Nhiều tổ chức/doanh nghiệp (TC/DN) triển khai các chương trình “săn lỗi nhận thưởng” – Bug Bounty, trao thưởng cho người dùng phát hiện các lỗ hổng bảo mật trong chính sản phẩm và website của TC/DN.
Thợ săn tiền thưởng (Bug Bounty hunter) là những cá nhân có sự hiểu biết về các vấn đề của an ninh mạng và rất thành thạo trong việc tìm ra các sai sót và lổ hổng. Thợ săn tiền thưởng tìm kiếm lỗ hổng với mục đích săn tiền thưởng. Lợi ích trước tiên của thợ săn tiền thưởng là tài chính. Các thợ săn tiền thưởng có thể kiếm cho mình những khoản tiền thưởng rất lớn. Song song, họ có thể thỏa mãn đam mê tìm kiếm, săn đuổi những mục tiêu lớn, có giá trị của các công ty, tổ chức lớn trên thế giới mà không sợ phạm pháp; có thể tìm kiếm được những người đồng đội, học hỏi thêm các kiến thức mới từ tất cả những người tham gia.
Lợi ích tiếp theo của nghề thợ săn tiền thưởng là việc đem lại danh tiếng cho cá nhân. Khi tham gia vào nghề, mỗi cá nhân được xếp hạng dựa trên những lỗ hổng nghiêm trọng mà họ phát hiện. Điều này cũng đem lại lợi thế trong việc chuyển đổi công việc. Những thợ săn tiền thưởng hàng đầu thường có lượng theo dõi rất cao và được yêu quý cũng như được sự tin tưởng, có uy tín lớn trong cộng đồng Bug Bounty. Bên cạnh đó, rèn luyện kỹ năng, thử thách bản thân cũng là một lợi ích khi tham gia vào sân chơi Bug Bounty.
Tuy nhiên, đi kèm những lợi ích là sự đầu tư về thời gian cũng như sức khỏe, đây là những điều đáng quan tâm đối với những ai tham gia sân chơi này. Việc khác biệt về địa lý, múi giờ khác nhau gây cản trở cho việc tìm kiếm lỗ hổng khá nhiều khi tính cạnh tranh cao và ai là người tìm ra lỗ hổng nhanh nhất sẽ là người được nhận tiền thưởng. Vì thế, có nhiều người hi sinh giấc ngủ, bỏ công việc giữa chừng để tham gia các chương trình Bug Bounty một cách sớm nhất. Đặc biệt, nghề thợ săn lỗ hổng có tính áp lực cao, dễ sinh ra các bệnh lý khác, nên việc cân bằng các yếu tố để có hiệu quả tốt nhất trong công việc săn lỗ hổng là điều vô cùng quan trọng.
“Thợ săn tiền thưởng” trong kỷ nguyên số
Trong những năm gần đây, không còn dễ dàng bắt gặp lỗ hổng trên các ứng dụng, website của các công ty lớn trên Internet một cách dễ dàng. Đó một phần là nhờ vào sự phát triển và lan rộng của các chương trình Bug Bounty. Các công ty lớn như Google, Microsoft, Facebook, Yahoo và các công ty khác đã bắt đầu mở rộng hơn khi đưa ra các chương trình Bug Bounty của riêng mình, nhằm giúp phát hiện ra các lỗ hổng bảo mật đang tồn tại trên hệ thống một cách nhanh nhất.
Bằng cách nâng mức tiền thưởng cho mục tiêu nhằm thu hút sự chú ý của nhiều thợ săn tiền thưởng trên toàn thế giới, số lượng các lỗ hổng nghiêm trọng được giảm đi đáng kể giúp các ứng dụng, website an toàn hơn. Các TC/DN cũng dần sử dụng các nền tảng Bug Bounty lớn làm nơi tiếp nhận lỗ hổng bảo mật từ các thợ săn tiền thưởng và quản lý chúng một cách chuyên nghiệp, nhanh gọn. Các công ty cung cấp dịch vụ kiểm tra xâm nhập cũng ngày một gia tăng, hoạt động giống như các công ty tư vấn truyền thông với các nhân viên chuyên tìm kiếm các lỗ hổng bảo mật. Điều này dẫn tới sự phát triển về số lượng các thợ săn tiền thưởng ngày một tăng.
