Lầu Năm Góc đang trả tiền để hacker thử nghiệm tấn công vào các hệ thống trọng yếu của họ – và bằng cách này, họ đã tìm ra những điểm yếu nhanh hơn dự tính.

Trong một dự án thí điểm hồi tháng qua, cơ quan quốc phòng số của Lầu Năm Góc đã để khoảng 80 chuyên gia bảo mật thâm nhập vào "cơ chế chuyển tệp tin" mô phỏng theo hệ thống mà cơ quan này sử dụng để gửi đi các email, tài liệu, hình ảnh nhạy cảm giữa các mạng lưới. Bloomberg cho biết hoạt động này rất quan trọng, và ngay trong ngày đầu tiên Bộ trưởng Quốc phòng mới của Mỹ là James Mattis đã nhận được báo cáo về chương trình này. Lisa Wiswell, là một "hacker" của DDS, nói rằng chỉ trong vòng mấy giờ, báo cáo đầu tiên từ một hacker đã cho thấy có rủi ro trong hệ thống.

Lầu Năm Góc thuê hacker tấn công vào hệ thống của chính mình

Đứng trước các mối lo ngại về lỗ hổng an ninh mạng đang dấy lên khắp chính phủ Mỹ, công ty bảo mật mạng Synack Inc đã nhận được hợp đồng trị giá 4 triệu USD, kéo dài 3 năm hồi tháng Chín năm ngoái, để thực hiện các cuộc rà soát, thâm nhập hệ thống Lầu Năm Góc. Synack chuyên tuyển dụng những nhà nghiên cứu bảo mật đến từ Mỹ, Canada, Australia và Anh.

Vì lý do an ninh, các hacker không được tiếp cận trực tiếp vào các mạng lưới. Thay vào đó, có một hệ thống sao chuyển tệp tin được sao chép, mô phỏng hệ thống thực, giống như một dạng phòng thì nghiệm số. Công ty Synack cũng bổ sung thêm các lớp bảo mật nhằm đảm bảo kẻ xấu không thâm nhập máy tính của hacker hoặc thâm nhập vào hệ thống.

"Chúng tôi phải giả sử tình huống toàn bộ laptop của hacker bị thỏa hiệp – làm thế nào ngăn chặn họ", Mark Kuhr, giám đốc công nghệ của Synack và là một cựu nhà phân tích của NSA nói. "Làm sao chúng tôi ngăn chặn họ lợi dụng các lỗ hổng?"

Thuyết phục các nhà lãnh đạo cấp cao của Lầu Năm Góc cho phép hacker tấn công vào hệ thống mất rất nhiều thời gian và nỗ lực. Công cụ chuyển file rất quan trọng vì nó sẽ lưu chuyển những thông tin quan trọng nhất của Bộ Quốc phòng Mỹ. "Chúng tôi phải tin tưởng tuyệt đối mọi công đoạn", Chris Lynch, giám đốc DDS nói. "Nếu có bất kỳ yếu tố nào đáng ngờ trong hệ thống, nó sẽ phá hoại tất cả mạng lưới làm việc của Bộ Quốc phòng Mỹ".

Theo đó, DDS thúc giục hacker cố gắng vượt qua các tường rào bảo vệ, lấy dữ liệu ra khỏi hệ thống, và kiểm soát cả hệ thống. Các hacker sẽ không chỉ rõ những lỗ hổng bị phát hiện, mà yêu cầu chuyên gia bảo mật của Bộ Quốc phòng phải khắc phục sự cố.

Chương trình này thực chất là một phần trong những dự án trước đây của DDS, do chính quyền Obama khởi xướng và gần đây vẫn được Tổng thống Donald Trump giữ lại. Năm ngoái, DDS cũng tổ chức "Hack the Pentagon", trong đó những hacker bên ngoài săn lỗ hổng trong các website của Bộ Quốc phòng Mỹ. Chương trình tấn công vào hệ thống trao đổi tệp tin là nỗ lực đầu tiên cho phép các "siêu nhân hacker" tấn công vào mạng lưới nội bộ.

Trong chương trình Hack the Pentagon, các nhà lập trình được khuyến khích công bố công khai các phát hiện của họ cũng như chia sẻ danh tính của họ. Tuy nhiên, trong chương trình mới này, nhóm hacker bị cấm tiết lộ nghiên cứu của họ. Chỉ Synack biết tên của hacker, các quan chức Lầu Năm Góc cũng không biết tên của những hacker này.

Synack cũng tiến hành các chương trình hack tương tự tại các ngân hàng và công ty thẻ tín dụng. Công ty trả tiền cho các hacker dựa theo mức độ vấn đề mà họ phát hiện ra. Giải thưởng lướn nhất trong cuộc thi gần đây là 30.000 USD.

Cuộc thử nghiệm diễn ra khi Bộ Quốc phòng Mỹ đang đối mặt với nhiều thách thức trong an ninh mạng. Bộ Quốc phòng đã tăng chi tiêu nhằm xây dựng hệ thống bảo vệ tốt hơn. "Tấn công mạng đã trở thành một phần của chiến tranh hiện đại, và các mạng lưới của Bộ Quốc phòng liên tục nằm dưới nguy cơ bị tấn công", báo cáo của Bộ Quốc phòng viết. "Tuy nhiên, các nhân sự của Bộ Quốc phòng thường xem bảo vệ mạng lưới là công việc quản trị hành chính, chứ không phải là năng lực chống chiến tranh", và cho đến khi quan điểm trên thay đổi, Bộ Quốc phòng "sẽ tiếp tục cố gắng bảo vệ các mạng lưới và hệ thống khỏi các cuộc tấn công mạng cao cấp".

Ngoài ra, nhu cầu tuyển dụng đội chuyên gia hacker để thử nghiệm hệ thống tăng cao gấp đôi so với năm ngoái. Nhưng nhiều chuyên gia lại rời bỏ Bộ Quốc phòng Mỹ và làm việc trong khu vực tư nhân với mức lương cao hơn và công việc thư giãn hơn. Vì thế, nhóm các chuyên gia bảo  mật còn lại "không thể đáp ứng nhu cầu hiện nay của Bộ Quốc phòng".

Hoàng Lan

Cập nhật tin tức công nghệ mới nhất tại fanpage Công nghệ & Cuộc sống