Thành tích này nâng tổng số lỗ hổng bảo mật zeroday mà VinCSS phát hiện được lên 80 mã CVE* (định danh chuẩn hóa cho các lỗ hổng bảo mật trên toàn thế giới).
Săn lỗ hổng bảo mật đẳng cấp được quốc tế ghi nhận
Ngày 14/9/2021, Adobe phát hành bản vá cho các lỗ hổng bảo mật của phần mền Adobe Framemaker trên nền tảng Windows. Khi đó, có ba lỗ hổng được phát hiện, báo cáo bởi chuyên gia Trần Văn Khang. Các lỗ hổng này đều được ghi nhận ở mức nghiêm trọng, ảnh hưởng đến người sử dụng tại rất nhiều quốc gia bởi độ nhiều, được chọn dùng rộng rãi của phần mền.
Ngay sau đó, ngày 15/9, Trần Văn Khang tiếp tục được Microsoft ghi nhận việc phát hiện và cảnh báo ba lỗ hổng bảo mật mức nghiêm trọng sinh sống trong phần mền thuộc combo sản phẩm Microsoft 365 Apps for Enterprise.
Các lỗ hổng này cho phép tin tặc lợi dụng, chiếm quyền điều khiển thiết bị nạn nhân, truy cập vào mạng lưới của tổ chức và thực hiện các hành vi xâm phạm an ninh mạng nguy hiểm, cũng có thể gây thiệt hại lớn cho doanh nghiệp.
Trong thời gian gần ba năm làm việc tại VinCSS, chuyên gia Trần Văn Khang đều đặn nghiên cứu, phát hiện và trở thành chủ của mình của tất cả 27 mã CVE. Các phát hiện lỗ hổng bảo mật của Trần Văn Khang đa số là trong các sản phẩm thuộc các hãng công nghệ lớn trên thế giới như Microsoft, Adobe và những phần mềm diệt virus nhiều của Trend Micro, McAfee, Bitdefender, ESET.
Các phát hiện này đã giúp các hãng công nghệ này kịp thời hoàn thiện và loại bỏ mối nguy hiểm đe dọa hàng tỷ người sử dụng trên toàn thế giới.
Trước đó, vào tháng 4/2019, chuyên gia Trần Văn Khang đã trở thành người Việt Nam số một đạt chứng chỉ bảo mật rất tốt cấp GREM (GIAC Reverse Engineering Malware: Kỹ thuật dịch ngược mã độc) do Học viện An ninh mạng SANS (Mỹ) kiểm chứng.
Việc đạt chứng chỉ bảo mật này chứng minh cho năng lực và khả năng làm việc ở đẳng cấp quốc tế của chuyên gia đến từ Việt Nam bởi độ khó của kỳ thi khiến không nhiều chuyên gia trong lĩnh vực bảo mật trên thế giới cũng có thể đạt được.
Chuyên gia Việt đóng góp cho cộng đồng an ninh mạng thế giới
Trong lĩnh vực an ninh mạng, việc tìm các lỗ hổng zeroday (thuật ngữ để chỉ những lỗ hổng phần mềm hoặc phần cứng chưa được biết đến và chưa được hoàn thiện) được coi là đóng góp có tầm ảnh hưởng rất lớn bởi các lỗ hổng này thường chưa được các chuyên gia phát triển sản phẩm đó biết đến hoặc chưa có bản vá hoàn thiện.
Bởi vậy, các hoạt động tự động kiểm thử, tìm hiểu để phát hiện các lỗ hổng zeroday có vai trò quan trọng giúp các tổ chức kịp thời cập nhật phiên bản mới, hoàn thiện tính bảo mật cho sản phẩm và bảo vệ người sử dụng khắp thế giới trước các rủi ro trên không gian mạng.
Vì tính nghiêm trọng, ảnh hưởng trên quy mô toàn thế giới, các lỗ hổng bảo mật trên được công nhận khắp thế giới và được đăng tải trên hệ thống National Vulnerability Database (nvd.nist.gov) của Viện tiêu chuẩn kỹ thuật quốc gia Mỹ (NIST).
Chia sẻ về những thành tích của mình, chuyên gia Nguyễn Văn Khang (Trưởng nhóm Phân tích mã độc, Công ty TNHH Dịch vụ An ninh mạng VinCSS (Tập đoàn Vingroup) cho biết: “Môi trường Internet được giám chắc an toàn là điều kiện cốt yếu để nền kinh tế số phát triển bền vững, bởi vậy tôi rất vui, tự hào vì bản thân mình cùng các đồng nghiệp được đóng góp công sức vào các bước ấy. Những ghi nhận của cộng đồng bảo mật trong nước và quốc tế là nguồn động lực lớn cho tôi tiếp tục cố gắng, cọ xát để có nhiều đóng góp trị giá hơn.”
Những thành tích nổi bật của Trần Văn Khang cũng như thông tin các chuyên gia bảo mật người Việt phát hiện điểm yếu trong các hệ thống lớn như Oracle, D-Link, Vmware, Microsoft đã và đang khẳng định năng lực toàn thế giới của đội ngũ an ninh mạng Việt Nam.
Bên cạnh việc nghiên cứu phát triển, cung cấp các sản phẩm ra thị trường, các công ty an ninh mạng Việt Nam trong đó có VinCSS đã và đang dành nguồn lực nhằm góp phần bảo vệ nền kinh tế số, không gian mạng.
Những kết quả hữu ích và sự ghi nhận của cộng đồng an ninh mạng thế giới chính là động lực để các chuyên gia Việt tiếp tục nỗ lực, đóng góp các nghiên cứu trị giá một ngày nào đó.
(*) CVE (Common Vulnerabilities and Exposures) là định danh chuẩn hóa cho các lỗ hổng bảo mật trên toàn thế giới. CVE cung cấp các điểm tham chiếu là cơ sở để review lỗ hổng bảo mật và công cụ, dịch vụ tương thích với doanh nghiệp. Đa số các tổ chức trên khắp thế giới đã chọn dùng CVE như một tiêu chuẩn tư vấn bảo mật. CVE hiện đang được duy trì, quan sát và công bố bởi The MITRE Corporation, tổ chức uy tín nhất thế giới về việc lưu trữ list các lỗ hổng bảo mật, cũng như cung cấp hướng dẫn kỹ thuật trong suốt các bước xử lý để giám chắc CVE phục vụ có lợi cộng đồng.
Trường Thịnh
