Phỏng vấn nhà nghiên cứu : Phạm Tiến Đạt
Gần đây chúng tôi đã trò chuyện với Đạt vì thành công của anh ấy trong chương trình tiền thưởng của Google cũng như Facebook. Đạt được xếp hạng 100 trên Đại sảnh Danh vọng mọi thời đại của Google, với tỷ lệ chấp nhận lỗi 100%.
Đưa chúng tôi trở lại những ngày đầu của bạn, bạn đã bắt đầu với công nghệ gì?
Một lần năm 2011 tôi đang chơi game ngoài cửa hàng điện tử thì tài khoản của tôi bị mất, vài tuần sau tôi biết được người lấy tài khoản của tôi là một người bạn online trên game. Tôi bắt đầu học CNTT từ thời gian này.
Làm thế nào bạn bắt đầu trong nghiên cứu bảo mật?
Sau khi mất tài khoản, tôi đã tham gia một diễn đàn trực tuyến về hack từ năm 2011 chỉ vì tò mò, sau đó một vài người bạn đã đề nghị tôi tham gia nhóm hack của họ. Tôi yêu mọi thứ về công nghệ nói chung và tôi muốn thử thách bản thân trong nhiều lĩnh vực nhất có thể. Nếu tôi thấy mình làm tốt trong một lĩnh vực thì tôi sẽ theo nó lâu dài.
Đã bao lâu bạn làm công việc Bugbounty?
Tôi đã làm công việc này một cách nghiêm túc trong hai năm. Trước đó tôi từng là một lập trình viên, sau đó tôi tìm hiểu bảo mật và thấy rằng tôi làm tốt công việc này hơn là ngồi viết các chương trình.
Tại sao bạn hack vào chương trình Bugbounty?
Về cơ bản, tôi thích làm điều này giống như tôi thích chơi các game giải đố. Một điều thú vị với tiền thưởng lỗi là ai đó sẽ trả tiền cho những gì tôi đang làm. Có nhiều cơ hội hơn trong tiền thưởng lỗi: các chuyên gia tập trung vào các lỗ hổng nghiêm trọng trong khi những người mới bắt đầu bắt đầu với các lỗ hổng bảo mật cơ bản.
Hơn nữa, trong các phần thưởng lỗi, cách mà các kỹ sư bảo mật xử lý một mục tiêu thực sự để tôi có một tầm nhìn rõ ràng về bảo mật phần mềm mà tôi đang làm việc trong cuộc sống hàng ngày. Không có bảo mật tuyệt đối và ngay cả các tập đoàn lớn cũng có lỗ hổng bảo mật cơ bản.
Bạn có bạn dành mọi thời gian cho một lỗi bảo mật cụ thể hoặc chuyên môn nào không?
Mặc dù tôi báo cáo mọi lỗi tôi tìm thấy, tôi thường tập trung vào các lỗ hổng có ảnh hưởng nguy hiểm và một người dùng độc hại sẽ có thể khai thác với tác động cao. Ví dụ các lỗi logic, IDOR hoặc các lỗ hổng đọc / ghi / thực thi.
Điều gì thúc đẩy những những gì đang bạn làm? Điều gì khiến bạn tiếp tục?
Công việc của tôi là bảo mật thông tin và tiền thưởng lỗi giúp tôi rất nhiều. Tôi đã học được nhiều kỹ thuật mới và tóm tắt các vấn đề yếu thông thường trong các web / ứng dụng. Và tuyệt vời rằng tôi có thể kiếm thêm tiền từ nó. Bên cạnh đó, một số phản hồi của công ty khiến tôi cảm thấy họ tôn trọng công việc của tôi và điều đó thúc đẩy tôi đóng góp nhiều hơn cho cộng đồng.
Bạn có thể cho bất kỳ lời khuyên của bạn với những người mới bắt đầu?
Tôi đã từng nghĩ rằng không còn lỗ hổng nào khi tôi bắt đầu tìm hiểu. Bạn biết đấy, có nhiều chuyên gia đã nghiên cứu trong nhiều năm, và nếu có một cái gì đó còn lại cho một người mới bắt đầu như tôi thì tại sao không phải là những người khác?
Mặc dù vậy, tôi vẫn cố gắng và thực sự tìm thấy ba lỗi. Thật không may, cả ba đều không đủ điều kiện nhận tiền thưởng.Hai cái đầu tiên được đánh dấu là Bản sao (với một lỗi được báo cáo 8 tháng trước), trong khi cái còn lại được đánh dấu là Không sửa. Sau tất cả, tôi thực sự chỉ muốn từ bỏ.
Tuy nhiên, một ngày nọ khi tôi tìm thấy một số lỗi nghiêm trọng của Facebook, tôi nghĩ rằng tôi nên thay đổi suy nghĩ của mình. Ngày qua ngày, rất nhiều mã mới được viết và nhiều tính năng mới được thêm vào trong mọi phần mềm, tất cả những thay đổi này có thể có lỗi. Đó có thể là một lợi thế cho bạn vì các nhà nghiên cứu khác đã chuyển sang các chương trình mới hơn. Hơn nữa, nếu bạn thường xuyên đọc tin tức, bạn sẽ biết rằng có nhiều lỗ hổng phần mềm đã được viết trong nhiều thập kỷ và chỉ mới được phát hiện gần đây. Vì vậy, cơ hội bạn tìm thấy một lỗi không chỉ phụ thuộc vào người đến sớm hơn mà còn phụ thuộc vào khả năng và sự may mắn của mỗi nhà nghiên cứu. Vì vậy, hãy tự tin và cố gắng hết sức.
Bạn nghĩ tiền thưởng lỗi sẽ có mặt tại Việt Nam trong tương lai?
Hiện tại đã có một số chương trình tiền thưởng lỗi có mặt tại Việt Nam tuy nhiên vẫn con hạn chế người tham gia. Theo tôi, nếu công ty tại Việt Nam đang phát triển một sản phẩm nghiêm túc, chi phí để mở các chương trình tiền thưởng luôn rẻ hơn so với những gì họ mất khi sản phẩm của họ bị hack. Vì vậy, tôi nghĩ rằng sẽ có ngày càng nhiều công ty tham gia vào tiền thưởng lỗi, cũng như ngày càng có nhiều người tham gia vào việc tìm lỗi. Đây chắc chắn là một trò chơi có lợi cho tất cả mọi người.
Bạn hy vọng sẽ được gì trong hai năm kể từ bây giờ?
Tôi không thích làm chủ, càng không thích làm ông nọ bà kia. Tôi không có mục tiêu lớn cho sự nghiệp của mình, chỉ làm theo những gì tôi thích với hy vọng rằng công việc của tôi sẽ hữu ích cho cộng đồng một chút. Hai năm nữa, điều tôi muốn nhất là tôi có thể làm tốt mọi việc để lo cho gia đình, và có nhiều thời gian hơn cho gia đình.
Thùy Linh