Nữ thủ khoa chuyên ‘săn’ lỗ hổng bảo mật

Hà nộiTrước khi tốt nghiệp thủ khoa Học viện Mật mã, Mỹ Quỳnh đã tìm ra 9 lỗ hổng bảo mật của Oracle, được vinh danh và nhận giải thưởng 10.000 USD.

Lê Mỹ Quỳnh, 23 tuổi, cựu sinh viên Học viện Kỹ thuật Mật mã, được xướng tên tại lễ vinh danh thủ khoa các trường đại học, học viện tại Hà Nội, ngày 18/11.

Ngôi vị thủ khoa là kết quả của chiến lược học tập lâu dài của Quỳnh. Bên cạnh điểm số, cô gái “nhỏ nhưng có võ” còn gây ấn tượng với biệt danh “thợ săn” lỗ hổng bảo mật khi tìm ra 9 lỗi nghiêm trọng từ sản phẩm của tập đoàn công nghệ Oracle (Mỹ).

Lê Mỹ Quỳnh tại lễ vinh danh thủ khoa các trường đại học, học viện ở Hà Nội, tối 18/11. Ảnh: Nhân vật được cung cấp

Khi còn học cấp 2, Quỳnh từng là “át chủ bài” trong đội tuyển Lịch sử của trường. Theo gợi ý của cô bạn cùng phòng, cô gái sinh năm 1998 đăng ký học Lịch sử. Với trí nhớ và khả năng tư duy tốt, Quỳnh đã có thành tích xuất sắc nhất đội trong nhiều tháng liên tiếp.

Với giải nhất cấp quận và giải nhì cấp thành phố, Quỳnh đã đỗ giải nhì bộ môn Lịch sử của Trường THPT chuyên Hà Nội – Amsterdam. Tuy nhiên, nữ sinh quyết định theo học Trường THPT Yên Hòa vì gần nhà, đi lại thuận tiện. Từ trước đến nay, dù không học và làm việc liên quan đến Lịch sử nhưng Quỳnh tin rằng quá trình theo đuổi bộ môn này đã giúp cô hình thành nhân cách. “Ngoài việc rèn luyện trí nhớ, tôi nhận ra rằng để phát triển bất cứ thứ gì, tôi phải hiểu quá trình hình thành của nó. Quan niệm này giúp tôi có xu hướng tìm hiểu nguồn gốc của mọi vấn đề trong cuộc sống cũng như nguồn gốc của mọi vấn đề trong công việc. ”, Quỳnh nói.

Quỳnh được gia đình tạo điều kiện cho tiếp xúc với máy tính từ nhỏ. Mới 8-9 tuổi, cô bé đã tò mò, tháo vỏ máy tính “xem bên trong có gì”. Lớn lên, Quỳnh được tiếp cận với công việc lập trình. Có bố từng làm cùng lĩnh vực, nữ sinh thường được bố “giao” việc lập trình, sau đó bàn cách giải.

Để thỏa mãn sở thích tìm hiểu về bảo mật và an toàn thông tin, Quỳnh đã nộp hồ sơ vào Học viện Mật mã. Kết thúc năm học đầu tiên, nữ sinh giành được học bổng toàn phần của Chính phủ và được chọn bất kỳ trường nào ở Nga để theo học ngành công nghệ thông tin. Tuy nhiên, cô gái Hà Nội đã cân nhắc rất kỹ. Nếu sang Nga, Quỳnh sẽ mất một năm học tiếng, một năm dự bị, sau đó học thêm 5 năm đại học. Thời gian học quá dài, chưa kể cơ hội thực tập “không nhiều như ở Việt Nam”. Cuối cùng, Quỳnh chọn ở lại, hoàn thành chương trình kỹ sư tại Học viện Kỹ thuật Mật mã.


Lê Mỹ Quỳnh, thủ khoa đầu ra của Học viện Kỹ thuật Mật mã năm 2021, thường được biết đến với biệt danh thợ săn lỗ hổng.  Ảnh: Nhân vật cung cấp

Lê Mỹ Quỳnh, thủ khoa Học viện Mật mã năm 2021. Ảnh: Nhân vật được cung cấp

Cuối năm 2, Quỳnh đi thực tập và học việc tại trung tâm an toàn thông tin của một tập đoàn viễn thông lớn tại Việt Nam. Nhiệm vụ của Quỳnh cùng các thành viên trung tâm là tìm ra lỗ hổng trên các sản phẩm công nghệ của Oracle mà tập đoàn này đang sử dụng. Sau nhiều tháng “ôm” máy tính để nghiên cứu sản phẩm và những lỗ hổng được phát hiện trước đó, cuối năm 2019, kết quả đầu tiên đã đến với Quỳnh.

Trong lúc nộp hồ sơ, chờ thẩm định và công nhận khi phát hiện ra lỗ hổng bảo mật, Quỳnh đứng ngồi không yên. Cô vừa lo lắng có ai đó đã phát hiện ra trước, vừa sợ rằng mình đã nhầm ở đâu đó. “Khi được công nhận, tôi hét lên vì sung sướng. Cảm giác đó thật khó quên. Đó là khi tôi thấy đam mê đó tạo ra thành quả và được công nhận”, Quỳnh nhớ lại.

