Đây cũng là thứ hạng mà rất ít hacker mũ trắng người Việt có thể đạt được trên bảng vinh danh của Facebook và Google.
Đậu Huy Ngọc hiện sống và làm việc tại Paris (Pháp) với công việc toàn thời gian cùng “bug bounty” - từ để chỉ việc “săn” lỗi bảo mật, trong đó các doanh nghiệp kết nối với cộng đồng chuyên gia tìm lỗ hổng bảo mật trong hệ thống vận hành, sản phẩm, ứng dụng, website, phần mềm của mình.
Đậu Huy Ngọc cùng gia đình tại Pháp - Ảnh: NVCC
Nhiều người ngoại đạo với lĩnh vực công nghệ thông tin có thể chưa hiểu rõ công việc của một hacker mũ trắng. Anh có thể giải thích về công việc mà được những “ông lớn” như Facebook hay Google vinh danh như vậy?
Công việc của hacker mũ trắng, hay còn gọi là bug bounty hunter (thợ săn lỗi), mới chỉ thực sự phát triển trong khoảng 5 - 7 năm nay. Đó là khi nhiều công ty lớn cởi mở hay sẵn sàng để cho các hacker (nói theo một cách khác là những người nghiên cứu về an toàn thông tin) thâm nhập, tìm lỗi trong hệ thống và báo cho họ biết. Những hacker có mục đích tốt được gọi là hacker mũ trắng. Có những công ty sẽ trả tiền cho những hacker có công tìm ra lỗi đúng. Có công ty chỉ đơn giản là cảm ơn hay lưu tên trên bảng vinh danh một cách công khai.
Facebook hay Google đều nằm trong số những công ty hàng đầu về mặt kỹ thuật, nguồn tài nguyên của họ rất lớn. Những công ty như vậy đều có đội ngũ bên trong. Đội ngũ này có 2 nhiệm vụ: thứ nhất là tự tìm lỗi của chính mình một cách thường xuyên, thứ hai là xử lý những lỗi mà những hacker bên ngoài (thợ săn lỗi) gửi đến. Facebook và Google làm những việc này rất tốt nhằm bảo vệ nguồn tài nguyên của mình.
Những lỗi anh đã phát hiện tại hệ thống của Facebook và Google là gì?
Công việc này có nguyên tắc về việc giữ bí mật, bởi vậy tôi không thể đi sâu vào những chi tiết cụ thể. Tuy nhiên, có thể nói đơn giản để dễ hình dung thế này: Tôi đã có thể truy cập vào các thông tin nội bộ của công ty và người dùng mà bình thường người ngoài không được phép truy cập.
Vậy còn khoản tiền nhận được của một “thợ săn lỗi” như anh được trả ra sao?
Năm 2020, tôi đã báo được vài chục lỗi trên Google và 4 lỗi trên Facebook. Tuy nhiên, Facebook chỉ chấp nhận 3 lỗi, còn 1 lỗi nghiêm trọng phía họ cho biết đang trong quá trình khắc phục và giải quyết vấn đề đấy trước khi mình báo lỗi. Với những lỗi được chấp nhận trên Facebook, mình đã được 4.000 USD (hơn 92 triệu đồng) cho 1 lỗi; còn về khoản chi trả của Google, xin phép không tiết lộ.
Một hacker mũ trắng đến từ VN như anh với những thành tích đã đạt được có khiến cộng đồng hacker thế giới bất ngờ?
Thực ra không phải ai cũng biết mình là người Việt. Sự “xuất hiện” của các hacker công khai trên những bảng vinh danh chủ yếu là qua nickname (tên tài khoản trên mạng). Chỉ khi những nền tảng tổ chức buổi giao lưu, các hacker tham gia trên nền tảng đó mới có cơ hội gặp nhau trực tiếp và biết ai là ai.
Tôi biết có một số hacker VN cũng rất thành công với công việc này, chỉ là ít người biết thôi!
Công việc này mang lại cho anh sự hứng thú thế nào?
Từ 3 năm nay, tôi hoàn toàn chỉ làm công việc này. Phải nói là tuyệt vời! Với người có sở thích “hack” (truy cập vào hệ thống máy tính) như tôi, công việc này vừa khiến tôi hứng thú, vừa giúp tôi có cuộc sống thoải mái và không có gì căng thẳng hay sức ép cả, trừ phi mình tự ép mình đạt được một cái thật khó nào đó, ví dụ như tìm được một lỗi nghiêm trọng đặc biệt trong một hệ thống được bảo vệ cực tốt. Còn đây là công việc tương đối tự do.
Cùng với hacker mũ trắng, còn tồn tại cả hacker mũ đen hay hacker mũ xám. Về bản chất, những hacker này khác nhau như thế nào?
Khác với hacker mũ trắng, hacker mũ đen hay mũ xám không đơn thuần chỉ là người báo lỗi cho các công ty. Nếu tìm được lỗ hổng trên hệ thống của công ty nào đó, nhưng không được trả tiền chẳng hạn, thì hacker mũ đen hay mũ xám là những người quay sang tìm cách tống tiền, hoặc bán lỗi cho chợ đen...
Hiện nay, số lượng hacker mũ trắng trên thế giới ra sao?
Có những công ty trung gian, hay nói một cách chuẩn xác hơn, họ là những nền tảng cho những công ty và giới chuyên gia bảo mật liên kết với nhau. Trên nền tảng đó, không chỉ có việc báo lỗi, liên lạc, trao đổi mà cả chi trả tiền, tổ chức các sự kiện... Trên thế giới hiện có khoảng một chục nền tảng trung gian, trong đó có khoảng 3 - 4 nền tảng lớn nhất.
