Săn lỗ hổng bảo mật – Nghề ‘hái ra tiền’ của các Hacker mũ trắng

27/10/17, 11:12 Công nghệ

Khác với hacker “mũ đen” chuyên đột nhập các hệ thống tài chính để trộm tiền, hacker “mũ trắng” làm giàu nhờ tìm ra các lỗi bảo mật nghiêm trọng, và họ đang chuyển công việc này từ bán thời gian thành nghề chính.

Năm 2002, khi nhắc đến Tommy DeVoss, nhiều người lập tức nghĩ đến một hacker khét tiếng bị FBI truy lùng, bị căm ghét do tấn công vào website chính phủ, cơ quan, tổ chức, doanh nghiệp trong đó có cả “ông lớn” Internet thời đó là Yahoo!. Nhưng 10 năm sau, nhiều tổ chức lớn sẵn sàng trả cho DeVoss hàng chục ngàn USD, thậm chí trăm ngàn USD để người này tấn công hệ thống.

Lý do là, việc phát hiện lỗ hổng bảo mật mang lại cho hacker này nhiều tiền hơn là làm việc với tư cách một nhà phát triển. Ngày nay, những công ty nhỏ cần chuyên gia tư vấn an toàn dữ liệu, trong khi công ty lớn hơn cũng cần tăng thêm an ninh cho hệ thống. Đó là nhu cầu thiết yếu của một doanh nghiệp.

Khi còn thiếu niên, DeVoss đã bắt đầu đột nhập vào các website chính phủ và lấy đi rất nhiều dữ liệu. Nhóm hacker World of Hell có DeVoss là thành viên đã can thiệp hơn 160 website, trước khi bị FBI truy nã và tan rã năm 2003. Bản thân DeVoss ngồi tù nhiều năm.Sau khi ra tù, DeVoss may mắn được nhận vào một công ty phát triển phần mềm nhỏ. Sau khi mày mò, anh đã phát hiện một lỗi trong Facebook. Sau đó, anh tiếp tục tìm lỗi trên các dịch vụ trực tuyến khác.

“Thật khó tin, họ trả tiền cho tôi, không gọi FBI nữa”, DeVoss kể lại.

Những khoản thưởng đầu tiên làm DeVoss hứng thú. Thế nhưng, anh đã phải đấu tranh với chính mình trong thời gian dài trước khi làm một chuyên gia phát hiện lỗ hổng bảo mật. Anh chấp nhận từ bỏ mức thu nhập 90.000 USD mỗi năm của một nhà phát triển để đi săn lỗi toàn thời gian.

Năm 2015, DeVoss đến Defcon, cuộc thi tìm lỗ hổng bảo mật lớn nhất thế giới dành cho hacker được tổ chức thường niên tại Las Vegas (Mỹ), và kiếm được 300 USD từ phát hiện của mình trên website Yahoo!. “Tôi đã kiếm được 300 USD từ việc tìm kiếm trên Google“, anh hài hước cho biết.

Đây cũng là số tiền mang tính bước ngoặt khi nhiều người biết đến anh. Sau đó, đã có công ty trả 9.000 USD cho mỗi lỗ hổng bảo mật. Hiện nay, mỗi năm anh thu về hơn 100.000 USD, riêng tháng 7 vừa qua anh đã nhận được 84.000 USD cho phát hiện của mình.

DeVoss chưa phải là hacker “mũ trắng” kiếm tiền nhiều nhất từ săn lỗi bảo mật. Mark Litchfield mỗi năm kiếm khoảng nửa triệu USD (riêng 2016 ông kiếm được 600.000 USD). Nhiều hacker khác thu nhập thấp hơn một chút nhưng tổng tiền thưởng mỗi năm cũng không phải là ít.

Trên thực tế, những tay săn lỗi bảo mật luôn bận rộn vì nhu cầu từ chính phủ, tổ chức và doanh nghiệp rất cao. Ngay cả những công ty hàng đầu thế giới như Google, Apple, Facebook, Chrysler, United Airlines… thậm chí là Bộ Quốc phòng Mỹ cũng thường tổ chức các cuộc thi tìm lỗi dù sở hữu đội ngũ chuyên gia bảo mật hùng hậu và rất giỏi chuyên môn. Theo thống kê của Bugcrowd, số tiền chi cho hoạt động tìm lỗi tại Mỹ trong 2016 lên tới 6,3 triệu USD, với hơn 52.000 lỗ hổng được phát hiện.

“Điều này giống như thuê trộm về để xem nhà mình có dễ bị đột nhập hay không”, một chuyên gia cho biết.

