Tính đến cuối năm 2021, Đào Trọng Nghĩa, Chuyên viên chính nghiên cứu chuyên sâu An toàn thông tin, Công ty An ninh mạng Viettel, đã phát hiện 12 lỗ hổng bảo mật quan trọng ở mức nhân của hệ điều hành Windows, kể cả lỗi trên các phiên bản mới nhất (Windows 10, Windows 11). Tổng cộng 9x này đã được Microsoft trả thưởng hơn 100.000 USD.
“Bạn bè mình 10 người theo con đường này thì 7 người đã bỏ”
Năm 2018, Đào Trọng Nghĩa gia nhập VCS sau khi chiến thắng cuộc thi Sinh viên với An toàn thông tin. Cậu sinh viên năm thứ 3 trường ĐH FPT mang theo khát vọng cháy bỏng: muốn tìm hiểu tận cùng về máy móc. Nghĩa chọn mục tiêu nghiên cứu là hệ điều hành (HĐH) Windows, sản phẩm lâu đời nhất trong các phần mềm hiện nay.
Nhưng Nghĩa không ngờ rằng, phải mất hơn 3 năm, cậu mới phát hiện ra lỗ hổng đầu tiên.
“Làm mãi duy nhất một công việc lâu như thế vẫn chưa có thành quả, lắm lúc muốn trầm cảm. Nhiều khi mình thấy bản thân không đủ năng lực để đi tiếp”.
Bạn bè của Nghĩa có hơn 10 người cũng theo đuổi mục tiêu như cậu, đến nay rơi rụng gần hết. Rất may trong lúc Nghĩa tuyệt vọng, một người đàn anh ở VCS kịp động viên. “Anh Ngô Anh Huy - người đã báo cáo rất nhiều lỗ hổng cho Google, Oracle… nói với mình: Cái này là hên xui, nhưng kiểu gì nó vẫn còn lỗi thôi nên là cứ làm đi”.
Một câu nói đơn giản như thế lại khiến Nghĩa bừng tỉnh. Nhìn lại những báo cáo hàng tháng của Microsoft, cậu thấy đúng là luôn có chi chít lỗi lớn, nhỏ được các cá nhân, công ty bảo mật trên toàn cầu phát hiện.
Một ngày cuối thu 2021, Nghĩa vừa dắt xe từ cơ quan ra thì bị chân chống đập làm bật móng chân. Cậu xin nghỉ 2 hôm. Trong những ngày nghỉ, tình cờ Nghĩa phát hiện lỗ hổng quan trọng của Windows.
Thực tế, thứ Nghĩa phát hiện ra còn hơn cả một lỗ hổng đơn lẻ. Chuyên gia trẻ của VCS đã tìm ra một số cơ chế hoạt động của HĐH Windows có thể dẫn đến hàng loạt lỗi bảo mật. Liên tiếp sau đó, Nghĩa ghi tên với nhiều lỗi bảo mật lớn nhỏ ở mức sâu nhất của HĐH này.
“Nếu không phải ở Viettel, mình đã không thể tìm thấy lỗ hổng nào!”
Khi mới vào Viettel, Nghĩa có 50% thời gian nghiên cứu, phát hiện lỗ hổng. 50% thời gian còn lại để làm các dự án của VCS. Lạ ở chỗ, không có nơi nào lại hết lòng để mặc cho nhân viên được tự do làm việc theo sở thích như VCS. Các dự án Nghĩa tham gia đều là công việc phân tích những lỗi đã được Microsoft công bố hàng tháng. Sau đó, cậu tái lập lỗi đó trên phiên bản cũ với mục đích học hỏi. Qua những nhiệm vụ như vậy, tay nghề, kỹ năng của Nghĩa dần cải thiện.
Tất cả các lỗ hổng đều rất khó, không có một tài liệu nào trên thế giới để tham khảo mà hoàn toàn dựa vào chính mình. Công việc khó nhưng đổi lại môi trường làm việc ở VCS khá thoải mái. Lãnh đạo công ty cho phép san sẻ bớt công việc cho mọi người trong team để các bạn toàn tâm toàn ý nghiên cứu.
Công ty cũng thường tổ chức kết nối giữa nhân viên và các tổ chức, chuyên gia uy tín thế giới về bảo mật để chia sẻ tri thức, trau dồi kỹ năng. Thậm chí khi các bạn có nhu cầu nghiên cứu về các thiết bị công nghệ trên thế giới, công ty cũng đảm bảo đủ cơ sở vật chất, thiết bị.
“Mình nghĩ chính sự thoải mái đó đã giúp cho bọn mình có động lực sáng tạo. Nếu không làm ở Viettel, có thể mình đã không phát hiện ra bất cứ lỗ hổng 0-day nào hết”, Nghĩa chia sẻ.
Người giúp Việt Nam lần đầu đoạt thứ hạng cao trong cuộc thi an ninh mạng lớn nhất thế giới
Nếu là dân công nghệ, đặc biệt làm trong ngành an ninh mạng, ai cũng sẽ biết đến cuộc thi đình đám Pwn2Own Vancouver, cuộc thi uy tín nhất toàn cầu về an ninh mạng. Tại đây, những hãng công nghệ sừng sỏ nhất thế giới: Microsoft, Google, VMWare... sẽ mang tới các sản phẩm tối tân nhất, thách thức những nhà nghiên cứu bảo mật hàng đầu thế giới tấn công.
Các chuyên gia không chỉ cần xâm nhập thành công. Điều quan trọng nhất là họ phải khai thác lỗ hổng, chỉ ra rõ ràng sai sót “chết người” của các “ông lớn” công nghệ. Lỗi sai càng lớn, điểm số càng cao và phần thưởng cũng tương xứng.
Năm 2021, VCS có 2 đại diện tham dự cuộc thi là Đào Trọng Nghĩa và Phạm Văn Khánh, top 100 cao thủ bảo mật thế giới năm 2021 do Microsoft công bố. Vượt qua hàng nghìn đối thủ đến từ nhiều quốc gia, bao gồm cả các nước đứng đầu về an ninh mạng như Trung Quốc, Mỹ, Nga, Anh, Pháp… Nghĩa chiến thắng 2 hạng mục Windows Kernel. Cùng với người bạn đồng nghiệp Phạm Văn Khánh, Nghĩa góp sức giúp VCS xếp hạng thứ 5 trên thế giới.
Lần đầu tiên, tên của một công ty Việt Nam được xướng danh ở vị trí cao như vậy. Thương hiệu VCS một lần nữa khẳng định vị trí dẫn đầu Việt Nam trong chuyên môn sâu về bảo mật, củng cố niềm tin của khách hàng khi lựa chọn sản phẩm dịch vụ của VCS.
24 tuổi đã có nhiều thành tích nổi bật, được bạn bè, giới chuyên môn trong và ngoài nước đánh giá cao nhưng khi nói về tất cả cột mốc đã qua, Nghĩa tỏ ra rất khiêm tốn. “Điều vui nhất với mình khi thắng giải cuộc thi Pwn2Own Vancouver chỉ đơn giản là cuộc ăn nhậu giữa đêm (cười)”.
Nghĩa nói, cậu không hề cảm thấy hơn thua bất cứ ai trong cuộc thi này. “Chiến thắng hay đoạt thứ hạng cao trong một cuộc thi cũng chưa đủ để khẳng định mình giỏi hơn ai cả. So với đồng nghiệp ở các nước hàng đầu về công nghệ thì mình thấy bản thân vẫn còn phải học hỏi họ nhiều lắm”.