Thuật ngữ này khiến người ta liên tưởng tới những tên tội phạm tin học xấu xa chuyên tìm cách quấy rối mọi người, do thám các công ty, đánh cắp thông tin, và thậm chí là phá huỷ một nền kinh tế hoặc phát động một cuộc chiến tranh bằng cách đột nhập vào hệ thống máy tính quân đội. Tất nhiên có một số hacker có ý đồ xấu, nhưng họ chỉ chiếm một phần nhỏ trong cộng đồng hacker mà thôi. 

Thuật ngữ hacker máy tính xuất hiện lần đầu vào thập niên 1960. Khi đó, một hacker có nghĩa là một lập trình viên -- người chuyên phá mã máy tính. Họ là những người có tầm nhìn xa trông rộng, luôn tìm tòi những cách sử dụng máy tính mới, tạo ra những chương trình mà không ai làm được. Họ là những người tiên phong trong ngành công nghiệp máy tính, xây dựng nên mọi thứ từ những ứng dụng nhỏ cho tới những hệ điều hành. Theo nghĩa này thì những người như Bill Gates, Steve Jobs và Steve Wozniak đều là hacker -- họ nhìn ra được tiềm năng của máy tính và vạch ra những bước đi để đạt tới tiềm năng đó.  

Các hacker này đều giống nhau ở tính tò mò cực độ, đôi khi đến mức ám ảnh. Họ tự vào không chỉ về khả năng tạo nên các chương trình mới của mình, mà còn bởi tầm hiểu biết về cách thức hoạt động của hệ thống và các ứng dụng trong nó. Khi một chương trình có chứa lỗi -- một đoạn mã xấu khiến chương trình hoạt động thiếu hiệu quả -- các hacker thường viết và phân phối các đoạn mã – các miếng vá -- để khắc phục vấn đề. Một số người còn có khả năng kiếm tiền từ khả năng này, mặc dù họ thường sẵn lòng làm việc này một cách miễn phí.

Khi ngành công nghiệp máy tính ngày càng phát triển, các kỹ sư tin học bắt đầu kết nối các máy tính đơn lẻ thành một hệ thống. Không lâu sau đó, thuật ngữ hacker bắt đầu mang nghĩa mới -- một người chuyên sử dụng máy tính để khám phá một mạng lưới mà anh ta không phải là thành viên. Thường thì thời đó các hacker chưa có ý đồ xấu. Họ chỉ muốn tìm hiểu cách thức hoạt động của các hệ thống máy tính, và coi mỗi rào cản trước mắt họ là một thử thách cần vượt qua. 

Thực ra, điều này vẫn đúng với hoàn cảnh hiện tại. Mặc dù có nhiều câu chuyện kể về các hacker xấu bụng đã phá hoại các hệ thống máy tính ra sao, phát tán virus như thế nào, nhưng phần lớn các hacker chỉ đơn giản là tò mò – họ muốn biết những bí ẩn của thế giới công nghệ. Một số hacker đã sử dụng kiến thức của mình vào việc giúp các công ty và chính phủ xây dựng các biện pháp an ninh hiệu quả hơn. Trong khi đó một số khác lại dùng kỹ năng của mình vào các mục đích mờ ám. 

Trong bài báo này, chúng ta sẽ tìm hiểu một số kỹ năng thông dụng mà các hacker thường dùng để đột nhập hệ thống. Chúng ta sẽ cùng khám phá thế giới của các hacker, cách phân loại hacker, cũng như tiểu sử một số hacker nổi tiếng, một vài người trong số họ đã bất chấp cả luật pháp. 

Trong phần tới, chúng ta sẽ tìm hiểu các mánh khoé mà hacker thường dùng. 

Công cụ của các hacker  

Ngoài tài năng thiên bẩm của các hacker thì nguồn chủ yếu mà họ thường dùng chính là mã máy tính. Mặc dù cộng đồng hacker trên Internet khá đông đảo, nhưng chỉ có một phần nhỏ trong số các hacker là tự viết mã chương trình. Còn phần lớn các hacker đều tìm và download các mã do người khác viết. Có hàng nghìn chương trình mà hacker thường sử dụng để sục sạo hệ thống, giúp họ có được quyền năng trên cơ những người dùng và các công ty lương thiện -- một khi một hacker kỳ cựu mà biết được cách hoạt động của một mạng lưới, anh ta có thể viết ngay một chương trình khai thác mạng lưới này.  

