Chuyện lạ: Bà mẹ 60 tuổi của nhà nghiên cứu bảo mật ung dung bước vào nhà tù, hack cả server lẫn máy tính của quản ngục

0
22

Không ai nghĩ một người phụ nữ trạc tuổi “lục tuần” lại có thể thực hiện chuyến phiêu lưu liều lĩnh đến vậy.

Anh John Strand sở hữu lạ lùng mà cũng thú vị nhất nhì này: anh kiếm sống bằng nghề đột nhập vào những nơi được cai quản nghiêm ngặt. Các tổ chức lớn thuê công ty của Strand và những doanh nghiệp tương tự về để tìm ra những điểm yếu của hệ thống phòng vệ họ đang lắp đặt, trước khi kẻ xấu có thể lợi dụng chúng.

Mỗi khi nhận về một hợp đồng, anh Strand sẽ tự mình lên đường hoặc cử đi một trong những nhân viên lão luyện của mình tại Công ty Bảo mật Thông tin Black Hills. Nhưng câu chuyện sắp được kể không đơn giản thế: tháng Bảy năm 2014, để cơ sở giam giữ tại bang South Dakota, anh Strand đã cử … mẹ mình đi thay.

Nói đúng ra thì đây không phải của anh John Strand, mà chính mẹ anh, bà Rita Strand đã đề xuất việc này. Sau 3 thập kỷ công tác trong ngành thực phẩm, bà Strand, lúc này đã 58 tuổi, đã xin ứng tuyển vào vị trí tài chính của công ty Black Hills. Làm được một năm rồi thấy hứng thú với công việc đột nhập của con trai, bà Rita nảy ý định táo bạo.

Bà tự tin lắm, rằng với kinh nghiệm dày dặn trong ngành thực phẩm, bà hoàn toàn có thể đóng giả thanh gia vệ sinh liên bang để đột nhập vào nhà giam. Bà nhận định rằng mình chỉ cần một huy hiệu giả chứng minh mình là thanh tra nhà nước, song hành với một giọng điệu khéo léo đúng chất chuyên gia là đủ.

Hôm đấy, mẹ ngồi nói chuyện với tôi và bảo rằng ‘Con ơi, mẹ muốn đột nhập vào khu vực nào đó’“, anh Strand nói trong buổi hội nghị an ninh mạng RSA được tổ chức tại San Francisco. “Đấy là mẹ tôi đấy chứ, tôi biết phải nói gì bây giờ?“.

John Strand.

Việc đột nhập đâu có đơn giản thế. Những người trong ngành đều nói rằng chỉ cần một cái bảng kẹp hồ sơ và phong thái tự tin, bất kỳ ai cũng có thể dễ dàng thâm nhập cơ sở an ninh, và tiến xa một cách đáng ngạc nhiên. Nhưng bà Rita làm gì có kinh nghiệm đối phó với những bất trắc có thể xảy ra? Khi chẳng may bị bắt, sự việc sẽ leo thang nhanh chóng mặt. Đã có người phải ngồi tù nửa ngày khi bị cơ quan chức năng phát hiện ra, dù rằng họ đang làm công việc chính đáng.

Nhiệm vụ của bà Rita Strand còn gặp một chướng ngại vật nữa: bà không biết nhiều về công nghệ. Một chuyên gia kiểm tra an ninh chuyên nghiệp sẽ phải tường tận cách thức truy cập vào hệ thống an ninh rồi cài “backdoor”, dựa trên những lỗ hổng mà họ phát hiện được. Bà Rita có thể tường tận việc kiểm tra an toàn thực phẩm, nhưng rõ ràng bà không phải một hacker.

Để giúp bà vượt qua công – rào chắn an ninh đầu tiên – Black Hills làm cho bà một thẻ nhân viên y tế giả, một tấm card visit và một tấm thẻ mang thông tin liên lạc của anh John Strand trên đó, dưới danh nghĩa “sếp” của bà Rita. Một khi lọt được vào trong, công việc của bà Rita sẽ là chụp ảnh những điểm ra vào cơ sở giam giữ cũng như những biện pháp an ninh mà nhà tù lắp đặt.

