Mục đích của việc làm trên là để tìm ra lỗ hổng trong hệ thống mạng công ty rồi từ đó tìm cách củng cố và khắc phục. Đây được xem là sự chuyển đổi quan trọng trong cách thức phản ứng của các công ty công nghệ trong bối cảnh ninh mạng đang rất phức tạp hiện nay.
Cách đây chục năm, nếu có hacker mũ trắng nào cảm thấy có "trách nhiệm đạo đức" phải báo cho các công ty, tập đoàn lớn rằng hệ thống mạng của họ đang có vấn đề thì cũng chỉ được thưởng áo phông, thẻ mua hàng hay cùng lắm là khoản thưởng nhỏ. Thậm chí, nhiều hacker mũ trắng "đen đủi" còn bị chính các công ty, tập đoàn kia dọa kiện ngược lại vì "dám" công bố các lỗ hổng trong hệ thống mạng doanh nghiệp.
Thực tế này khiến không ít các hacker mũ trắng "hảo tâm" chùn bước. Hoặc là họ lờ đi nếu tìm thấy lỗ hổng, hoặc là chia sẻ ngầm thông tin đó với các đồng nghiệp khác. Thế mới có chuyện thị trường đen buôn bán các lỗ hổng "zero day" (một dạng lỗ hổng bảo mật không được công bố rộng rãi và chưa được khắc phục) phát triển rầm rộ. Giới tội phạm mạng hay thậm chí cả các chính phủ cũng trả tiền để mua thông tin về các lỗ hổng này.
Theo thông tin của Cơ quan An ninh Quốc gia Mỹ (NSA), có khoảng 40 chính phủ đã trả tiền để mua công cụ gián điệp mạng từ những tổ chức hacker ở Mỹ và châu Âu nhằm phục vụ cho mục đích riêng.
Đột nhập chỉ trong vài nốt nhạc
Phân tích của Verizon cho biết, 60% trong tổng số 2.122 vụ đột nhập đánh cắp dữ liệu trong năm qua được thực hiện chỉ trong vài phút đồng hồ. Thậm chí còn có tình trạng khi đã có bản vá bảo mật nhưng doanh nghiệp còn "không thèm" cập nhật cho hệ thống hoặc sản phẩm của mình. Thế mới có chuyện, Verizon phát hiện 99,9% các lỗ hổng vẫn còn nguyên cả năm trời sau khi nhà cung cấp đã ban hành bản cập nhật vá lỗi.
Hiện tại, Facebook và Microsoft đang tài trợ cho một chương trình có tên Internet Bug Bounty nhằm trả tiền cho tin tặc để họ tìm lỗ hổng bảo mật và báo cáo lại. Sau vụ lỗ hổng Heartbleed phát hiện năm ngoái trong giao thức bảo mật đang được hàng triệu thiết bị kết nối Internet sử dụng, tổ chức Linux Foundation phi lợi nhuận và hàng chục công ty công nghệ lớn đã đề xuất sáng kiến trả tiền để "kiểm tra bảo mật" (một cách thể hiện khác của việc thuê tin tặc tấn công) các phần mềm nguồn mở được sử dụng rộng rãi.
Trong số này có Google là tỏ ra tích cực nhất. Hãng đã rất sòng phẳng trả tiền cho tin tặc để nhận báo cáo về lỗ hổng, đồng thời tập hợp được nhiều chuyên gia phân tích bảo mật hàng đầu tham gia sáng kiến có tên Project Zero. Trong số này gồm cả các nhóm tin tặc nổi tiếng có nhiệm vụ phát hiện lỗ hổng không chỉ trong hệ thống Google mà còn trên mạng Internet nói chung.
Chính Project Zero đã phát hiện những sai sót bảo mật nghiêm trọng trong Adobe Flash, phần mềm mã hóa TrueCrypt, phần mềm diệt virus thông dụng Avast và phần mềm bảo mật của Kaspersky Lab. Tất cả những sự cố này được Project Zero công bố dồn dập chỉ trong 2 tuần của tháng 9 vừa qua.
Làm ơn mắc oán
Những hoạt động trên của Project Zero chỉ là bề nổi vì không ai dám chắc họ có cài cắm cửa hậu (backdoor) vào các hệ thống kiểm thử hay không. Tại Mỹ và nhiều quốc gia khác, các chương trình khai thác lỗ hổng là dạng mật, rất ít khi lộ ra ngoài.
Cho tới nay, nhóm của Google bao gồm 10 hacker làm việc toàn thời gian đã sửa hơn 400 lỗ hổng bảo mật nghiêm trọng trong nhiều chương trình thông dụng, mà phần lớn trong số đó có thể cho phép thực hiện gián điệp thông tin hoặc phá hủy dữ liệu đối thủ.
Tuy nhiên, không phải ai cũng mặn mà với chuyện này, nhất là các đối thủ cạnh tranh với Google. Chẳng hạn như Apple – thậm chí còn không trả đồng cho hacker báo lỗi. Project Zero từng phát hiện hơn 60 lỗi trong các ứng dụng Apple quan trọng như trình duyệt Safari hoặc bộ phát triển di động nhưng cũng không nhận được một đồng nào từ Apple.
Năm ngoái, sau khi Google phát hiện và công bố nhiều lỗ hổng bảo mật trong Windows, Microsoft còn không thèm cám ơn một câu. Khi đó, các lãnh đạo an ninh thông tin của Microsoft còn chỉ trích Google vì đã không để cho họ có đủ thời gian sửa lỗi mà đã công bố công khai lỗ hổng ra bên ngoài.