Thợ săn tiền thưởng (Bug Bounty hunter) là những cá nhân có sự hiểu biết về các vấn đề của an ninh mạng và rất thành thạo trong việc tìm ra các sai sót và lổ hổng. Thợ săn tiền thưởng tìm kiếm lỗ hổng với mục đích săn tiền thưởng. Lợi ích trước tiên của thợ săn tiền thưởng là tài chính. Các thợ săn tiền thưởng có thể kiếm cho mình những khoản tiền thưởng rất lớn. Song song, họ có thể thỏa mãn đam mê tìm kiếm, săn đuổi những mục tiêu lớn, có giá trị của các công ty, tổ chức lớn trên thế giới mà không sợ phạm pháp; có thể tìm kiếm được những người đồng đội, học hỏi thêm các kiến thức mới từ tất cả những người tham gia.
Lợi ích tiếp theo của nghề thợ săn tiền thưởng là việc đem lại danh tiếng cho cá nhân. Khi tham gia vào nghề, mỗi cá nhân được xếp hạng dựa trên những lỗ hổng nghiêm trọng mà họ phát hiện. Điều này cũng đem lại lợi thế trong việc chuyển đổi công việc. Những thợ săn tiền thưởng hàng đầu thường có lượng theo dõi rất cao và được yêu quý cũng như được sự tin tưởng, có uy tín lớn trong cộng đồng Bug Bounty. Bên cạnh đó, rèn luyện kỹ năng, thử thách bản thân cũng là một lợi ích khi tham gia vào sân chơi Bug Bounty.
Tuy nhiên, đi kèm những lợi ích là sự đầu tư về thời gian cũng như sức khỏe, đây là những điều đáng quan tâm đối với những ai tham gia sân chơi này. Việc khác biệt về địa lý, múi giờ khác nhau gây cản trở cho việc tìm kiếm lỗ hổng khá nhiều khi tính cạnh tranh cao và ai là người tìm ra lỗ hổng nhanh nhất sẽ là người được nhận tiền thưởng. Vì thế, có nhiều người hi sinh giấc ngủ, bỏ công việc giữa chừng để tham gia các chương trình Bug Bounty một cách sớm nhất. Đặc biệt, nghề thợ săn lỗ hổng có tính áp lực cao, dễ sinh ra các bệnh lý khác, nên việc cân bằng các yếu tố để có hiệu quả tốt nhất trong công việc săn lỗ hổng là điều vô cùng quan trọng.
Trong những năm gần đây, không còn dễ dàng bắt gặp lỗ hổng trên các ứng dụng, website của các công ty lớn trên Internet một cách dễ dàng. Đó một phần là nhờ vào sự phát triển và lan rộng của các chương trình Bug Bounty. Các công ty lớn như Google, Microsoft, Facebook, Yahoo và các công ty khác đã bắt đầu mở rộng hơn khi đưa ra các chương trình Bug Bounty của riêng mình, nhằm giúp phát hiện ra các lỗ hổng bảo mật đang tồn tại trên hệ thống một cách nhanh nhất.
Bằng cách nâng mức tiền thưởng cho mục tiêu nhằm thu hút sự chú ý của nhiều thợ săn tiền thưởng trên toàn thế giới, số lượng các lỗ hổng nghiêm trọng được giảm đi đáng kể giúp các ứng dụng, website an toàn hơn. Các TC/DN cũng dần sử dụng các nền tảng Bug Bounty lớn làm nơi tiếp nhận lỗ hổng bảo mật từ các thợ săn tiền thưởng và quản lý chúng một cách chuyên nghiệp, nhanh gọn. Các công ty cung cấp dịch vụ kiểm tra xâm nhập cũng ngày một gia tăng, hoạt động giống như các công ty tư vấn truyền thông với các nhân viên chuyên tìm kiếm các lỗ hổng bảo mật. Điều này dẫn tới sự phát triển về số lượng các thợ săn tiền thưởng ngày một tăng.
Hiện nay, có nhiều nền tảng cung cấp các chương trình Bug Bounty khác nhau. Các nền tảng này hoạt động giống như thị trường cho phép những thợ săn tiền thưởng tự do và các TC/DN quan tâm đến dịch vụ của họ tìm thấy nhau. Các nền tảng này thu hút các TC/DN bằng cách tạo cơ hội cho TC/ DN tiếp cận đến một nhóm lớn tin tặc, đồng thời thu hút tin tặc bằng cách cung cấp danh sách các TC/ DN sẵn sàng trả tiền cho dịch vụ của họ. Bugcrowd là nền tảng Bug Bounty đầu tiên ra mắt vào năm 2011. Ngay sau đó, nhiều nền tảng khác đã nhanh chóng ra đời. Cùng với Bugcrowd, Hackerone hiện là nền tảng Bug Bounty lớn nhất thế giới với số lượng người tham gia và chế độ tiền thưởng khổng lồ. Các nền tảng Bug Bounty mỗi năm đã trả hàng chục đến trăm triệu USD cho các nhà nghiên cứu đã báo cáo các lỗ hổng bảo mật của các TC/DN lớn.