Hành trình “truy lùng” lỗ hổng bảo mật của Quỳnh không phải lúc nào cũng suôn sẻ. Có lần, dù mất nhiều thời gian, công sức nhưng khi gửi hồ sơ đi thẩm định, Quỳnh nhận được phản hồi có người báo lỗ hổng này. Không bỏ cuộc, cô vẫn kiên trì và tìm ra nhiều lỗ hổng nữa.

Trong các năm 2019-2021, Quỳnh đã phát hiện ra 9 lỗ hổng Oracle, tất cả đều thuộc loại “0-day”. Đây là loại lỗ hổng nguy hiểm nhất, hiện vẫn chưa có ai tìm ra, đồng nghĩa với việc chưa có bản vá. Hầu hết các lỗ hổng mà Quỳnh khai thác đều liên quan đến cơ chế Java Deserialization, một kiểu tấn công nguy hiểm dựa trên ngôn ngữ lập trình java. Một khi bị tấn công thành công, lỗ hổng này có thể gây ra những hậu quả khó lường.

Trong số 9 lỗ hổng mà Quỳnh phát hiện, có 6 lỗ hổng được đánh giá 9,8 / 10 về mức độ nghiêm trọng. Cô gái sinh năm 1998 được Oracle vinh danh liên tiếp trong hai năm 2020 và 2021 với “bộ sưu tập” lỗ hổng bảo mật, nhận tiền thưởng 10.000 USD (khoảng 230 triệu đồng).


My Quỳnh khi tập trung cho công việc.  Ảnh: Nhân vật cung cấp

My Quỳnh khi tập trung cho công việc. Ảnh: Nhân vật được cung cấp

Quỳnh cho rằng muốn thực hành tốt thì phải vững lý thuyết. Vì vậy, dù đã có công việc từ năm 3 đại học nhưng cô vẫn xác định “học là chính”. Đi làm cả ngày, Quỳnh đăng ký học lúc 18-21: 30. Không đặt mục tiêu là thủ khoa đầu vào khi mới vào trường, nhưng sau những học kỳ đầu tiên, nhận thấy điểm của mình thuộc loại tốt nhất khoa, Quỳnh nghĩ “tại sao không?”.

Sau đó, cô ấy hình thành một chiến lược học tập rõ ràng. Quỳnh cho rằng không nhất thiết tất cả các môn đều phải A +, thay vào đó, cô đặt mục tiêu điểm số dựa trên năng lực: môn chính hay môn thế mạnh phải đạt loại khá, môn “không giỏi lắm” có thể là B +. Để kế hoạch thành công, Quỳnh xác định hiệu suất là quan trọng nhất. Khi đi học, cô thường ngồi vào bàn học, nhưng … không ghi chép mà học để hiểu. Trước mỗi kỳ thi, cô đều đọc kỹ đề cương và nghiên cứu đề cương. Kết quả là sau 5 năm, cô tốt nghiệp thủ khoa Học viện Kỹ thuật Mật mã với số điểm 3,5 / 4.

Ông Nguyễn Văn Bình, Chủ tịch Hệ thống quản lý sinh viên, Học viện Kỹ thuật Mật mã đánh giá, thông thường sinh viên năm 3-4 đã có việc làm ổn định sẽ hơi xao nhãng việc học, có khi trượt môn. Nhưng Quỳnh không trượt học bổng nào. “Điều đó cho thấy Quỳnh có học lực khá, tính hướng thiện, tính tự giác, kỷ luật cao. Ngoài việc học, em còn tham gia nghiên cứu khoa học cũng như các cuộc thi trong và ngoài trường”, thầy Bình nói. .

Khác với hình dung của nhiều người về thủ khoa chỉ biết học, hay “dân” công nghệ suốt ngày vùi đầu vào máy tính, Quỳnh biết cách cân bằng cuộc sống. Vốn là người hay nói, cô thường làm diễn giả cho các sự kiện công nghệ để chia sẻ kinh nghiệm và học hỏi kiến ​​thức từ khách mời. Khi cần, Quỳnh có thể “ôm” máy tính cả ngày, nhưng nếu cảm thấy cơ thể không khỏe, căng thẳng, cô sẵn sàng đóng máy và giải tỏa bằng cách chơi đàn, gặp gỡ bạn bè hoặc đi ngủ.

Trong thời gian tới, Quỳnh tiếp tục tìm kiếm các lỗ hổng trong các sản phẩm của Oracle, nhằm tìm ra các lỗ hổng bảo mật đột phá hơn. Thời gian qua, cô tích lũy thêm nhiều kiến ​​thức và mong muốn được chia sẻ kinh nghiệm trong các hội thảo quốc tế.

Thanh Hằng

.

Theo vnexpress

%d bloggers like this: