Hacker vs Script Kiddies
Đối với tụi nó thì trang "deface" giống như là Quốc Kỳ còn việc "hack" một trang Web giống như là thám hiểm một vùng đất mới, khám phá ra một hành tinh mới vậy. Vì việc đầu tiên khi vừa đặt chân lên một vùng đất mới chính là cắm Quốc Kỳ để đánh dấu lãnh thổ - tải lên một trang "deface" để cho mọi người biết rằng "Tao đã tới đây - đã xâm nhập thành công trang Web này, server này rồi nhé!". Hừm, tao đâu có lạ gì điều đó chứ khi mà đó cũng là những gì chính tao từng làm hồi mới chập chững bước vào cái Thế giới ngầm – thế giới Hacking này 5 năm trước. Đơn giản mà, khi còn là Newbie thì mày muốn được thể hiện cho mọi người thấy, để mọi người biết tới mình.
The expert in anything was once a beginner.
Đây là một trong những câu trích dẫn mà tao thích, nếu hiểu rộng ý nghĩa của câu đó ra thì chúng ta cũng có thể hiểu là "Hacker was once a Script Kiddies." – tại sao lại như vậy? Vì nếu xét theo định nghĩa về Script Kiddies trên Wikipedia – đó là những người sử dụng những công cụ do người khác viết ra, sử dụng những lổ hổng bảo mật do người khác khám phá ra.
Vậy thì mày có thể phủ nhận là mày chưa từng dùng một công cụ của người khác viết, một lỗ hổng bảo mật mà mày tìm thấy trên những trang công khai các lỗ hổng hay không? Đừng nói với tao là "Không", vì nếu mày dám khẳng định ngay từ khi mới bước vào Hacking mày đã dùng những công cụ do mày tự viết, khai thác những lỗ hổng do mày tìm thấy để tấn công những trang Web đó thì hẳn mày là "Thiên tài" rồi ("Thiên tài" hay "thiên tai" thì còn chưa biết?).
Tao không phê phán SK, điều tao đang nói ở đây là dù mày tài giỏi thế nào thì cũng đừng coi thường những đứa mà mày gọi là Script Kiddies vì có thể chính bản thân mày cũng đang dùng những công cụ do những người từng là Script Kiddies viết ra đấy.
Từ Hacking tới Lập trình
Tôi bắt đầu động vào cái gọi là "máy vi tính" từ
năm lớp 6 nhưng lên đến năm lớp 10 mới có máy vi tính riêng (cụ thể là
Laptop). Chẳng có gì phải giấu, tôi đã từng là một đứa nghiện "game",
thậm chí đã từng trốn học ra tiệm Net chơi game và đó là khoảng thời
gian mà sau này nghĩ lại thấy đáng tiếc nhất. Tuy vậy, điều làm tôi cảm
thấy đỡ hối tiếc đó là nhờ chơi CF mà tôi biết tới GhostClub – là clan mà tôi coi là gia đình thứ hai – gia đình ảo nhưng tình cảm thật. Và GhostClub là cầu nối giúp tôi quen James, Neo và anh Killer – là những người sẽ được nhắc tới ở phần tiếp theo câu chuyện.
Bắt đầu chủ đề về Hacking, diễn đàn đầu tiên mà tôi tham gia là VNW – nói cho đúng thì đây là một diễn đàn Under Ground (UG), đây đích thực mới chính là Thế giới ngầm (nếu dịch sang tiếng Việt) và Hacking là một phần trong đó. James cũng là một thành viên trong VNW, thậm chí là một thành viên đứng Top Credits (là
danh sách những thành viên có nhiều đóng góp, chia sẻ nhiều trong diễn
đàn).
Đây không phải là câu chuyện về UG nên tôi sẽ không kể chi tiết về nó, diễn đàn thứ hai tôi tham gia sau VNW là BYG (a.k.a Bé Yêu Group) và hàng loạt các diễn đàn Hacking tại Việt Nam khác như VNH, XgR, NBT, CEH, VHB, HCE,... nhưng sau này tôi chỉ hoạt động chủ yếu ở VNH và BYG – và BYG cũng là diễn đàn duy nhất tôi không dùng "nick name" là Juno_okyo (ở BYG, mọi người biết đến tôi dưới cái tên H4x0r™).