Như vậy, nếu hệ thống càng dễ bị khai thác thì nguy cơ mất an toàn bảo mật càng cao, từ đó tiền thưởng thu về càng nhiều. Tất nhiên, nó không là gì so với thiệt hại khi bị kẻ xấu lợi dụng.

Nhưng không phải ai cũng “liều mình” tập trung săn lỗi như DeVoss hay Litchfield. Số liệu Bugcrowd chỉ ra rằng, trong khoảng 53.000 “thợ săn” đang hoạt động mỗi tháng, chỉ khoảng 15% hoạt động toàn thời gian. Đa phần họ đều không muốn từ bỏ nghề mình đang làm để chuyển qua công việc săn lỗi bấp bênh hơn.

Điều mà “thợ săn” lo sợ nhất, chính là việc tìm lỗi bị trùng lặp. Litchfield kể lại, năm 2015 anh từng phát hiện một lỗi của PayPal và được thưởng 15.000 USD. Vài ngày sau đó, nhóm hoạt động độc lập khác tìm thấy lỗi tương tự và được thưởng 5.000 USD “an ủi”.

“Trong hầu hết các trường hợp, việc tìm ra lỗi trùng lặp sẽ không được thưởng. Nó xảy ra với bất cứ ‘thợ săn’ nào và ai gặp phải cũng có thể mang cảm giác bực bội một cách ghê gớm vì đã bỏ nhiều công sức và thời gian nhưng không thu được gì”, Litchfield nhấn mạnh.

Tuy vậy, theo thống kê của HackerOne, tổ chức chuyên vận hành rất nhiều chương trình săn thưởng cho nhiều công ty lớn như Yahoo!, Twitter, Google, Facebook, Microsoft…các “thợ săn” vẫn còn rất nhiều đất diễn. Có tới 94% trong tổng số 2.000 công ty lớn nhất thế giới theo xếp hạng của Forbes đang đối mặt với nguy cơ cao bị hacker tấn công. Do đó việc phát hiện lỗ hổng bảo mật vẫn là “mỏ vàng” cần được khai thác.

 Theo vnexpress

Ad will display in 09 seconds

Bí ẩn khiến nền văn minh Atlantis huy hoàng chìm xuống đáy biển

Ad will display in 09 seconds

Thực vật: bậc thầy phát hiện nói dối và có khả năng siêu cảm

Ad will display in 09 seconds

Những điều ít biết về Đệ nhất phu nhân nước Mỹ Melania Trump

Ad will display in 09 seconds

Lãnh đạo nhiều quốc gia phải cúi đầu nể phục Donald Trump vì 2 điều này

Ad will display in 09 seconds

Mục đích đáng sợ khi người ngoài hành tinh tới Trái Đất?

Ad will display in 09 seconds

Thế nào là tích đức? Âm đức là gì mà quý giá vậy?

Ad will display in 09 seconds

Nói điều thị phi nhận Quả báo khốn cùng

Ad will display in 09 seconds

Vì sao hòa thượng cướp dâu?

Ad will display in 09 seconds

Tội ác này đã gây diệt vong cả một thành phố cổ đại

Ad will display in 09 seconds

Đâu là khí chất của một người cao quý

  • Bí ẩn khiến nền văn minh Atlantis huy hoàng chìm xuống đáy biển

    Bí ẩn khiến nền văn minh Atlantis huy hoàng chìm xuống đáy biển

  • Thực vật: bậc thầy phát hiện nói dối và có khả năng siêu cảm

    Thực vật: bậc thầy phát hiện nói dối và có khả năng siêu cảm

  • Những điều ít biết về Đệ nhất phu nhân nước Mỹ Melania Trump

    Những điều ít biết về Đệ nhất phu nhân nước Mỹ Melania Trump

  • Lãnh đạo nhiều quốc gia phải cúi đầu nể phục Donald Trump vì 2 điều này

    Lãnh đạo nhiều quốc gia phải cúi đầu nể phục Donald Trump vì 2 điều này

  • Mục đích đáng sợ khi người ngoài hành tinh tới Trái Đất?

    Mục đích đáng sợ khi người ngoài hành tinh tới Trái Đất?

  • Thế nào là tích đức? Âm đức là gì mà quý giá vậy?

    Thế nào là tích đức? Âm đức là gì mà quý giá vậy?

  • Nói điều thị phi nhận Quả báo khốn cùng

    Nói điều thị phi nhận Quả báo khốn cùng

  • Vì sao hòa thượng cướp dâu?

    Vì sao hòa thượng cướp dâu?

  • Tội ác này đã gây diệt vong cả một thành phố cổ đại

    Tội ác này đã gây diệt vong cả một thành phố cổ đại

  • Đâu là khí chất của một người cao quý

    Đâu là khí chất của một người cao quý

x