Bug Bounty nguồn lực cộng đồng: lợi ích về bảo mật và tổn thất tiềm tàng (Phần II)
Tọa đàm "Bug Bounty nguồn lực cộng đồng: lợi ích về bảo mật và tổn thất tiềm tàng"
Phóng viên: Xét ở một góc cạnh khác, Bug Bounty nguồn lực cộng đồng được cho là cổ vũ cho nền kinh tế Gig Economy kiểu Orwell. Điều này có nghĩa là mọi người thường làm việc trong những vị trí tạm thời và linh hoạt, các công ty có xu hướng thuê những người làm việc độc lập và tự do thay vì nhân viên toàn thời gian. Đó là nền kinh tế Gig Economy tồi tệ, nơi tất cả được thúc đẩy bởi nguồn vốn đầu tư mạo hiểm. Ông Cường có cho rằng điều này sẽ mang thêm góc nhìn tiêu cực về Bug Bounty nguồn lực cộng đồng?
Ông Mai Xuân Cường: Đúng là xu hướng Bug Bounty sẽ tạo thành một sức hút lớn đối với các bạn chuyên gia về an toàn thông tin. Khi đấy, họ có thể lựa chọn trong việc đi làm ở một công ty, làm theo các dự án, dịch vụ hay có thể làm việc từ xa hoàn toàn để tham gia một nền tảng tìm lỗi mà vẫn có thu nhập như bình thường.
Trên thực tế, ngay tại Trung tâm dịch vụ an toàn thông tin, Công ty an ninh mạng Viettel cũng có nhiều trường hợp nhân viên quyết định ở nhà dành toàn thời gian cho việc tìm lỗi của các chương trình của nước ngoài. Thực ra nó cũng có cả mặt lợi và mặt hại nhất định. Nếu xét về một xu hướng gọi là thế giới phẳng thì nó cũng không phải là mới. Cách đây khoảng hơn 10 năm, xu hướng này cũng đã có ở những lĩnh vực, ngành nghề khác như là phát triển phần mềm. Còn xu hướng cách đây khoảng 20 năm trước thì freelancer hay còn gọi là làm phần mềm từ xa cho các công ty, doanh nghiệp có nhu cầu phát triển cho họ theo các môđun nào đấy hoặc là những nhu cầu công việc cụ thể cần trả kết quả như là design từ xa thì nó cũng không phải là mới.
Điều đó dẫn tới là an toàn thông tin cũng chỉ là một ngành, nghề, nhất là tại thời điểm hiện tại đang là trend, khiến cho chúng ta đang nhìn rõ tiêu cực ở điểm số lượng nhân sự làm về an toàn thông tin rất hạn chế, nên nếu có một xu hướng tìm lỗi của bên ngoài thì rất dễ thu hút nhân sự. Bản thân tôi cũng là một nhân sự đang làm việc trong doanh nghiệp về lĩnh vực an toàn thông tin thì tôi thấy, nguồn lực của mình sẽ bị hạn hẹp đi và có khả năng cao sẽ đi theo tiếng gọi của đồng tiền, lựa chọn ở nhà làm việc từ xa. Tuy nhiên, nói cho cùng, đó cũng chỉ là một cơ chế thị trường. Nếu mà các bạn ở nhà làm toàn thời gian mà vẫn có thu nhập tốt thì đó cũng là một sự lựa chọn không sai.
Tuy nhiên, theo tôi nhận định thì hiện tại đã bắt đầu có khó khăn trong việc tìm lỗi, khi mà số lượng người tìm kiếm lỗi tăng lên nhanh chóng, điều đó khiến họ phải chiến đấu với nhau. Một vấn đề nữa khi quyết định làm toàn thời gian freelancer thì chúng ta sẽ bị thiếu môi trường cộng tác. Tôi cũng đã từng gặp nhiều bạn là sẽ bị rơi vào trạng thái cô lập, không có người tương tác hàng ngày, sẽ dẫn tới công việc bị đi xuống. Nhưng theo tôi, khoảng thời gian bắt đầu của an toàn thông tin này cũng sẽ không kéo dài lâu, giống như xu hướng về freelancer của developer. Khi chưa hình thành rõ về ngành nghề, về phát triển phần mềm thì nó cũng đang tạo ra sự thiếu hụt trong nguồn nhân lực đáp ứng cho nhu cầu của tổ chức, doanh nghiệp. Khi có một nguồn nhân lực dồi dào về an toàn thông tin thì các tổ chức, doanh nghiệp cũng sẽ có thêm nhiều sự lựa chọn nhân sự làm về an toàn thông tin, điều này cũng giúp giảm bớt trị tiêu cực cho việc làm từ xa.
