PV: Anh đang giữ vị trí nào trong đơn vị, nhiệm vụ của anh trong đơn vị và lĩnh vực an ninh mạng là gì?

Tôi hiện đang là chuyên viên Phòng An ninh hệ thống ứng dụng của Công ty An ninh mạng Viettel. Nhiệm vụ của tôi là kiểm thử xâm nhập (pentest) và tấn công mô phỏng xâm nhập sâu (redteam) các hệ thống của khách hàng, bao gồm các khối như nhà nước, ngân hàng và các doanh nghiệp lớn. Tôi đã may mắn được Công ty ghi nhận những thành tích đã đạt được và là một trong những cá nhân hoàn thành xuất sắc công việc trong công ty trong hai năm gần đây.

Ngoài ra, tôi có tham gia nghiên cứu một số sản phẩm, dịch vụ được sử dụng rộng rãi và tìm kiếm lỗ hổng bảo mật trên các sản phẩm đó. Tôi cũng tham gia vào các nền tảng Bug Bounty trên thế giới, cũng như thực hiện xử lý các lỗ hổng được báo cáo từ các nhà nghiên cứu bên ngoài gửi tới nền tảng Bug Bounty nội bộ của Viettel.

Tôi cũng đi tìm kiếm lỗ hổng của các công ty, tổ chức trên thế giới, trong đó có hai nền tảng Bug Bounty lớn nhất hiện nay là HackerOne và Bugcrowd với sự tham gia của hàng trăm nghìn hacker, nhà nghiên cứu bảo mật trên thế giới. Đây là một sân chơi cạnh tranh và mang tính thực chiến cao, đòi hỏi người tham gia phải có những kỹ năng tốt, tốc độ, cũng như tư duy nhạy bén khi thực hiện tìm kiếm các lỗ hổng.

Một sân chơi cũng hấp dẫn không kém, đó là các nền tảng mua bán lỗ hổng zero-day, tức là các lỗ hổng chưa từng được biết tới cũng như chưa có bản vá từ nhà phát hành. Đây là sân chơi dành riêng cho các nhà nghiên cứu bảo mật thích tìm kiếm lỗ hổng bảo mật trên các sản phẩm được sử dụng phổ biến bởi nhiều người dùng, công ty, tổ chức trên thế giới.

PV: Anh đã tìm kiếm tổng cộng bao nhiêu lỗ hổng và đó là những lỗ hổng như thế nào?

Tôi thường tập trung vào các lỗ hổng mà ứng dụng web dễ mắc phải, như XSS được coi là lỗ hổng phổ biến nhất trên ứng dụng web, các lỗ hổng ở phía máy chủ như SQL Injection và RCE... Tùy thuộc vào bối cảnh của ứng dụng mà tôi tập trung tìm kiếm lỗ hổng theo các chức năng. Tổng số lỗ hổng (CVE) mà tôi đã phát hiện ra là trên 50 lỗ hổng, với 6 lỗ hổng ở mức độ nghiêm trọng.

PV: Cách thức tìm kiếm lỗ hổng của anh như thế nào? Anh muốn chia sẻ điều gì trong quá trình làm?

Phương pháp tôi tìm kiếm lỗ hổng là hiểu cách vận hành của ứng dụng, sản phẩm đó, từ đó đi sâu vào kiến trúc, mã nguồn để tìm kiếm những điểm đầu vào có thể ẩn chứa các lỗ hổng bảo mật. Việc này mất khá nhiều thời gian, từ việc dựng lab để cài đặt ứng dụng, đến đọc hiểu tài liệu liên quan, nhưng khi hiểu được cách ứng dụng thực thi từ đầu vào tới đầu ra, thì việc tìm ra lỗ hổng chỉ là vấn đề thời gian. Nếu ứng dụng làm tốt về mặt an toàn bảo mật rồi thì khó tìm lỗ hổng, nhưng nếu chưa làm tốt thì sẽ là "mỏ vàng" cho các hacker nhắm tới.

PV: Lỗ hổng nào mà anh cho là nổi bật hoặc đáng nhớ nhất?

Lỗ hổng đáng nhớ nhất của tôi là lỗ hổng cho phép chiếm quyền kiểm soát server, hay gọi là lỗ hổng RCE trên sản phẩm Oracle E-Business Suite (Oracle EBS) của tập đoàn Oracle. Lỗ hổng giúp chiếm quyền một loạt các hệ thống ERP của các công ty trên thế giới như AT&T, Mastercard, Logitech, Huawei, Motorola, Dell, Oracle Cloud, hệ thống của Bộ Quốc phòng Mỹ,....

Oracle EBS là bộ phần mềm được ra mắt vào tháng 2/2007, bao gồm một số dòng sản phẩm mà người dùng có thể triển khai vào các doanh nghiệp. Oracle EBS bao gồm sản phẩm hoạch định nguồn lực doanh nghiệp (ERP) của công ty, cũng như các ứng dụng quản lý chuỗi cung ứng (SCM) và quản lý quan hệ khách hàng (CRM). Sản phẩm này được sử dụng trong các công ty, tổ chức lớn trên thế giới với thống kê 20% công ty trong top 500 Fortune toàn cầu đang sử dụng. Từ đó, tôi tìm kiếm các công ty lớn sử dụng sản phẩm này và báo cáo với họ về các lỗ hổng đang tồn tại trên hệ thống.

PV: Anh có lời khuyên nào cho các bạn muốn theo hacking và an ninh mạng?

Lời khuyên của mình cho các bạn muốn theo hacking và an ninh mạng là trước hết cần có niềm đam mê để theo đuổi con đường này, rèn luyện cho mình kỹ năng tự học, tự giải quyết vấn đề, kỹ năng tìm kiếm, và nhiều kiến thức khác. Ngoại ngữ cũng luôn cần được trau dồi vì tài liệu tìm kiếm đều là tiếng Anh.

Khi có kiến thức cơ bản như lập trình, mạng máy tính, các bạn nên tìm một môi trường thực tập tốt với sự đào tạo bài bản như Viettel hay một số công ty khác. Nơi đó sẽ giúp các bạn có hướng tiếp cận và hướng đi đúng đắn đối với từng lĩnh vực mà các bạn cảm thấy phù hợp trong ngành An ninh mạng. Đặc biệt, có những người chỉ dẫn (mentor) là các anh chị đi trước với nhiều kinh nghiệm, kỹ năng, có thể giúp các bạn phát triển kỹ năng của mình ngày một tốt hơn. Khi các bạn đã trang bị đủ kiến thức, sẽ là lúc các bạn bước vào thực chiến trong ngành này. Đó sẽ là những trải nghiệm vô cùng thú vị những cũng khó khăn khi theo đuổi trên con đường này.