Nữ thủ khoa chuyên ‘săn’ lỗ hổng bảo mật

65

[ad_1]

Hà NộiTrước khi tốt nghiệp thủ khoa Học viện Kỹ thuật Mật mã, Mỹ Quỳnh đã tìm ra 9 lỗ hổng bảo mật của Oracle, được vinh danh và nhận thưởng 10.000 USD.

Lê Mỹ Quỳnh, 23 tuổi, cựu sinh viên Học viện Kỹ thuật Mật mã, được xướng tên tại Lễ vinh danh thủ khoa các trường đại học, học viện tại Hà Nội, hôm 18/11.

Vị trí thủ khoa là thành quả một chiến lược học tập dài hạn của Quỳnh. Bên cạnh điểm số, cô gái “nhỏ mà có võ” còn gây ấn tượng với biệt danh “thợ săn” lỗ hổng bảo mật khi tìm ra 9 lỗi nghiêm trọng từ các sản phẩm của tập đoàn công nghệ Oracle (Mỹ).

Lê Mỹ Quỳnh tại Lễ vinh danh thủ khoa của các trường đại học, học viện tại Hà Nội, tối 18/11. Ảnh: Nhân vật cung cấp

Lê Mỹ Quỳnh tại Lễ vinh danh thủ khoa các trường đại học, học viện tại Hà Nội, tối 18/11. Ảnh: Nhân vật cung cấp

Khi còn học cấp hai, Quỳnh từng là “át chủ bài” trong đội tuyển Lịch sử của trường. Nghe theo lời rủ rê của bạn cùng bàn, cô gái sinh năm 1998 đăng ký học Sử. Với khả năng ghi nhớ và tư duy tốt, nhiều tháng liền Quỳnh có thành tích tốt nhất đội.

Với giải nhất cấp quận, giải nhì thành phố, Quỳnh đỗ á khoa chuyên Sử của trường THPT chuyên Hà Nội-Amsterdam. Tuy nhiên, nữ sinh quyết định theo học THPT Yên Hòa vì gần nhà, thuận tiện đi lại. Đến giờ, dù không học và làm việc liên quan đến Lịch sử, Quỳnh cho rằng quá trình theo đuổi môn học này đã giúp cô định hình tính cách. “Ngoài việc rèn luyện trí nhớ, mình nhận ra muốn phát triển bất cứ điều gì thì phải nắm rõ quá trình hình thành của nó. Quan niệm này giúp mình có xu hướng tìm hiểu kỹ nguồn gốc mọi vấn đề trong cuộc sống cũng như công việc”, Quỳnh nói.

Quỳnh được gia đình tạo điều kiện tiếp xúc với máy tính từ nhỏ. Mới 8-9 tuổi, cô bé đã tò mò, tháo tung vỏ máy tính “để xem bên trong có những gì”. Lớn dần, Quỳnh được tiếp cận với lập trình. Có bố công từng công tác cùng lĩnh vực, nữ sinh thường được bố “giao bài tập” lập trình, sau đó cùng tranh luận về cách giải quyết.

Để thỏa mãn hứng thú tìm hiểu về bảo mật và an toàn thông tin, Quỳnh nộp hồ sơ vào Học viện Kỹ thuật Mật mã. Kết thúc năm học đầu tiên, nữ sinh giành học bổng toàn phần của Chính phủ, được chọn một trường bất kỳ tại Nga để học công nghệ thông tin. Tuy nhiên, cô gái Hà Nội cân nhắc rất kỹ. Nếu sang Nga, Quỳnh sẽ mất một năm học tiếng, một năm dự bị, sau đó học thêm 5 năm đại học. Thời gian học quá dài, chưa kể cơ hội thực tập “không nhiều như ở Việt Nam”. Cuối cùng, Quỳnh chọn ở lại, hoàn thành chương trình kỹ sư tại Học viện Kỹ thuật Mật mã.

Lê Mỹ Quỳnh, thủ khoa đầu ra của Học viện Kỹ thuật Mật mã năm 2021, thường được biết đến với biệt danh thợ săn lỗ hổng bảo mật. Ảnh: Nhân vật cung cấp

Lê Mỹ Quỳnh, thủ khoa đầu ra của Học viện Kỹ thuật Mật mã năm 2021. Ảnh: Nhân vật cung cấp

Cuối năm hai, Quỳnh thực tập và học việc tại trung tâm an toàn thông tin của một tập đoàn viễn thông lớn ở Việt Nam. Nhiệm vụ của Quỳnh cùng các thành viên trung tâm là tìm lỗ hổng trên các sản phẩm công nghệ của Oracle mà tập đoàn này đang sử dụng. Sau nhiều tháng “ôm” máy tính nghiên cứu sản phẩm và các lỗ hổng đã được tìm ra trước đó, thành quả đầu tiên đến với Quỳnh vào cuối năm 2019.

