Hacker mũ trắng là những người đóng vai trò then chốt trong việc bảo đảm an toàn thông tin cho các công ty hay tổ chức. Những người xuất sắc trong lĩnh vực này đang được những công ty, tổ chức làm trong lĩnh vực an ninh mạng hay có nhu cầu đảm bảo an toàn thông tin trên thế giới cũng như tại VN săn đón.

Anh nhận thấy lực lượng hacker mũ trắng tại VN hiện như thế nào?

Cá nhân tôi thấy ngành an toàn thông tin ở VN hiện nay vẫn còn hẹp và đang phát triển cả về số lượng, chất lượng nhân sự. Hacker mũ trắng là những người làm an toàn thông tin và an ninh mạng, lực lượng này đa số đều là những người trẻ tốt nghiệp từ các trường đại học đào tạo về an toàn thông tin và công nghệ thông tin. Tuy nhiên, nổi trội thì không nhiều và những người giỏi thường có xu hướng ra nước ngoài nhiều hơn ở lại VN để làm việc và đóng góp. Số lượng hacker mũ trắng vẫn chưa đáp ứng được nhu cầu tuyển dụng tại VN.

So với khu vực Đông Nam Á, châu Á và thế giới, nếu nhìn nhận một cách khách quan, theo cá nhân anh, lực lượng hacker mũ trắng của VN đang đứng ở vị trí nào về chất và lượng?

Để so sánh việc hacker mũ trắng VN đang đứng ở vị trí nào thì rất khó nói vì có nhiều yếu tố cần xem xét. Tuy nhiên, dựa vào kết quả các cuộc thi như Sinh viên ATTT, các cuộc thi CTF, diễn tập trong khu vực ASEAN và trên thế giới mà tôi đã theo dõi và được biết thì hacker mũ trắng VN cũng rất giỏi và có vị trí top đầu trong khu vực. Số lượng thì có thể không nhiều, nhưng những người mà tôi biết trong ngành đều là những người có thứ hạng cao trên thế giới trong các mảng như nghiên cứu lỗ hổng bảo mật, bug bounty (tìm lỗi được trả thưởng), phân tích mã độc, dịch ngược phần mềm và được nhiều bạn bè quốc tế biết tới cũng như theo dõi.

Một năm trước, anh đã được Bugcrowd, nền tảng tìm kiếm lỗ hổng bảo mật lớn nhất toàn cầu, đánh giá đứng đầu bảng xếp hạng của nền tảng này vào tháng 6.2021. Việc được đánh giá đứng đầu bảng xếp hạng này có ý nghĩa như thế nào?

Nói một cách ngắn gọn và dễ hiểu thì Bugcrowd hay Hackerone là các nền tảng bug bounty, nơi những nhà nghiên cứu bảo mật, thợ săn lỗ hổng bảo mật có thể báo cáo các lỗ hổng họ tìm được của các công ty, tập đoàn trên khắp thế giới và nhận về cho mình phần thưởng và xếp hạng trên các nền tảng. Mỗi lỗ hổng mà bạn báo cáo nền tảng sẽ có một số điểm cố định dựa trên mức độ khai thác của lỗ hổng là nghiêm trọng hay thấp hơn.

Với Bugcrowd, họ đưa ra xếp hạng hàng tháng dựa trên số điểm tổng cho tất cả các lỗ hổng bạn report (báo cáo) trong tháng đó được coi là hợp lệ và đã được trao thưởng; còn trên nền tảng Hackerone sẽ xếp hạng theo quý và theo quốc gia. Để có tên trên bảng xếp hạng, bạn phải là người tìm ra được nhiều lỗ hổng trên các chương trình nhất, từ đó sẽ có được nhiều điểm để cạnh tranh với hàng nghìn hacker khác trên nền tảng.

Tôi may mắn khi có một số tháng lọt vào bảng xếp hạng đầu tiên của nền tảng Bugcrowd và hiện tại nằm trong top 50 hacker đứng đầu của nền tảng toàn thời gian, cũng như nhiều quý đạt được danh hiệu MVP (chuyên gia giá trị nhất) của nền tảng. Nhờ đó, tôi có được mời vào một số sự kiện Hacking lớn của nền tảng này, tuy nhiên việc cạnh tranh với những cao thủ hacker mũ trắng khác trên thế giới là điều khá khó khăn khi họ có nhiều kinh nghiệm và kỹ năng vượt trội. Vì trên những nền tảng bug bounty này tuổi tác hay giới tính đều không quan trọng. Có những hacker mũ trắng tuổi teen trên thế giới rất giỏi, thậm chí còn giỏi hơn rất nhiều những người đã tốt nghiệp đại học ngành an toàn thông tin.

Những lỗ hổng bảo mật nổi bật mà anh đã phát hiện trong thời gian qua là gì?

Tính tới hiện tại cũng được 2 năm rưỡi tôi bước chân vào con đường này sau khi tốt nghiệp đại học. Có nhiều lỗ hổng bảo mật tôi đã tìm ra và báo cáo tới các công ty, tổ chức mà khó có thể nhớ hết. Tuy nhiên, tôi có hứng thú và quan tâm tới những lỗ hổng bảo mật ảnh hưởng phía server.

