Viettelův „hacker“ zanechává svou stopu na mapě světa

Těsně po jedné hodině ranní 27. října v jasně osvětlené místnosti společnosti Viettel Cyber ​​​​Security Company (VCS) propuklo 14 členů týmu VCS v radost: Tým vyhrál mistrovství největší a nejprestižnější soutěže v kybernetických útocích na světě, Pwn2Own 2023.

To není jen očekávaný výsledek tří měsíců nepřetržité, denní i noční práce celého týmu, ale také houževnatého soupeření s nejsilnějšími soupeři z celého světa !

To není jen první sladká odměna pro nejmladšího člena týmu, Do Anh Dunga, narozeného v roce 2003, který je v současné době studentem třetího ročníku na Technické univerzitě (VNU Hanoi)!

Pro členy jako Ngo Anh Huy, Nguyen Xuan Hoang, Nguyen Hong Quang…, kteří se na tomto turnaji účastní již několik let, není to jen touha dosáhnout vrcholu soutěže!

Velkým úspěchem bylo také získání nejvyššího umístění pro zemi v jedné z nejprestižnějších světových soutěží, což potvrdilo schopnosti Vietnamců v oblasti informační bezpečnosti a ochrany.

A co je nejdůležitější, je to „sladké ovoce“ sklizené ze semínek, které Viettel neochvějně zaseje po mnoho let. Dnes se Viettel s VCS a týmem expertů na informační bezpečnost může hrdě prohlásit za jednu z předních světových společností v oblasti informační bezpečnosti a bezpečnostních kapacit.

Všech 14 členů týmu VCS, který vyhrál šampionát Pwn2Own 2023, je velmi mladých. Většina členů pochází z generace 90. let, přičemž nejmladší člen se narodil v roce 2003.

Většina členů týmu má ale dlouholeté zkušenosti a spoustu úspěchů v oblasti informační bezpečnosti. Dokonce i nejmladší člen týmu, Do Anh Dung, se osvědčil: Dung byl tím, kdo v této soutěži dokázal zázrak, vyhrál v jedné kategorii a přispěl k celkovému výsledku týmu.

Večer 27. října si tým Viettel Cyber ​​Security (VCS) oficiálně zajistil vítězství v závěrečné soutěžní kategorii s 30 body Master of Pwn a nechal druhý tým daleko za sebou o 12,75 bodu.

Díky tomuto přesvědčivému skóre si VCS zajistil mistrovský titul před mnoha mezinárodními soupeři, kteří byli považováni za silné kandidáty na titul v turnaji, jako například Sea Security (Singapur), Vupen, Synactiv (Francie) a Devcore (Tchaj-wan - loňský šampion)...

Člen týmu VCS Ha Anh Hoang se podělil o výzvy, s nimiž se setkal během přípravy na soutěž: „Tři měsíce před soutěží organizátoři oznámili pouze vybavení, které bylo třeba zvládnout. Proto jsme měli na přípravu pouze tři měsíce, protože tehdy si tým mohl zakoupit vybavení ke studiu. Mnoho kusů vybavení muselo být dovezeno ze zahraničí a jejich cesta do Vietnamu trvala měsíce.“

Podle dalšího člena týmu, Nguyen Xuan Hoanga: „Soutěže se účastní závodníci, kteří se jí účastní již dlouhou dobu. Mají mnoho zkušeností a jsou zde také velmi silní konkurenti, a to jak ekonomicky , tak profesionálně. Tým VCS je odhodlán vstoupit do soutěže s co nejdůkladnější přípravou, jednotou a vhodnou strategií, aby v letošním ročníku dosáhl co nejvyššího úspěchu.“

Hoang dále uvedl, že loni tým VCS v této soutěži obsadil druhé místo se skóre velmi blízkým vítězi, prohrál pouze o 2,5 bodu. Tým je proto odhodlán letos usilovat o titul.

Cesta k mistrovství ale není jednoduchá: Cílem útoku v této soutěži jsou všechna populární zařízení a software po celém světě od předních výrobců, jako jsou Microsoft, Apple, Google, Samsung… - sdělil Nguyen Xuan Hoang.

Aby bylo možné splnit požadavky soutěže, muselo být zařízení objednáno z USA, ale chvilka nedbalosti způsobila jeho poruchu, protože používalo napájení 110 V vhodné pro americký trh, zatímco Vietnam používá elektřinu 220 V.

