Trang chủ

Lúc này, nếu tìm kiếm cụm từ “Nguyễn Tuấn Anh VCS” trên Google, công chúng sẽ thấy hình ảnh một siêu hacker mũ trắng với thành tích rất đáng nể trong Top đầu bảng xếp hạng các chuyên gia trên nền tảng tìm kiếm lỗ hổng bảo mật lớn nhất toàn cầu BugCrowd, một người lính trên Internet, góp công bảo vệ Việt Nam trên không gian số.

Đằng sau danh xưng ấy là tài năng và nghị lực vươn lên của chàng trai sinh năm 1996 ở Nam Định. Với điểm tựa là tập thể Công ty An ninh mạng Viettel (VCS), siêu hacker mũ trắng của Việt Nam vẫn vững vàng vượt qua tất cả.

Chia sẻ với Viettel Family, Tuấn Anh nhấn mạnh niềm vinh dự được khoác lên mình màu áo lính và tự hào vì được gắn bó với Viettel.

Nhận thưởng 32.000 USD từ việc tìm một lỗ hổng của Apple

- Liên tục đứng trong bảng xếp hạng danh giá của nền tảng BugCrowd, thậm chí hơn tới 1.000 điểm so với người thứ nhì. Chuyện này không hề đơn giản, đúng không Tuấn Anh?

BugCrowd là nền tảng tìm kiếm lỗ hổng bảo mật website có cả trăm nghìn người tham gia. Để duy trì được thứ hạng, số điểm, và lúc nào cũng đạt được hiệu suất thực sự rất khó. Khi ấy mình không xác định phải vươn lên Top hay gì cả. Mình cứ làm, tìm lỗ hổng và chưa từng nghĩ có lúc có tên trên bảng xếp hạng.

BugCrowd chỉ là nền tảng bên thứ ba. Trong nền tảng này, các công ty khách hàng của BugCrowd sẽ đặt chạy các chương trình tiếp nhận lỗ hổng website. BugCrowd  đóng vai trò là người để tiếp nhận lỗ hổng, xem xét tính hợp lệ. Nếu hợp lệ, BugCrowd sẽ chuyển sang cho khách hàng. Các công ty sẽ kiểm tra và sửa.

Từ đó, công ty sẽ trả thưởng cho người phát hiện lỗ hổng. Trên nền tảng của họ, mỗi lỗ hổng sẽ đánh theo mức độ từ thấp đến nghiêm trọng. Mức nghiêm trọng có số điểm khoảng 40 điểm. Mỗi lỗ hổng được tính có một số điểm nhất định. Càng tìm được nhiều lỗ hổng thì điểm càng nhiều, từ đó có xếp hạng.

- Bạn tự mình tìm ra các lỗ hổng này? Tiền thưởng chắc rất hấp dẫn, bạn có tiết lộ chứ?

Thực tế việc phát hiện lỗ hổng là một trong những hoạt động công ty tạo điều kiện cho các nhân sự phát triển bản thân. VCS khuyến khích chúng tôi làm điều này để nâng cao khả năng và phát triển năng lực. Mức thưởng phụ thuộc vào công ty có lỗ hổng và cũng tùy theo ngân sách. Các công ty lớn sẽ trả thưởng trung bình khoảng 2.000 - 3.000 USD đối với mức nghiêm trọng. Mức nghiêm trọng là cho phép can thiệp vào dữ liệu chỉnh sửa hoặc đánh cắp dữ liệu.

Lỗ hổng đánh cắp dữ liệu ở mức nghiêm trọng của nhiều bên. Mỗi bên trả thưởng một cách khác nhau nên cũng hơi khó chia sẻ. Nhưng giữ được hiệu năng đi săn lỗ hổng như thế rất khó. Nhiều người lựa chọn toàn thời gian đi săn lỗ hổng. Mức độ cạnh tranh của lĩnh vực này rất lớn. Ở Việt Nam, cộng đồng đang được xây dựng để ngày càng có nhiều người tham gia.

Lỗ hổng lớn và quan trọng nhất bạn từng phát hiện là gì?

Trong quãng thời gian theo đuổi con đường này, tôi có tìm ra nhiều lỗ hổng mà nếu sử dụng với mục đích xấu thì có thể gây thiệt hại lớn cho công ty hoặc làm mất uy tín của họ.

Có lần tôi phát hiện ra một lỗ hổng nghiêm trọng của Apple và được trả 24.000 USD. Lần gần nhất, tôi và đồng nghiệp tìm ra một lỗ hổng phức tạp khác và nhận thưởng 32.000 USD. Những công ty rất lớn như vậy trả rất nhiều tiền. Mức cao nhất theo tôi biết là Shopify từng trả 200.000 USD cho một lỗ hổng.

