11h30 đêm, tại một căn phòng có diện tích khoảng hơn 20m2 nằm xen lẫn với khu nhà ở dành cho lao động tỉnh lẻ nhập cư phía Nam Hà Đô

Trong thứ không khí có mùi mốc meo do thức ăn thừa và bát đũa lâu ngày không được dọn dẹp, một người thanh niên tóc tai bù xù đang ngồi kỳ cạch gõ bàn phím, mắt lom lom nhìn vào những con số trên màn hình máy tính.

Tên hắn là Nguyễn Quang Trung, là sinh viên nhất ngành Khoa học máy tính của Trường Đại học Công nghệ Hà Đô.

Trung vốn là người đam mê tin học, hắn biết tới tin học từ ngày còn học cấp hai và lên cấp ba thì theo học hệ đào tạo chuyên phổ thông tin học của Tỉnh nên rất có nền tảng kiến thức. Do vậy tuy mới chân ướt chân ráo vào đại học, nhưng Trung đã là một web-developer khá lành nghề, chuyên phát triển các website thương mại từ hơn một năm nay. Công việc “out-sourcing" tại gia cũng giúp hắn kiếm được gần 400 USD mỗi tháng. Đây là nguồn thu nhập chính giúp Trung có thể trang trải tiền sinh hoạt cũng như “tình phí” với cô nàng xinh đẹp mới quen gần đây.

Hôm nay là 27 rồi, Trung hiện đang truy cập vào website của FPT Telecom để xem cước internet trả sau tháng này của hắn.

- Móa… Hơn 1 triệu….

Trung lẩm bẩm xác nhận thông tin nhưng sắc mặt thì lại không được tốt, dường như rất là tức giận. Thông thường Trung sẽ đón nhận con số này một cách bình thản, nhưng bây giờ nó đã trở thành một vấn đề lớn, hắn vừa mất việc tháng trước mà nguyên nhân chính lại là do FPT Telecom.

Chuyện là hôm đó, hắn hẹn tay chủ 12h đêm sẽ "demo" cái dự án thế nhưng "Remote Computer didn"t response" lại là tất cả những gì hắn nhận được sau hàng trăm lần cố gắng kết nối vào mạng.

Càng khốn nạn hơn ở chỗ, cái điện thoại làm màu của hắn mới đầu tối bị cô bạn gái xinh đẹp lỡ tay làm rơi xuống đất thế là hoạt động chập chờn thành ra hắn cũng không nghe hay gọi lại với tay chủ được. Thử đi thử lại không được, cũng hơn 2h sáng rồi, Trung bực mình ném lại công việc lăn ra ngủ.

Và thế là ngày hôm sau, hắn nhận được email hủy bỏ cái dự án đang làm, và kể từ đó hắn cũng không còn nhận được bất kì dự án nào khác.

Càng nhìn con số báo cước phí Trung càng tức. Hắn đập mạnh tay xuống bàn gào lên:

- Dịch vụ thì tồi, giá cả trên trời, chất lượng như shittttt… Phải chơi tụi này một vố mới được, không thì không xả được cơn giận này! Hừ hừ…

Máu nóng thanh niên nổi lên, nghĩ là làm, Trung bắt đầu cào tay lên bàn phím quyết tâm xâm nhập vào hệ thống lưu trữ và tính cước của FPT Telecom để dạy cho nhà cung cấp này một bài học.

Sau gần nửa tiếng tìm hiểu, Trung đã có kha khá thông tin về website này.

Website này được đặt trên một máy chủ WIMA (1) mà đối với máy chủ WIMA thì cách xâm nhập dễ nhất là đi qua con đường ứng dụng web (web-application) chạy trên đó.

Lúc này ngoài website báo phí online mà Trung đang xem, máy chủ còn chứa nhiều website khác có liên quan của công ty này là một trang tin tức và trang có ứng dụng giao lưu bạn bè và khách hàng.