Thay vì hướng dẫn bà Rita Strand cách hack máy tính, anh John đưa mẹ một chiếc USB có khả năng truyền về cho đội ngũ chuyên gia của Black Hills, cho phép họ truy cập mọi hệ thống của nhà tù. Bà Rita sẽ nhận cắm chiếc USB vào bất kỳ cái cổng nào để hớ hênh.

Đa số người đều không thoải mái với những lần đột nhập đầu tiên“, anh Strand nói. “Nhưng mẹ tôi sẵn sàng tham gia dự án lắm“.

Anh nói thêm: “Việc bảo đảm an ninh mạng cho nhà tù hiển nhiên là cấp thiết. Nếu như có ai đó đột nhập vào và chiếm quyền của toàn bộ hệ thống máy tính, rõ ràng là việc cướp ngục sẽ dễ dàng hơn nhiều“.

Tấm thẻ thanh tra an ninh của bà Rita Strand.

Buổi sáng thú vị nhất nhì cuộc đời bà Rita Strand bắt đầu. Hai mẹ con cùng các cộng sự của anh John cùng tới một quán cafe gần nhà giam, sau một bữa sáng với bánh ngọt, nhóm Black Hills bắt đầu bày ra đồ đạc với những laptop, thiết bị phát và nhiều công cụ chuyên dụng khác. Khi mọi thứ đã sẵn sàng, bà Rita tự mình lái xe tới nhà tù bang South Dakota.

Mẹ tôi đi khuất, đầu tôi lảng vảng suy nghĩ về việc đây quả là ý kiến không mấy sáng suốt“, anh Strand hồi tưởng. “Mẹ tôi không có chút kinh nghiệm đột nhập vào bất cứ đâu, không kinh nghiệm mảng kỹ thuật. Tôi đã phải dặn dò cẩn thận rằng ‘Mẹ ơi, có trắc trở gì là phải gọi điện báo con ngay nhé’”.

Bất kỳ ai tình nguyện đóng vai kẻ đột nhập cũng đều cố gắng vào và ra nhanh nhất có thể, nhằm tránh những ánh mắt nghi ngờ của bảo vệ nhà giam. Sốt ruột thay, sau 45 phút mà anh John vẫn chưa thấy bóng dáng mẹ mình đâu.

Được một tiếng thì tôi bắt đầu lo lắng loạn lên“, anh Strand kể. “Đáng lẽ tôi đã phải suy nghĩ kỹ càng hơn, bởi lẽ cả nhóm tôi đều đi chung một xe và giờ tôi đang ngồi giữa đồng không mông quanh, không có cách nào liên lạc với mẹ cả“.

Giữa lúc tâm trạng lo lắng gần đạt đỉnh, thì loạt laptop đặt trong phòng bỗng “bừng tỉnh”: bà Rita đã thành công! Bằng cách nào chưa rõ, bà Rita đã cắm được USB vào nhiều cổng máy tính trong trại giam, cho phép nhóm bảo mật Black Hills có thể truy cập vào kha khá dữ liệu. Có đồng nghiệp của anh Strand thốt lên trong ngạc nhiên tột độ: “MẸ ANH GIỎI THẬT ĐẤY!“.

Các chuyên gia bảo mật của Black Hills.

Thực tế, chuyến phiêu lưu của bà Rita diễn ra chẳng chút khó khăn, bà chẳng gặp mấy chướng ngại vật trên đường. Bước tới cổng, bà tự tin nói với lính gác rằng mình tới kiểm tra đột xuất, và không chỉ được phép vào ngay lập tức, bà Rita còn được cầm theo cả điện thoại di động. Bằng thiết bị đa năng này, bà đã quay phim lại toàn bộ quá trình “tham quan” nhà giam của mình.

Vào tới phòng bếp của nhà giam, bà kiểm tra nhiệt độ tủ lạnh, giả vờ lấy mẫu vi khuẩn trên sàn bếp và trên bàn chuẩn bị thức ăn, bà lục soát các ngóc ngách để kiếm tìm thức ăn hết hạn, bà còn được chụp cả ảnh về quang cảnh bên trong nhà giam.