Hiện nay, có nhiều nền tảng cung cấp các chương trình Bug Bounty khác nhau. Các nền tảng này hoạt động giống như thị trường cho phép những thợ săn tiền thưởng tự do và các TC/DN quan tâm đến dịch vụ của họ tìm thấy nhau. Các nền tảng này thu hút các TC/DN bằng cách tạo cơ hội cho TC/ DN tiếp cận đến một nhóm lớn tin tặc, đồng thời thu hút tin tặc bằng cách cung cấp danh sách các TC/ DN sẵn sàng trả tiền cho dịch vụ của họ.
Bugcrowd là nền tảng Bug Bounty đầu tiên ra mắt vào năm 2011. Ngay sau đó, nhiều nền tảng khác đã nhanh chóng ra đời. Cùng với Bugcrowd, Hackerone hiện là nền tảng Bug Bounty lớn nhất thế giới với số lượng người tham gia và chế độ tiền thưởng khổng lồ. Các nền tảng Bug Bounty mỗi năm đã trả hàng chục đến trăm triệu USD cho các nhà nghiên cứu đã báo cáo các lỗ hổng bảo mật của các TC/DN lớn.
Tuy nhiên, có nhiều yếu tố để các thợ săn tiền thưởng lựa chọn một nền tảng hay một chương trình Bug Bounty phù hợp. Trước hết, về sự khác nhau giữa các nền tảng Bug Bounty, đó là việc công khai và bí mật về các chương trình cũng như các báo cáo lỗ hổng, thông tin về các nhà nghiên cứu, kiểm thử tham gia. Một số nền tảng nổi tiếng cung cấp nhiều chương trình Bug Bounty có thể kể đến:
– HackerOne: Cộng đồng hacker mũ trắng và các nhà nghiên cứu bảo mật, thợ săn lỗ hổng lớn nhất thế giới;
– Bugcrowd: Nền tảng Bug Bounty và đội ngũ các nhà nghiên cứu bảo mật mạnh mẽ, một trong những nền tảng tốt nhất kết nối các tổ chức với các hacker có đạo đức.
– Intigriti: Cộng đồng các nhà nghiên cứu bảo mật lớn nhất châu Âu giúp các TC/DN bảo vệ tài sản của họ.
– Synack: Nền tảng thông tin tình báo của Mỹ tự động hóa việc phát hiện ra các điểm cuối và tài sản dễ bị tấn công.
– YesWeHack: Bug Bounty bảo vệ các ứng dụng một cách linh hoạt với cộng đồng rộng lớn các hacker mũ trắng sử dụng các chương trình riêng tư và công khai.
– HackenProof: nền tảng điều phối lỗ hổng, kết nối các TC/DN với cộng đồng các nhà nghiên cứu bảo mật toàn cầu để khám phá bất kỳ vấn đề bảo mật nào.
Ngoài các nền tảng về Bug Bounty còn có một hình thức khác đó là sàn mua bán các lỗ hổng zero-day lớn như: ZDI, SSD, Zerodium… Các TC/DN hàng năm bỏ ra một khoản tiền lớn để mua lại các lỗ hổng zero-day trên các sản phẩm, được sử dụng nhiều từ các nhà nghiên cứu bảo mật trên toàn thế giới.
Thị trường Bug Bounty trên thực tế có tính cạnh tranh cao. Việc nhiều người cùng tham gia phát hiện một lỗ hổng giống nhau này dẫn tới trùng lặp báo cáo, làm tăng số lượng gửi đến các chương trình Bug Bounty. Vì vậy, các chương trình Bug Bounty riêng tư ra đời nhằm giới hạn số người tham gia, và tăng chất lượng của các chương trình khi lựa chọn ra người tham gia phù hợp, có kỹ năng tốt để thực hiện kiểm thử xâm nhập các mục tiêu đặc biệt. Đa số đây là những chương trình hấp dẫn và có xác suất người tham gia được trả thưởng cao.
