Những người lính trên không gian mạng - Bài 2: Từ cậu bé nhà quê thành "hacker" top 1 thế giới

Nguyễn Tuấn Anh có niềm say mê vô hạn với công nghệ.

Tuổi trẻ tài cao

Trong chuyến tham quan VCS, chúng tôi được gặp Nguyễn Tuấn Anh. Trong những câu chuyện của mình, chúng tôi nhận thấy ở Tuấn Anh ngọn lửa niềm say mê công nghệ thông tin vô hạn. Khi nhắc tới thành tích của bản thân, Tuấn Anh một mực xua tay, bảo: "Trời! Em cũng bình thường thôi ạ. Các anh em khác trong công ty còn cao thủ hơn nhiều!".

“Hacker” sinh năm 1996, quê ở Giao Thủy, Nam Định để lại ấn tượng ban đầu với chúng tôi là một chàng thanh niên lễ phép, thân thiện với thân hình mảnh mai, áo thun, quần bò cùng nụ cười luôn thường trực trên môi. Bề ngoài trông có vẻ “gà mờ”, nhưng thật không ngờ Tuấn Anh đã nhiều lần được vinh danh từ các hãng lớn như: Google, SAP, Oracle, Huwei, AT&T, Master Card, Dell, Uber... Đặc biệt trong năm 2020, Tuấn Anh đã tìm ra 55 lỗ hổng bảo mật trên sản phẩm E-Business Suite của Oracle (được biết đến như là một trong những giải pháp phần mềm quản trị doanh nghiệp tổng thể hàng đầu trên thế giới, ra đời từ năm 1987-PV), trong đó có cả lỗ hổng cho phép chiếm quyền điều khiển từ xa. Và gần đây nhất, Tuấn Anh được nhiều người biết đến với danh hiệu “hacker” số 1 thế giới trên nền tảng Bugcrowd.

Bugcrowd ra đời năm 2011, là một trong những nền tảng Bug Bounty (tạm dịch: Săn lỗi nhận thưởng) hàng đầu thế giới hiện nay. Tại đây quy tụ những "hacker mũ trắng" có đẳng cấp thế giới. Theo đánh giá của nền tảng này, vượt qua hơn 25.000 hacker trên toàn thế giới, tháng 4, 5 và 6, Tuấn Anh đã đứng vị trí đầu tiên.

Điều ấn tượng là để có được thành tích này, Tuấn Anh chỉ mất hơn một năm để lọt vào top 100 của Bugcrowd (tổng thành tích xếp thứ 86 toàn thế giới) và một tháng để gia tăng 3.000 điểm số, vươn lên đứng đầu bảng xếp hạng (tháng 4, 5 và 6). Với gần 200 lỗ hổng bảo mật được báo cáo, Tuấn Anh đã 4 lần nhận danh hiệu Chuyên gia xuất sắc hàng đầu (Most valuable profesional-MVP).

- Để trở thành một “hacker” đẳng cấp thế giới, một người chưa hiểu biết gì về máy tính, theo Tuấn Anh, thì cần phải học những gì? - Chúng tôi thắc mắc.

- Theo em, để một người không biết gì mà vào ngành này thì quan trọng nhất là phải có sự say mê, thích về bảo mật, có tinh thần tự học, tự tìm hiểu. Thêm vào đó, phải nắm vững các kiến thức nền tảng về lập trình và lập trình thuật toán, là hai kiến thức cơ sở khi học về ngành công nghệ thông tin. Rồi thêm các kiến thức về hệ điều hành, mạng, web. Các anh thấy đấy, những thứ em biết phần lớn đều tự tìm hiểu trên mạng mà! Tất nhiên những kiến thức khi còn ngồi trên ghế nhà trường cũng có một phần quan trọng, chúng "hacker" hình thành lối tư duy đúng đắn - Tuấn Anh trả lời, pha chút ngại ngùng.

