Oracle rò rỉ 6 triệu dữ liệu người dùng do lỗ hổng bảo mật 4 năm tuổ.i

N.ữ sin.h 1998 tìm ra bốn lỗ hổng của Oracle

Lê Mỹ Quỳnh, sinh viên năm ngành An toàn thông tin tại Hà Nội, được Oracle vinh danh nhiều lần vì tìm ra các lỗ hổng nghiêm trọng.

"Xin chào mọi người, mình là Quỳnh Lê. Mình đang là sinh viên năm cuối Học viện Kỹ thuật Mật mã và là Security Researcher, đang tập trung nghiên cứu các lỗ hổng trên nền tảng Java", Quỳnh giới thiệu về bản thân tại một buổi webinar của giới bảo mật hồi tháng 10/2020. Trong năm vừa qua, cô sinh viên sinh năm 1998 phải nhiều lần nhắc lại câu giới thiệu này trong các buổi thuyết trình bởi ít ai nghĩ, c.ô b.é mới hơn 20 tuổ.i dáng người nhỏ nhắn lại "sưu tầm" được 4 lỗ hổng bảo mật ở mức độ nghiêm trọng cao trong chưa đầy một năm. Cô cũng trở thành diễn giả được yêu thích tại nhiều sự kiện an toàn thông tin.

Lê Mỹ Quỳnh đang là sinh viên năm cuối ngành An toàn thông tin. Ảnh: Lưu Quý.

CVE là cách gọi chung cho các lỗ hổng bảo mật, theo chuẩn của tổ chức quốc tế MITRE. Bốn CVE được Quỳnh tìm ra gồm CVE-2020-14625, CVE-2020-14825, CVE-2020-2883, CVE-2020-2798. Trong đó, ba lỗ hổng được các chuyên gia đán.h giá ở mức 9,8/10 về mức độ nghiêm trọng, xuất hiện trên máy chủ WebLogic của Oracle. Đây là máy chủ ứng dụng được sử dụng bởi hàng chục nghìn công ty trên khắp thế giới, mang lại doanh thủ tỷ USD cho hãng công nghệ khổng lồ nước Mỹ. Nếu không được phát hiện sớm, các lỗ hổng trên có thể bị giới hacker khai thác, chiếm quyền điều khiển, gây ra những hậu quả khó lường.

Oracle thường công bố danh sách lỗ hổng, cùng bản vá cho các sản phẩm của mình theo từng quý trong năm. Quỳnh Lê, được nhắc tên 3 trong 4 quý trong năm vừa qua, ở tuổ.i 23, và còn chưa tốt nghiệp đại học.

Đến với bảo mật không vì đam mê

Với CVE đầu tiên trong đời, Quỳnh mất 2 tuần mới tìm ra, nhưng trước đó là 2 tháng để nghiên cứu, gần 4 năm ròng tích lũy kiến thức. Nhiều lúc quá trình tìm lỗi đi vào bế tắc, nhưng nhờ cố gắng và đam mê, cô đã đến đích.

Quay lại quá khứ, Quỳnh nhận mình không đến với ngành này vì đam mê hay có mục tiêu cụ thể, mà đơn giản là thấy "hay hay" và phù hợp với bản thân. "Ngày xưa em cũng thích máy tính, hay mày mò, nên nghĩ mình hợp với ngành kỹ thuật hơn là xã hội. Em chọn ngành này vì thấy ở trường có chương trình cho đi du học", Quỳnh kể lại.

Cô sinh viên năm nhất, yêu sách văn học, biết đán.h đàn, đã hoàn thành chương trình học với thành tích tốt, đỗ xuất du học của trường. Nhưng đến khi đạt được mục tiêu ban đầu, Quỳnh nhận ra mình thực sự yêu thích ngành an toàn thông tin và quyết định ở lại để có thể dấn thân vào công việc sớm hơn.

Cuối năm thứ hai đại học, khi chập chững bước vào các môn học chuyên ngành, Quỳnh đã tìm đến những anh chị khóa trên để học hỏi và được đưa đến học việc tại trung tâm an toàn thông tin của VNPT.

"Đến khi vào làm, em thực sự bị cuốn theo công việc này. Ban đầu là tìm hiểu, rồi được các anh đi trước hướng dẫn, rồi thấy ham vào yêu thích ngành này luôn", Quỳnh nói.

