Escaping the loop

Xu hướng chung của ngành an toàn thông tin (và nhiều ngành khác) hiện nay là không còn chú trọng vào chứng chỉ, bằng cấp, mà thay vào đó là kinh nghiệm thực tiễn như CVE, bug bounty.

Tuy nhiên, việc dịch chuyển từ bằng cấp hoặc chứng chỉ sang CVE và bug bounty dần trở thành một vòng luẩn quẩn vì chúng ta đi từ một thứ khó kiểm chứng về năng lực thực hành, đến một thứ khác cũng (thường) không kiểm chứng được.

Nhìn vào profile Bugcrowd ở trên (hơn 10 nghìn điểm và xếp thứ 11 toàn thế giới), chúng ta không biết thông tin gì về những lỗi mà chủ nhân của profile đó tìm được.

Nhìn vào danh sách CVE dài vô tận kia, chúng ta có thể thử google, mà nếu may mắn thì vendor sẽ đưa ra một vài chỉ dẫn. Nhưng ngay cả khi có những chỉ dẫn, chúng ta không chắc sẽ hiểu rõ lỗi ấy cụ thể ra sao, hay được tìm thấy thế nào.

Đôi khi chúng ta tự hỏi, điều gì ở một 0day phản ánh trình độ của người tìm ra 0day đó?

Một đợt red team - blue team có được coi là thành công nếu các hệ thống giám sát đều không hoạt động?

Một cá nhân có đang phát triển nếu vẫn chỉ làm đi làm lại những gì của nhiều năm trước (rằng dù có tìm ra thêm lỗi ở các phần mềm khác nhau nhưng cách làm thì vẫn vậy)?

Dù muốn hay không, chúng ta cũng chấp nhận rằng đây là thực tế đang diễn ra. Để giải quyết những trường hợp thế này, chúng ta hay bổ sung thêm vài yêu cầu ví dụ như về mức độ nguy hiểm của lỗi, mà xem chừng như khá hợp lý nếu mới nghe qua.

Có một điều chúng ta thường ngầm quy ước với nhau, là nếu lỗi / CVE có CVSS cao, hoặc nằm ở phần mềm lớn, thì đó là một lỗi / CVE giá trị. Tuy nhiên nếu nghĩ thêm một chút, chúng ta thấy giá trị về mặt khai thác hoàn toàn khác với giá trị về mặt tri thức. Việc những researcher có tên tuổi trên thế giới chỉ viết về một lỗi khi lỗi đó vừa phức tạp (để thể hiện trình độ của họ) lại vừa nguy hiểm (để có hiệu ứng đám đông), dẫn đến một nhận thức cảm tính rằng tất cả các lỗi nguy hiểm thì đều phức tạp.

Cũng giống như chúng ta thấy trên TV những ca sĩ nổi tiếng thì đều xinh đẹp, nhưng không có nghĩa ai xinh đẹp cũng sẽ hát hay (tôi không ám chỉ gì ở đây).

Khi tôi chia sẻ vấn đề này, có bạn hỏi rằng các phần mềm lớn sẽ có nhiều người cùng tìm, nên muốn thấy lỗi sẽ khó hơn. Nhưng khi tôi thử hỏi những người ở đó có ai đã từng tìm lỗi của XXX hay chưa (một phần mềm lớn), thì trong vài chục người không một ai lên tiếng. Có rất nhiều lý do mà tôi đoán được, chẳng hạn như chưa nghe tên phần mềm đó bao giờ, nghĩ nó khó quá sức mình, muốn tìm lỗi nhưng không có chỗ để download, hoặc đơn giản là chẳng có lý do gì để đi làm việc ấy cả. Như vậy, đây là một luận điểm không chính xác.