Trở thành “thợ săn tiền thưởng”
Hiện tại, không có chứng chỉ riêng thợ săn tiền thưởng. Tuy nhiên, các chứng chỉ về kiểm thử xâm nhập, khai thác lỗ hổng của các tổ chức như ISC, SANS, Offensive… là những chứng chỉ được các thợ săn tiền thưởng ưa thích.
Để bắt đầu trở thành thợ săn tiền thưởng, điều đầu tiên là cần có một kiến thức nền tảng đủ tốt để có thể bắt đầu tìm lỗ hổng trong các lĩnh vực như kiểm thử xâm nhập website, các dịch vụ, ứng dụng mobile, thiết bị IoT, các phần mềm máy tính, thiết bị phần cứng. Tiếp theo, là cần lựa chọn cho mình một nền tảng Bug Bounty ưa thích, phù hợp và bắt đầu với các chương trình công khai, từ đó có thể kiếm cho mình những điểm số (point), điểm danh tiếng (reputation) đối với nền tảng Hackerone.
Chắc chắn trước khi tìm ra lỗ hổng trong bất kỳ nền tảng nào, cần hiểu được cách thức các ứng dụng web hoạt động và kiến trúc của các ứng dụng này. Hiểu biết vững chắc một số nguyên tắc cơ bản về mạng, cơ sở dữ liệu SQL, các thành phần web như HTML, CSS, PHP (Hypertext Preprocessor) và Javascript sẽ tăng cơ hội phân tích lỗ hổng, tuy nhiên không nên là chuyên gia cho mọi lĩnh vực này.
Ngoài ra, nếu có kiến thức về các ngôn ngữ lập trình như Python, bash shell,… thì việc tạo ra các công cụ của riêng mình sẽ là một giá trị bổ sung giúp đạt được mục tiêu cụ thể mà các công cụ khác sẽ không làm được.
Một số lỗ hổng cần quan tâm có thể kể tới top 10 OWASP như: Information gathering, SQL Injection, Cross-Site Scripting (XSS), Server Side Request Forgery (SSRF), Local & Remote file inclusion, Information Disclosure, Remote Code execution (RCE).
Sau khi hiểu về các lỗ hổng bảo mật này, có thể bắt đầu đọc các báo cáo của người khác, các PoC trên nền tảng Bug Bounty để tìm ra các kỹ thuật kiểm thử phổ biến.
Đặc biệt, trước khi bắt đầu phương pháp tiếp cận thực tế, cần biết những điều cơ bản và các khái niệm về an toàn thông tin. Một trong những phương pháp học hiệu quả nhất là xem các kênh Youtube miễn phí, hoặc có thể đăng ký bất kỳ khóa đào tạo bảo mật ứng dụng web nào do CyberTalents cung cấp, hoặc các khóa học nổi tiếng khác như SANS, hoặc eLearnSecurity.
Ngoài ra, cần làm quen với một số thành phần phổ biến để có thể kiểm thử xâm nhập và tìm kiếm lỗ hổng như:
– Trình duyệt web: Có thể sử dụng phiên bản ưa thích của trình duyệt web như Google Chrome, Firefox và vũ khí hóa nó với một số tiện ích bổ sung để giúp quá trình kiểm thử dễ dàng hơn.
– Proxy: Cần phải sử dụng proxy để chặn tất cả lưu lượng truy cập giữa trình duyệt và trang web mục tiêu. Ngoài ra, có thể tự động hóa một số tấn công hoặc sử dụng một số tính năng như mã hóa/giải mã một cách nhanh chóng (có thể sử dụng bộ công cụ Burp)
– Máy ảo: Sử dụng máy ảo hữu ích vì cho phép tách biệt các công cụ kiểm thử khỏi hệ điều hành gốc. Ngoài ra, khi thực hành trên một số ứng dụng dễ bị tấn công đã được công khai như VulnHub, thì sẽ cần tải xuống tệp ISO và sẵn sàng ảo hóa.
Fanpage: Trí Việt JSC (Theo Antoanthongtin)