Hacker vô gia cư

(Tiếp theo và hết)
Thanh Huyền

Công ?

Khi đề cập đến khía cạnh đạo đức, người ta thường chia các hacker thành ba loại: Mũ trắng (những hacker đột nhập vào các mạng máy tính để tìm kiếm những lỗ hổng bảo mật và "vá" chúng chứ không khai thác với ý đồ xấu nên thường được các công ty thuê làm công việc bảo mật hệ thống mạng), Mũ đen (đột nhập vào các mạng máy tính một cách bất hợp pháp để đánh cắp hoặc phá hoại), giữa hai loại này là Mũ xám (những hacker không phá hoại nhưng thích tìm cảm giác mạnh thông qua việc tự ý đột nhập vào các hệ thống mạng riêng và thực hiện những cuộc  kiểm tra an ninh bảo mật  không ai mời, rồi làm một số động tác chứng tỏ mạng đã bị xâm nhập như để lại thông tin cá nhân). Hacker mũ xám thường tự cho mình là những đội viên “dân phòng”, có tinh thần cảnh giác cao, luôn giúp đỡ các công ty tìm ra lỗ hổng của hệ thống. Tuy nhiên ranh giới giữa sự vô tư và vụ lợi thường rất mỏng manh và đó chính là môi trường mà Lamo thích nhất.

Thông báo với công ty vừa bị mình đột nhập vào hệ thống là cách mà Lamo thường chọn.  Worldcom đã từng gửi thư cảm ơn Lamo khi hắn không đánh cắp hàng triệu séc thanh toán nhạy cảm, thậm chí sau đó, Lamo còn dành hẳn một buổi để mô tả cuộc đột nhập gửi cho lãnh đạo Worldcom. Excite@Home cũng đã từng cảm ơn Lamo khi hắn lọt qua một proxy server để vào Web nội bộ của hãng này, tự ghi tên mình vào hệ thống. Sau khi tìm ra cách truy nhập vào từng bản ghi chép về hàng triệu thuê bao trực tuyến, Lamo đĩnh đạc bước vào trụ sở của công ty Excite@Home tại Redwood City, California, trực tiếp thông báo trực tiếp cho quản trị mạng, ở lại giúp họ khắc phục lỗ hổng rồi mới đi...

Và tội...

Tuy nhiên việc đột nhập vào hệ thống mạng của tòa soạn tờ báo The New York Times hồi tháng 2-2002 thì khác, không những Lamo không được ai cám ơn mà còn bị đưa vô tù... Không tìm được gì ở các server tin tức, Lamo tập trung đột vào mạng công ty, gửi các email thử nghiệm tới hộp thư tự động trả lời của tờ The New York Times để lọc ra các địa chỉ IP và... tình cờ chi được vào một mạng cấp dưới - có quyền điều khiển CSDL chứa những dữ liệu quan trọng về hơn 3000 cộng tác viên thuộc trang Op-Ed của New York Times (chuyên trang báo đặc biệt với những bài bình luận sâu sắc về nhiều vấn đề mà đôi lúc khá nhạy cảm).

Trong danh sách mà Lamo tìm được, có cả những nhân vật như cựu Tổng thống Mỹ Jimmy Carter, Thanh tra vũ khí của Liên hợp quốc Richard Buttler, cựu Giám đốc Cục An ninh quốc gia Bobby Inman, các ngôi sao điện ảnh như Robert Redford và Rush Limbaugh,... Rất nhiều nhân vật trong danh sách này có cả địa chỉ và số điện thoại đi kèm những ghi chép về lĩnh vực hoạt động, thu nhập cá nhân,... Sau đó, Lamo tự tự động đưa tên mình vào danh sách. Không chỉ điền đầy đủ họ tên, số điện thoại di động mà còn giới thiệu lĩnh vực chuyên môn để cộng tác là "chuyên gia xâm nhập máy tính, bảo mật quốc gia, tình báo truyền thông".

Sau đó, Lamo gọi cho phóng viên Kevin Poulsen của Website SecurityFocus.com, vốn cũng từng là một hacker, cung cấp tin này, để kiểm tra lại tính chân thực của thông tin, Kevin Poulsen đã gọi cho The New York Times.