Phóng viên: Bug Bounty được cho là rất tiềm năng cả ở hiện tại và tương lai. Với vai trò là một Thợ săn tiền thưởng uy tín anh Tuấn Anh nghĩ sao về vấn đề này?
Ông Nguyễn Tuấn Anh: Về cá nhân mình, cũng như anh Cường đã chia sẻ ở những câu hỏi trước thì đúng là những người tham gia vào sân chơi Bug Bounty này một thời gian họ đều nhận thấy được lợi ích, khả năng kiếm ra được nhiều tiền. Thực tế, những người đang đi làm part time, đều sẽ cảm thấy là công việc tìm kiếm lỗi nhận thưởng này đem lại được nhiều tiền hơn so với mức lương của họ, họ sẵn sàng chuyển sang làm full time và thường nghỉ việc ở công ty để đầu tư nhiều thời gian hơn vào công việc săn tiền thưởng lỗi này.
Trong cộng đồng trên thế giới, đây là xu hướng đang nở rộ và ngày càng có nhiều người chuyển sang làm toàn thời gian. Điều này giúp họ có nhiều thời gian dành cho gia đình và có thể chủ động trong các công việc. Nhưng họ cũng cần phải đảm bảo tìm được các lỗ hổng một cách thường xuyên.
Cũng có nhiều người có sở thích đi du lịch ở các quốc gia, họ có thể mang theo máy tính của họ đến nơi nào để vừa du lịch vừa săn tiền thưởng lỗi. Những người đó thường sẽ khơi được sự sáng tạo và cảm hứng để tiếp tục công việc săn tiền thưởng lỗi này. Tuy nhiên, mình cũng thấy có nhiều người chuyển sang làm full time, do họ thấy người khác làm full time hiệu quả. Nhưng điều này gây ra tình trạng các cá nhân không có năng lực tốt và các lỗ hổng được phát hiện thường chung chung, không mang tính chất đặc biệt. Đó thường là những lỗ hổng mà nhiều người khác cũng biết và chỉ hơn nhau về mặt tốc độ tìm kiếm. Điều đó dẫn đến tình trạng bị trùng lặp lỗ hổng, hay còn gọi là duplicate.
Khách mời tham gia Tọa đàm "Bug Bounty nguồn lực cộng đồng: lợi ích về bảo mật và tổn thất tiềm tàng"
Ví dụ, bỏ ra khoảng thời gian 1 tuần report 10 lỗi mà cả 10 lỗi đều bị duplicate hết thì nó sẽ gây ra một tình trạng stress rất cao hay còn gọi là burnout trong công việc. Lúc đó, nhiều người sẽ cảm thấy nản chí, thậm chí, một số người tham gia Bug Bounty lâu năm cũng đã chia sẻ trên các blog về vấn đề gây ra sức khỏe tâm thần.
Người tìm kiếm cần duy trì hiệu năng săn lỗi tốt, bởi nếu không sẽ không kiếm được tiền, điều này đồng nghĩa với việc thất nghiệp. Khi đó, họ lại phải suy nghĩ về việc tìm kiếm một công việc. Vì vậy, công việc về Bug Bounty này đòi hỏi người tìm kiếm luôn phải có những phát hiện mới lạ, hiếm gặp so với số đông hoặc là phải tạo ra những công cụ thực sự mạnh như hệ thống tự động để rà quét lỗ hổng định kỳ theo ngày.
Ví dụ cụ thể, khi những hệ thống, ứng dụng của các công ty đang trong luồng phát triển của họ một cách liên tục thì ở thời điểm này không tồn tại lỗ hổng. Tuy nhiên, ở thời điểm khác có thể vô tình lập trình viên hoặc người quản trị server gây ra một lỗ hổng về cấu hình ứng dụng hay mạng thì hệ thống tự động rà quét lỗ hổng của người chơi chuyên nghiệp sẽ phát hiện ra các lỗi ngay lập tức. Đấy chính là lợi thế của những người làm full time khi họ sẵn sàng đầu tư thời gian và nguồn lực của mình để xây dựng các công cụ hỗ trợ cho công việc của họ tốt nhất có thể. Đây là xu hướng về Bug Bounty hiện nay.
Phóng viên: Quan tâm hơn một chút về thợ săn tiền thưởng đứng đầu các bảng xếp hạng Việt Nam và thế giới Nguyễn Tuấn Anh. Anh có thể bật mí thêm cho quý vị độc giả về kinh nghiệm tìm kiếm lỗ hổng của mình?