Trong thời gian gửi hồ sơ, đợi đánh giá và công nhận phát hiện của mình về một lỗ hổng bảo mật, Quỳnh đứng ngồi không yên. Cô vừa lo lắng ai đó đã tìm ra trước, vừa sợ mình sai sót ở đâu đó. “Khi được công nhận, mình đã hú hét sung sướng. Cảm giác đó không thể quên được, là lúc mình thấy đam mê đã tạo ra thành quả và được ghi nhận”, Quỳnh nhớ lại.

Hành trình “săn” lỗ hổng bảo mật của Quỳnh không phải lúc nào cũng suôn sẻ. Có lần, dù đã mất rất nhiều thời gian và công sức, đến khi gửi hồ sơ thẩm định, Quỳnh nhận được phản hồi đã có người báo cáo lỗ hổng này. Không bỏ cuộc, cô vẫn kiên trì và tìm được thêm nhiều lỗ hổng khác.

Trong các năm 2019-2021, Quỳnh đã phát hiện 9 lỗ hổng của Oracle, đều thuộc loại “0-day”. Đây là loại lỗ hổng nguy hiểm nhất, chưa ai tìm ra, đồng nghĩa với việc chưa có bản vá. Hầu hết lỗ hổng Quỳnh khai thác đều liên quan đến cơ chế Java Deserialization, một dạng tấn công nguy hiểm trên nền tảng ngôn ngữ lập trình java. Một khi bị tấn công thành công, lỗ hổng dạng này có thể gây hậu quả khó lường.

Trong 9 lỗ hổng Quỳnh phát hiện, 6 cái được đánh giá 9,8/10 về mức độ nghiêm trọng. Cô gái sinh năm 1998 đã được Oracle liên tiếp vinh danh trong hai năm 2020 và 2021 với “bộ sưu tập” lỗ hổng của mình, nhận thưởng 10.000 USD (khoảng 230 triệu đồng).

Mỹ Quỳnh khi tập trung làm việc. Ảnh: Nhân vật cung cấp

Mỹ Quỳnh khi tập trung làm việc. Ảnh: Nhân vật cung cấp

Quỳnh quan niệm, muốn thực hành giỏi phải vững lý thuyết. Nên dù đã có việc làm ngay từ năm thứ ba đại học, cô vẫn xác định “học là nhiệm vụ trọng tâm”. Đi làm cả ngày, Quỳnh đăng ký học vào khung 18-21h30. Không hướng tới mục tiêu thủ khoa đầu ra khi mới vào trường nhưng trải qua vài kỳ học đầu tiên, nhận thấy điểm của mình thuộc nhóm tốt nhất khoa, Quỳnh đã nghĩ “tại sao không?”.

Sau đó, cô xây dựng chiến lược học tập rõ ràng. Quỳnh cho rằng không nhất thiết môn nào cũng phải được A+, thay vào đó, cô đặt mục tiêu điểm số dựa trên năng lực: môn chuyên ngành hoặc có thế mạnh phải đạt điểm tốt, những môn “không giỏi lắm” có thể B+. Để kế hoạch thành công, Quỳnh xác định phong độ là quan trọng nhất. Khi đi học, cô thường ngồi bàn đầu, nhưng… không ghi chép gì mà học để hiểu. Trước mỗi kỳ thi, cô đọc kỹ đề cương và nghiên cứu giáo trình. Kết quả, sau 5 năm, cô tốt nghiệp thủ khoa đầu ra của Học viện Kỹ thuật Mật mã với điểm số 3,5/4.

Thầy Nguyễn Văn Bình, Hệ trưởng Hệ Quản lý sinh viên, Học viện Kỹ thuật Mật mã, đánh giá, thông thường sinh viên năm 3-4 đã có việc làm ổn định sẽ xao nhãng học tập một chút, đôi khi trượt môn. Nhưng Quỳnh không trượt học bổng kỳ nào. “Điều đó cho thấy Quỳnh có năng lực học tập, định hướng tốt cùng tính tự giác, kỷ luật cao. Ngoài việc học, em vẫn tham gia nghiên cứu khoa học cũng như các cuộc thi trong và ngoài trường”, thầy Bình nói.

Khác với hình dung của nhiều người về thủ khoa chỉ biết học, hay “dân” công nghệ suốt ngày vùi đầu vào máy tính, Quỳnh biết cân bằng cuộc sống. Là người hoạt ngôn, cô thường làm diễn giả cho các sự kiện công nghệ để chia sẻ trải nghiệm và học hỏi kiến thức từ các khách mời. Khi cần, Quỳnh có thể “ôm” máy tính cả ngày nhưng nếu nhận thấy cơ thể không khỏe hoặc stress, cô sẵn sàng gập máy tính và giải tỏa bằng cách chơi đàn, gặp gỡ bạn bè hoặc đi ngủ.

Sắp tới, Quỳnh tiếp tục tìm kiếm lỗ hổng trên sản phẩm của Oracle, đặt mục tiêu tìm thấy những lỗi bảo mật đột phá hơn. Thời gian qua, cô đã tích lũy thêm nhiều kiến thức và mong muốn chia sẻ trải nghiệm trong những hội thảo quy mô quốc tế.

Thanh Hằng

[ad_2]