Tôi chỉ là một người ngoại đạo tìm hiểu về hack, tôi thích thú và tò mò với việc tìm hiểu những điều bí ẩn và tâm lý của con người. Tôi không phải là người chuyên nghiệp, những gì tôi viết ra chỉ để các bạn những ai quan tâm tới vấn đề này có thể có thể một khía cạnh mới, góc nhìn mới từ một kẻ nghiệp dư nhưng tò mò mà thôi. Don't take it serious!
Người Việt Nam phần lớn có một sai lầm là hay "assume" mọi thứ (assume có nghĩa là bạn dựa vào chủ quan của mình để suy đoán về một khái niệm, sự việc, định nghĩa gì đó và mặc nhiên cho là nó đúng). Việc assume tùy tiện rất nguy hiểm, đặc biệt là trong công việc, nó cũng giống như việc bạn nghe 10, hiểu 5, suy đoán 20 vậy. Cũng vì lý do đó mà nhiều khái niệm của nước ngoài khi du nhập vào Việt Nam đã bị "làm lại khái niệm" trở nên khác xa so với ý nghĩa ban đầu của nó.
Ví dụ tôi thường nghe thấy các bạn trẻ nói "Tao đi với crush" mang hàm ý "Tao đi với bồ/ghệ". Tuy nhiên chữ "crush" hoàn toàn không phải để chỉ người yêu/bồ/ghệ của mình mà dùng để chỉ người mà mình yêu thích, có cảm tình nhưng vì lý do gì đó mà chưa cua được, tán được, hoặc người đó ở nơi quá cao xa... Cũng tương tự với "hack", khái niệm này hẳn ai cũng từng nghe qua, nhưng nếu bảo định nghĩa một cách chính xác về nó thì nhiều bạn lại đưa ra những định nghĩa khá tào lao hoặc chẳng trúng trật gì.
Hack là gì?
Tôi hỏi một số bạn: "Hack là gì?" và nhận được những câu trả lời như sau: "Hack là lấy password Facebook của người khác", "Hack là ăn cắp đồ đạc", "Hack là hack game, hack phần mềm"... nói chung đều là những định nghĩa chung chung, không mang tính tổng quát, cũng có ý đúng nhưng chưa đầy đủ. Thậm chí có những bạn trẻ vỗ ngực tự xưng hacker nhưng cũng không thể đưa ra được một định nghĩa chung nhất, rõ ràng nhất về hack.
Hãy thử lên Google và gõ vào từ khóa "hack meaning" bạn sẽ nhận được những định nghĩa như sau:
Theo định nghĩa từ Google, "hack" có ít nhất 3 ý nghĩa cơ bản:
1. Hack chỉ việc chặt những thứ khó chặt, phải dùng nhiều sức.
Vd: Hack off the dead branches. = Hãy chặt những cành cây chết đi.
2. Nghĩa mà chúng ta thường dùng nhất: hack dùng để chỉ việc truy cập trái phép vào dữ liệu của một hệ thống.
Vd: They hacked into a bank's computer. = Họ đã đột nhập vào một máy tính của ngân hàng.
3. Hack dùng để chỉ việc xoay sở, đương đầu với khó khăn.
Vd: Lots of people leave because they can't hack it. = Rất nhiều người bỏ cuộc bởi vì họ không thể vượt qua nó.
Dựa vào đó chúng ta có thể suy ra, hack không chỉ mang ý nghĩa trong lĩnh vực tin học mà còn có thể áp dụng vào rất nhiều khái niệm trong cuộc sống hàng ngày. Một định nghĩa tổng quát hơn về hack mà tôi được biết đó là hack chỉ hành động bạn dựa vào hiểu biết của mình về một thứ gì đó để can thiệp, chỉnh sửa nó để nó có thể hoạt động theo ý bạn. Khái niệm này có thể áp dụng rất đơn giản, thậm chí là đơn giản hơn bạn nghĩ.
Ví dụ bạn có một đôi giày nhưng lại quá rộng, bạn tìm hiểu và tìm cách chèn thêm miếng lót, hoặc may thêm vải độn vào đôi giày để nó có thể vừa vặn với bạn hơn. Đó cũng chính là hack vì để làm được việc đó, bạn cần có sự am hiểu về cấu tạo của đôi giày cùng những kỹ năng may vá nhất định để có thể điều chỉnh lại đôi giày theo ý muốn của mình. Từ đó chúng ta có thể hiểu được khái niệm "lifehacks" (mẹo vặt cuộc sống) cũng để chỉ những hành động tương tự khi bạn áp dụng những kỹ năng, kiến thức đã được học để cải thiện, chỉnh sửa tạo nên nhiều tiện ích, tiện lợi hơn trong cuộc sống.