Tuy nhiên, có nhiều yếu tố để các thợ săn tiền thưởng lựa chọn một nền tảng hay một chương trình Bug Bounty phù hợp. Trước hết, về sự khác nhau giữa các nền tảng Bug Bounty, đó là việc công khai và bí mật về các chương trình cũng như các báo cáo lỗ hổng, thông tin về các nhà nghiên cứu, kiểm thử tham gia. Một số nền tảng nổi tiếng cung cấp nhiều chương trình Bug Bounty có thể kể đến:
- HackerOne: Cộng đồng hacker mũ trắng và các nhà nghiên cứu bảo mật, thợ săn lỗ hổng lớn nhất thế giới;
- Bugcrowd: Nền tảng Bug Bounty và đội ngũ các nhà nghiên cứu bảo mật mạnh mẽ, một trong những nền tảng tốt nhất kết nối các tổ chức với các hacker có đạo đức.
- Intigriti: Cộng đồng các nhà nghiên cứu bảo mật lớn nhất châu Âu giúp các TC/DN bảo vệ tài sản của họ.
- Synack: Nền tảng thông tin tình báo của Mỹ tự động hóa việc phát hiện ra các điểm cuối và tài sản dễ bị tấn công.
- YesWeHack: Bug Bounty bảo vệ các ứng dụng một cách linh hoạt với cộng đồng rộng lớn các hacker mũ trắng sử dụng các chương trình riêng tư và công khai.
- HackenProof: nền tảng điều phối lỗ hổng, kết nối các TC/DN với cộng đồng các nhà nghiên cứu bảo mật toàn cầu để khám phá bất kỳ vấn đề bảo mật nào.
Ngoài các nền tảng về Bug Bounty còn có một hình thức khác đó là sàn mua bán các lỗ hổng zero-day lớn như: ZDI, SSD, Zerodium… Các TC/DN hàng năm bỏ ra một khoản tiền lớn để mua lại các lỗ hổng zero-day trên các sản phẩm, được sử dụng nhiều từ các nhà nghiên cứu bảo mật trên toàn thế giới.
Thị trường Bug Bounty trên thực tế có tính cạnh tranh cao. Việc nhiều người cùng tham gia phát hiện một lỗ hổng giống nhau này dẫn tới trùng lặp báo cáo, làm tăng số lượng gửi đến các chương trình Bug Bounty. Vì vậy, các chương trình Bug Bounty riêng tư ra đời nhằm giới hạn số người tham gia, và tăng chất lượng của các chương trình khi lựa chọn ra người tham gia phù hợp, có kỹ năng tốt để thực hiện kiểm thử xâm nhập các mục tiêu đặc biệt. Đa số đây là những chương trình hấp dẫn và có xác suất người tham gia được trả thưởng cao.
Hiện tại, không có chứng chỉ riêng thợ săn tiền thưởng. Tuy nhiên, các chứng chỉ về kiểm thử xâm nhập, khai thác lỗ hổng của các tổ chức như ISC, SANS, Offensive… là những chứng chỉ được các thợ săn tiền thưởng ưa thích.
Để bắt đầu trở thành thợ săn tiền thưởng, điều đầu tiên là cần có một kiến thức nền tảng đủ tốt để có thể bắt đầu tìm lỗ hổng trong các lĩnh vực như kiểm thử xâm nhập website, các dịch vụ, ứng dụng mobile, thiết bị IoT, các phần mềm máy tính, thiết bị phần cứng. Tiếp theo, là cần lựa chọn cho mình một nền tảng Bug Bounty ưa thích, phù hợp và bắt đầu với các chương trình công khai, từ đó có thể kiếm cho mình những điểm số (point), điểm danh tiếng (reputation) đối với nền tảng Hackerone.
Chắc chắn trước khi tìm ra lỗ hổng trong bất kỳ nền tảng nào, cần hiểu được cách thức các ứng dụng web hoạt động và kiến trúc của các ứng dụng này. Hiểu biết vững chắc một số nguyên tắc cơ bản về mạng, cơ sở dữ liệu SQL, các thành phần web như HTML, CSS, PHP (Hypertext Preprocessor) và Javascript sẽ tăng cơ hội phân tích lỗ hổng, tuy nhiên không nên là chuyên gia cho mọi lĩnh vực này.
Ngoài ra, nếu có kiến thức về các ngôn ngữ lập trình như Python, bash shell,... thì việc tạo ra các công cụ của riêng mình sẽ là một giá trị bổ sung giúp đạt được mục tiêu cụ thể mà các công cụ khác sẽ không làm được.
Một số lỗ hổng cần quan tâm có thể kể tới top 10 OWASP như: Information gathering, SQL Injection, Cross-Site Scripting (XSS), Server Side Request Forgery (SSRF), Local & Remote file inclusion, Information Disclosure, Remote Code execution (RCE).