Mặc dù có những diễn đàn tôi tham gia chuyên về UG (VNW, BYG, NBT) – ở đây là các diễn đàn có liên quan tới thẻ tín dụng chùa (CC) nhưng con đường tôi chọn lại là Hacking & Security, đó là điều may mắn khi tôi đã không dính sâu vào UG vì tôi biết đồng tiền là nguyên nhân chủ yếu cám dỗ các bạn trẻ tham gia vào các diễn đàn UG nhưng tôi đã thoát ra được khỏi sự cám dỗ đó. Và cho tới thời điểm hiện tại, tôi không còn tham gia diễn đàn nào cả :)
Đây không phải là câu chuyện về UG nên tôi sẽ không kể chi tiết về nó, diễn đàn thứ hai tôi tham gia sau VNW là BYG (a.k.a Bé Yêu Group) và hàng loạt các diễn đàn Hacking tại Việt Nam khác như VNH, XgR, NBT, CEH, VHB, HCE,... nhưng sau này tôi chỉ hoạt động chủ yếu ở VNH và BYG – và BYG cũng là diễn đàn duy nhất tôi không dùng "nick name" là Juno_okyo (ở BYG, mọi người biết đến tôi dưới cái tên H4x0r™).
Mặc dù có những diễn đàn tôi tham gia chuyên về UG (VNW, BYG, NBT) – ở đây là các diễn đàn có liên quan tới thẻ tín dụng chùa (CC) nhưng con đường tôi chọn lại là Hacking & Security, đó là điều may mắn khi tôi đã không dính sâu vào UG vì tôi biết đồng tiền là nguyên nhân chủ yếu cám dỗ các bạn trẻ tham gia vào các diễn đàn UG nhưng tôi đã thoát ra được khỏi sự cám dỗ đó. Và cho tới thời điểm hiện tại, tôi không còn tham gia diễn đàn nào cả :)
Tôi đến với Lập trình cách đây 2 năm, là lúc bắt đầu học những thứ cơ bản từ HTML/CSS, sau đó là JavaScript rồi tới PHP, AutoIt, Python, Visual Basic và C#, hiện tại tôi nghĩ ngôn ngữ lập trình mà mình tự tin nhất là PHP.
Lý do tôi bắt đầu học lập trình vì tôi biết rằng muốn theo đuổi đam mê
Hacking, trước tiên tôi cần có kiến thức về Lập trình, ví dụ như: muốn
nắm vững SQL Injection thì bạn cần biết về SQL, muốn giỏi về Cross Site Scripting (XSS) thì bạn cần hiểu rõ JavaScript.
Nếu bạn giỏi về SQL Injection nhưng bạn không biết gì về SQL thì điều đó sẽ chứng tỏ bạn chỉ là một đứa học thuộc lòng các câu truy vấn mà bạn đọc được từ các bài hướng dẫn chứ bạn không hiểu những câu truy vấn đó có ý nghĩa là gì. Cũng tương tự với XSS, nếu bạn không biết chút nào về ngôn ngữ JavaScript thì bạn sẽ chỉ biết "copy" đoạn mã hiện hộp thoại thông báo đi dán đại vào các trang Web mà thôi, nếu may mắn thấy cái hộp thoại hiện lên thì tôi cá là bạn chẳng biết làm gì tiếp theo sau đó ngoài việc chụp ảnh màn hình rồi đem khoe là bạn vừa "hack" thành công một trang Web, vì nếu có kiến thức tốt về JavaScript thì bạn sẽ biết tư duy khiến nó trở thành một lỗ hổng bảo mật thực sự nguy hiểm hơn là hiện lên cái hộp thoại thông báo đó.
Nếu bạn giỏi về SQL Injection nhưng bạn không biết gì về SQL thì điều đó sẽ chứng tỏ bạn chỉ là một đứa học thuộc lòng các câu truy vấn mà bạn đọc được từ các bài hướng dẫn chứ bạn không hiểu những câu truy vấn đó có ý nghĩa là gì. Cũng tương tự với XSS, nếu bạn không biết chút nào về ngôn ngữ JavaScript thì bạn sẽ chỉ biết "copy" đoạn mã hiện hộp thoại thông báo đi dán đại vào các trang Web mà thôi, nếu may mắn thấy cái hộp thoại hiện lên thì tôi cá là bạn chẳng biết làm gì tiếp theo sau đó ngoài việc chụp ảnh màn hình rồi đem khoe là bạn vừa "hack" thành công một trang Web, vì nếu có kiến thức tốt về JavaScript thì bạn sẽ biết tư duy khiến nó trở thành một lỗ hổng bảo mật thực sự nguy hiểm hơn là hiện lên cái hộp thoại thông báo đó.
