Vèo cái đã tới những ngày cuối năm, mấy ngày này mình còn chả dám bỏ lịch ra xem, dường như mọi thứ trôi quá nhanh trong những ngày này. Xem lại list bài thì mới để ý là tháng này chưa có bài nào cả, phần cũng là do bận bịu công việc. Tháng này thì mình không có nghiên cứu gì nhiều, hoặc là đủ hay ho để chia sẻ cả, bài viết này có lẽ sẽ là một bài phi kỹ thuật, để tổng hợp lại những thứ linh tinh mình đã làm trong một năm qua. Mọi người có thể bỏ qua nếu đang hy vọng vào một bài phân tích kỹ thuật nào đó, thì đây không phải bài như vậy!
Năm vừa qua có thể nói là một năm đặc biệt đối với mình nói riêng, và với cơ quan của mình nói chung, đánh dấu những bước phát triển đầu tiên của một startup có gốc rễ từ nhà nước, môi trường vốn dĩ là khắc nghiệt và gò bó dành cho những mầm non! Dù vậy nhưng tôi, chúng tôi, chúng ta cũng đã rất cố gắng gắn rễ thật sâu, lớn dần và thật vững chắc, để lại chút gì đó gọi là dấu ấn trong làng CyberSec VN.
Công việc năm nay cũng khá là thoải mái đối với mình, khi mà giảm nhẹ đi được gánh nặng của *nghề tay trái — the Watcher. Mình có được toàn bộ thời gian chỉ ăn và đọc code, Research, viết lách, rồi đi chọc ngoáy. Lặp lại như vậy mãi, nhiều khi mình có cảm giác bị lạc lõng, mất cái mood làm việc này, và cảm giác lo lắng mỗi khi nghĩ tới về những ngày cuối tháng lập báo cáo công việc. Mình cũng không hiểu việc này lắm, nhưng nó là cái quy trình của tổ chức nên đành chịu. Dù thực tế thì đến cả mình còn chả kỳ vọng được tháng này mình làm được cái tích sự gì cho đời.
…
Xem lại list bài viết trong năm nay thì cũng thấy có gì đó an ủi phần nào, mỗi tháng đều có những bài phân tích (không hề giả trân) về một thứ gì đó hay ho (rất là hút view). Và cũng phần nào an ủi khi thấy uy tín của tổ chức dần được khẳng định, tên của tổ chức ngày càng xuất hiện ở nhiều nơi (mặc dù mình không ưa cái tên mới này lắm). Mấy thứ trong 12 tháng mình ngâm cứu và viết lách có lẽ cũng đủ mô tả lại các trend trong năm 2021 đầy biến động với giới CyberSec này: ProxyLogon, ProxyShell, vCenter, SolarWinds, Confluence, …
Có lẽ hơi đi ngược với thời đại, nhưng thực ra mình thích việc ngồi phân tích 1day hơn là mò mẫm tìm 0day.
Việc phân tích có khá nhiều ưu điểm hơn, ví dụ như:
- Đích đến đã được định sẵn, việc bạn cần làm chỉ là tìm đường tới đó
- Do đích đến đã được định sẵn (giống như CTF có sẵn flag), nên phần nào cũng an tâm hơn khi xác định việc mình làm không phải là vô nghĩa, nó chắc chắn sẽ dẫn đến đâu đó. Còn việc tìm 0day giống như đánh cược thời gian của bạn để đi đào mỏ vậy, bạn có thể đào ra kim cương, vàng, bạc hoặc không gì cả. Và mình thì không thích những thứ mình không chắc chắn.
- Trong quá trình mò mẫm đường tới cái đích đến 1day kia, bạn sẽ va chạm được rất rất nhiều kiến thức mới hay ho, ví dụ như tính kiên trì khi setup product của Oracle, khám phá ra nhiều công cụ có thể tối ưu công việc xuống còn một nửa thời gian, hay những kỹ thuật mới mẻ được ẩn sâu trong những CVE vô hồn kia!
- Biết đâu khi phân tích 1day, ta lại vô tình tìm ra những biến thể của nó ở đâu đó khác?
- Và dựa vào những kiến thức cung cấp từ bug 1day đó, lại là nền tảng, nguồn cảm hứng cho ý tưởng trong đầu, để có thể xây dựng kịch bản và tìm ra những 0day, lỗ hổng mới. Vì theo mình, việc tìm 0day thì fuzzing, may mắn chỉ là một phần, phần chính vẫn là nhờ cái nền tảng kiến thức phong phú, rồi dựa vào đó mới có thể kết nối, xâu chuỗi các kiến thức đó để trở thành một thứ gì mới, 0day, hay một kỹ thuật nào đó của thời đại.
Nói vậy thôi chứ năm qua thực ra mình cũng chả tìm ra cái 0day nào cả, chắc cũng là do ngồi ngâm 1day cũng đã ngập mặt rồi, time đâu mà đi mò mẫm!
Nhưng rồi được một thời gian rồi mình cũng nghĩ lại:
“Rồi sao, 0day để làm gì, 1day có ý nghĩa gì ở VN này?”
Phải chăng sẽ là viên đạn được lắp vào khẩu Gatling gun, rồi mass scan bug bounty mỗi lần có PoC.
Hay sẽ được tổ chức APT 69 nào đó mượn PoC rồi đâm chọt tổ chức XYZ nào đó?
Hay sẽ được các công ty dùng để khè nhau mỗi mùa thầu bè dự án tới
…
╮(╯▽╰)╭
…
“Có người đến, có người đi, và có người ở lại …”
Lần chia tay nào chẳng buồn, cũng vài lần nói lời tạm biệt với nhiều người anh, đàn em. Có những hy vọng, những tương lai phút chốc được đặt vào những nơi ấy, rồi lại vội vụt tắt …
.
.