Khi nói về lý do và động lực, một bạn khác hỏi tôi rằng thế bug bounty thì sao, tìm được thì có tiền nên có ai lại từ chối? Có lẽ đúng, nhưng trừ một vài trường hợp, tôi tin là sẽ ít ai phản đối tôi rằng những người kiếm được nhiều tiền nhất từ bug bounty thì phần lớn các lỗi mà họ tìm được lại đến từ các chương trình private, nên họ không phải cạnh tranh với quá nhiều người (bạn đừng thắc mắc về tính công bằng của cuộc sống vì đơn giản là cuộc sống không công bằng). Điều này dẫn đến một lập luận hợp lý rằng thế thì những người tìm ra lỗi ở các chương trình public sẽ thật sự giỏi.

Nhưng mà, chẳng phải rất nhiều người giỏi sẽ đang bận kiếm tiền ở các chương trình private hay sao. Họ đâu cần phải bỏ một thứ dễ sang một thứ khó hơn?

Thật là lòng vòng và có vẻ ngụy biện, nhưng sự lòng vòng và ngụy biện ấy cho chúng ta thấy rằng đây là một vấn đề không hề đơn giản để nhìn ra được bản chất.

Trong Đời thừa của Nam Cao, nhân vật chính là một nhà văn có lý tưởng rất đẹp. Khi anh còn độc thân thì cũng tạm đủ sống, nhưng khi anh có gia đình từ việc cứu giúp một mảnh đời bất hạnh, thì thứ văn đẹp mà anh muốn viết lại không thể nuôi sống gia đình anh, còn một thứ văn tầm thường lại khiến những người khác có tất cả.

Cuối cùng thì vì cơm áo gạo tiền, anh đành phải viết ra những lời văn mà khiến chính anh cũng không muốn đọc.

Chao ôi! Hắn đã viết những gì? Toàn những cái vô vị, nhạt nhẽo, gợi những tình cảm rất nhẹ, rất nông, diễn một vài ý rất thông thường quấy loãng trong một thứ văn bằng phẳng và quá ư dễ dãi. Hắn chẳng đem một chút mới lạ gì đến văn chương. Thế nghĩa là hắn là một kẻ vô ích, một người thừa.

Có một kinh nghiệm từ thực tế là khi chúng ta dễ dãi với một thứ, thì nhiều khả năng thứ đó sẽ phát triển theo chiều hướng xấu.

Một đứa trẻ thờ ơ với việc học sẽ khó có một kết quả tốt, hay một con người dễ dãi với chính mình thì thường sẽ sa ngã.

(không liên quan đến Murphy’s law đâu, tôi thấy hay nên cho vào thôi)

Nhiều người vẫn có thể chọn theo đuổi đam mê và làm những việc mình thích, mà không quan tâm xem có được ghi nhận hay không, hoặc mặc kệ thế giới xung quanh loạn lạc thế nào. Giống như nhà văn kia vẫn có thể viết ra thứ văn đẹp nhưng không ai đọc, và đành tìm một nghề khác để nuôi đam mê của mình.

Lý tưởng nhất là chúng ta đạt được đến một điểm đồng thuận mà cái tốt đẹp cũng là cái mà mọi người đều thích, dẫn đến lợi ích về lâu dài. Ví như, vì sao chúng ta phải đấu tranh với nội dung xuyên tạc, nhảm nhí trên mạng xã hội?

Chúng ta muốn con chúng ta thích những nội dung lành mạnh, về lượng tử và Big Bang (không phải nhóm nhạc Big Bang), hay chúng ta muốn con chúng ta thích xem NTN thả 100 con dao từ trên cao xuống?

Những người trong các hình trích dẫn ở trên không làm gì sai cả (tôi không có ý nói xấu họ, hãy tin tôi). Họ làm cái mà người khác cần ở họ. Nếu ai cũng thích xem reaction, chúng ta sẽ thấy virus ở khắp nơi. Còn nếu ai cũng thích xem siêu to khổng lồ, chúng ta sẽ có thêm hàng nghìn bà Tân Vlog.

Rõ ràng là thế.

2 comments

  1. ô nhân tài đất việt :)), có cơ hội giao lưu với em nha bác

Comments are better than Likes