Hôm nay tình cờ tìm được file docs này trong laptop, bài viết này tôi đã viết từ năm 2007 với ngòi bút non nớt, sẵn có cái blog mới trên LIVE nên post lên cho các bạn đọc cho vui 🙂
————o0o————
Tôi không nhớ rõ bao nhiêu lần tôi nhận được thông điệp với dạng "Anh ơi chỉ cho em cách hack với". Những thông điệp này đến từ e-mail, tin nhắn của Yahoo, tin nhắn trên diễn đàn..v..v.. Điều lý thú là những người gởi thông điệp này có khả năng và kinh nghiệm về CNTT ở mức độ khác nhau (sau khi tôi thử tìm hiểu và tiếp xúc để biết được điều này). Lý do tại sao những câu hỏi như trên được đặt ra quá nhiều? Họ hiểu thế nào là "hack"? Họ muốn "hack" để làm gì? Họ tìm tòi những gì về "hack"? Lúc bắt đầu tiếp cận với các câu hỏi thế này, tôi cố gắng giải thích ít nhiều (trong phạm vi cho phép) nhưng dần dà, tôi đâm ra… nản vì biết chắc những điều tôi trả lời không có kết quả hoặc tác dụng gì cả.
Vậy Hacker là gì ? Có nhiều định nghĩa về hacker, bản thân tôi cho rằng hacker là những người có sự hiểu biết sâu sắc, được hình thành từ niềm đam mê khám phá, trí tưởng tượng và khả năng khai thác, bất kì một lĩnh vực nào đó. Họ xem việc khám phá, khai thác và tìm hiểu là một phần của cuộc sống hàng ngày, cứ như không khí để thở và nước để uống. Họ có thể bỏ ăn bỏ ngủ, làm việc liền nhiều giờ đồng hồ (thậm chí nhiều ngày) chỉ để hiểu cho thật rõ bản chất của vấn đề mà họ quan tâm. Do đó hoàn toàn không có chuyện, "I’m a hacker" nếu như người phát biểu câu này thực sự sống và làm việc như một hacker.
Và một điều thú vị mà tôi thường gặp ở các hacker trong lĩnh vực computer security là họ nhìn đâu cũng thấy…security hole và cách để khai thác chúng. Điều này chứng tỏ thói quen khám phá, tìm hiểu đã ăn sâu vào tiềm thức, họ thực hiện việc đó như thể là bản năng. Và hacker cũng có rất nhiều dạng (mũ đen, mũ xám, mũ trắng) và không phải hacker nào cũng là người phá hoại như các định kiến mà chúng ta thường nghĩ đến khi nói đến hacker.
Họa vô đơn chí
Tôi không tự nhận là 1 hacker, nhưng do cái định kiến đó đã gán cho tôi chữ "hacker". Số là khi tôi vô tình (tò mò) check xem một số website của các cơ quan nhà nước xem có lỗi nào nghiêm trọng hay ko (chỉ với mục đích đóng góp bảo mật) thì thấy đại đa số các website này được bảo mật một cách lỏng lẽo hoặc không nói là quá sơ sài trong khi chi phí đầu tư thì quá lớn (?)
Đại đa số các server (máy chủ) này điều là hàng "cỗ lỗ sĩ" (mặc dù có kinh phí đầu tư) và các software (phần mềm) cài đặt trên server điều để dạng default (mặc định) và thường xuyên không cập nhật các bản vá lỗi mới nhất dẫn đến có rất nhiều lỗi có thể khai thác và một hacker phá hoại có thể lấy thông tin quan trọng hoặc phá hoại hệ thống máy chủ một cách dễ dàng.
Tôi scan (rà soát) hệ thống và xem có các lỗi nghiêm trọng nào không để thông báo với người quản trị (webmaster) vá lỗi kịp thời. Và cũng có câu hỏi với tôi rằng " Bạn có chắc là bạn "tìm mọi cách khai thác các hệ thống…" mà không làm phương hại đến hệ thống đó không? " Thì câu trả lời của tôi rằng tôi rất chắc là tôi "tìm mọi cách khai thác các hệ thống… mà không làm phương hại đến hệ thống đó" bởi vì:
– Hệ thống để "khai thác" là hệ thống tôi làm chủ hoặc được uỷ quyền để "khai thác".
– Vấn đề "khai thác" được ấn định rất cụ thể và nằm trong giới hạn tìm lỗi để khắc phục lỗi chớ không để "phương hại" đến nó.
Và tôi chắc rằng công việc tôi làm là hết sức cần thiết đối với nền CNTT đang phát triển nhanh chóng như hiện nay.
Hành trình trợ giúp
Sau khi rà soát sơ bộ thì tôi thấy rất là nhiều lỗi rất ư là "đơn giản", tôi phải dùng từ "đơn giản" bởi vì bất cứ một người viếng thăm nào điều cũng có thể thấy lỗi hoặc 1 người làm theo tài liệu đầy rãy trên mạng cũng dễ dàng khai thác được.