Một trong số những nền tảng uy tín và lớn nhất là Hacker One. Theo con số thống kê của Hacker One, có khoảng hơn 600.000 hacker tham gia nền tảng này. Họ đến từ khoảng 170 quốc gia, làm việc với khoảng 1.700 công ty và cơ quan chính phủ trên khắp thế giới. Năm 2019, các hacker qua nền tảng này đã nhận được 40 triệu USD tiền thưởng.
Nhiều người nghĩ làm “thợ săn lỗi” là công việc dễ kiếm tiền, bởi thực tế đã có những hacker mũ trắng kiếm được nhiều tiền, có cuộc sống sung túc. Bên cạnh đó, những hacker mũ trắng cũng không phân biệt về tuổi tác (có nhiều bạn 16 - 17 tuổi đã có thể kiếm tiền từ công việc này), hay đến từ quốc gia, vùng lãnh thổ nào... Do đó, có rất nhiều người đăng ký để làm công việc này, thậm chí họ có thể chưa thật sự biết rõ về công việc của một hacker mũ trắng, hay có khi cứ báo bừa lỗi với hy vọng đó là lỗi được công ty nào đó chấp nhận. Bởi vậy, số lượng đăng ký làm hacker mũ trắng có thể đông, nhưng số lượng hacker mũ trắng sống được hoàn toàn bằng công việc này, theo quan sát của tôi, không quá con số 500 người.
Vậy thu nhập trung bình của hacker mũ trắng so với những ngành nghề khác thế nào?
Đây không phải là nghề phổ thông, giống như kiểu đi làm đến công ty, mình được ai giao việc thì làm, làm xong được trả tiền. Với công việc “thợ săn lỗi”, nhiều người cùng làm một việc, ai làm được việc thì được nhận tiền. Cho nên, số lượng người kiếm được nhiều tiền bằng công việc này thực ra không nhiều. Theo tôi được biết, trên nền tảng Hacker One, hiện mới có một số người đã kiếm được tổng số tiền thưởng trên 1 triệu USD (hơn 23 tỉ đồng), và đó đều là những hacker xuất sắc hàng đầu.
Môi trường tại nước ngoài tạo thuận lợi thế nào cho sự phát triển công việc của một hacker mũ trắng?
Thời điểm tôi tới Pháp học tập, thực ra chưa có nhiều ngành học về an toàn thông tin, tức là cũng có nhưng không chuyên sâu, không mang tính thực tiễn ở đây. Trong khi vào khoảng thời gian đó, tại VN ngành học này chưa có, nhưng lại đã có một số trung tâm an ninh mạng, họ đã tuyển và đào tạo sinh viên thực tập.
Nói như vậy để thấy, ngành nghề liên quan đến an ninh mạng tương đối được quan tâm tại VN. Còn tại Pháp, chỉ đến khi đi làm việc, các sinh viên mới bắt đầu được tìm hiểu và làm quen. Cũng chính trong thời gian thực tập, cộng tác tại Bkav, tôi đã được trang bị rất nhiều kinh nghiệm và kiến thức trong lĩnh vực an toàn thông tin, bảo mật, từ đó nuôi sự hứng thú của mình với công việc này.
Đậu Huy Ngọc (áo đen, hàng đầu đứng, thứ 3 từ trái sang) cùng những hacker được vinh danh của nền tảng Hacker One - Ảnh: NVCC
Quay lại thời gian quyết định dừng công việc ở một công ty tại Pháp để gắn bó với công việc bây giờ, anh có thể chia sẻ lý do?
Khi làm việc tại đó, tôi làm việc trong bộ phận đi tìm những lỗ hổng bảo mật cho công ty khách hàng. Công việc này cũng gần giống với công việc hiện tại. Giống ở chỗ là mình được thỏa mãn về mặt kỹ thuật, mình được mày mò, tìm tòi rất nhiều thứ. Cái đích của cả hai công việc đều là tìm được lỗi bảo mật có thể là rất nghiêm trọng cho khách hàng và giúp họ sửa những lỗi ấy.
Tuy nhiên, tôi muốn một công việc nhiều tự do hơn, làm được nhiều điều mình muốn hơn. Chương trình bug bounty xuất hiện được một vài năm, tôi cũng muốn thử. Và sau một thời gian, tôi thấy mình cảm thấy quá thích thú với công việc này, nên quyết định nghỉ làm tại công ty và dành toàn thời gian cho công việc với bug bounty.
Anh dự báo thế nào về xu hướng phát triển của công việc “thợ săn lỗi” trong tương lai?
Tôi nghĩ sẽ ngày càng có nhiều công ty tham gia vào việc đảm bảo an toàn thông tin một cách công khai và mở hơn. Cùng với đó là sự phát triển của việc kết nối, giao dịch trên mạng, nên việc bảo mật thông tin sẽ ngày càng trở nên quan trọng và gia tăng. Nhu cầu về công việc của hacker mũ trắng vì thế sẽ còn nhiều hơn nữa.
Có thể nhìn về sự tăng trưởng của số lượng hacker mũ trắng qua thống kê của nền tảng Hacker One, chỉ trong năm vừa qua, số lượng hacker tham gia nền tảng này đã tăng lên gần gấp đôi. Bên cạnh đó, tôi cho rằng công việc này sẽ luôn thay đổi, bởi vậy một hacker cũng sẽ phải luôn thay đổi, đáp ứng cho công việc.
Xin cảm ơn anh!