Bà Rita xin quyền kiểm tra khu vực nhân viên nhà tù làm việc và cả khu vực nghỉ ngơi ăn uống. Thậm chí, bà còn táo bạo xin phép vào trung tâm kiểm soát lẫn phòng server, với lý do kiểm tra côn trùng gây hại, nấm mốc và đo đạc độ ẩm phòng. Không ai từ chối yêu cầu của nhân viên với diện mạo đĩnh đạc và rõ là có nhiều năm kinh nghiệm trong ngành thực phẩm (mà quả thực là có thật). Bà Rita còn được phép đi quanh cơ sở giam giữ một mình, vây là có quá nhiều thời gian để bà cầm USB đi cắm khắp nơi.

Cuối buổi kiểm tra, quản giáo mời bà về văn phòng, hỏi han về cách cải thiện vệ sinh an toàn thực phẩm trong ngục. Bà Rita liệt kê cho ông quản ngục một loạt các điểm cần chú ý, những gạch đầu dòng bà luận ra được nhờ kinh nghiệm 3 thập kỷ làm trong ngành kiểm dịch. Rồi bà trao tận tay ông quản ngục chiếc USB, chứa danh sách dài những chỉ dẫn cần thực hiện trước khi thanh tra thực phẩm tới gõ cửa trại giam.

Hiển nhiên, file Word bên trong chiếc USB chứa đầy mã độc, cho phép nhóm nghiên cứu bảo mật truy cập từ xa. Black Hills đã dễ dàng thâm nhập được vào máy tính của quản ngục, thiết bị với các phương thức bảo mật nghiêm ngặt ngang ngửa cái nhà giam.

Chúng tôi ngỡ ngàng tột độ“, anh Strand nói. “Thành công ngoài sức tưởng tượng luôn. Từ đây, có quá nhiều điều để chia sẻ với cộng đồng bảo mật, về những lỗ hổng hiển nhiên và tầm quan trọng của việc đặt câu hỏi cho người có thẩm quyền cao hơn mình. Thậm chí, nếu ai đó bảo rằng họ là thanh tra kiểm tra thang máy hay bất cứ khía cạnh nào khác, ta cũng đều phải đặt ra thêm nhiều câu hỏi. Đừng giả định một cách mù quáng“.

Những “đồng nghiệp” khác của bà Rita cũng choáng ngợp trước câu chuyện bất ngờ, và cũng nói thêm rằng đó chính là trải nghiệm công việc của họ.

Những đồ vật bạn có thể dựa dẫm, những tuyên bố bạn có thể đưa ra khi đột nhập vào đâu đó có thể đáng tin một cách … khó tin. Chúng tôi vẫn thường xuyên làm công việc tương tự và chẳng mấy khi bị bắt tại trận“, David Kennedy nói. Anh là nhà sáng lập tổ chức TrustedSec, một doanh nghiệp thực hiện các hoạt động tương tự Black Hills và cũng là đơn vị tổ chức hội nghị RSA, nơi anh Strand đang kể lại câu chuyện có một không hai.

Nếu bạn dám tuyên bố mình là thanh tra, kiểm toán viên hay bất kỳ nhân vật nào có quyền hành, chuyện gì cũng có thể xảy ra“, anh Kennedy nhận định.

Đáng tiếc là bà Rita đã qua đời năm 2016 do ung thư tuyến tụy, bà không thể thực hiện thêm màn đột nhập nào khác. Anh Strand từ chối nêu tên cơ sơ giam giữ mà mẹ mình đột nhập, người ta chỉ biết rằng hiện tại nhà tù này đã không còn hoạt động.

Nhưng theo lời anh Strand, nỗ lực của mẹ anh đã được đền đáp: “Nhà tù đã tiến hành cập nhật hệ thống an ninh của mình sau sự việc trên. Tôi cũng nghĩ rằng cả tình hình vệ sinh an toàn thực phẩm tại nhà tù này cũng được cải thiện ít nhiều“.

BÌNH LUẬN

Please enter your comment!
Please enter your name here