Hà Trung Hiếu là Trưởng nhóm An ninh mạng (Cyber Security Leader) tại TopCV. Theo định nghĩa, có thể nói anh là một "hacker mũ trắng." Là một chuyên gia tin học trẻ, Hiếu muốn đưa thông tin hữu ích về bảo mật và lập trình an toàn tới các bạn mới chập chững tìm hiểu. Vì thế, anh đã thành lập dự án Cookie Hân Hoan khi còn giữ vị trí co-founder của một công ty bảo mật.
Mỗi lần tham gia các sự kiện về lĩnh vực chuyên môn của mình, Hà Trung Hiếu cảm thấy cách truyền tải kiến thức còn khô khan, khó "chạm" tới người dùng, huống chi là thay đổi tư duy và nhận thức của họ.
Cookie Hân Hoan là nỗ lực thổi một làn gió mới mẻ vào ngành. Hiếu không sử dụng những tiêu đề cảnh báo an ninh gây sợ hãi, mà dùng hình minh hoạ gần gũi, meme, cùng lối viết dí dỏm để truyền tải thông tin về bảo mật và công nghệ. Lối truyền tải hài hước dễ thu hút người dùng mạng, giúp họ tiếp thu kiến thức về bảo mật một cách chủ động và thân thiện hơn.
Bên cạnh đó, Hà Trung Hiếu cũng là mentor định hướng cho các bạn trẻ đi đúng hướng hơn trong mảng bảo mật, không phải loay hoay như bản thân anh khi mới bước chân vào nghề 9-10 năm trước.
Công việc của một hacker là gì, theo góc nhìn của một người trong ngành?
Ngày xưa mình cũng nghĩ đi làm bảo mật rất ngầu: mặt lạnh, tay thoăn thoắt như hacker trong phim. Nhưng thực ra công việc này cũng giống như lập trình viên hay quản trị hệ thống, tụi mình cũng gãi đầu gãi tai, cắn móng tay khi gặp những tình huống khó.
Công việc của chúng mình là tìm kiếm những lỗ hổng bảo mật trên các trang web, ứng dụng di động, phần mềm trên máy tính, hệ thống mạng của tổ chức hay thậm chí là của cá nhân. Sau đó, chúng mình tìm cách khai thác thông tin để phục vụ cho một mục đích cụ thể.
Hacker mũ trắng khác hacker mũ đen như thế nào?
Khác nhau chính là ở chữ "mục đích cụ thể" mình vừa đề cập. Với hacker mũ trắng như mình, sau khi tìm ra các lỗ hổng bảo mật, chúng mình đưa ra về đánh giá mức độ thiệt hại với tổ chức và đề xuất những phương án để khắc phục các lỗ hổng.
Hacker mũ trắng sẽ hợp tác ra sao đối với các đơn vị cần sự trợ giúp?
Thường các chính phủ, doanh nghiệp cũng có các đội ngũ kỹ sư an ninh mạng "in-house." Những nhân sự này cũng được gọi là hacker mũ trắng, và họ hoạt động cho chính các tổ chức ấy.
Còn các hacker mũ trắng hoạt động tự do sẽ tham gia vào các sàn săn lỗ hổng kiếm tiền (BugBounty). Trên các sàn đó, rất nhiều tổ chức và chính phủ chia sẻ hệ thống của họ với các hacker mũ trắng hoạt động trên sàn, nhờ họ tìm kiếm các lỗ hổng, sau đó đánh giá mức độ nghiêm trọng. Cuối cùng, các tổ chức sẽ trả tiền cho hacker.
Ngoài ra, nhiều tổ chức không đăng ký trên sàn nhưng vẫn tự mở các chương trình Vulnerability Disclosure Program (VDP) để nhận các báo cáo lỗ hổng từ cộng đồng. Các tổ chức có thể trả tiền, tặng quà (SWAG), thư cảm ơn hoặc vinh danh hacker trên Hall of Fame của mình.
Thu nhập của hacker mũ trắng đến từ đâu? Có chuyện “làm việc vì đam mê” hay không?
Thu nhập của hacker có thể từ việc đi làm cho các công ty chuyên cung cấp các dịch vụ, sản phẩm bảo mật, có thể đến từ việc làm in-house cho các tổ chức. Họ cũng có thể làm hacker tự do trên các sàn Bug Bounty, Bug Hunter hay làm nghề pentest, tư vấn, đánh giá tự do (freelance), nhận các đơn hàng kiểm thử cho các công ty cần dịch vụ, hoặc phát triển và bán các công cụ giúp phát hiện lỗ hổng.
Nói chung, thu nhập của hacker mũ trắng đến từ rất nhiều nguồn khác nhau. Hacker mũ trắng cũng là một ngành nghề bình thường và giống như các ngành nghề khác. Không có đam mê thì không làm được việc. "Làm việc vì đam mê" thì theo độ tuổi trưởng thành trong ngành thì có những loại đam mê khác nhau. Thời kỳ đầu thì rất mê kiến thức, sau đấy tới tài chính, sự chia sẻ, dẫn dắt cộng đồng, chỗ đứng, vị thế, v.v.
Làm sao để trở thành một hacker mũ trắng?
Học khoa, ngành an toàn thông tin trong các trường đại học hoặc các trung tâm đào tạo là cách phổ biến và chính thống nhất.
Hành trình học có thể kể tới bao gồm tìm hiểu và am hiểu kiến thức về máy tính, hệ điều hành, mạng, hệ thống ảo hoá & Cloud, các nguyên tắc bảo mật cơ bản.
Sau khi nắm trong tay các kiến thức cơ bản, bạn cần có một bức tranh toàn cảnh về ngành bảo mật, xem nó cần những công việc cụ thể gì. Ví dụ như kiểm thử xâm nhập, xử lý sự cố, giám sát hệ thống bảo mật, phân tích rủi ro, kiểm soát bảo mật, điều tra số, v.v.
Trong quá trình làm nghề, kỹ năng lập trình là một thứ cực quan trọng. Nên muốn theo đuổi ngành này, các bạn bắt buộc phải học và biết về lập trình. Hacker thì cũng có giới hạn các mục tiêu. Nên muốn hack cái gì, bạn cần phải am hiểu rất rõ về nó, biết cách thức hoạt động và lập trình ra nó.