Các hacker xấu bụng thường dùng những chương trình này để:   

·       Hack password: Có rất nhiều cách để chôm được password của ai đó, từ việc đoán suy luận cho tới các thuật toán đơn giản chuyên kết hợp các chữ cái, chữ số và biểu tượng lại với nhau. Phương thức thử-và-sai để hack password còn được gọi là kiểu tấn công thô sơ , tức là hacker sẽ cố thử tất cả các kiểu kết hợp có thể. Ngoài ra còn có một cách khác là sử dụng kiểu tấn công theo từ điển(dictionary attack),tức là sử dụng một chương trình chuyên ghép những cụm từ thường gặp vào ôpassword.

·       Lây nhiễm virus cho hệ thống: Virus máy tính là các chương trình được thiết kế để tự nhân đôi, và có thể gây ra nhiều tác hại, từ việc làm treo máy cho đến việc xoá sạch mọi dữ liệu trên ổ cứng. Một hacker có thể cài virus lên máy tính bằng cách đột nhập vào hệ thống, nhưng thường thì chúng chỉ tạo ra các virus đơn giản rồi gửi cho nạn nhân qua email, tin nhắn tức thời, website với link download hoặc mạng lưới chia sẻ ngang hàng (peer-to-peer).

·       Theo dõi bàn phím: Một số chương trình cho phép hacker ghi lại toàn bộ những phím mà người dùng máy tính đã gõ ( Keylogger ) . Sau khi được cài lên máy tính nạn nhân, chương trình này sẽ theo dõi tất cả các phím gõ, giúp hacker có được toàn bộ những thông tin cần thiết để đột nhập vào hệ thống, hoặc thậm chí là đánh cắp nhân dạng người khác.    

·       Đột nhập qua cửa sau ( Back Door ) : Tương tự với kiểu hack password, một số hacker viết chương trình để tìm đường an toàn vào hệ thống. Trong những ngày đầu của kỷ nguyên Internet, nhiều máy tính được bảo vệ rất lỏng lẻo, tạo điều kiện cho các hacker có thể đột nhập dễ dàng mà không cần đến username hoặc password. Ngoài ra, hacker cũng có thể “đi cửa sau” vào hệ thống bằng cách làm máy tính nhiễm Trojan horse.

·       Tạo nên máy tính zombie: Một máy tính zombie, hay còn gọi là bot, là một máy tính có thể bị hacker lợi dụng để phát tán email hoặc thực hiện kiểu tấn công từ chối dịch vụ (DDoS). Sau khi nạn nhân thực thi một mã tưởng chừng như vô hại, một đường kết nổi giữa máy tính nạn nhân và máy tính hacker sẽ được mở ra. Sau đó hacker có thể bí mật điều khiển máy tính nạn nhân, sử dụng nó để thực hiện hành vi tội ác hoặc để gửi spam.   

·       Do thám email: Các hacker đã viết được một số mã cho phép chúng chặn và đọc email – tương tự như việc nghe lén điện thoại. Ngày nay, phần lớn các chương trình email đều sử dụng công thức khoá mã phức tạp đến nỗi ngay cả khi một hacker có chặn được email, hắn cũng không thể đọc được nó.   

Văn hoá hacker 

Xét một cách riêng lẻ, thì nhiều hacker không được hoà đồng cho lắm. Sở thích ám ảnh bởi máy tính và lập trình có thể trở thành rào cản giữa họ với cuộc sống xã hội. Khi được bỏ mặc một mình cùng với chiếc máy tính, một hacker có thể dành hàng giờ sục sạo một chương trình máy tính mà bỏ quên toàn bộ mọi thứ xung quanh.  .