Tuy nhiên, bài viết hôm nay sẽ tập trung nhiều hơn vào khái niệm hack trong lĩnh vực tin học. Bắt đầu từ việc một số bạn bè và người quen trên facebook cùng một forum tôi đang quản lý liên tục phát đi những thông báo về việc bị hack tài khoản và ăn cắp dữ liệu. Tôi im lặng quan sát và đặt ra câu hỏi: "Tại sao có những người bị hack và có những người lại không bị?".
Tài khoản của tôi là tài khoản mod trên forum, một tài khoản khá có giá trị và được nhiều người biết đến cũng như nhòm ngó, tuy nhiên tôi đợi rất lâu vẫn không hề mất tài khoản. Từ đó tôi lại đặt tiếp một câu hỏi khác: "Vậy có thể các hacker không phải tài khoản nào cũng hack được, có lẽ họ phải dựa vào kẽ hở nào đó từ hệ thống hoặc người dùng". Và tôi tin chắc, kẽ hở từ người dùng là nhiều hơn.
Tôi đã thực hành hack như thế nào?
Tôi cũng đã từng xem qua một số bộ phim về hack của Mỹ nhưng đa phần là khá tào lao, thần thánh hóa quá đáng các hacker như việc chỉ cần ngồi nhà gõ phím vài cái là thao túng được cả hệ thống mạng của Nhà trắng hoặc đột nhập vào cơ sở dữ liệu của quân đội v.v...
Những bộ phim này làm cho người ta ảo tưởng và dễ đưa ra những nhận định sai lầm về hack. Bộ phim về hack chính xác nhất mà tôi từng được xem là phim "Who Am I?" của Đức, bộ phim này cho thấy rõ nhất như thế nào là hack. Hack không phải là khoảnh khắc, hack là cả một quá trình. Bạn cần phải có sự đầu tư, chuẩn bị kỹ lưỡng, chọn lựa mục tiêu cụ thể để hack cho dù đối tượng chỉ là một cá nhân hoặc tổ chức nào đó chứ không thể chỉ trong một đêm là san bằng tất cả.
Trong phim này tôi thấy được các hacker để hack được một tổ chức chính phủ đã phải ăn dầm nằm dề, thậm chí lục lọi trong bãi rác của công ty để tìm kiếm được những manh mối cho việc hack, họ cũng phải bỏ tiền ra đầu tư rất nhiều vào trang thiết bị, máy tính thì mới có thể làm được việc đó. Và quan trọng nhất, yếu điểm lớn nhất của mọi hệ thống đó chính là con người.
Để có thể hiểu hơn về việc hack, tôi bắt đầu từng bước một nghiên cứu về việc ăn cắp tài khoản, mà cụ thể hơn là Yahoo, Facebook, Gmail. Tất nhiên, việc này khá khó khăn vì những bí kíp hack cũng giống như ngón nghề của ảo thuật gia vậy, những bí kíp mà người ta đã biết thì sẽ không còn áp dụng được nữa, còn những thứ mà người ta chưa biết thì chắc chắn không ai sẽ chỉ cho bạn cả, bạn phải tự tìm hiểu thôi.
Nhưng cũng nhờ quá trình sục sạo trên mạng mà tôi có thể trả lời được câu hỏi tại sao nhiều tài khoản Facebook của các bạn tôi lại bị hack dễ dàng như vậy. Cách đây khoảng hơn 2-3 tháng, có 1 đoạn script được lan truyền trên mạng cho phép reset 1 tài khoản Facebook sử dụng mail Yahoo bất kỳ dựa vào một lỗ hổng bảo mật cực kỳ nghiêm trọng của Yahoo, đây rõ ràng là một kẽ hở của hệ thống và cho đến giờ nó đã hoàn toàn được fix.
Vì vậy, tôi lại áp dụng được những điều tôi đã học được từ bộ phim "Who Am I?", tôi sẽ tiến hành hack vào điểm yếu lớn nhất, đó chính là con người. Việc đầu tiên cần làm đó là tôi phải chọn cho mình 1 con mồi tiềm năng, vì mới bắt đầu, tôi chọn 1 người bạn trên diễn đàn, 1 người ít đề phòng đến tôi, 1 người cũng tương đối rành về tin học.
Dựa vào sở thích của người đó, tôi xây dựng 1 website giả mạo nhắm tới niềm yêu thích đó, sau đó khơi gợi những câu chuyện lôi cuốn xoay quanh website đó và rất dễ dàng, người bạn của tôi đã dính bẫy truy cập vào website và tôi có được tài khoản forum của người đó. Từ username và password đã có được, tôi tiếp tục dùng chính password đó để đăng nhập vào Facebook của bạn ấy và tự do đăng lên 1 status quảng cáo cho trang blog của tôi.
