Hacker khét tiếng trở thành… Giám đốc bảo mật của Twitter

Thứ Hai, 23/11/2020, 07:45
Đối mặt với một số thách thức bảo mật dai dẳng trong suốt 14 năm tồn tại, Twitter đã quyết định mời hacker khét tiếng Peiter "Mudge" Zatko làm trưởng bộ phận tăng cường bảo mật trên nền tảng truyền thông xã hội.


Giám đốc bảo mật mới

Theo Reuters, Zatko là Giám đốc bảo mật mới của Twitter, có nhiệm vụ báo cáo trực tiếp với Giám đốc điều hành Jack Dorsey. Hỗ trợ công việc của Zatko còn có Giám đốc an ninh thông tin Rinki Sethi, người mới được Twitter thuê hồi tháng 9.

Hãng Reuters cho biết, Zatko đã được công nhận trong ngành an ninh mạng, tham gia giám sát các dự án an ninh mạng cấp cao tại Cơ quan nghiên cứu và dự án quốc phòng tiên tiến của Lầu Năm Góc, đồng thời làm việc tại Google và một phòng thí nghiệm độc lập để kiểm tra tính toàn vẹn của phần mềm. Trong một cuộc phỏng vấn với Reuters, Zatko cho biết ông sẽ xử lý các vấn đề bảo mật tại Twitter, từ thông tin và bảo mật vật lý, đến "tính toàn vẹn của nền tảng liên quan đến lạm dụng và thao túng nền tảng" và vấn đề kỹ thuật.

Peiter "Mudge" Zatko được Twitter mời về làm Giám đốc bảo mật.

Twitter đã phải tăng cường kiểm soát an ninh trên nền tảng của mình sau một vụ vi phạm vào tháng 7, trong đó những kẻ lừa đảo đã chiếm đoạt tài khoản của những người nổi tiếng và chính trị gia, bao gồm cả Tổng thống đắc cử của Mỹ Joe Biden, để quảng cáo tiền điện tử. Một cuộc điều tra từ Sở Dịch vụ tài chính New York cho thấy những kẻ tấn công đã mạo danh nhóm hỗ trợ khách hàng của Twitter để đánh cắp thông tin đăng nhập của nhân viên.

Chris Wysopal, cựu thành viên L0pht và là người đồng sáng lập Công ty bảo mật Veracode, cho biết: "Mang lại niềm tin cho một nền tảng truyền thông xã hội trong thời đại hỗn hợp của các cuộc tấn công và thông tin sai lệch hiện nay là một thách thức khó khăn đòi hỏi tư duy, khả năng lãnh đạo và sự sáng tạo. Trong nhiều năm làm việc của tôi với Zatko, ông ấy đã thể hiện những kỹ năng đó một cách thuần thục. Với tư cách là một người dùng Twitter, tôi mong muốn một nền tảng an toàn hơn và khả năng dẫn đầu mà tất cả các nền tảng truyền thông xã hội có thể tuân theo".

Nhà tiên tri ngày tận thế của Internet

"Nếu bạn có thể nhớ về cái ngày tháng 5-1998, khi 7 thành viên của nhóm hacker nổi tiếng một thời L0pht ngồi trước một ủy ban của Thượng viện Mỹ và làm chứng rằng họ có thể, trong vòng 30 phút, tắt hoàn toàn Internet, thì bạn chắc chắn nhớ tới một anh chàng tóc dài, mặc một bộ đồ xám và ngồi sau bảng tên "Mudge" (Zatko). Sau khi giới thiệu về bản thân và các đồng nghiệp của mình, mỗi người đều có tên và trang phục không giống nhau, Mudge tiếp tục bình tĩnh mô tả những ngày điển hình của họ tại văn phòng L0pht ở Boston: xem qua mã, xem các gói mạng, thiết bị máy tính… và nghĩ ra cách đột nhập vào hệ thống sử dụng chúng.

Twitter đã phải tăng cường kiểm soát an ninh trên nền tảng của mình sau một vụ vi phạm vào tháng 7.

Sau đó, rất bình tĩnh, ông mô tả cho các thượng nghị sĩ về một kỹ thuật mà hầu như chưa ai nghe nói đến vào thời điểm đó có thể đóng cửa hoàn toàn Internet trong nhiều ngày. Mudge tuyên bố rằng ông hoặc bất kỳ đồng nghiệp nào đều có thể "giải phóng cơn đại hồng thủy đó. Mudge gọi đó là một cuộc tấn công từ chối dịch vụ", hãng Cyber Security đã mở đầu bài viết về tân Giám đốc bảo mật của Twitter như vậy và cho biết thêm rằng, cả chính phủ và các công ty máy tính đều không coi trọng mối đe dọa này.

Chỉ hơn một năm sau, một hacker đã sử dụng một công cụ có tên là Trinoo để đưa mạng lưới Đại học Minnesota rơi vào tình trạng ngưng trệ trong hơn hai ngày bằng một cuộc tấn công DoS. Kể từ đó, nhiều cuộc tấn công DoS thậm chí lớn hơn khác đã thực sự đóng cửa các phần của Internet, thậm chí khiến toàn bộ đất nước Estonia bị gián đoạn vào năm 2007. Và Zatko và L0pht bỗng được gọi là những nhà tiên tri về ngày tận thế an ninh mạng.