Nhưng mạng máy tính đã giúp các hacker kết nối với những người có cùng sở thích. Trước khi Internet trở nên phổ biến, hacker có thể thành lập và tham gia một Hệ thống bảng tin (BBS). Họ có thể xây dựng hệ thống này trên máy tính riêng của mình rồi cho phép mọi người truy cập để gửi tin nhắn, chia sẻ thông tin, chơi game và download chương trình. Một khi các hacker đã tìm thấy nhau, cường độ trao đổi thông tin tăng lên một cách nhanh chóng. 

Một số hacker thường post các thành tựu của họ lên BBS, ba hoa về việc đột nhập vào một hệ thống an ninh nào đó. Thường thì họ sẽ upload một tài liệu từ cơ sở dữ liệu của nạn nhân lên để làm bằng chứng. Vào đầu những năm 90, các cơ quan lập pháp cho rằng hacker là một mối đe doạ an ninh nghiêm trọng, bởi có vẻ như hàng trăm người có thể xâm nhập vào những hệ thống an toàn nhất thế giới.

Có rất nhiều các website chuyên về nghiệp vụ hacking. Chuyên san hacker "2600: tạp chí Hacker hàng quý" có hẳn một trang web riêng với nhiều phần truyền hình trực tiếp về chủ đề hacker. Phiên bản giấy của tạp chí này hiện đã có trên các sạp báo. Những website như Hacker.org chuyên đào tạo hacker và bao gồm một số thử thách để các hacker kiểm tra khả năng của mình. 

Khi bị tóm – dù do cảnh sát hay do các công ty -- một số hacker thú nhận rằng họ đã gây ra những vấn đề nghiêm trọng. Phần lớn các hacker không muốn gây rắc rối; thay vào đó, họ chỉ đột nhập vào hệ thống để xem nó hoạt động ra sao mà thôi. Với một hacker, mỗi hệ thống an ninh giống như một đỉnh Everest – và anh ta xâm nhập vào đó để trải nghiệm thử thách. Luật chống lừa đảo và lạm dụng máy tính nghiêm cấm mọi hành vi truy cập vào hệ thống máy tính của người khác mà không được phép.

Và không phải tất cả các hacker đều đột nhập vào các hệ thống cấm. Một số dùng tài năng và hiểu biết của mình để tạo nên các phần mềm và biện pháp an ninh tốt hơn. Trong thực tế, nhiều hacker trước đây đã từng đột nhập vào hệ thống trái phép, giờ đã sử dụng kiến thức của mình vào việc tạo ra những ứng dụng bảo mật hiệu quả. Theo một nghĩa nào đó, thì mạng Internet là một chiến trường giữa hai loại hacker khác nhau -- loại xấu, hay còn gọi là hacker mũ đen, những kẻ xâm nhập hệ thống để phát tán virus; và loại tốt, những hacker mũ trắng, chuyên củng cố hệ thống an ninh và phát triển những phần mềm diệt virus hữu hiệu. 

Nhưng hacker của cả hai bên đều ủng hộ phần mềm nguồn mở, những chương trình có mã nguồn công khai cho tất cả mọi người để học tập, copy, phân phối và sửa đổi. Với phần mềm nguồn mở, các hacker có thể học hỏi kinh nghiệm lẫn nhau và tạo nên những chương trình hiệu quả hơn, từ những ứng dụng đơn giản cho tới hệ điều hành phức tạp như Linux.

Có một số ngày hội hacker hàng năm, phần lớn trong số đó đều đề cao hành vi trách nhiệm. Hội nghị thường niên DEFCON diễn ra tại Las Vegas thu hút hàng nghìn người tham dự để trao đổi chương trình, tham gia các cuộc tranh tài, thảo luận về nghệ thuật hacking và sự phát triển của ngành công nghiệp máy tính… và những hoạt động này thường nhằm thoả mãn tính tò mò của các hacker là chính. Ngoài ra còn có một sự kiện khác mang tên Chaos Communication Camp kết hợp điều kiện ăn ở công nghệ thấp -- phần lớn người tham dự đều ở trong lều -- với các cuộc thảo luận và hoạt động công nghệ cao.