Ông Nguyễn Tuấn Anh: Mình cũng từng là một người bắt đầu từ con số 0 trên các nền tảng về Bug Bounty. Lúc đó, mình cũng chưa rõ phương hướng, không biết tương lai sẽ như thế nào, không biết bắt đầu từ đâu, thậm chí, phải làm sao để tìm ra được lỗ hổng đầu tiên, có được những đồng tiền thưởng đầu tiên. Với kinh nghiệm làm về an toàn thông tin của mình, mình nhận thấy nếu làm theo số đông thì chắc chắn sẽ không hiệu quả.
Mình bắt đầu bằng việc nghiên cứu toàn bộ những chương trình của các công ty lớn trên thế giới, đồng thời nghiên cứu về các sản phẩm, công nghệ họ sử dụng, các lỗ hổng mới chưa từng được phát hiện. Sau đó, mình tập trung tìm những lỗ hổng trong ứng dụng có nhiều công ty sử dụng. Khi tìm ra được lỗ hổng mình có thể báo cáo được đến nhiều chương trình khác nhau, điều đó khiến điểm của mình tăng rất nhanh.
Tuy nhiên, đó mới chỉ là bước khởi đầu, việc có những lời mời từ các chương trình riêng tư thì là một khó khăn. Do lệch múi giờ, các cái chương trình Bug Bounty riêng tư mở hoạt động vào khoảng 1 đến 3 giờ sáng ở Việt Nam. Nếu chậm trễ thì những người khác cũng được mời vào chương trình đó, họ có kinh nghiệm và hoàn toàn có khả năng tìm những lỗ hổng giống như mình. Đây cũng là một vấn đề sẽ gây ảnh hưởng đến sức khỏe.
Khoảng thời gian đầu, mình thường xuyên phải thức đêm để tham gia các chương trình riêng tư đó. Tuy nhiên vì những chương trình này mới nên tồn tại nhiều lỗ hổng mà công ty họ chưa biết. Lúc đó xác suất mình tìm kiếm ra lỗ hổng hợp lệ và để kiếm được tiền thưởng cao hơn nhiều so với những chương trình đã thực hiện một thời gian trước đó. Đây cũng là một chiến thuật của mình. Nhưng lưu ý, những người đi trước hay những người được mời vào chương trình đó đã có sẵn lợi thế của họ, khiến mình đến sau và mất đi cơ hội. Đấy cũng là một điểm mình cảm thấy không công bằng cho tất cả người chơi.
Gần đây cũng xuất hiện một số cái tranh cãi trong cộng đồng về bảo mật liên quan đến những chương trình Bug Bounty của các công ty. Một số công ty mở song song hai chương trình: một chương trình về tiếp nhận lỗ hổng công khai (ai cũng có thể báo cáo các lỗ hổng) và một chương trình riêng tư (chỉ mời một số cá nhân trên nền tảng). Kết quả, những người báo cáo lỗ hổng qua chương trình tiếp nhận lỗ hổng công khai thì chỉ nhận được lời cảm ơn, còn những người người báo cáo lỗ hổng qua chương trình riêng tư thì lại được trả nhiều tiền. Điều này đã gây ra sự bất bình trong cộng đồng.
Có nhiều ý kiến đề xuất về những công ty chạy song song cả hai chương trình nên công khai chương trình tiếp nhận lỗ hổng tới mọi người và đều phải trả tiền cho người đã có đóng góp, phát hiện ra những lỗ hổng của họ. Vì một số công ty họ e ngại khi mở công khai chương trình Bug Bounty sẽ có rủi ro kèm theo là cho phép hacker hay những người chuyên tìm lỗi được phép khai thác lỗ hổng, thậm chí tấn công vào các hệ thống của họ. Điều đó có thẻ dẫn đến tình trạng sập hệ thống, gây ảnh hưởng đến những khách hàng của họ. Nhiều công ty đã có chính sách không cho phép những người được mời vào chương trình riêng tư được phép tiết lộ các chương trình. Bởi nếu tiết lộ thì nhiều người sẽ tham gia rà quét toàn bộ hệ thống của họ, lúc đó có thể gây ra các sự cố mà khó kiểm soát, nhất là các công ty chưa có đủ nguồn lực xử lý các sự cố về an toàn thông tin.
Một kinh nghiệm nữa của mình là, Bug Bounty hiện nay là cộng đồng nên việc hợp tác, chia sẻ kiến thức giữa những người chơi với nhau sẽ đem lại hiệu quả rất cao so với việc là người chơi phải tự tìm hiểu.
