Tháng 9/2009, Dương Ngọc Thái phát hiện một lỗ hổng an ninh ảnh hưởng đến hàng loạt dịch vụ web 2.0 được nhiều người VN sử dụng như Flickr, RememberTheMilk (dịch vụ quản lý thời gian), Vimeo (chia sẻ video trực tuyến), Scribd (chia sẻ tài liệu)...Và kỹ thuật này đã được cộng đồng CNTT thế giới bình chọn là một trong 10 kỹ thuật hack mới của năm.

Lỗ hổng nguy hiểm này nếu được kết hợp với các hướng tấn công khác, kẻ tấn công có thể truy cập vào tài khoản của người dùng Flickr hoặc đánh lừa họ vào các trang web có chứa mã độc. Là một chuyên gia an toàn thông tin, Dương Ngọc Thái (trưởng phòng an toàn thông tin Ngân hàng Đông Á) đã phát triển việc phát hiện lỗ hổng bảo mật này thành một kỹ thuật tấn công mới giúp khám phá nhiều lỗ hổng khác có thể có.

Được bình chọn là một trong 10 kỹ thuật tấn công mới của năm 2009 như một minh chứng cho khả năng và uy tín của chuyên gia an toàn thông tin Việt Nam trong mắt cộng đồng CNTT thế giới. Về vinh dự này, anh Thái đã có những chia sẻ với Tuổi Trẻ.

"Phát hiện này không phải là kết quả của cá nhân tôi, mà là sự phối hợp giữa tôi và anh Juliano Rizzo, một chuyên gia an toàn thông tin người Argentina. Điều thú vị là chúng tôi cũng chưa gặp nhau trực tiếp lần nào nhưng Internet đã giúp chúng tôi làm việc với nhau rất hiệu quả.

Mỗi năm cộng đồng nghiên cứu các kỹ thuật tấn công web thường công bố rất nhiều kỹ thuật tấn công mới. Các kỹ thuật này có thể là kỹ thuật tấn công vào các website, các trình duyệt web, các công nghệ như Flash và SilverLight, hay các giao thức xoay quanh web như HTTP, SSL/TLS... Tôi dùng từ "kỹ thuật" chứ không phải "lỗ hổng" là bởi vì các nghiên cứu và phát hiện mới này có tầm ảnh hưởng lớn hơn rất nhiều từng lỗ hổng riêng biệt. Nói cách khác, mỗi kỹ thuật tấn công mới có thể giúp phát hiện rất nhiều lỗ hổng mới. Tuy vậy, do mỗi ngày lại có thêm các kỹ thuật mới được phát hiện nên thông thường sau khi được công bố một thời gian ngắn, các kỹ thuật này sẽ dần bị quên lãng.

Nhận thấy đây là một sự lãng phí chất xám rất lớn nên từ năm 2006, ông Jeremiah Grossman, sáng lập viên của Công ty WhiteHat Security, đồng thời là một chuyên gia rất có  uy tín trong cộng đồng, đã tổ chức thu thập và  bình chọn các kỹ thuật tấn công mới. Việc làm này rất có ý nghĩa bởi nó vừa giúp tạo nên một kho kiến thức đồ sộ về tấn công web, vừa ghi danh các chuyên gia có đóng góp cho sự phát triển của cộng đồng.

Kết thúc mỗi năm, ông Jeremiah Grossman sẽ tổ chức một hội đồng bình chọn và thu thập tất cả kỹ thuật mới được phát hiện trong năm đó để hội đồng chọn ra 10 kỹ thuật tấn công hay nhất. Hội đồng bình chọn năm nay bao gồm 10 chuyên gia hàng đầu thế giới, trong đó có những hacker mà cá nhân tôi rất ngưỡng mộ như HD Moore (tác giả Metasploit), Jeff Forristal (chính là Rain Forrest Puppy, người tạo ra kỹ thuật tấn công SQL Injection), Michal Zalewski (tác giả của rất nhiều nghiên cứu cực kỳ sáng tạo). Hội đồng bình chọn sẽ đánh giá các kỹ thuật mới dựa trên ba tiêu chí chính: sự mới lạ, sự nguy hiểm và số lượng các hệ thống có thể bị tấn công. Năm 2009 có gần 80 kỹ thuật mới được đưa vào danh sách bầu chọn.

Nghiên cứu của anh Juliano Rizzo và tôi được chọn vào top 10 kỹ thuật tấn công hay nhất. Mặc dù đây không phải là một giải thưởng chính thức, nhưng bản thân tôi và anh Juliano Rizzo rất vinh dự và hạnh phúc khi sáng tạo của mình được các cộng đồng thế giới ghi nhận.

* Anh có thể kể lại quá trình phát hiện lỗ hổng và thông báo cho các website được không?

