiền chuộc. Những cuộc thương lượng loại này phải được đưa ra trước khi công ty đó có thể tự tìm ra lỗi bảo mật và trước khi exploit được tác giả sử dụng và thông tin về lỗi được đưa công khai lên mạng, thời điểm được gọi là "ngày không" (zero day).
Theo Constable, Ngày Không là thời điểm chương trình bẻ khoá được phát hành trong cộng đồng hacker thậm chí trước khi công ty có phần mềm đó được thông báo về sự xuất hiện của nó. Tác giả của exploit thường ít khi tự kích hoạt chương trình phá hoại này. Những cá nhân mà thực sự phát tán những chương trình này được gọi là "script kiddies" (những đứa trẻ nghịch mã)
Constable nói rằng thỉnh thoảng tác giả của chương trình bẻ khoá cũng kích hoạt nó. Một vài hacker được trả tiền để tìm lổ hổng nhắm tới những mục tiêu nào đó, như chính phủ hoặc các công ty, hoặc một số người cá biệt.
Các lổ hổng cũng có thể được đưa vào chợ đen và bán đấu giá trên những website mà thông tin của người mua hoàn toàn không được công khai.
Constable giải thích "Một vài người khai thác lổ hổng để bán, như là một mô hình kinh doanh; một số là để giải trí, số khác thì nhằm vào mục đích phá hoại hay muốn có danh tiếng".
Phần thưởng trong ngành công nghiệp cho các kỹ năng hack:
Hiện nay đã  có thêm một sự lựa chọn nữa cho một số ít hơn 100 người trên thế giới có đủ khả năng để tìm và khám phá ra những lỗi bảo mật này.
          clip_image003
Tipping Point, một công ty bảo mật máy tính tại Austin Texas, đã đưa ra giải thưởng Ngày Zero để "thưởng cho những nhà nghiên cứu bảo mật đã có đóng góp phát hiện ra lỗi bảo mật". Công ty này còn chuyên mua lại các thông tin về lỗi phần mềm từ các cá nhân và bán các thông tin này cho những công ty có thể bị ảnh hưởng. Mô hình kinh doanh này cho phép các công ty bị ảnh thưởng có thể kiểm soát được sự khủng hoảng trong khi vẫn giữ được danh tiếng và lợi nhuận. Ai bảo rằng có trách nhiệm thì không thể kiếm được tiền?
Trong Hội Nghị Bảo Mật Máy Tính và Thông Tin gần đây được tài trợ bởi Tipping Point đã thách thức các nhà nghiên cứu bảo mật bẻ khóa các phiên bản mới nhất của các trình duyệt Internet Explorer, Firefox, và Safari, cùng với iPhone, BlackBerry, Google Android, và Windows CE dùng cho smartphone.
Giải thưởng cho việc bẻ khóa các hệ thống mới nhất này ? Đó là từ $5,000 đến $10,000, và việc được sở hữu thiết bị vừa hack. Nhiều người không mất nhiều thời gian lắm để đạt được mục tiêu này. Trong 2008, một người đã bẻ khóa được chiếc MacBook Air chỉ trong vòng chưa đến 2 phút.
Giải thưởng của Pwn2Own nghe có vẻ hấp dẫn, nhưng Constable cho biết $10,000 chỉ là một khoản rất nhỏ trong số các giao dịch của ZDI. Vậy tại sao hacker, với tài năng của họ, lại chọn con đường này ?
Ông giải thích: "Trong thực tế, lợi nhuận từ thị trường chợ đen có thể gấp nhiều lần những giải thưởng này. ZDI chỉ cho bạn một phần rất nhỏ mà họ có được. Tuy nhiên, họ giúp bạn không tốn thời gian và sự phiền phức để thương lượng với các công ty này".