Mặt khác, mình muốn chia sẻ với những bạn đã và đang tham gia Bug Bounty nên cân đối thời gian của mình để tránh ảnh hưởng đến sức khỏe khi phải thức đêm nhiều. Để có thể cân đối được thời gian thì nên đầu tư nhiều hơn vào việc xây dựng các hệ thống, các công cụ hỗ trợ cho công việc săn lỗ hổng bảo mật trong Bug Bounty.
Một lời khuyên nữa là lựa chọn các chương trình tốt, các công ty có trách nhiệm, có sự phản hồi tốt với các nhà nghiên cứu, những người report lổ hổng bảo mật. Khi tham gia vào những chương trình tốt đó thì dần dần sẽ tìm hiểu sâu hơn, mang lại hiệu quả hơn là tham gia nhiều chương trình khác nhau mà không đi sâu.
Phóng viên: Một câu hỏi cuối trước khi khép lại chương trình tọa đàm ngày hôm nay, xin được dành cho ông Mai Xuân Cường. Nếu xét ở góc độ lợi ích cho tổ chức/ doanh nghiệp, ông Cường cho rằng họ nên triển khai Bug Bounty nguồn lực cộng đồng hay dịch vụ kiểm thử xâm nhập còn được biết đến cái tên pentest để nâng cao mức độ an toàn thông tin cho hệ thống, sản phẩm của mình?
Ông Mai Xuân Cường: Hai hình thức này nên bổ trợ lẫn nhau. Có một khái niệm về phòng thủ gọi là Defense In Depth, tức là khi mà chúng ta bảo vệ thì nên có nhiều lớp khác nhau để phòng thủ. Với việc tìm lỗ hổng của ứng dụng hay sản phẩm cho doanh nghiệp cũng nên như thế. Khi bắt đầu phát triển thì chúng ta cũng phải có những biện pháp làm sao cho lập trình viên của mình phát triển từ những dòng code đầu tiên an toàn, hướng dẫn lập trình an toàn, ngoài ra, có những công cụ kiểm tra ngay trong lúc phát triển. Sau khi phát triển xong, cần triển khai những bộ phận tìm kiếm lỗ hổng ngay trong nội tại doanh nghiệp để thực hiện các bước pentest trong nội tại của doanh nghiệp.
Cuối cùng, doanh nghiệp cần đánh giá khi sản phẩm được công bố ra bên ngoài. Một hình thức phổ biến ở Việt Nam hiện nay là thuê những công ty chuyên trách về dịch vụ an toàn thông tin để họ pentest các ứng dụng, tìm lỗi, báo cáo lại để khắc phục.
Thực ra pentest chỉ là view của một số chuyên gia của các công ty cung cấp dịch vụ, có thể họ cũng đã có những checklist, những cách thức tìm lỗi tương đối chuyên sâu. Các chuyên gia sẽ tìm được các lỗi mức cao, mức nghiêm trọng cho doanh nghiệp. Tuy nhiên, để an toàn thì vẫn phải có những lớp phòng thủ tiếp theo là những góc nhìn của cộng đồng. Bởi Bug Bounty không giới hạn vài người, mà tất cả mọi người đều có thể tìm lỗi, báo lại cho doanh nghiệp, tạo ra nhiều view của các chuyên gia trong và ngoài nước.
Điều này sẽ tạo thêm một lớp phòng thủ của phần mềm, ứng dụng cho doanh nghiệp. Từ lớp nội bộ, nếu lập trình viên đã được hướng dẫn rồi nhưng vẫn còn lỗi thì các bạn pentester của nội bộ sẽ hỗ trợ để tìm được lỗi. Các bạn pentester của công ty không tìm được một số lỗi, thì các bạn pentester của các công ty cung cấp dịch vụ sẽ tìm lỗi cho doanh nghiệp. Nếu vẫn còn sơ suất thì vẫn còn một lớp nữa là các chuyên gia cộng đồng bên ngoài tìm và họ report.
Phóng viên: Dù ở bất kỳ lĩnh vực nào, khi một mô hình, cách thức mới được vận hành sẽ đem lại những tác động tiêu cực và tích cực. Tuy nhiên, với mục đích chung về nâng cao vị thế bảo mật, Bug Bounty có lẽ vẫn là một cách làm bảo mật mới, được đông đảo tổ chức, chuyên gia đón nhận.
Xin cảm ơn ông Mai Xuân Cường và ông Nguyễn Tuấn Anh đã tới tham dự buổi toạ đàm ngày hôm nay, cảm ơn quý vị đã quan tâm theo dõi.
Phong Thu