Podle Ngo Anh Huy, člena, který se této soutěže zúčastnil čtyřikrát, se tým nejvíce obává duplicitních zranitelností nebo toho, že výrobce rychle opraví bezpečnostní nedostatky, které tým zaregistroval. Loni tým Viettel získal pouze druhé místo, protože byl penalizován za duplicitní zranitelnost.

Navíc se na poslední chvíli objevily problémy, protože se zpozdily vízové ​​procedury, což zabránilo celému týmu včas cestovat do Toronta (Kanada) na osobní soutěž. Místo toho muselo 14 členů týmu VCS soutěžit online a neustále se obávat potenciálních problémů, které by se během zápasu nemusely včas vyřešit…

Ale konečný výsledek mluví sám za sebe… Tým VCS nejenže vyhrál šampionát, ale dosáhl i velkolepého vítězství.

„Když jsme vyhráli v závěrečné kategorii top 10, celý tým propukl v radost a štěstí, protože jsme dokázali, že toto mistrovství bylo přesvědčivé vítězství, které nenechalo prostor pro žádné pochybnosti,“ hrdě vzpomínal Nguyen Xuan Hoang na ten okamžik.

Po čtyřech po sobě jdoucích letech účasti v soutěži Pwn2Own konečně tým VCS poprvé zvedl trofej pro vítězství v soutěži Pwn2Own. Jedná se o soutěž v hackování softwaru a spotřební elektroniky, kterou dvakrát ročně pořádá organizace zabývající se kybernetickou bezpečností Zero Day Initiative a která je považována za jednu z nejnáročnějších soutěží v kybernetické bezpečnosti na dnešním světě.

Pan Nguyen Son Hai, ředitel společnosti VCS, uvedl, že v roce 2020 dosáhl Viettel svého prvního vítězství v této „soutěži“ v kategorii chytrých televizorů. V roce 2021 se Viettel dostal do první pětky. V roce 2022 si zajistil druhé místo. A letos se s drtivým skóre posunul na mistrovský titul.

Soutěže v Pwn2Own se účastní nejen renomované týmy kybernetické bezpečnosti z celého světa, ale také významní globální výrobci a technologické korporace. Každá soutěž představí výzvy týkající se populárních softwarových nebo hardwarových zařízení, jako je operační systém Windows, telefony Apple, Xiaomi a Samsung nebo tiskárny Canon a HP atd.

Týmy musí soutěžit v nalezení dříve neznámých bezpečnostních zranitelností v softwaru a zařízeních a poté do 30 minut naživo předvést, jak tyto zranitelnosti zneužít.

„Proč můžeme říci, že konkurenty nejsou jen další expertní skupiny v oblasti bezpečnosti, ale také výrobci zařízení jako Apple, Xiaomi, Canon, TP-Link… protože nesnášejí, když jsou obviňováni ze zranitelností ve svých zařízeních, které by mohly narušit důvěru zákazníků. Tito dodavatelé zařízení mají vždy bezpečnostní tým a jsou ochotni utratit velké částky peněz za opravu chyb ve svých produktech před zahájením soutěže, aby jejich produkty nebyly v očích veřejnosti zneuctěny,“ sdělil novinám Tuoi Tre Nguyen Hong Quang, člen týmu VCS.

Soutěž bude proto intenzivní od okamžiku zveřejnění otázek až do poslední chvíle. Je docela možné, že týmy objeví chyby, ale vývojáři je nečekaně opraví těsně před dnem soutěže, což způsobí, že jeden z týmů přijde o veškerou svou tvrdou práci a dosažené úspěchy.

Proto „jak se blížil čas představení, museli jsme se rozdělit na denní a noční směny, abychom ‚monitorovali‘, zda zranitelnosti, které jsme objevili, stále existují, a bedlivě sledovali producenty, abychom zjistili, zda opravili chyby, které jsme našli,“ řekl Ngo Anh Huy, ostřílený hráč Pwn2Own z týmu VCS.

Soutěž Pwn2Own Toronto 2023 se zaměřuje na hardware, včetně kategorií jako mobilní telefony, chytré reproduktory, sledovací systémy, síťové úložné systémy a kancelářská elektronika. Každá kategorie nabízí ceny v rozmezí od 30 000 do 100 000 dolarů a skóre se pohybuje od 2 do 10 bodů v závislosti na obtížnosti hacknutí zařízení a úrovni dokončení hackerské demonstrace.