Sở trường của Trung là web-application nên theo kinh nghiệm của hắn trang ứng dụng giao lưu sẽ ít phức tạp hơn các trang còn lại, mà ít phức tạp sẽ là kẻ thù nguy hiểm nhất của bảo mật. Điều này là hiển nhiên bởi bảo vệ một tòa lâu đài nhiều lối ra ngõ vào, bao giờ cũng khó hơn rất nhiều so với bảo vệ một căn nhà trệt chỉ có một cửa ra vào duy nhất. Người làm tốt công tác bảo mật bao giờ cũng là người tuân thủ theo luật KISS! (2)

Ngay khi truy cập, theo thói quen, Trung liền view source (3) của website, thông tin hiện lên cho thấy tác giả là [email protected], công cụ dùng để tạo website là Microsoft FrontPage. Các đoạn Javascript trong website này không có thông tin gì hấp dẫn.

Hoangnv – “Nguyễn Văn Hoàng chăng?”, ít nhất cũng đã có một cái tên, Trung cẩn thận ghi chú lại.

“Ok! Tiếp theo là làm gì?”

Cứ như một cái máy đã lập trình sẵn, Trung bắt đầu dò tìm ngay công cụ quản lí website, 80% các website mà Trung biết đều đặt công cụ quản lí website "khơi khơi ngoài mặt tiền" ở các thư mục như admin, quanly, editor, nhaptin...

Truy cập vào phần webmaster, màn hình hiện lên dòng chữ "Khu vực quản trị, xin vui lòng đăng nhập..." cùng với hai textbox ứng với tên tài khoản và mật khẩu.

Như phản xạ có điều kiện, Trung nhập ngay vào hai textbox chuỗi "1" or 1=1--", và nhấn Enter.

Ánh sáng màn hình chớp giật giây lát rồi một hàng chữ màu xanh xuất hiện trước màn hình:

"Xin chào Webmaster, chúc bạn một ngày làm việc vui vẻ!"

“Rầm… Móa… Há há… Ta thật là thiên tài, không… phải là thiên tài trong thiên tài!”

Trung đập bàn nhảy nhót gào lên sung sướng, hắn không thể tin được, trước mặt hắn bây giờ là công cụ quản lí toàn bộ thành viên của website.

Đang khi Trung hả hê với thành quả đạt được thì bên ngoài vang lên tiếng gầm thét:

- Thằng điên nào nửa đêm còn la hét ồn ào thế hả? Thiên tài hay thiên tai? Có cho ai ngủ nữa không thế?

Trung nghe xong thì rụt đầu rụt cổ lại không dám hó hé thêm điều gì. Hắn nhận ra tiếng quát vừa rồi chính là của bà chủ vang lên từ căn nhà tầng đối diện dãy trọ.

Nếu bây giờ nói Trung sợ gặp ai nhất thì chính là người này. Không phải Trung có xích mích gì hay làm ra chuyện khuất tất mà nguyên nhân cũng khá đơn giản, hắn là đang thiếu nợ tiền nhà.

Đáng lẽ với thu nhập của Trung thời gian trước nếu hắn biết tiết kiệm một chút thì dù bây giờ không có việc làm hắn cũng không đến nỗi rơi vào tình cảnh giật gấu vá vai nhưng Trung làm người lại cũng xem như là rộng rãi. Ăn chơi với bạn bè hắn cũng luôn chủ động là người đứng ra thanh toán phần nhiều hơn nữa, thời gian gần đây Trung lại còn đèo bòng thêm cô bạn gái cứ ba bữa nửa tháng lại rủ hắn tụ tập mua sắm, đi chơi thành ra thiếu trước hụt sau cũng là điều dễ hiểu.

Vụng trộm nhìn ra ngoài sân qua khe cửa, lại giỏng tai một hồi thấy không có ai tới tìm mình, Trung mới khẽ thở phào ra một hơi. Hắn đặt mông ngồi trở lại trước màn hình rồi lục tìm hồ sơ của tài khoản webmaster và tài khoản hoangnv với hi vọng lấy được vài thông tin hữu ích.

Sau ít giây, Trung đã có được thông tin cần biết. Tên thật của hoangnv là Nguyễn Việt Hoàng, khác phần tên lót so với Trung đã dự đoán. Người này lớn hơn hắn bốn tuổi, cũng đang sống ở Hà Đô.