Nếu được giao dịch trên chợ đen, các lỗ hổng này có thể có giá hơn 1 triệu USD và gây thiệt hại cả tỷ USD cho doanh nghiệp.

- Bạn có nhớ đã phát hiện lỗ hổng của bao nhiêu công ty không? Hiện nay, thứ hạng của bạn trên BugCrowd như thế nào?

Tính đến nay, tôi đã tìm ra hơn 500 lỗ hổng bảo mật của trên 100 công ty, tổ chức. Đến thời điểm hiện tại, tôi đang xếp thứ 25 trên BugCrowd. Nếu tìm thấy được lỗ hổng đột phá, tôi có thể lên mức cao hơn. Thực ra càng lên cao thì càng khó vì chênh lệch mức điểm rất lớn. Càng lên cao càng nhiều cao thủ trên toàn thế giới.

- Với danh tiếng hiện tại, chắc sẽ có nhiều công ty bên ngoài muốn mời gọi Tuấn Anh đúng không?

Đúng là có nhiều công ty liên hệ mời tôi nhưng mỗi người một hoàn cảnh và có quyết định của riêng mình. Tôi là con cả trong nhà nên tâm lý không muốn ra nước ngoài lâu dài. Quan trọng nhất là ở Viettel, tôi đang có môi trường rất tốt để phát huy năng lực bản thân. Nếu sang các bên khác, có thể tôi sẽ không được làm chuyên môn mà có khi phải tập trung vào các công việc nội bộ hay các việc không tên.

Ở VCS, tôi được tập trung vào chuyên môn, thế mạnh của bản thân để bảo vệ các hệ thống thông tin. Sau khi hoàn thành công việc, tôi có thời gian đi săn lỗ hổng của các công ty. Những công ty khác cũng có thể có thời gian để làm nhưng phúc lợi không tốt bằng.

Đồng nghiệp tại VCS cũng là một lý do. Đồng nghiệp của tôi ở đây rất giỏi và gắn bó, sẵn sàng chia sẻ với các anh em. Nếu gặp khó khăn, chúng tôi có thể nhờ nhau hỗ trợ, giúp đỡ. Nếu làm ở công ty khác, nhất là ở mảng này, việc nhờ giúp đỡ khi có khó khăn là chuyện không dễ dàng. Khó diễn đạt bằng ngôn từ nhưng tựu chung lại, tôi đang hạnh phúc ở Viettel.

- Mọi thứ có vẻ thuận lợi với bạn?

Không hẳn, cũng có thời điểm tôi rất căng thẳng vì phải suy nghĩ tìm cách làm mới, mới cho công việc, mới cho bản thân, mới cho quá trình tìm lỗ hổng. Chuyện tìm lỗ hổng đồng nghĩa với áp lực chúng tôi phải chiến đấu với rất nhiều cao thủ từ các quốc gia trên thế giới.

Những lỗ hổng dễ sẽ thiên về tốc độ, chỉ cần chậm 1 giây là mất cơ hội, coi như là mất tiền. Việc đấy rất áp lực, tôi phải đặt mục tiêu tìm các lỗ hổng không ai biết, chưa ai tìm được thì mới có cơ hội đứng trên bảng xếp hạng này.

'Ở lại VCS là quyết định đúng đắn'

- Bạn có thể nói về khác biệt cơ bản giữa hacker mũ đen và mũ trắng?

Trắng và đen giống biểu tượng cho ánh sáng và bóng tối. Hacker mũ trắng là những người làm về an toàn thông tin, đảm bảo an toàn cho các hệ thống. Hacker mũ đen thay vì làm công việc săn tiền thưởng qua việc tìm ra các lỗ hổng để giúp các công ty vá lỗi thì họ sẽ tìm ra lỗ hổng đó và gây ra rủi ro về thiệt hại cho các công ty. Hacker mũ đen sẽ sử dụng các lỗ hổng bảo mật để tấn công và đánh cắp thông tin, rồi họ phá hoại hệ thống, mã hóa dữ liệu và tống tiền các công ty.

Nói về việc thu nhập thì rất khó, vì hacker mũ đen hoạt động trong bóng tối và không ai biết họ là ai cả, hoàn toàn nặc danh. Hacker mũ trắng cũng có thể trở thành mũ đen. Một người làm về an ninh mạng hoàn toàn có thể làm một công việc gì đấy mà không ai biết trong bóng tối cho đến khi bị phát hiện ra.