The New York Times đã gửi một báo cáo cho Văn phòng Công tố đề nghị điều tra. Cơ quan này phát hiện ra rằng không những Lamo chỉ đưa tên hắn vào danh sách cộng tác viên trang Op-Ed mà còn tạo một số account cho phép truy cập và sử dụng Lexis Nexis (một dịch vụ cung cấp tin tức trực tuyến có thu phí của The New York Times). Tại Toà, Công tố viên cho biết, trong nhiều tháng, Lamo đã sử dụng các account kể trên để thực hiện hơn 3.000 lần tìm kiếm trên Lexis Nexis, một vài cuộc tìm kiếm là dò tìm các thông tin về chính hắn. Lamo cũng đã tìm tất cả những biển kiểm soát được cấp cho những chiếc xe mà FBI đăng ký để hoạt động bí mật. Theo FBI, Lamo đã sử dụng hơn 300.000USD phí dịch vụ Lexis Nexis. Đây rõ ràng là một khoản cước có tính trừng phạt. Trên thực tế, nếu Lamo chỉ đăng ký một account không hạn chế quyền truy cập với Lexis-Nexis trong ba tháng thì hắn chỉ xài chùa khoảng 1.500USD. Tuy nhiên đối với The New York Times, thiệt hại do Lamo gây ra không phải là tiền bạc. Đại diện The New York Times tuyên bố: "Đó là một vi phạm có tính thách thức nghiêm trọng".

Không ai cảm thấy biết ơn Lamo về việc Lamo đã chỉ ra nhược điểm trong cơ sở dữ liệu Op-Ed. Một số người còn xem hành vi đó là thủ đoạn nham hiểm: một nỗ lực nhằm chuyển sự chú ý khỏi trò ăn cắp. Khi FBI công bố kết luận điều tra, The New York Times đã quyết định tính thiệt hại với mức hơn 300.000 USD.

“Mũ” mà Lamo đội “xám” ở mức nào vẫn còn đang là một nội dung gây nhiều tranh cãi. Trên Website Slashdot, nơi tập trung nhiều chuyên gia bảo mật máy tính, các thành viên đã dành nhiều ngày để tranh luận với nhau về việc nên chọn từ nào đề sát hợp nhất với hành vi hack của Lamo. Liệu đó có phải là một hành động thực sự tốt, giống như đi qua một chiếc ô tô không khóa, chứa đầy tiền và lên tiếng cảnh báo cho người chủ? Hay chỉ là trò đùa giống như mở cửa vào nhà hàng xóm và để lại trên giường một mẩu giấy báo với chủ nhà rằng cửa sổ phòng tắm nhà họ chưa đóng?

Những vụ đột nhập khiến Lamo trở thành nổi tiếng trong giới hacker. Bên cạnh những kẻ ủng hộ Lamo có không ít người phê phán. Họ cho rằng việc Lamo thông báo với báo chí về các vụ đột nhập chẳng qua chỉ nhằm thỏa mãn cái tôi. Thậm chí một hacker có tên là Mike Sanders còn cho rằng thực ra, Lamo không phát hiện được lỗ hổng của Excite@Home mà chỉ tỏ ra tử tế để lấy tiếng... thơm.

Lamo (bìa trái) và hai hacker đàn anh là Kevin Mitnick và Kevin Poulsen

Có thể Lamo là người tốt khi khác nhiều hacker, không bao giờ Lamo dùng tên giả và không hề giấu kín danh tính của mình. Nếu công ty được hắn thông báo về điểm yếu hệ thống tỏ ra cần, Lamo giúp họ trám lỗ hổng bảo mật đó hoàn toàn miễn phí. Tuy Lamo có “công” với một số công ty nhưng vụ The New York Times đã hé ra một điều: Người ta có thể nhìn hành động của hắn theo hướng khác. Trước Tòa, Lamo bị cáo buộc đã xâm nhập vào hệ thống máy tính của The New York Times vào ngày 26-2-2002 để lấy cắp các thông tin cá nhân trong đó có số điện thoại và số an sinh xã hội của hơn 3.000 cộng tác viên của tờ báo này. Lamo còn bị cáo buộc đã sử dụng các tên truy nhập và mật khẩu giả để thực hiện hơn 3.000 tra cứu tại cơ sở dữ liệu trực tuyến LexisNexis, gây tổn thất cho Times 300.000 USD.

Tháng 9-2003, Tòa cho Lamo tại ngoại sau khi đã nộp khoản tiền bảo lãnh là 250.000 USD và chịu bị quản thúc 6 tháng ở nhà cha mẹ hắn tại Sacramento trong khi chờ phán quyết chính thức. Theo bộ luật liên bang Mỹ “Computer Fraud and Abuse Act”, ban hành năm 1986, Lamo có thể sẽ bị phạt 15 năm tù và phải trả khoản tiền phạt lên tới 500.000 USD. Chẳng biết anh chàng hacker có rút ra được gì từ chuyện này không.