Thần đồng âm nhạc quay lén mật khẩu

Năm nay vừa tròn 50 tuổi, Zatko từng tốt nghiệp Cao đẳng Âm nhạc Berklee năm 1992 với vị trí đứng đầu lớp. Nhưng mặc dù là một tay chơi guitar lão luyện, sự tò mò bẩm sinh của Zatko đã đưa ông vào ngành khoa học máy tính. Làm việc tại BBN, nơi khai sinh ra ARPAnet ban đầu, khi Zatko tham gia với L0pht và một tổ chức truyền thông và hacker nổi tiếng khác - Cult of the Dead Cow (cDc) vào giữa những năm 90, ông đã nghĩ rằng cần thận trọng khi tiếp tục các hoạt động hack ẩn danh của mình để không gây nguy hiểm cho công việc.

Zatko và các thành viên L0pht.

Nhưng chẳng bao lâu, hacker đã trở thành công việc mà ông yêu thích. Zatko là một trong những lập trình viên đã phát triển trình bẻ khóa mật khẩu Windows L0phtCrack. Ông cũng là tác giả của 20 cố vấn kỹ thuật khác phác thảo các lỗ hổng bảo mật chính trong các giao thức hoặc gói phần mềm chính. Quan điểm của ông và của các thành viên L0pht và cDc khác là cách tốt nhất để giải quyết các lỗ hổng là chiếu sáng chúng.

Ở tuổi 25, Zatko đã viết bài báo đầu tiên về chủ đề này và sau đó xuất bản một số sách về cố vấn bảo mật đầu tiên cũng như các nghiên cứu chứng minh các lỗ hổng ban đầu trong Unix như chèn mã, tấn công kênh phụ và rò rỉ thông tin, đồng thời là người đi đầu trong phong trào tiết lộ đầy đủ. Zatko cũng là tác giả ban đầu của các công cụ bảo mật L0phtCrack, AntiSniff, l0phtwatch; và là một trong những người đầu tiên từ cộng đồng hacker tiếp cận và xây dựng mối quan hệ với chính phủ và ngành công nghiệp. Ông đã tham gia phát biểu tại nhiều hội nghị hacker như DEF CON, các hội nghị học thuật như USENIX…

Người đứng sau

Zatko đã chứng tỏ mình là một trong những người phát ngôn rõ ràng nhất cho phong trào hack mũ xám - các nhà nghiên cứu bảo mật làm việc bên ngoài cơ sở, nhưng đứng về phía những người tốt. Và khi L0pht chuyển sang thành Công ty bảo mật chính thức @stake vào năm 1999, ông quyết định làm việc tại đây. Năm 2000, Zatko được mời tới gặp Tổng thống Bill Clinton tại một hội nghị thượng đỉnh về an ninh, thảo luận về các làn sóng tấn công DoS thường xuyên đúng như những gì ông đã dự đoán.

Sau khi @stake được mua bởi gã khổng lồ bảo mật Symantec vào năm 2004, Zatko quay trở lại BBN, nơi ông làm việc trong các dự án bảo mật khác. Vào năm 2010, quá trình xâm nhập của ông vào cơ sở bảo mật đã hoàn tất khi nhận một vị trí tại DARPA. Trong thời gian ở đó, ông đã thực hiện nhiều dự án liên quan đến việc phát hiện các mối đe dọa an ninh hoặc củng cố các mạng quân sự chống lại sự xâm nhập. Nhưng niềm tin của ông vào tiện ích của việc có những con mắt bên ngoài xem xét và thử nghiệm các giao thức bảo mật không bị suy giảm.

Ông được giao phụ trách một sáng kiến của DARPA có tên là Cyber Fast Track (CFT). Chương trình được thiết kế để cung cấp nghiên cứu và tài trợ cho các nỗ lực nghiên cứu bảo mật bên ngoài cơ quan, nhưng có một điểm khác biệt: nhiều chương trình được tài trợ là những nỗ lực quy mô nhỏ dựa trên không gian tin tặc và phòng thí nghiệm của nhà sản xuất… hiện thân hiện đại của L0pht gốc. Vòng quay của hợp đồng CFT trung bình chỉ 7 ngày.

CFT đã bị loại bỏ vào năm 2013, nhưng đối với công việc của mình tại DARPA, Zatko đã nhận được "Giải thưởng dịch vụ công cộng đặc biệt" từ Bộ trưởng Quốc phòng, giải thưởng dân sự phi nghề nghiệp cao nhất có thể. Vào năm 2013, ông chuyển đến Bộ phận dự án và công nghệ tiên tiến của Google để rồi 2 năm sau lại có cơ hội thực hiện một dự án do chính L0pht chủ trương.

Phòng thí nghiệm thử nghiệm độc lập không gian mạng do Zatko và vợ là Sarah Lieberman (cũng là nhà nghiên cứu ở BBN) thành lập bởi khoản tài trợ của DARPA phối hợp với Bộ An ninh nội địa hoạt động như một phần của Kế hoạch hành động an ninh mạng quốc gia của chính quyền Tổng thống Barack Obama (CNAP). Ý tưởng đằng sau sáng kiến này là tạo ra một cơ quan kiểm tra và tiêu chuẩn độc lập về an ninh mạng, hoạt động giống như cách mà Phòng thí nghiệm Underwriters đã thực hiện từ lâu cho các thiết bị điện và cơ khí. Bằng cách cung cấp các tiêu chuẩn và đảm bảo an toàn, CyberUL có thể giải quyết một loạt các lỗ hổng bảo mật phổ biến trong cơ sở hạ tầng quan trọng - các lỗ hổng có khả năng trở nên phổ biến hơn với sự ra đời của Internet of Things (IoT).

Chi Anh
.
.
.