Sinh viên Học viện Kỹ thuật mật mã tìm ra 4 lỗ hổng nghiêm trọng trên Oracle
PV: Chào Quỳnh! Trước hết xin chúc mừng em vì những dấu ấn quan trọng trong lĩnh vực bảo mật và an toàn thông tin mà em đã đạt được thời gian qua. Quỳnh có thể chia sẻ về 4 lỗ hổng mà bản thân đã phát hiện trong các sản phẩm của Oracle không?
Lê Mỹ Quỳnh: Đầu năm 2020, em bắt đầu đọc và nghiên cứu các bài viết về những lỗ hổng đã được tìm thấy bởi những chuyên gia đi trước, thực hiện giả lập môi trường tấn công và tái tạo lại lỗ hổng. Sau đó một thời gian ngắn, em tìm được lỗ hổng đầu tiên trên sản phẩm của Oracle, bằng cách áp dụng kĩ thuật tấn công của những nhà nghiên cứu mà em đã học hỏi trước đó. Từ việc hiểu bản chất lỗ hổng, em bắt đầu có những ý tưởng riêng của mình và bắt đầu tìm ra các CVE mới hơn.
Bốn lỗ hổng em tìm ra là: CVE-2020-14625, CVE-2020-14825, CVE-2020-2883 và CVE-2020-2798. Ba trong 4 lỗ hổng (gồm CVE-2020-14625, CVE-2020-14825, CVE-2020-2883) đã được đánh giá mức độ ảnh hưởng cao nhất, với số điểm CVSS 9.8/10.
Lê Mỹ Quỳnh sinh viên năm cuối Học viện Kỹ thuật mật mã, Ban Cơ yếu Chính phủ
PV: Bên cạnh 4 lỗ hổng bảo mật mà em đã tìm ra, Quỳnh còn đạt được những thành công nào khác?
Lê Mỹ Quỳnh: Việc tìm kiếm lỗ hổng bảo mật là cách thức tiếp cận nhanh kiến thức trong lĩnh vực bảo mật và an toàn thông tin. Điều này cũng giúp em có khả năng học các môn chuyên ngành ở trường dễ dàng hơn. Trong suốt 4 năm học ở Học viện Kỹ thuật mật mã, em đều đạt học bổng và có số điểm GPA xếp top đầu.
Sau khi tìm ra các lỗ hổng bảo mật, em ngày càng hiểu rõ hơn về nhiệm vụ và vai trò của một Security Researcher. Em cũng mạnh dạn tham dự các hội thảo về bảo mật để học hỏi và chia sẻ kỹ năng nghiên cứu của mình, như trình bày các tham luận, kết quả nghiên cứu tại Hội thảo TradaHacking.
PV: Quỳnh có thể chia sẻ về dự định và ước mơ nghề nghiệp của mình trong tương lai không?
Lê Mỹ Quỳnh: Trong tương lai, em mong muốn trở thành một Security Research có tầm ảnh hưởng thế giới, có nhiều đóng góp sáng tạo, đột phá đối với lĩnh vực bảo mật và an toàn thông tin. Còn hiện tại, em đang tập trung nghiên cứu các lỗ hổng trên nền tảng Java.
PV: Được biết, Quỳnh là sinh viên năm cuối của Học viện Kỹ thuật mật mã. Việc nghiên cứu, học tập, làm đồ án… có lúc nào làm Quỳnh quá tải không?
Lê Mỹ Quỳnh: Do chương trình học trong Học viện được các thầy, cô lên lịch từ sớm và phù hợp, căn cứ vào đó em sắp xếp thời gian hợp lý, nên các công việc và thời gian học của em ít khi bị quá tải. Tuy nhiên, cũng không tránh được có những thời điểm căng thẳng, như những lúc tập trung tìm các lỗ hổng, hay nghiên cứu về một giải pháp nào đó..., nhưng rất may mắn là em được sự ủng hộ, giúp đỡ rất nhiệt tình của các thầy giáo, cô giáo và đồng nghiệp, bạn bè, nên công việc cũng như việc học của em đều đang diễn ra thuận lợi.
