Tôi là một chuyên gia công nghệ bảo mật. Công việc của tôi là đảm bảo sao cho thông tin của mọi người được an toàn.Tôi suy nghĩ về các hệ thống an ninh và cách để phá được chúng. Sau đó là cách để khiến chúng an toàn hơn. Hệ thống bảo mật máy tính. Hệ thống giám sát. Hệ thống an toàn máy bay, máy bầu cử, chip RFID và tất cả những thiết bị khác.
Cory đã mời tôi đóng góp vài trang cuối trong cuốn sách của anh ấy vì muốn tôi nói với các bạn rằng hoạt động bảo mật rất vui. Nó cực kỳ vui. Giống như mèo và chuột, ai có thể thông minh hơn ai, thú vui của kẻ đi săn này chống lại người đi săn kia. Tôi nghĩ rằng đó công việc vui nhất mà bạn có thể tham gia. Nếu bạn thấy thú vị khi đọc đoạn Marcus thông minh hơn những camera nhận dạng dáng đi vì cho đá vào giày, hãy nghĩ xem sẽ vui hơn đến mức nào nữa nếu bạn là người đầu tiên trên thế giới nghĩ ra việc này.
Làm việc về bảo mật nghĩa là biết rất nhiều về công nghệ. Nó có thể đồng nghĩa với việc biết về máy tính và mạng, hoặc camera và cách thức hoạt động của chúng, hay nguyên lý hóa học của việc dò bom. Nhưng thực sự thì bảo mật là tư duy. Đó là một lối tư duy. Marcus là ví dụ điển hình cho lối tư duy này. Cậu ấy luôn tìm kiếm những lỗ hổng trong hệ thống bảo mật, tôi cá rằng cậu sẽ không vào một cửa hàng mà không tìm được một cách để ăn trộm. Không phải vì cậu sẽ làm thế – có một sự khác biệt giữa việc biết làm thế nào để đánh bại một hệ thống bảo mật và việc thực sự đánh bại nó – nhưng cậu ấy biết rằng mình có thể làm thế.
Đó là cách tư duy của những người làm công tác bảo mật. Chúng tôi liên tục xem xét các hệ thống an ninh và làm thế nào để qua mặt chúng; chúng tôi không thể cưỡng lại được suy nghĩ này.
Kiểu tư duy này rất quan trọng cho dù bạn ở phía nào của an ninh. Nếu bạn được thuê để thiết kế một cửa hàng không có trộm vặt, trước tiên bạn phải biết ăn trộm. Nếu bạn đang thiết kế một hệ thống camera có thể dò được dáng đi của từng người, bạn phải tính tới việc mọi người sẽ cho đá vào giày. Bởi vì nếu không như vậy, bạn sẽ không thể tạo ra được cái gì hay ho cả.
Thế nên, khi bạn lang thang đâu đó, hãy dành một lúc để quan sát hệ thống an ninh quanh mình. Hãy nhìn những camera trong cửa hàng mà bạn mua đồ. (Chúng có phát hiện được tội phạm không hay chỉ để làm cảnh?) Hãy xem cách một nhà hàng hoạt động. (Nếu bạn trả tiền sau khi ăn, tại sao người ta không thể cứ thế bỏ đi mà không trả tiền?) Hãy chú ý tới hệ thống an ninh ở sân bay (Làm cách nào bạn có thể mang vũ khí lên máy bay?) Hãy quan sát nhân viên ngân hàng làm việc. (An ninh ngân hàng được thiết kế để tránh cho nhân viên ăn cắp cũng như tránh bạn ăn cắp.) Hãy nghiên cứu một tổ kiến. (Côn trùng cũng có hệ thống bảo mật.) Hãy đọc Hiến pháp, và chú ý đến tất cả những cách mà Hiến pháp bảo vệ người dân trước chính phủ. Hãy nhìn đèn giao thông, khóa cửa, hệ thống an ninh trên ti vi và phim ảnh. Hãy nghĩ xem chúng hoạt động ra sao, chúng ngăn chặn nguy cơ gì và không ngăn chặn nguy cơ gì, chúng thất bại ra sao, và có thể khai thác chúng như thế nào.