Những
ngày tháng bắt đầu đến với Lập trình, với tôi đó thực sự là khoảng thời
gian tuyệt vời. Niềm vui nho nhỏ là khi tôi tự viết ra được một trang
Web đầu tiên, là khi tôi tự tay viết ra một phần mềm ứng dụng, là khi
tôi sử dụng những "công cụ Hacking" do chính tay tôi viết ra chứ không
phải của một Hacker "lão làng" nào đó, là khi tôi dùng Shell với những chức năng do chính mình phát triển chứ không phải là một con Shell được chia sẻ trên mạng – đó cũng là lúc bạn sẽ nhận ra rằng "Một con Shell tốt không phải là Shell do bạn tìm thấy hay sưu tầm được, mà nó là Shell do chính bạn viết ra". Và đó cũng là khi tôi nhận ra mình đam mê Lập trình còn hơn cả niềm đam mê Hacking trước đây.
Về J2TeaM
J2TeaM là cái tên mà tôi thường nhắc tới gần đây, đặc biệt là sau khi dự án J2TeaM War Game 2014 được triển khai, nhưng không ai biết J2TeaM có
bao nhiêu thành viên (đùa chứ nghe thấy chữ "team" thì chắc cũng đoán
được ra có ít nhất 2 người trở lên), gồm những ai, hoạt động về lĩnh vực
gì,…?
J2TeaM là một nhóm được thành lập "không chính thức", lý do tôi nói không chính thức là vì tôi chưa từng chính thức thông báo về việc thành lập J2TeaM trên Juno_okyo’s Blog hay trên page Facebook (có thể hiểu J2TeaM là một nhóm hoạt động ngầm). Ở thời điểm hiện tại thì J2TeaM có 5 thành viên, bao gồm: Juno_okyo (tôi), James, Neo, Killer và K-20. Nếu để mô tả thì J2TeaM là một nhóm gồm 5 lập trình viên trẻ, hoạt động về lĩnh vực Công nghệ thông tin (Information Technology), Xâm nhập và Bảo mật (Hacking & Security). Giới thiệu đôi chút về các thành viên, dưới phương diện cá nhân tôi nói về họ nên sẽ không thể giới thiệu chi tiết các thông tin về bản thân.
Juno_okyo (Leader)
(Về tôi thì đã nói hết từ đầu bài viết tới giờ nên sẽ không mô tả gì thêm).
James (co-leader)
James
là người giúp tôi có cơ hội để dùng khả năng của mình để cống hiến cho
GhostClub, James là người đã tin tưởng đưa tôi lên vị trí Technician
(tức root) tại diễn đàn GhostClub để cùng James xây dựng và phát triển
diễn đàn. James có khả năng lập trình tốt về PHP, kỹ năng Hacking chuyên
về SQL Injection.
Neo
Neo là một trong những người
đầu tiên giúp tôi về PHP và giúp tôi thấy được sự nguy hiểm của XSS và
CSRF khi cùng kiểm tra lỗi bảo mật tại mạng xã hội Go.vn. Neo cũng là
người viết ra những ứng dụng Facebook hấp dẫn cho page của team để thu
hút thành viên trên page – đặc biệt ấn tượng là ứng dụng Kount với số
lượng người dùng và lưu lượng truy cập ứng dụng lớn. Neo có khả năng tốt
về PHP, lập trình các ứng dụng với Facebook API và kỹ năng sử dụng
Photoshop (Neo là một Freelance Designer). Kỹ năng Hacking tốt về XSS,
CSRF và SQL Injection – trong đó mạnh về XSS. Neo hiện cũng là thành
viên thuộc Design Team trên SVIT.
Killer
Anh Killer là
thành viên lớn tuổi nhất trong J2TeaM, là người giúp tôi rất nhiều khi
bắt đầu làm quen với OOP trong quá trình học PHP nâng cao. Ngoài Google
và PHP.net ra thì anh Killer là người tôi có thể coi là thầy đã dạy tôi
về PHP. Ngoài kỹ năng tốt về PHP thì anh Killer có kỹ năng về giải mã,
đôi chút về crack phần mềm. Những dự án gần đây mà anh Killer làm có thể
nhắc đến như GZing (lấy link nhạc chất lượng cao tại Zing Mp3), KZing
(là bản cập nhật của GZing và bổ xung thêm chức năng lấy link video tại
Tv.zing.vn). Anh Killer cũng từng là thành viên của VnGeneral (là một
team về Hacking, chủ yếu liên quan tới Game Online), là cựu Mod thuộc
Coder Team trên SVIT và là cựu coder bên VietvBB.vn (những ai từng phát
triển một diễn đàn bằng vBulletin hẳn biết tới trang này).
K-20
Theo
cái nhìn riêng của tôi thì K-20 như là nhà tài trợ của team vì khả năng
cung cấp tên miền, máy chủ cũng như các phần mềm bản quyền hỗ trợ hoạt
động của các thành viên trong team. Ngoài ra thì K-20 có khả năng về SQL
Injection, XSS và Local Attack.