TRẦN VĂN KHANG, Công ty VinCSS (Cựu sinh viên Học viện Kỹ thuật mật mã - Khóa 5)
Trần Văn Khang, Trưởng nhóm Phân tích mã độc, Công ty VinCSS (bên phải)
Năm 2020, chuyên gia Trần Văn Khang, Trưởng nhóm Phân tích mã độc, Công ty VinCSS thuộc Tập đoàn Vingroup đã phát hiện 3 lỗ hổng bảo mật nghiêm trọng trên phần mềm thiết kế nổi tiếng Adobe Illustrator. Các lỗ hổng được phát hiện có thể cho phép thực thi mã tùy ý trên máy tính của nạn nhân.
Trong quá trình công tác hơn 2 năm tại VinCSS, anh Khang còn là chủ nhân của 4 CVE khác trong các phần mềm diệt virus phổ biến trên toàn thế giới: Trend Micro, McAfee, Bitdefender, ESET. Các lỗ hổng CVE này được công nhận toàn cầu và được đăng tải trên hệ thống National Vulnerability Database của Viện tiêu chuẩn kỹ thuật quốc gia Mỹ (NIST).
Không chỉ vậy, vào tháng 04/2019, anh Trần Văn Khang đã xuất sắc vượt qua kỳ thi quốc tế và trở thành người Việt Nam đầu tiên đạt chứng chỉ bảo mật cao cấp GREM về kỹ thuật dịch ngược mã độc, do Học viện An ninh mạng SANS (Mỹ) chứng nhận.
Anh Khang chia sẻ: “Tôi rất tự hào vì đã có cơ hội để đại diện cho các chuyên gia Việt Nam tham gia đóng góp cho cộng đồng an ninh mạng thế giới. Chúng tôi mong muốn và sẽ cố gắng để đóng góp nhiều kết quả thiết thực hơn nữa cho một môi trường Internet Việt Nam an toàn, là điều kiện quan trọng để đất nước phát triển hơn nữa”.
Anh Khang là một trong những chuyên gia về an toàn thông tin tại Việt Nam đã từng theo học tại Học viện Kỹ thuật mật mã, cái nôi ra đời của nhiều chuyên gia bảo mật tại Việt Nam.
NGUYỄN TUẤN ANH, Công ty An ninh mạng Viettel (Cựu sinh viên Học viện Kỹ thuật mật mã - Khóa 11)
Nguyễn Tuấn Anh - Chuyên viên phòng An ninh hệ thống ứng dụng, Công ty An ninh mạng Viettel
Cũng từng theo học tại Học viện Kỹ thuật mật mã, chuyên gia bảo mật Nguyễn Tuấn Anh là chuyên viên Phòng An ninh hệ thống ứng dụng của Công ty An ninh mạng Viettel. Nhiệm vụ của anh là kiểm thử xâm nhập (pentest) và tấn công mô phỏng xâm nhập sâu (redteam) các hệ thống của khách hàng, bao gồm các khối như Nhà nước, ngân hàng và các doanh nghiệp lớn.
Cùng với đó, Nguyễn Tuấn Anh đã tham gia nghiên cứu một số sản phẩm, dịch vụ được sử dụng rộng rãi và tìm kiếm lỗ hổng bảo mật trên các sản phẩm đó. Đồng thời anh còn tham gia vào các nền tảng Bug Bounty trên thế giới, cũng như thực hiện xử lý các lỗ hổng được báo cáo từ các nhà nghiên cứu bên ngoài gửi tới nền tảng Bug Bounty nội bộ của Viettel và tìm kiếm lỗ hổng của các công ty, tổ chức trên thế giới, trong đó có hai nền tảng Bug Bounty lớn nhất hiện nay là HackerOne và Bugcrowd với sự tham gia của hàng trăm nghìn hacker và nhà nghiên cứu bảo mật trên toàn thế giới.
Anh thường tập trung vào các lỗ hổng mà ứng dụng web dễ mắc phải như XSS được coi là lỗ hổng phổ biến nhất trên ứng dụng web, các lỗ hổng ở phía máy chủ như SQL Injection và RCE... Thời gian quá anh đã phát hiện trên 50 lỗ hổng, trong đó có 6 lỗ hổng ở mức độ nghiêm trọng.
Một trong những lỗ hổng anh tìm được là lỗ hổng RCE trên sản phẩm Oracle E-Business Suite (Oracle EBS) của tập đoàn Oracle, cho phép chiếm quyền kiểm soát sever. khai thác thành công có thể chiếm quyền một loạt các hệ thống ERP của các công ty trên thế giới như AT&T, Mastercard, Logitech, Huawei, Motorola, Dell, Oracle Cloud, hệ thống của Bộ Quốc phòng Mỹ…
LÊ MỸ QUỲNH, Sinh viên Học viện Kỹ thuật mật mã
Lê Mỹ Quỳnh - Sinh viên Học viện Kỹ thuật mật mã
Tiếp nối các đàn anh đi trước, trong năm 2020, Lê Mỹ Quỳnh, sinh viên năm cuối trường Học viện Kỹ thuật mật mã, Ban Cơ yếu Chính phủ đã tìm ra 4 lỗ hổng được đánh giá là nghiêm trọng trên các sản phẩm của Oracle. Ba trong 4 lỗ hổng đã được đánh giá mức độ ảnh hưởng cao nhất, với số điểm CVSS 9.8/10.
Mỹ Quỳnh chia sẻ, việc tìm kiếm lỗ hổng bảo mật là cách thức tiếp cận nhanh kiến thức trong lĩnh vực bảo mật và an toàn thông tin. Điều này cũng giúp Quỳnh có khả năng học các môn chuyên ngành ở trường dễ dàng hơn. Trong suốt 4 năm học ở Học viện Kỹ thuật mật mã, Quỳnh đều đạt học bổng và có số điểm GPA xếp top đầu.
Sau khi tìm ra các lỗ hổng bảo mật, Quỳnh ngày càng hiểu rõ hơn về nhiệm vụ và vai trò của một nhà nghiên cứu bảo mật. Quỳnh cũng mạnh dạn tham dự các hội thảo về bảo mật để học hỏi và chia sẻ kỹ năng nghiên cứu của mình, như trình bày các tham luận, kết quả nghiên cứu tại Hội thảo Trà đá Hacking.
Theo Quỳnh, nghề an toàn thông tin, bảo mật không phải là công việc cho kết quả nhanh chóng trong một, hai ngày, cùng với đó lại luôn luôn có sự thay đổi, tìm tòi, sáng tạo. Vì vậy, hãy thật kiên nhẫn theo đuổi đam mê và không ngừng học hỏi cái mới, những lúc bế tắc nên tạm dừng công việc, thả lỏng, dành một chút thời gian thư giãn và quay lại sau.
Đồng thời, Quỳnh cũng chia sẻ, lĩnh vực bảo mật và an toàn thông tin là sân chơi không chỉ cho các bạn nam. Chỉ cần kiên trì, đam mê thì bất kể là nam hay nữ cũng đều có thể theo đuổi lĩnh vực này.
NGUYỄN VĂN CHUNG, Trung tâm Giám sát an toàn không gian mạng quốc gia
Nguyễn Văn Chung, Cán bộ Trung tâm Giám sát an toàn không gian mạng quốc gia, Cục An toàn thông tin, Bộ TT&TT
Chuyên gia bảo mật Nguyễn Văn Chung đang công tác tại Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC). Anh đã tìm kiếm được các lỗ hổng bảo mật trên một số dòng thiết bị IoT như Router, Access Point, IP Camera. Trong năm 2020, Chung đã liên tiếp phát hiện 8 lỗ hổng zero-day trong các thiết bị định tuyến D-link trong 3 tháng.Các nghiên cứu của anh được công bố tại Zero Day Intitative (ZDI) và đều được đánh giá với mức độ nguy hiểm Unauthenticated RCE (CVSS 8.8, cho phép chiếm quyền điều khiển thiết bị từ xa, kiểm soát dữ liệu của hàng triệu người dùng).
Anh Nguyễn Văn Chung thường tìm kiếm những lỗ hổng bảo mật trên các thiết bị IoT. Quá trình tìm kiếm lỗ hổng của anh tùy thuộc vào từng đối tượng cũng như chức năng của nó. Theo anh, không có một phương pháp nào đúng cho tất cả, việc quan trọng vẫn là cần có một nền tảng kiến thức đủ tốt.
Anh Chung chia sẻ, để có thể theo đuổi Bug Bounty thì đầu tiên cần phải chuẩn bị cho mình một nền tảng kiến thức vững chắc, sau đó là niềm đam mê thực sự đối với công việc này. Cuối cùng và cũng rất quan trọng, là cần có sự kiên trì và không nản chí, vì việc tìm lỗ hổng phải là cả một quá trình lâu dài.
Thảo Uyên
08:00 | 01/11/2021
09:00 | 22/10/2021
16:00 | 06/04/2021
07:00 | 15/09/2023
08:00 | 26/08/2021
10:00 | 24/04/2024
10:00 | 24/04/2024
Bên cạnh những số liệu khủng về giải thưởng, lỗ hổng được phát hiện, vẫn có những ý kiến trái chiều về hiệu quả thực sự mà Bug Bounty đem lại trong lĩnh vực an toàn thông tin. Tọa đàm “Bug Bounty nguồn lực cộng đồng: lợi ích về bảo mật và tổn thất tiềm tàng” dự kiến sẽ được Tạp chí An toàn thông tin tổ chức vào ngày 26/4 sẽ giúp quý vị độc giả có thể hiểu rõ hơn về vấn đề này.
09:00 | 01/04/2024
Mới đây, các nhà nghiên cứu của nhóm bảo mật Unit42 tới từ công ty an ninh mạng Palo Alto Networks (Mỹ) cho biết một số nhóm tin tặc APT có liên kết với Trung Quốc đã được quan sát nhắm mục tiêu vào các thực thể và các nước thành viên của Hiệp hội các quốc gia Đông Nam Á (ASEAN), như một phần của chiến dịch gián điệp mạng kéo dài trong ba tháng qua.
08:00 | 22/03/2024
Năm 2024 đánh dấu chặng đường 18 năm xây dựng và phát triển của Tạp chí An toàn thông tin (17/3/2006-17/3/2023). Trong suốt 18 năm qua, Tạp chí đã có những bước phát triển vượt bậc, đáp ứng yêu cầu nhiệm vụ chính trị của đất nước và của ngành Cơ yếu Việt Nam, đặc biệt là yêu cầu về chuyên nghiệp, hiện đại hóa cơ quan báo chí của Chính phủ và của Quân đội. Tạp chí đã cung cấp nội dung thông tin phong phú, chuyên sâu và rộng khắp trong lĩnh vưc bảo mật, an toàn thông tin (ATTT) và Cơ yếu với hình thức thể hiện đa dạng, phù hơp với sự thay đổi của công nghệ truyền thông cũng như sự thay đổi của nhu cầu bạn đọc.
11:00 | 07/02/2024
Nhân dịp đón Xuân mới Giáp Thìn 2024, Tạp chí An toàn thông tin trân trọng gửi lời chúc mừng năm mới và lời cảm ơn sâu sắc nhất tới các đồng chí Lãnh đạo Ban Cơ yếu Chính phủ, Lãnh đạo các bộ, ban, ngành Trung ương và địa phương, các cơ quan đơn vị, các hiệp hội, tổ chức, doanh nghiệp, quý bạn đọc và cộng tác viên đã luôn quan tâm ủng hộ để Tạp chí hoàn thành tốt nhiệm vụ và có những bước phát triển mới trong năm qua.
Chiều 17/4, tại Hà Nội diễn ra Lễ công bố quyết định và trao tặng Bằng khen của Viện trưởng Viện Kiểm sát nhân dân tối cao đối với tập thể, cá nhân Cục Cơ yếu Đảng - Chính quyền (Ban Cơ yếu Chính phủ), vì đã có thành tích xuất sắc trong việc xây dựng Quy chế phối hợp giữa Viện Kiểm sát nhân dân tối cao và Ban Cơ yếu Chính phủ.
16:00 | 19/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Theo báo cáo của Financial Times, Google đang phát triển các tính năng nâng cao hỗ trợ bởi trí tuệ nhân tạo (AI) trong dịch vụ tìm kiếm của hãng. Tuy nhiên, để trải nghiệm tính năng này, người dùng sẽ phải trả thêm một khoản phí.
09:00 | 19/04/2024