Nguy hiểm hơn, tôi có thể truy cập vào toàn bộ những đoạn chat cá nhân, thông tin cá nhân như số điện thoại, ngày sinh và thậm chí tôi còn lấy được cả số CMND của bạn ấy. Tất nhiên, tôi dừng lại ở đó, thông báo cho người bạn kia đổi password và coi như kết thúc bài thực hành số 1 của mình.
Bài học rút ra là để có thể hack được 1 con mồi, tôi cần phải có sự am hiểu nhất định về con mồi đó, về những sở thích, hành vi và vận dụng những kỹ năng tin học có được để lừa người đó mà họ vẫn không hề hay biết. Bài thực hành số 1 này tương đối dễ dàng một phần cũng vì người bạn này không hề đề phòng tới tôi.
Tiếp tục, tôi nâng cao hơn độ khó trong bài tập của mình, lần này tôi chọn 1 người không hề quen biết nhưng có lượng theo dõi tương đối, bằng một số cách mà tôi không tiện chia sẻ ở đây thì tôi đã có được số điện thoại, Gmail đăng nhập Facebook và ngày sinh của bạn ấy. Lần này thật sự khó khăn hơn, tôi phải đọc qua Facebook, xem qua các hình ảnh của bạn ấy, thậm chí phải truy cập những Facebook của bạn bè của bạn ấy để xem có thể tìm kiếm được thông tin gì không nhưng hầu như chẳng có gì.
Bạn này khá cẩn thận khi che đi rất nhiều những thông tin quan trọng. Khá may mắn, tôi tình cờ biết được một sở thích của bạn ấy, và đánh vào tâm lý đó, tôi lại tiếp tục xây dựng 1 website khác quy mô hơn, mua cả tên miền, xây dựng cả một địa chỉ Gmail giả mạo, tất cả đều được chuẩn bị trong vài ngày để nhắm tới mục tiêu cuối cùng là hack vào tài khoản Facebook của người bạn này.
Sáng hôm ấy, tôi dùng Gmail giả mạo gửi đi 1 email có nội dung khá tò mò về sở thích của bạn ấy, rất nhanh chóng, bạn ấy nhấp vào link và sập bẫy, tôi dễ dàng có được tài khoản Facebook. Và không ngoài dự đoán, nận nhân sử dụng chung password cho tất cả các tài khoản của mình, và chỉ trong vòng vài phút, tôi đã reset hầu hết tất cả các tài khoản online của con mồi.
Tất nhiên, tôi làm những việc này vẫn chỉ là để nghiên cứu về hack và tâm lý của người dùng nên ngay sau đó, tôi đã gửi lại một email xin lỗi kèm theo password mới cùng lời dặn dò cẩn thận hơn đến "khổ chủ", bài thực hành số 2 kết thúc.
Tôi lại tiếp tục các bài thực hành với các kỹ năng lừa đảo khác và chỉ trong 1 thời gian ngắn, tôi lại đột nhập vào được khoảng 5 tài khoản khác mà không hề gặp bất kỳ khó khăn nào. Thậm chí tôi thoải mái ra vào tài khoản của họ mà họ vẫn không hề hay biết. Và tất nhiên, tôi đều trả lại password cho các nạn nhân và kết thúc việc đi hack dạo của mình. Sau đó tôi tổng hợp lại và đi đến những kết luận sau:
Về mặt khách quan, điểm chung của các nạn nhân bị tôi hack đó là đều quá tin người và dễ dàng sa vào cái bẫy do tôi đã dựng lên mà không chút mảy may nghi ngờ. Hơn nữa đa phần tất cả đều khá chủ quan về mặt bảo mật, không biết cách hoặc quá lười để tự bảo vệ mình trên thế giới ảo mà điều đó đôi khi có thể dẫn tới những rắc rối không hề nhỏ.
Về mặt chủ quan, bản thân tôi trước mỗi con mồi đều phải chuẩn bị rất kỹ các công cụ, tiện ích và phải bỏ công sức cũng như thời gian để nghiên cứu được hành vi sở thích của họ.
Tôi cũng học hỏi được rất nhiều điều về mặt kỹ thuật cũng như tâm lý, hành vi của con người trong quá trình hack các nạn nhân của mình. Điều quan trọng nhất, hack dần dần không còn là một cái gì đó quá huyền bí, cao xa, đối với tôi hack cũng như ảo thuật vậy, để có một màn trình diễn tốt chỉ trong một đêm, bạn cần phải chuẩn bị cho nó từ rất lâu và kỹ lưỡng.
Hãy biết cách tự bảo vệ mình và đừng làm hại người khác.