Trung tiếp tục kéo lẹ thanh trượt xuống phía dưới, dáo dát tìm cái mà hắn đang chờ đợi.

- Đây rồi, mật khẩu! Ha ha

Ánh mắt Trung lấp lánh vui mừng, quả nhiên 100% website hiện tại đều không mã hóa mật khẩu của người dùng, một sơ hở rất đáng trách và lần này cũng không ngoại lệ.

Trung đồng thời cũng phát hiện ra webmaster và Nguyễn Việt Hoàng là cùng một người, bởi cả hai đặt mật khẩu giống nhau. Đối với Trung đến được đây này thì coi như hắn đã đi được nửa chặng đường, và nếu như may mắn, hắn có thể đi hết nửa chặng còn lại trong tích tắc.

Tạm dừng đôi chút, Trung xác định lại cái mục đích của hắn khi xâm nhập vào website của FPT.

Đúng thế, hắn có hai mục đích.

Một là dùng Internet miễn phí càng lâu càng tốt, "hô biến" cái cục nợ 1 triệu mấy của tháng này đi, và mục tiêu thứ hai là dạy cho tụi nhà mạng này một bài học.

Dĩ nhiên, đối với một tay hacker "già đòn" như Trung thì mục tiêu đầu là quan trọng nhất.

Trung vẫn còn nhớ khi hắn mới bước chân vào thế giới hacking, bản thân luôn muốn chứng tỏ mình bằng cách deface (4) hết website này đến website khác và quả thực hắn đã làm được điều đó rất nhiều lần và cũng đã mang tới cho hắn rất nhiều tự tin và sảng khoái.

Có điều trò chơi nào cũng tới lúc phải nhàm chán, đối với hắn bây giờ thì cái thời deface lung tung đã qua từ lâu, hơn nữa cuộc sống với nhu cầu chi tiêu đã khiến Trung thêm tỉnh táo. Hắn chỉ ra tay khi việc tấn công đem lại lợi nhuận gì đó cho bản thân hắn, và dĩ nhiên “con chuột” Trung cũng không dại gì "bứt dây động rừng" một khi đã vào được "hũ nếp".

Sau bao phi vụ càn quét trên mạng cùng với chiến hữu, Trung hiểu ra được rằng xét cho cùng deface là một hành động ngu xuẩn, không chứng minh được gì, chỉ tổ rước vạ vào thân, lại còn mất nguồn lợi nữa chứ.

Là người đã có quá nhiều kinh nghiệm, từ khi bắt đầu đến giờ, Trung luôn làm theo "best practices", hắn luôn chọn con đường ngắn nhất, dễ nhất để mà đi đến mục tiêu cuối cùng.

Sở dĩ hắn nhanh chóng tìm mật khẩu cùng những thông tin khác của webmaster và hoangnv là bởi vì hắn biết nhân viên FPT thế nào cũng được sử dụng Internet miễn phí. Và tồn tại một sự thật là con người ta thường trở nên rất ngờ nghệch khi chọn một mật khẩu cho mình. 80% sử dụng tên tuổi, địa chỉ, số nhà, số điện thoại để đặt mật khẩu, và nguy hiểm hơn họ dùng ngay mật khẩu đó cho tất cả tài khoản của mình, từ tài khoản truy cập Internet, đến hộp mail Yahoo! và đôi khi dùng làm số PIN cho thẻ ATM luôn.

Một thói quen rất nguy hiểm!

Mật khẩu của Trung dài 20 kí tự, bao gồm chữ cái hoa, chữ cái thường, chữ số, cả kí tự đặc biệt như #$%^*...và hắn dùng một mật khẩu khác nhau cho mỗi loại tài khoản khác nhau. Vậy mà hắn cũng còn chưa an tâm, mỗi 2 tháng là hắn lại đổi tất cả mật khẩu, và không bao giờ sử dụng lại bất kì mật khẩu nào. Nhiều khi Trung cũng thường tự hỏi tại sao lại có nhiều người thờ ơ với chính sự an toàn của bản thân họ đến thế nhỉ?