Hiện công việc chính của Tuấn Anh tại VCS là tham gia nhóm Red team. Nhóm có nhiệm vụ mô phỏng lại các cuộc tấn công có chủ đích vào dữ liệu bên trong hệ thống. Red team sẽ thu thập thông tin và tìm kiếm các lỗ hổng nghiêm trọng trên hệ thống đó để xây dựng được những kịch bản có thể gây mức độ thiệt hại cao nhất cho tổ chức. Hoạt động này có lợi ích thiết thực, giúp chủ quản hệ thống có được góc nhìn toàn diện về các rủi ro an ninh trên hệ thống của mình. Mô hình này bắt đầu hoạt động từ hai năm trở lại đây. Tuấn Anh chia sẻ, đội của anh từng kiểm thử rất nhiều hệ thống của các tổ chức, doanh nghiệp hàng đầu Việt Nam. Cho đến hiện tại, Tuấn Anh cùng với các thành viên trong đội chưa từng thất bại trước bất kỳ hệ thống mục tiêu nào được giao.

Thời gian rảnh rỗi, Tuấn Anh tham gia tìm kiếm lỗ hổng trên các sản phẩm được nhiều công ty, tổ chức sử dụng. Công việc này phục vụ cho chính công việc hiện tại và thỏa mãn sở thích cá nhân.

Cậu bé nhà quê mê hack

Nguyễn Tuấn Anh bắt đầu biết đến hack (lợi dụng những lổ hổng bảo mật để can thiệp trái phép vào phần mềm, phần cứng, hệ thống máy tính, mạng máy tính nhằm thay đổi các chức năng vốn có của nó-PV) khi đang học lớp 11. Thay vì say mê các trò chơi điện tử như một số bạn cùng trang lứa, Tuấn Anh lại hào hứng trong việc đi sâu nghiên cứu cách hoạt động, lập trình của các trò chơi điện tử. Cậu tham gia một số diễn đàn, chỉnh sửa các game trên điện thoại, Việt hóa game, bẻ khóa game... “Lúc ấy em tìm hiểu tất cả trên mạng rồi làm theo như hướng dẫn chứ chưa hiểu gì”, Tuấn Anh nhớ lại.

Nhà không có máy tính nên Tuấn Anh tiết kiệm tiền, cứ 1-2 tuần lại ra cửa hàng internet một lần để tìm hiểu về hack. Lần nào Tuấn Anh đến thì máy tính và hệ thống mạng của cửa hàng internet cũng bị trục trặc, không có tín hiệu mạng, hỏng máy. Các chủ quán từ đó đều "cạch mặt" cậu bé nghịch ngợm này.

Sau này khi vào đại học, Tuấn Anh chọn Học viện Kỹ thuật Mật mã để tiếp tục theo đuổi niềm say mê của mình. Ở đây, Tuấn Anh tham gia nhiều cuộc thi CTF (một dạng cuộc thi kiến thức chuyên sâu về bảo mật máy tính, được tổ chức theo mô hình trò chơi chiến tranh mạng, tập trung vào kỹ năng tấn công và phòng thủ mạng máy tính của người tham gia-PV) để thỏa mãn thú vui và một phần để trang trải kinh phí học tập.

Trong thời gian này, Trung tâm An ninh mạng Viettel (nay là Công ty An ninh mạng Viettel) thuộc Tập đoàn Công nghiệp-Viễn thông Quân đội (Viettel) thường xuyên triển khai các chương trình thực tập sinh nhằm tìm kiếm, bồi dưỡng sinh viên, đặc biệt là các bạn sinh viên có niềm say mê với các cuộc thi CTF từ các trường đại học, học viện. Tháng 9-2016, trong một lần cùng đàn anh Học viện Kỹ thuật Mật mã tới tham gia giao lưu với ban lãnh đạo Trung tâm An ninh mạng Viettel, Tuấn Anh lập tức bị thu hút và đã “bén duyên” với VCS. Cậu trúng tuyển thực tập vào VCS, trở thành người trẻ tuổi nhất cơ quan. Từ một chàng sinh viên, trải qua các khóa đào tạo, Tuấn Anh vươn lên thành chuyên viên chính thức với mức thu nhập đáng mơ ước.