Ngay tại trang chủ hoặc trang kế trên bộ bặt website thường mắc phải những lỗi không liên kết hoặc JavaScript xung đột lẫn nhau … (tôi chưa đề cập về mặt đồ họa giao diện). Điều này khiến các người truy cập khó chịu vì "Tại sao lại để chức năng này nhưng lại không cho phép dùng ? hoặc khi dùng thì cứ báo "Chúng tôi sẽ cập nhật sau" …
Trong một lần tình cờ ghé thăm và vô tình click vào trang rà soát điểm thi tốt nghiệp THPT của tỉnh tôi thì tôi chợt nhớ đến 1 vài người bạn, không biết họ thi đậu hay không, và đạt bao nhiêu điểm …. Nhưng cũng như bao trang xem kết quả điểm thi khác, vừa vào đến trang kết quả điểm thì bắt buộc người truy vấn phải nhập Số Báo Danh và Địa Điểm Thi …. thì tôi đành chịu vì không biết số báo danh của các bạn. Một ý kiến nảy lên, dùng 1 hàm so sánh để kiểm tra thử xem sao và … tôi nhập 1 hàm so sánh đơn giản nhất thế là … tòan bộ kết quả điểm thi hiện ra, tôi không khó khăn mấy khi rà soát theo tên và biết được kết quả điểm thi của bạn tôi. Tôi nêu ví dụ này để nói lên điều gì ? Đại đa số các bộ source sữ dụng thì gặp quá ư là nhiều lỗi, những lỗi hết sức cơ bản (hầu hết đây là source tự thiết kế và phát triển) tôi rất đề cao vấn đề này, vì điều này rất đáng là tự hào điều đó chúng tỏ được sự phát triển CNTT không thua các nước bạn. Nhưng "hỡi ơi" cứ 1 bộ source đó sữ dụng qua ngày này tháng khác, dùng làm việc này việc khác nhưng không rà soát lại chức năng hoạt thêm tính năng cho thêm tính hoàn thiện mà cứ dùng vô tôi vạ (chỉ việc thay giao diện là "úm ba la" ra một bộ web mới) điều đó là một vấn đề hết sức báo động. Bởi vì chỉ cần hacker phát hiện ra một lỗi nhỏ là có thể phá hàng loạt các website khác cùng đặt tại máy chủ.
Và khi biết được một số lỗi thì tôi tìm cách liên lạc với người quản trị thì …. email không liên lạc được, hoặc email không tồn tại mặc dù trên trang chủ vẫn ghi là "Mọi chi tiết xin liên lạc với [email protected]" Đến lúc này thì tôi thật sự chán nản, vô cùng chán nản.
Phước bất trùng lai
Tưởng như mọi giúp đỡ của tôi đến với một số nơi điều không được thì tôi không nói nữa. Nhưng một hôm tôi nhận được một email của một website của tỉnh nọ gửi cho tôi đã thông báo lỗi thì nhận được thư phản hồi. Trái với ý nghĩ của tôi, email này sẽ gọi mình chỉ lỗi rõ hơn hoặc nêu giải pháp để khác phục thì trái lại là một lời thách thức, nhục mạ "Web chúng tôi có lỗi đó, anh cứ hack đi …. thật ra web chúng tôi không có lỗi gì cả nếu như anh không đột nhập và phá hoại để sinh ra lỗi" và bản tính trẻ con của tôi trỗi dậy, tôi liền viết 1 email phản hồi rằng "Nếu các anh cho rằng website/server của mấy anh không có lỗi thì tôi vào bằng đường nào ? Không lẽ các anh cho tôi mật khẩu đăng nhập để quản trị à ? Và nếu như tôi có ý phá hoại thì chắc rằng sẽ không email hỗ trợ tới các anh đâu …" và từ đó về sau tôi không nhận được một email nào nữa.
Tôi đã hết sức cố gắng làm những gì có thể để giúp nhưng ai cũng xem tôi như một kẻ rãnh việc, rỗi hơi, chuyện mình lo chưa xong mà lo việc thiên hạ giống như câu "Ăn cơm nhà, vác tù và hàng tổng"
Đoạn kết không lời kết
Những người giúp đỡ thì bị gán tên là "hacker phá hoại" và luôn nhận được sự hồ nghi, từ chối , không chấp nhận hợp tác với những người như vậy. Một số người bị sốc và tỏ ra thái độ bi quang, không cần thiết nữa nhưng cũng có một số người kiên trì theo công đường của mình, mặc kệ mọi đố kị, dèm pha của tiếng nói dư luận.
Một người bạn tôi đã từng nói "Phải mất mấy năm trời, ngụp lặn trong thế giới hacker, mình mới nhận ra được dòng trong, dòng đục và quyết tâm chuyển sang bảo mật. Muốn chống được hacker, bản thân phải là một hacker thực thụ để suy nghĩ và biết tấn công như một hacker.Nhưng điều quan trọng hơn cả là: đừng đòi hỏi mọi người phải nghĩ khác về mình mà bản thân mình hãy cứ làm khác trước đã. Hãy làm việc như những chàng hiệp sĩ mạng chân chính" điều này đã khích lệ, giúp đỡ tôi rất nhiều.
Thế giới Internet này luôn cần những người "hacker thiện chí" bởi vì dù họ là ai, làm việc gì đi nữa thì họ cũng là người con của quê hương, đất nước "Quê hương mỗi người chỉ một, như là chỉ một mẹ thôi" hãy đón nhận họ và các thiện chí của họ đã đóng góp cho quê hương – đất nước nói chung và tỉnh nhà nói riêng.
Phan Thiết (Tháng 4 – 2007)