Hãy dành đủ thời gian cho việc này, và bạn sẽ thấy mình đang nghĩ khác về thế giới. Bạn sẽ bắt đầu nhận thấy rằng rất nhiều hệ thống an ninh ở ngoài kia thực sự không làm đúng chức năng của nó, và rằng phần lớn hệ thống an ninh quốc gia của chúng ta là một sự lãng phí tiền bạc. Bạn sẽ hiểu sự riêng tư cũng cần thiết như an ninh, chúng không đối lập nhau. Bạn sẽ không còn lo lắng về những thứ mà mọi người đều lo lắng, và bắt đầu lo nghĩ về những thứ mà những người khác thậm chí còn không nghĩ đến.
Đôi lúc, bạn sẽ nhận ra có điều gì đó về an ninh mà trước giờ chưa một ai nghĩ tới. Và có thể bạn sẽ tìm được một cách mới để phá vỡ một hệ thống an ninh.Người ta chỉ mới phát minh ra trò tấn công giả mạo (phishing) cách đây có vài năm.
Tôi thường xuyên kinh ngạc trước độ dễ của việc phá vỡ một số hệ thống an ninh khá tầm cỡ. Có rất nhiều lý do, nhưng một trong những lý do chủ yếu là người ta không thể nào chứng minh rằng một cái gì đó đã được an toàn. Tất cả những gì bạn phải làm là thử cố gắng bẻ gãy nó – nếu bạn thất bại, bạn biết rằng nó đủ an toàn để ngăn chặn bạn, nhưng nếu có ai đó thông minh hơn bạn thì sao? Ai đó có thể thiết kế một hệ thống an ninh mạnh đến mức chính bản thân anh ta cũng không thể phá vỡ nó.
Hãy nghĩ về điều này trong một giây, vì nó không phải là một chân lý hiển nhiên. Vì không ai đủ năng lực để phân tích thiết kế bảo mật của chính mình, vì như vậy người thiết kế và người phân tích sẽ là một, vẫn những hạn chế, điểm yếu đó. Công việc của “ai đó” là phải phân tích hệ thống an ninh, bởi vì nó phải là một thứ an toàn trước những thứ mà người thiết kế nó không nghĩ tới.
Điều này có nghĩa là tất cả chúng tôi phải phân tích hệ thống an ninh mà người khác thiết kế. Và thường thì, thật bất ngờ, một trong chúng tôi sẽ phá vỡ nó. Thành công của Marcus không hề gượng ép; đó là điều có thể xảy ra mọi lúc mọi nơi. Hãy lên mạng và tìm từ “bump key”(2) hay “Bic pen Kryptonite lock”(3); bạn sẽ thấy vài câu chuyện rất thú vị về việc hệ thống an ninh tưởng như rất vững chắc này lại bị đánh bại bởi một công nghệ tương đối cơ bản.
Và khi bạn làm được điều đó, hãy đảm bảo là bạn sẽ công bố nó ở một nơi nào đó trên Internet. Sự bí mật và an ninh không đi cùng nhau, dù cho có vẻ đúng là như vậy. Chỉ có những hệ thống an ninh tồi mới phải dựa vào bí mật; hệ thống an ninh tốt thì sẽ hiệu quả ngay cả khi mọi chi tiết của nó đều được công khai.
Và việc công bố những điểm yếu sẽ buộc các chuyên viên thiết kế hệ thống an ninh phải nghĩ ra những cách bảo mật tốt hơn, và khiến chúng ta trở thành những người sử dụng hệ thống an ninh thông minh hơn. Nếu bạn mua một cái khóa xe đạp Kryptonite và nó có thể bị bẻ chỉ bằng một cây bút bi thì có nghĩa là bạn không được bảo vệ tương xứng với số tiền bạn bỏ ra. Và, cũng như vậy, nếu một nhóm những đứa trẻ thông minh có thể qua mặt những công nghệ chống khủng bố của DHS thì nó cũng không làm tốt công việc chống khủng bố trong thực tế.
Việc đánh đổi sự riêng tư để đạt được an ninh đã đủ ngớ ngẩn; không đạt được một chút an ninh thực sự nào trong cuộc mua bán thì còn ngớ ngẩn hơn. Vậy nên hãy gập sách lại và đi thôi. Thế giới này có vô số hệ thống an ninh. Bạn thử hack một trong số chúng xem sao.Bruce Schneierwww.schneier.comx
Chú thích:1. Chuyên gia an ninh mạng hàng đầu thế giới.2. Loại chìa khóa đặc biệt có thể mở được tất cả các ổ khóa cùng loại.3. “Bút bi khóa Kryptonite.” Khóa Kryptonite nổi tiếng vững chắc nhưng lại có thể mở khá dễ dàng (nếu biết cách) bằng một chiếc bút bi.