Trong Phần tiếp theo, chúng ta sẽ cùng mối quan hệ giữa hacker và vấn đề luật pháp. 

Hacker và pháp luật

Nói chung, phần lớn các chính phủ đều khá cảnh giác với hiểm hoạ hacker. Khả năng đột nhập máy tính mà không bị phát hiện cộng với việc đánh cắp tài liệu mật của các hacker cũng đủ gây ra cơn ác mộng cho các cơ quan chính phủ. Những thông tin mật là đặc biệt quan trọng. Và nhiều nhân viên mật vụ không quan tâm đến việc dành thời gian để phân biệt giữa một hacker thuần tuý tò mò - người chỉ muốn kiểm tra khả năng của mình, với một điệp viên chuyên nghiệp.

Những bộ luật cho thấy rõ thái độ này. Tại Mỹ, có nhiều điều luật cấm hành động hacking. Một số luật trong đó, ví dụ như điều số 18 U.S.C. § 1029, tập trung vào việc xây dựng, phát tán, sử dụng mã cũng như các thiết bị cho phép hacker truy cập trái phép vào hệ thống máy tính. Nhưng ngôn ngữ luật lại chỉ cấm việc sử dụng hoặc tạo ra những thiết bị như vậy vào mục đích lừa đảo, vì thế các hacker có thể cãi rằng họ chỉ sử dụng công cụ này để khám phá cách hoạt động của một hệ thống an ninh mà thôi.

Ngoài ra, một điều luật quan trọng khác mang số 18 U.S.C. § 1030, cấm việc truy cập trái phép vào máy tính chính phủ. Vì thế ngay cả khi một hacker chỉ muốn đột nhập vào hệ thống này, anh ta vẫn vi phạm luật và sẽ bị xử lý .

Các hình phạt này rất đa dạng, từ việc phạt tiền cho tới tống giam. Nếu phạm tội nhẹ, một hacker có thể lãnh án 6 tháng tù treo, trong khi những tội nặng hơn có thể dẫn đến bản án tối đa 20 năm tù. Một công thức trên trang web của Bộ tư pháp Mỹ dựa trên thiệt hại tài chính mà hacker đó gây ra, cộng thêm con số nạn nhân của hắn để quyết định hình phạt thích đáng .

Nhiều quốc gia khác cũng có những điều luật tương tự như vậy, một số còn có những luật mập mờ hơn luật Mỹ nhiều. Mới đây chính phủ Đức vừa ra một điều luật cấm việc sở hữu “công cụ hacker.” Những người chỉ trích cho rằng cụm từ này quá rộng và rằng bất kỳ một ứng dụng hợp pháp nào cũng có thể rơi vào hạng mục này dưới bàn tay của các hacker lão luyện. Một số người chỉ ra rằng, nếu chiểu theo luật này, thì những công ty thuê hacker tìm ra những lỗ hổng trong hệ thống của họ đều là phạm luật.

Các hacker có thể thực hiện hành vi phạm pháp tại một nước khác trong khi đang ngồi trước màn hình máy tính của họ ở nửa bên kia trái đất. Do đó, việc truy tìm dấu vết hacker là một quá trình rất phức tạp. Nhiều khi các quan chức luật pháp phải nhờ nước khác dẫn độ nghi phạm về xét xử, và quá trình này thường mất hàng năm trời. Một trường hợp nổi tiếng là vụ nước Mỹ buộc tội Gary McKinnon. Kể từ năm 2002, McKinnon đã liên tục chống đối lại đề nghị dẫn độ của Mỹ vì tội hack vào hệ thống máy tính của NASA và Bộ quốc phòng Mỹ. McKinnon, kẻ đã từng hack hệ thống máy tính của Vương quốc Anh, luôn khẳng định rằng hắn chỉ giúp vạch ra những lỗ hổng trong các hệ thống an ninh quan trọng mà thôi. Tháng 4 năm 2007, cuộc giằng co giữa hắn và chính quyền Mỹ đi đến hồi kết khi tòa án Anh bác đơn kháng cáo của hacker này .