- Chúng tôi phát hiện lỗ hổng và phát triển nó thành một kỹ thuật tấn công mới một cách rất tình cờ. Cả anh Juliano và tôi đều rất mê mật mã học (cryptography). Chúng tôi quan sát thấy mật mã là một công cụ rất mạnh mẽ nhưng để sử dụng mật mã đúng cách là điều không hề đơn giản. Nên bắt đầu từ tháng 8-2009, chúng tôi thu thập một danh sách các lỗ hổng phổ biến trong việc dùng sai mật mã.

Các lỗ hổng này đều không mới, nhưng trước giờ chúng chỉ được lưu truyền trong cộng đồng nghiên cứu mật mã hàn lâm, thành ra có rất ít người làm về tấn công web am hiểu chúng. Chúng tôi muốn đóng góp bằng cách sử dụng các lỗ hổng mật mã này để tấn công các hệ thống web phổ biến trên thế giới, giúp cộng đồng nhận thấy được sự nguy hiểm và sức mạnh của chúng.

Điều thú vị là danh sách các lỗ hổng mật mã mà chúng tôi tập trung tìm kiếm lại không có lỗ hổng chúng tôi dùng để tấn công Flickr và các website khác. Lý do là vì lỗ hổng đó quá cũ, nó đã được biết đến từ năm 1991, nên chúng tôi nghĩ chắc không còn hệ thống nào có lỗ hổng đó nữa. Thành ra chúng tôi rất bất ngờ khi phát hiện Flickr và hàng loạt website khác bị lỗ hổng đó. Lúc đó là khoảng giữa tháng 8-2009.

Trong một tháng tiếp theo chúng tôi làm nhiều việc song song: vừa viết lại nghiên cứu, vừa hoàn tất các đoạn mã khai thác lỗi, vừa làm việc với các chủ sở hữu của các website để sửa lỗi. Chúng tôi cũng có thử tấn công Facebook nhưng không thành công. Hệ thống của Facebook có lỗ hổng tiềm tàng nhưng hiện giờ không thể khai thác được. Chúng tôi thông báo cho Flickr vào cuối tháng 8-2009. Flickr là của Yahoo! nên sau đó Yahoo! Security liên hệ trực tiếp với chúng tôi. Hai bên trao đổi về các phương án vá lỗi cũng như thời gian dự kiến. Song song đó chúng tôi cũng thông báo cho các website khác.

Chúng tôi dự tính công bố nghiên cứu vào ngày 9-9-2009 (là sinh nhật của Juliano), nhưng Yahoo! Security yêu cầu chúng tôi cho họ thêm một tuần. Chúng tôi cho họ thêm năm ngày và công bố vào ngày 14-9-2009. Hiện giờ Flickr đã được vá lỗi nhưng chúng tôi vẫn không biết tình trạng của các website khác ra sao.

* Anh làm việc này hoàn toàn phi lợi nhuận? Anh có thể chia sẻ suy nghĩ của mình khi làm những công việc như vậy?

- Nếu nói là phi lợi nhuận cũng không chính xác. Cả tôi và Juliano đều được công ty chúng tôi trả tiền để làm nghiên cứu về an toàn thông tin. Đây là một phần công việc của chúng tôi. Nói cách khác, chúng tôi làm nghiên cứu bán chuyên nghiệp và rất muốn được làm nghiên cứu chuyên nghiệp hoàn toàn, nghĩa là được trả tiền chỉ để làm nghiên cứu. Chúng tôi thấy chỉ có làm chuyên nghiệp hoàn toàn  mới có thể có những kết quả tốt.

Chúng tôi không tìm ra các lỗ hổng của Flickr hay các website khác để rồi yêu cầu họ trả tiền chúng tôi mới cung cấp thông tin. Hiện giờ chúng tôi cung cấp thông tin hoàn toàn miễn phí cho họ, nhưng rất có thể việc này sẽ thay đổi trong tương lai. Tôi nghĩ đây là sự công bằng, các công ty cần phải trả tiền để biết được thông tin về các lỗ hổng trong các sản phẩm của họ.

Dẫu vậy nếu không có tiền thì cá nhân tôi vẫn muốn tiếp tục công việc nghiên cứu này. Để thỏa niềm đam mê, để đi đến những chân trời tri thức mới, và nếu có thể thì đóng góp một cái gì đó cho kiến thức chung của cộng đồng.

Giáo sư Ngô Quang Hưng có một câu nói rất "lửa": "Tất cả có thể bắt đầu bằng một ước mơ: ước mơ không đi chậm hơn phần còn lại của thế giới. Tôi cũng có ước mơ đó và tôi muốn biến ước mơ của tôi thành sự thật".

(Theo TuoiTreOnLine)