Nhiều hacker mũ đen từng nhắn tin hỏi mua lỗ hổng của tôi với giá cao hơn thị trường trả. Nếu tôi bị cám dỗ bởi số tiền và đồng ý bán lỗ hổng đó, họ có thể đem đi tấn công các doanh nghiệp. Đứng trước lựa chọn đó, tôi ưu tiên thông báo cho các công ty về chuyện họ đang đứng trước nguy cơ bị tấn công. 

- Hồi tháng 10 năm ngoái, một team của VCS vô địch Pwn2Own. Cuộc thi đó có giống với lĩnh vực của bạn?

Đấy là hack phần cứng, Pwn2Own là cuộc thi tìm kiếm lỗ hổng zero-day. Tôi theo hướng tìm lỗ hổng trên website, Internet. Đội vô địch Pwn2Own chuyên về research, tôi chuyên về thực chiến tấn công trên thực tế, tức tìm lỗ hổng trên các hệ thống thực của các công ty.

Các anh em vô địch Pwn2Own đi tìm lỗ hổng trên phần mềm của các sản phẩm do doanh nghiệp cung cấp. Ví dụ như Windows chẳng hạn, ai cũng sử dụng. Các lỗ hổng Windows vì thế có giá trị rất lớn. Đây là hai mảng khác nhau và mảng nào cũng quan trọng.

Việc săn lỗ hổng có thể không phải là con đường lâu dài nhưng tôi muốn truyền cảm hứng cho thế hệ sau. Tôi biết nhiều bạn trẻ Việt Nam hiện này đã kết nối với nhau, cùng thành lập đội, thuê nhà ở riêng cùng nhau để tìm lỗ hổng và “săn” tiền thưởng. Sự khao khát ấy rất tuyệt vời. Trình độ nhân sự an ninh mạng Việt Nam không hề thua kém so với thế giới, thậm chí top đầu khu vực Đông Nam Á. Và những khát vọng, quyết tâm lớn sẽ giúp thế hệ trẻ ngành an toàn thông tin sẽ còn tiến xa.

Gia đình của Tuấn Anh có hiểu công việc mà bạn đang làm không?

Nhà tôi hoàn toàn không có ai theo đuổi công nghệ thông tin vì đều làm nông. Khi chọn con đường theo đuổi lĩnh vực an ninh mạng, bố mẹ ủng hộ. Công việc giúp tôi và các anh em theo nghề này có điều kiện cuộc sống tốt hơn.

Nhiều năm nay, việc săn lỗ hổng giúp tôi có thêm nguồn tài chính cho gia đình. Tôi đã tự lo cho bản thân từ lúc bắt đầu vào Đại học, ra trường tự tìm việc làm và ổn định ở Hà Nội. Bố mẹ tôi không phải vất vả làm nông nữa, đã chuyển từ Nam Định ra Hà Nội chung sống với vợ chồng tôi. Ông bà giờ chỉ ở nhà trông cháu. Còn lại tôi lo tất. Bố mẹ hiện tại đã lên Hà Nội ở cùng hai vợ chồng. Nói chung cuộc sống gia đình hiện nay cơ bản đã đầy đủ.

Bạn là đại diện của Viettel trở thành Gương mặt trẻ tiêu biểu toàn quân năm 2023. Cảm xúc của bạn thế nào?

Được giải thưởng Gương mặt trẻ tiêu biểu toàn quân rồi được tuyển dụng, phong quân hàm sĩ quan - tôi chưa bao giờ nghĩ bản thân được vinh dự này. Có lẽ đây là thời điểm an toàn thông tin khẳng định được vai trò quan trọng, được cộng đồng chú ý. Tôi nghĩ cũng có thể do may mắn, mọi người đọc thành tích thấy trầm trồ. Thực sự trong ngành còn có rất nhiều người xuất sắc hơn nhưng họ không thích lộ diện.

Gắn bó với Viettel từ thời sinh viên nhưng thú thật chưa bao giờ tôi nghĩ có ngày vào Quân đội. Đây là điều bất ngờ và cũng là niềm tự hào rất lớn với bản thân. Viettel đã cho tôi nhiều điều quý giá và lựa chọn làm việc cho VCS vẫn là quyết định đúng đắn.

Cảm ơn Tuấn Anh về cuộc trò chuyện và chúc bạn sẽ có những thành công mới ở Viettel nói riêng và cộng đồng an toàn thông tin Việt Nam nói chung.

Viettel nhận 10 giải thưởng Tuổi trẻ sáng tạo trong Quân đội

Sáng ngày 11/6, Bộ Quốc phòng tổ chức lễ trao Giải thưởng Tuổi trẻ sáng tạo trong Quân đội. Viettel có 10 công trình, đề tài, sáng kiến được trao thưởng, đặc biệt 1 công trình được trao giải Nhất.