Sau khi hiểu về các lỗ hổng bảo mật này, có thể bắt đầu đọc các báo cáo của người khác, các PoC trên nền tảng Bug Bounty để tìm ra các kỹ thuật kiểm thử phổ biến.
Đặc biệt, trước khi bắt đầu phương pháp tiếp cận thực tế, cần biết những điều cơ bản và các khái niệm về an toàn thông tin. Một trong những phương pháp học hiệu quả nhất là xem các kênh Youtube miễn phí, hoặc có thể đăng ký bất kỳ khóa đào tạo bảo mật ứng dụng web nào do CyberTalents cung cấp, hoặc các khóa học nổi tiếng khác như SANS, hoặc eLearnSecurity.
Ngoài ra, cần làm quen với một số thành phần phổ biến để có thể kiểm thử xâm nhập và tìm kiếm lỗ hổng như:
- Trình duyệt web: Có thể sử dụng phiên bản ưa thích của trình duyệt web như Google Chrome, Firefox và vũ khí hóa nó với một số tiện ích bổ sung để giúp quá trình kiểm thử dễ dàng hơn.
- Proxy: Cần phải sử dụng proxy để chặn tất cả lưu lượng truy cập giữa trình duyệt và trang web mục tiêu. Ngoài ra, có thể tự động hóa một số tấn công hoặc sử dụng một số tính năng như mã hóa/giải mã một cách nhanh chóng (có thể sử dụng bộ công cụ Burp)
- Máy ảo: Sử dụng máy ảo hữu ích vì cho phép tách biệt các công cụ kiểm thử khỏi hệ điều hành gốc. Ngoài ra, khi thực hành trên một số ứng dụng dễ bị tấn công đã được công khai như VulnHub, thì sẽ cần tải xuống tệp ISO và sẵn sàng ảo hóa.
Nguyễn Tuấn Anh (Viettel Cyber Security)
09:00 | 08/11/2019
16:00 | 06/04/2021
15:00 | 13/01/2022
08:00 | 05/03/2021
17:00 | 01/04/2024
Trong 02 ngày 30 - 31/3/2024, Đoàn thiện nguyện của Tạp chí An toàn thông tin và Thanh tra Cơ yếu đã đồng hành cùng Đội sinh viên làm Công tác xã hội, trường Đại học Khoa học Xã hội và Nhân văn - ĐHQG Hà Nội tổ chức chương trình thiện nguyện “Khơi nguồn yêu thương” nhằm xây dựng giếng nước giúp đỡ 117 em học sinh tại điểm Trường Mầm non Phú Xuân, xã Phú Xuân, huyện Quan Hóa, tỉnh Thanh Hóa.
09:00 | 28/03/2024
Trong 02 ngày 26 và 27/3, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ làm Trưởng Đoàn đã đến làm việc với Tỉnh ủy Thái Bình, Quảng Ninh và Thành ủy Hải Phòng về công tác phối hợp, tăng cường triển khai các nhiệm vụ về lĩnh vực cơ yếu, bảo mật và an toàn thông tin.
08:00 | 25/03/2024
Theo thông báo chính thức từ website của VNDIRECT, Công ty Cổ phần Chứng khoán nổi tiếng tại Việt Nam xác nhận bị tấn công mạng, gây ngưng trệ hoạt động.
14:00 | 01/03/2024
Trong thời đại kỹ thuật số, dữ liệu cá nhân và bí mật công ty luôn là mục tiêu tấn công của tội phạm mạng. Tuy nhiên, khi hệ thống phòng thủ ngày càng tinh vi thì chiến thuật của tin tặc cũng vậy. Năm 2023 cho thấy sự giằng co không ngừng nghỉ, ghi nhận một số vụ xâm phạm dữ liệu gây hậu quả nặng nề. Dưới đây là 10 vụ xâm phạm dữ liệu hàng đầu trong năm 2023 ảnh hưởng đến hơn 100 triệu cá nhân theo ghi nhận của tổ chức phi lợi nhuận Trung tâm Tài nguyên trộm cắp danh tính Mỹ (ITRC).
Chiều 17/4, tại Hà Nội diễn ra Lễ công bố quyết định và trao tặng Bằng khen của Viện trưởng Viện Kiểm sát nhân dân tối cao đối với tập thể, cá nhân Cục Cơ yếu Đảng - Chính quyền (Ban Cơ yếu Chính phủ), vì đã có thành tích xuất sắc trong việc xây dựng Quy chế phối hợp giữa Viện Kiểm sát nhân dân tối cao và Ban Cơ yếu Chính phủ.
16:00 | 19/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Ngày 03/4 vừa qua, Microsoft và công ty điện toán Quantinuum đưa ra thông báo về việc hai công ty này đã đạt được thỏa thuận then chốt trong quá trình phát triển các máy tính lượng tử khả thi về mặt thương mại.
12:00 | 12/04/2024