Tuấn Anh là con cả trong gia đình có 3 anh em. Bố mẹ lao động phổ thông ở quê nhà, hai em đang trong độ tuổi đi học, gánh nặng kinh tế càng đè nặng khi dịch Covid-19 bùng phát. Niềm say mê an ninh mạng giúp Tuấn Anh có thể hỗ trợ bố mẹ rất nhiều về vấn đề kinh tế. Tuấn Anh rất vui vì điều đó.

Ngoài thời gian làm việc tại công ty, “hacker” này luôn có thói quen cập nhật tin tức trên mạng xã hội Twitter, các diễn đàn an ninh mạng. “Trên đó cộng đồng về bảo mật hoạt động nhiều. Em có thể cập nhật các lỗ hổng mới, các xu thế mới, hoặc giao lưu với họ, cùng với đó tham gia các nền tảng về săn lỗ hổng. Tham gia các nền tảng này giúp em luôn có các mục tiêu để nhắm tới. Có thể lúc này mục tiêu không có lỗi nhưng thời điểm khác lại xuất hiện lỗi. Phải luôn giữ đôi mắt của mình hướng vào các mục tiêu đó. Hệ thống internet thay đổi liên tục theo thời gian”, Tuấn Anh cho biết.

Trong căn phòng trọ của mình, Tuấn Anh thường ngủ khá muộn, khoảng 1-2 giờ sáng. Ngoài ra, “nếu khi nào em được mời tham gia vào các chương trình private (chương trình không tổ chức công khai-PV) thì thức muộn hơn. Các chương trình này hầu hết tổ chức ở Mỹ nên thường diễn ra vào khoảng 2-3 giờ sáng giờ Việt Nam. Hôm nào được mời thì lại phải canh để thức. Nếu mình không tìm nhanh thì người khác tìm mất. Sân chơi này phải rất nhanh và chính xác. Phần thưởng chỉ dành cho người giỏi nhất”, Tuấn Anh cho biết thêm.

Mặc dù trong giới công nghệ, Tuấn Anh rất cởi mở, giao lưu nhiều, nhưng chuyên gia an ninh mạng trẻ này cũng thừa nhận, các mối quan hệ ở ngoài khá hạn chế, không có nhiều màu sắc. Cuối tuần đi chạy bộ ở công viên, thỉnh thoảng đi cà phê với bạn bè.

Khi xem những bộ phim về "hacker", rồi được tận mắt chứng kiến cuộc sống của một "hacker" đẳng cấp thế giới khiến chúng tôi khá bất ngờ. Phim ảnh thường làm mọi thứ trở nên màu mè, hoành tráng nhưng kỳ thực, "hacker" ngoài đời lại trái ngược hoàn toàn. Họ có thể là bất cứ ai, ở bất cứ lứa tuổi nào, giai cấp, tầng lớp nào. Và việc họ hack có thể chỉ thực hiện trên một chiếc máy tính bình thường, không cần phải là một cỗ máy tính siêu khủng nhiều màn hình như phim ảnh. “Tuy nhiên, để thực hiện được những kỹ thuật tấn công này sẽ mất nhiều thời gian để tìm kiếm lỗ hổng, viết mã khai thác hoàn chỉnh. Khi có mã khai thác thì thực hiện hack chỉ trong tích tắc với thiết bị hay hệ thống có tồn tại lỗ hổng đó”, Tuấn Anh nói.

Trong ngôi nhà chung VCS, những kết quả mà Nguyễn Tuấn Anh đạt được không chỉ là niềm tự hào của riêng chàng trai trẻ mà còn là của tập thể công ty. Hiện tại, nhóm chuyên gia trong Phòng An ninh hệ thống ứng dụng, nơi Tuấn Anh làm việc, được chia thành 5 nhóm chính: Pentest, Red team, Research, IoT security và System security. Thành viên trong các nhóm này đều có trình độ tầm cỡ thế giới.

Kết thúc câu chuyện, Tuấn Anh lại tiếp tục thực hiện những việc còn dang dở trên chiếc máy tính. Chàng trai trẻ cũng như những người đồng đội khác đang nỗ lực phấn đấu, mong một ngày được trở thành sĩ quan Quân đội nhân dân Việt Nam.

(còn nữa)

Bài và ảnh: HOÀNG LIÊN VIỆT