Nejcennější cenou, a to jak z hlediska odměny, tak i bodů, je poslední kategorie, a to mash-up, který vyžaduje, aby týmy spustily exploit kód na jednom ze síťových routerů poskytnutých v soutěži a tím zaútočily na zařízení ve výše zmíněných kategoriích, s cenou 100 000 dolarů a 10 body.

Po splnění individuálních úkolů a úspěšném útoku na telefony Xiaomi 13 Pro, úložné systémy QNAP TS 464, tiskárny Canon imageClass MF753Cdw a reproduktory Sonos Era 100 dosáhl tým VCS 20 bodů, čímž si téměř zajistil prvenství, zatímco jejich soupeř, Sea Security, dosáhl po splnění individuálních i kombinovaných úkolů pouze 17,25 bodu.

I když intenzivní konkurenční tlak polevil, finální kategorie nadále pronásleduje inženýry VCS, protože nedostatek bodů v mashup soutěži byl důvodem, proč loni o mistrovství nepřišli. „Tentokrát, když jsme se účastnili smashup kategorie, byli jsme opět v nevýhodě, když jsme byli později vylosováni do soutěže. Pokud bychom udělali stejnou chybu jako předchozí tým, ztratili bychom body,“ sdělil Ngo Anh Huy. Tato chyba v překrývání vedla k tomu, že VCS ztrácel 2,5 bodu za vítězným týmem v loňském turnaji Pwn2Own.

„Letos jsme se nejen snažili zneužít nové zranitelnosti, ale také jsme záměrně vybrali zranitelnosti, které bylo velmi obtížné najít a je nepravděpodobné, že by je jiné týmy duplikovaly, nebo které by mohly být snadno nalezené, ale obtížně zneužitelné, a které měly také mnoho záložních možností. To je výsledek tříměsíčního soustředěného výzkumu celého týmu,“ řekl Huy.

Výsledkem bylo, že tým VCS dosáhl v kombinované kategorii perfektního skóre 10/10 a vyhrál celkové prvenství s celkovým počtem 30 bodů, čímž výrazně překonal druhé místo o 12,5 bodu a zajistil si tak velkolepé a absolutní vítězství.

„Pwn2Own jsme si k otestování našich dovedností vybrali, protože se jedná o soutěž o nejoblíbenější zařízení na světě od předních výrobců s přísnými testovacími postupy,“ řekl pan Nguyen Son Hai, ředitel společnosti VCS. „Investice do specializovaného výzkumného týmu a testování našich dovedností na mezinárodní scéně je součástí úsilí společnosti VCS o rozvoj lidských zdrojů.“

Cesta týmu VCS k zisku titulu v Pwn2Own 2023 je vyvrcholením dlouhého a vrcholného úsilí a živým důkazem dlouhodobé vize skupiny Viettel Group o vedoucím postavení v oblasti informační bezpečnosti.

Před více než deseti lety, když byl ředitel VCS Nguyen Son Hai stejně starý jako nyní členové mistrovského týmu Pwn2Own 2023, bylo vedení skupiny Viettel odhodláno investovat do oblasti informační bezpečnosti.

První semínka pro vznikající pole zasela společnost Viettel již v rané fázi a těmto se věnovala systematická a strategická investice a péče.

Hloubkový výzkum společnosti VCS začal v jejích raných letech, kdy se na informační bezpečnosti zpočátku pracovalo pouze šest lidí. Od roku 2011 tým VCS provádí simulované útoky s jednotkami ve skupině Viettel Group, aby identifikoval bezpečnostní zranitelnosti.

„Protože provozujeme kritickou infrastrukturu, vizí společnosti Viettel je výzkum kybernetické bezpečnosti jakožto základního kamene,“ řekl pan Son Hai. „V kybernetické bezpečnosti jsou nejdůležitějším faktorem lidé. I při používání nejlepších produktů na světě, pokud jsou používány pouze jako koncový uživatel, zůstává riziko útoku velmi vysoké, zatímco kritická infrastruktura, jako jsou mobilní a internetové služby společnosti Viettel, je terčem útoků největších skupin na světě.“

Aby se vybudoval tým odborníků na ochranu kritické infrastruktury, VCS si klade za cíl vyškolit pracovníky v oblasti kybernetické bezpečnosti se schopnostmi odpovídajícími světovým standardům. Od roku 2015 do současnosti společnosti Viettel a VCS vyškolily 450 studentů, z nichž 5 % nejvhodnějších kandidátů bylo přijato k pokračování v práci, uvedl pan Hai.