Lần đầu tìm ra lỗ hổng của sản phẩm Oracle là cuối năm 2019. Cô sinh viên năm 4 khi ấy sung sướng đến mức rú lên, rồi lại lo lắng khi nghĩ về việc có thể ai đó đã tìm ra lỗ hổng này trước mình. Theo Quỳnh, đó là những cảm xúc cô không bao giờ quên, khi đam mê của mình tạo ra thành quả và được ghi nhận.

Ước mơ ra thế giới

Để tìm ra một lỗ hổng, những người làm bảo mật như Quỳnh mất nhiều tháng để nghiên cứu sản phẩm và các lỗ hổng đã được tìm ra trước đó. Việc "ôm" máy tính hàng chục tiếng đồng hồ mỗi ngày không phải là điều xa lạ với cô gái này.

Tuy nhiên, tìm ra một lỗi đã khó, việc chứng minh lỗ hổng còn khó hơn. "Cũng giống việc nói một ổ khóa cũ là kém an toàn, chúng ta cần chỉ ra cách kẻ xấu có thể phá ổ khóa đó", Quỳnh ví von. Cô cho biết, công đoạn khó nhất với cô trong quá trình tìm lỗ hổng là viết mã tấ.n côn.g nó.

"Một kỹ sư phải thực sự hiểu về lỗi và sản phẩm trước khi tìm ra một CVE mang tên mình", Quỳnh nhấn mạnh. Các lỗ hổng cô tìm ra đều từ sản phẩm WebLogic của Oracle, vốn được xây dựng bằng ngôn ngữ Java, đồng thời dùng để triển khai cho các ứng dụng web được viết bằng ngôn ngữ lập trình này.

Thời gian qua, Quỳnh tập trung vào các vấn đề liên quan đến lỗ hổng Java Deserialization ảnh hưởng đến cơ chế chuyển đổi trạng thái đối tượng trong lập trình. Hầu hết lỗ hổng mà Quỳnh khai thác đều liên quan đến cơ chế này. Có lỗi tìm ra trong một tuần, nhưng cũng có chiếc khiến cô mất cả tháng.

Ngay cả khi đã tìm ra, việc xác nhận và tung ra bản vá có thể cũng mất nhiều tháng chờ đợi. Trong khi ở lĩnh vực này, việc được ghi nhận càng sớm càng giảm thiệt hại cho cả doanh nghiệp và người dùng.

Quỳnh ấp ủ ước mơ trở thành người có sức ảnh hưởng trong ngành bảo mật toàn cầu. "Em muốn được làm những việc khó hơn, lớn hơn và trở thành một nhà nghiên cứu chuyên nghiệp. Xa hơn, em muốn mình được thuyết trình tại một hội nghị bảo mật tầm thế giới", Quỳnh nói.

Trong tương lai gần, cô sinh viên năm cuối Học viện Kỹ thuật Mật mã hy vọng sẽ hoàn thành việc học để tập trung phát triển đam mê. Mỗi ngày, Quỳnh dành tám tiếng ban ngày để làm việc tại Trung tâm An toàn thông tin, tối về là thời gian cho đồ án tốt nghiệp.

Khác với hình dung của nhiều người về một chuyên gia bảo mật chỉ cặm cụi bên máy tính, Quỳnh chọn cuộc sống cân bằng. "Em luôn giữ cho tâm lý thoải mái, sắp xếp thời gian hợp lý và ăn đúng giờ, ngủ đúng giờ, cuối tuần gặp gỡ bạn bè". Khi công cuộc tìm "bug" gặp bế tắc, cô chọn phương án "gập máy tính và đi chơi".

Cô n.ữ sin.h bảo mật không coi tuổ.i đời trẻ hay giới tính nữ là vấn đề, bởi "tất cả đều bình đẳng trước các lỗ hổng bảo mật". Chia sẻ về bí quyết giúp mình đạt được những CVE đầu tiên, Quỳnh nhấn mạnh vào sự kiên trì và khả năng học hỏi, bởi theo Quỳnh, an toàn thông tin vẫn là một công việc khó, đòi hỏi sự kiên trì chứ không thể làm vừa làm đã có thành tích ngay. Hơn nữa, công nghệ luôn thay đổi, nên người trẻ cũng không thể chủ quan và cần học hỏi cái mới liên tục.