Lần gần đây nhất vào tháng 2, tôi phát hiện ra hàng loạt lỗ hổng bảo mật trên các hệ thống của Amazon và tôi đang xếp hạng 1 trên bảng vinh danh hacker mũ trắng của Amazon. Tôi đã báo cáo nhiều lỗ hổng nghiêm trọng tới hơn 100 công ty, tổ chức lớn trên thế giới như các công ty trong top 500 Fortune Global.

Ở VN, tôi không chủ động tìm kiếm các lỗ hổng bảo mật của các công ty, tổ chức do vấn đề pháp lý. Tuy nhiên, trong quá trình rà quét diện rộng trên mạng, tôi phát hiện một số lỗ hổng nghiêm trọng của nhiều ngân hàng, công ty lớn tại VN và đã tìm cách báo cáo lỗ hổng một cách nhanh nhất tới đầu mối phụ trách bảo mật của các công ty. Việc phát hiện sớm các lỗ hổng này giúp ngăn ngừa việc các hệ thống bị tấn công chiếm quyền điều khiển từ các tác nhân xấu, đảm bảo an toàn thông tin cho các công ty, tổ chức đó.

Vị trí của hacker mũ trắng đang ngày càng được thế giới đánh giá cao. VN đã đào tạo chuyện sâu để “tôi luyện” hacker mũ trắng?

Nhiều trường đại học đang đẩy mạnh việc đào tạo sinh viên ngành an toàn thông tin do số lượng đầu ra làm đúng ngành vẫn còn rất thấp, chưa đáp ứng được nhu cầu tuyển dụng nói chung. Tuy nhiên, để trở thành một hacker mũ trắng đúng nghĩa, việc học trên trường thôi là chưa đủ mà các bạn sinh viên cần phải có được sự đam mê với nghề, kiên trì và rèn luyện kỹ năng thật tốt khi bước chân vào con đường trở thành hacker mũ trắng. Việc tôi luyện chuyên sâu ở các công ty an ninh mạng có môi trường tốt, đào tạo chuyên sâu, bài bản, tạo điều kiện phát triển bản thân, tìm được những viên ngọc sáng trong ngành là điều vô cùng cần thiết.

Vậy còn con đường anh đến với công việc của một hacker mũ trắng?

Tôi đến với công việc này xuất phát từ sự đam mê đầu tiên và rèn luyện hàng ngày. Khi còn là học sinh cấp 3, tôi đã ra quán net để nghịch ngợm những cái gì đó mà người khác không hiểu rồi làm hỏng cả máy tính của họ. Hồi đó, tôi chưa thực sự hiểu những việc mình làm là gì, sau này tôi mới biết người trong ngành hay gọi là script kiddle.

Khi lên đại học và được sự dẫn dắt của những đàn anh đi trước trong trường, tôi thấy mình có hứng thú với công việc này hơn và không ngừng tích lũy kinh nghiệm, kiến thức ngày qua ngày ngay khi còn là sinh viên mới vào trường. Đến năm thứ 3 đại học thì tôi xin đi thực tập ở nơi bắt đầu chặng đường tôi luyện trở thành hacker mũ trắng của mình và cũng là nơi tôi đang làm việc đây.

Những lỗ hổng bảo mật đầu tiên tôi tìm thấy trên sản phẩm ERP lớn của Oracle. Và đó là dấu mốc đầu tiên trên hành trình chinh phục của tôi.

Anh dự đoán thế nào về sự phát triển của lực lượng hacker mũ trắng tại VN trong thời gian tới đây? Anh có lời khuyên nào cho những bạn trẻ muốn đi theo con đường này?

Với sự phát triển nhanh chóng của công nghệ trong kỷ nguyên 4.0, tôi nhận thấy nghề an toàn thông tin hay hacker mũ trắng đang là một ngành vô cùng “hot” và cần nhiều nhân sự hơn nữa. Đặc biệt thế hệ gen Z (sinh từ năm 1997 đến 2012 - NV) được gọi là những người đóng vai trò nòng cốt trong kỷ nguyên 4.0 này và được tiếp cận với công nghệ từ sớm giúp khơi dậy sự đam mê, tò mò. Thế hệ trẻ ngày càng giỏi hơn các anh đi trước nhưng cần được dẫn dắt và đào tạo theo hướng tốt. Có nhiều người giỏi nhưng vì không được rèn luyện tốt dẫn tới đi sai con đường, không giữ được đạo đức nên trở thành tội phạm mạng, hacker mũ đen làm việc xấu là điều vô cùng đáng tiếc.

Bản thân tôi đã chứng kiến nhiều người giỏi nhưng đi sai con đường để rồi mất cả tương lai phía trước. Do đó với tư cách một người đi trước, tôi khuyên các bạn trẻ đang có suy nghĩ trở thành hacker mũ trắng hãy không ngừng giữ lửa đam mê, rèn luyện thật tốt cả về kỹ năng chuyên môn và lối sống lành mạnh, đạo đức tốt. Vì điều quan trọng để trở thành hacker mũ trắng là bạn phải giữ được sự tỉnh táo, im lặng, giữ bí mật trong công việc này; bởi có rất nhiều sự cám dỗ khi bạn nắm trong tay các dữ liệu nhạy cảm, thông tin mật của các công ty, tổ chức hay bạn có thể trở nên giàu có phút chốc với những lỗ hổng bảo mật mà bạn tìm được gây ảnh hưởng tới tài chính cao.

Xin cảm ơn anh!