„Po vybudování týmu expertů a systematických investicích do hloubkového výzkumu nadále hledáme způsoby, jak investovat do zlepšování útočných dovedností expertního týmu VCS. K tomuto cíli směřuje i účast na soutěžích světové úrovně,“ řekl pan Nguyen Son Hai.

V roce 2013 začala společnost VCS zkoumat zranitelnosti typu zero-day – neznámé a neopravené zranitelnosti, jejichž zneužití je proto nejdražší. Anh Huy a Hong Quang byli mezi prvními specialisty, kteří se tak zabývali. Do roku 2015 tým VCS objevil první zranitelnosti a k ​​dnešnímu dni počet zranitelností objevených společností VCS dosáhl 400.

„Žádný vietnamský podnik nedosáhl takového čísla a ani na světě jich mnoho není,“ prohlásil pan Hai.

Možnost školení prostřednictvím hloubkové výzkumné účasti je důvodem, proč je VCS atraktivním pracovištěm pro experty na kybernetickou bezpečnost, kteří právě vyhráli první cenu na Pwn2Own. Na otázku, proč si Anh Huy vybral Viettel, odpověděl: „Z mé zkušenosti vím, že jen málo společností je ochotno dlouhodobě investovat do výzkumu a výzkumných týmů v oblasti kybernetické bezpečnosti.“

„Zejména v oblasti kybernetické bezpečnosti je lidský prvek nejdůležitějším faktorem. Proto si VCS neustále uvědomuje školení a modernizaci svého týmu a budování dalších generací vysoce kvalifikovaných zaměstnanců, kteří jsou vždy připraveni řešit výzvy mezinárodní úrovně,“ zdůraznil ředitel VCS Nguyen Son Hai.

Na slavnostním předávání cen předseda představenstva a generální ředitel společnosti Viettel Group, Tao Duc Thang, blahopřál členům týmu k účasti v soutěži a vyjádřil hrdost na „white-hat hackery“ společnosti Viettel. Prohlásil: „Společnost Viettel je hrdá na to, že tým VCS získal prestižní ocenění v oblasti globální kybernetické bezpečnosti a ‚soutěžil‘ s předními světovými výrobci zařízení s velkými výzkumnými a vývojovými jednotkami.“

Šéf skupiny Viettel Group zhodnotil, že „Pwn2Own je prestižní soutěž s velmi vysokou úrovní obtížnosti pro každého hackera. Soutěž je přirovnávána k ‚bitvě‘ proti výrobcům s nejlepšími týmy informační bezpečnosti na světě, kteří jsou připraveni k odvetě proti hackerům až do poslední chvíle. Je to hra bez věkového omezení a může zahrnovat i nadnárodní spolupráci…“. Pan Tao Duc Thang proto prohlásil: „Vítězství v šampionátu Pwn2Own 2023 přineslo slávu Viettelu a Vietnamu na mezinárodní scéně,“ hrdě řekl předseda skupiny.

Předseda Cao Duc Thang také uznal, že oblast kybernetické bezpečnosti je rozsáhlá, pro experty společnosti Viettel je to dlouhá cesta a že před nimi stojí mnoho výzev.

„Udržet si nejvyšší pozici není snadné, proto musíme neustále usilovat o to, abychom měli velké sny a neustále se snažili tyto sny proměnit ve skutečnost, abychom Vietnam přivedli do světa,“ zdůraznil pan Tao Duc Thang.

Předseda představenstva skupiny Viettel rovněž uvedl, že v budoucnu bude mít skupina specifické zásady pro vzdělávání vysoce kvalitních lidských zdrojů, aby se mohli i nadále věnovat své práci s klidem.

Při přidělování úkolů VCS pan Tao Duc Thang zdůraznil, že VCS potřebuje pokračovat ve vzdělávání dalších bezpečnostních expertů a zaměřit se na vzdělávání další generace s nejlepšími základy pro službu nejen korporaci, ale i zemi a ochranu národa v kyberprostoru.