Hiện tại, em đang tập trung làm đồ án tốt nghiệp. Đây là mốc rất quan trọng trong quá trình học tập của em. Học viện Kỹ thuật mật mã cho phép các sinh viên chủ động trong quá trình đề xuất, nghiên cứu đồ án. Đồng thời, các thầy cô cũng định hướng và hướng dẫn rất tận tình. Vì vậy, em tin tưởng mình sẽ sớm hoàn thành đồ án và đạt chất lượng.
PV: Quỳnh có thể chia sẻ thêm tại sao em lại theo học tại Học viện Kỹ thuật mật mã?
Lê Mỹ Quỳnh: Theo học tại Học viện Kỹ thuật mật mã với em có thể là một cái duyên. Ban đầu, em chỉ muốn thử xem an toàn thông tin là gì và trường nào đào tạo về chuyên ngành này. Qua tìm hiểu em biết rằng, Học viện Kỹ thuật mật mã là nơi đầu tiên trong cả nước đào tạo về an toàn thông tin và hiện nay Học viện là một trong những trường trọng điểm đào tạo an toàn thông tin. Đặc biệt, Học viện có chương trình du học với học bổng toàn phần cho các sinh viên đạt thành tích tốt tại kỳ học đầu tiên; sinh viên ra trường thì có thể kiếm ngay được những công việc tốt và thu nhập cao. Do vậy, em đã quyết định dự dự thi và đã trúng tuyển tại Học viện.
Trong năm học đầu tiên, em đã hoàn thành chương trình học với thành tích tốt và giành được suất đi du học. Nhưng em nhận thấy mình thực sự yêu thích ngành An toàn thông tin, nên quyết định ở lại để tham gia học tập và làm việc trong nước. May mắn là em đã theo học đúng ngôi trường mà mình yêu thích. Các thầy cô trong Học viện ở bất kỳ bộ môn nào cũng đều là những người tài năng và nhiệt huyết. Các anh chị khóa trên thì thân thiện, không ngại dìu dắt các em khóa sau. Cùng với ngành an toàn thông tin mà em đang theo học, mới đây Học viện đã đào tạo thêm 2 chuyên ngành mới là Kỹ thuật phần mềm nhúng và di động và Hệ thống nhúng và điều khiển tự động. Đây cũng là những chuyên ngành mà em thấy rất thú vị.
Lê Mỹ Quỳnh trình bày kết quả nghiên cứu tại một buổi Hội thảo chuyên môn
PV: Security Researcher là một hành trình dài và kiên nhẫn. Quỳnh có muốn nhắn gửi gì tới các sinh viên hay bạn trẻ đang có ước mơ theo đuổi ngành an toàn thông tin không?
Lê Mỹ Quỳnh: Vì tính chất công việc đặc thù, đòi hỏi người làm việc trong nghề này phải ngồi máy tính rất nhiều (có khi cả ngày, cả đêm), chắc chắn không tránh khỏi nhiều mệt mỏi, khó khăn. Tuy nhiên các bạn có ấp ủ, hay đã làm việc trong lĩnh vực này thì cũng đừng quá lo lắng, vẫn luôn có cách để điều phối công việc sao cho phù hợp.
Nghề an toàn thông tin, bảo mật không phải là công việc cho kết quả nhanh chóng trong một, hai ngày, cùng với đó lại luôn luôn có sự thay đổi, tìm tòi, sáng tạo. Vì vậy hãy thật kiên nhẫn theo đuổi đam mê và không ngừng học hỏi cái mới, những lúc bế tắc nên tạm dừng công việc, thả lỏng, dành một chút thời gian thư giãn và quay lại sau.
Em cũng muốn chia sẻ rằng, lĩnh vực bảo mật và an toàn thông tin là sân chơi không chỉ cho các bạn nam. Chỉ cần kiên trì, đam mê thì bất kể là nam hay nữ cũng đều có thể theo đuổi lĩnh vực này.
PV: Cảm ơn những chia sẻ của Quỳnh. Chúc cho ước mơ của em sớm thành hiện thực!
Ngọc Mai