Có được mật khẩu của hoangnv, Trung thử dial-up (5) vào FPT Telecom Bingo! Modem sau một tràng dài "tò te tò te" cuối cùng đã kết nối thành công. Quá đã! Coi như mục tiêu số một "gần như" đã được hoàn thành.

Trung suy đoán đối với nhân viên FPT thì mật khẩu vào internet rất có thể cũng là mật khẩu tài khoản email, do đó Trung liền đăng nhập vào hộp mail [email protected] qua chương trình Webmail.

Và hắn đã may mắn thật!

- Wow! Quá trời email! Chắc hẳn có rất nhiều thông tin bổ ích đây

Trung vừa reo lên vừa thầm tự nhủ.

Kiểm tra sơ bộ Trung nhận ra tất cả email đều chưa được đọc, có vẻ như Nguyễn Việt Hoàng không sử dụng chương trình Webmail này, mà thay vào đó dùng dùng một chương trình email như Outlook Express chẳng hạn, lấy mail về nhưng lại chọn chế độ lưu một bản sao trên máy chủ.

Trung đếm thấy có hơn 100 thư, trong đó có rất nhiều cái có file đính kèm khá lớn. Nhìn sơ qua tiêu đề, hầu hết các email là những cuộc trao đổi, trò chuyện của Nguyễn Việt Hoàng với những người cùng phòng tại FPT Telecom.

Và việc đầu tiên trung làm là download hết tất cả email này về máy tính của hắn, không quên chọn chế độ để lại một bản sao trên máy chủ. Công việc này mất khá nhiều thời gian do đường truyền khá chậm.

Nhìn biểu tượng load mail, Trung khẽ lắc đầu sau đó đứng lên đi pha một bát mì ăn khuya. Thời tiết mùa hè nóng bức chui rúc trong căn phòng nhỏ này quả thật cũng không phải là quá dễ chịu gì nên sau khi bị vị cay của mì tôm hong ra một thân mồ hôi, Trung đành phải lấy quần áo tắm lại một lượt cho mát.

Theo đó khi hắn quay trở lại bàn máy tính thì tất cả email đã được download xong tự bao giờ.

Trung bắt đầu duyệt qua các email theo thứ tự từ cũ nhất đến mới nhất. Với mỗi email, chưa cần đọc nội dung, hắn liền lưu lại tất cả địa chỉ người gửi, người nhận, và file đính kèm nếu có. Có rất nhiều thông tin hấp dẫn trong đám email này, nhưng đáng chú ý nhất là một email có nội dung “ Một proxy (6) cho phép kết nối từ bên ngoài vào!”

Hai mắt Trung sáng lên như điện, trong lòng thì đang gào thét “Hô hô… Cuối cùng thì cũng tìm thấy mày rồi”

Cánh cửa nhà đã được mở. Những công việc còn lại với Trung chỉ như một trò trẻ con. Hắn đã vào được nhà, có thể ra vô từng căn phòng, di chuyển đồ đạc trong phòng thế nào cũng được. “Ngôi nhà thông tin” của FPT Telecom giờ đã thành nhà của hắn…

Ghi chú:

(1) Máy chủ WIMA: là máy chủ chạy hệ điều hành Windows, với hệ cơ sở dữ liệu MS SQL, máy chủ web IIS và ngôn ngữ lập trình web ASP (ASP.NET). Ngoài WIMA ra thì còn có LAMP (hệ điều hành Linux + máy chủ web Apache + hệ cơ sở dữ liệu MySQL và ngôn ngữ lập trình web PHP) cũng là một dạng cấu hình rất thường gặp.

(2) KISS = Keep It Simple, Stupid!: Hãy đơn giản và ngốc ngếch!

(3) View source: xem mã HTML của website. Trong Internet Explorer, bạn có thể view source một website bằng cách nhấn chuột phải, chọn View source.

(4) Deface: thuật ngữ chỉ hành động thay đổi, làm biến dạng một website nào đó để gây chú ý.

(5) Dial up: kết nối bằng cách quay số thông qua modem.

(6) Proxy: giống như firewall (bức tường lửa), được thiết kế để bảo vệ tài nguyên trong các mạng cục bộ khi nối kết các mạng khác như mạng Internet.