Um 1:00 Uhr nachts am 27. Oktober brachen in dem noch hell erleuchteten Raum der Viettel Cyber Security Company (VCS) 14 Mitglieder des VCS-Teams in Jubel aus: Das Team hatte die Meisterschaft des weltweit größten und prestigeträchtigsten Cyberangriffswettbewerbs Pwn2Own 2023 gewonnen.
Es war nicht nur das erwartete Ergebnis dreimonatiger, ununterbrochener Arbeit Tag und Nacht durch das gesamte Team und ein zäher Wettbewerb gegen die stärksten Gegner aus aller Welt !
Das ist nicht nur die erste süße Frucht für das jüngste Mitglied des Teams, Do Anh Dung, geboren 2003 und derzeit Studentin im dritten Studienjahr an der Technischen Universität (VNU)!
Es ist nicht nur der Wunsch von Mitgliedern wie Ngo Anh Huy, Nguyen Xuan Hoang, Nguyen Hong Quang…, die sich seit mehreren Jahren in diesem Turnier versuchen, die höchste Platzierung im Wettbewerb zu erreichen!
Es ist auch eine Ehre, dem Land die höchste Platzierung in einem der renommiertesten Wettbewerbe der Welt zu sichern und damit die Leistungsfähigkeit des vietnamesischen Volkes im Bereich Informationssicherheit zu bestätigen.
Und vor allem sind es die „süßen Früchte“, die aus den Samen geerntet wurden, die Viettel vor vielen Jahren beharrlich gesät hat. Bis heute kann Viettel mit VCS und einem Team von Informationssicherheitsexperten stolz darauf sein, zu den weltweit führenden Unternehmen im Bereich Informationssicherheit und -schutz zu gehören.
Die 14 Mitglieder des VCS-Teams, das die Pwn2Own-Meisterschaft 2023 gewann, sind alle sehr jung. Die meisten gehören der Generation 9x an, das jüngste Mitglied wurde erst 2003 geboren.
Doch die meisten Teammitglieder kämpfen schon seit vielen Jahren, verfügen über umfangreiche Erfahrung und Erfolge im Bereich Informationssicherheit. Selbst das jüngste Mitglied, Do Anh Dung, hat sich bereits hervorgetan: Dung hat in diesem Wettbewerb ein kleines Wunder vollbracht und mit dem Gewinn einer Kategorie maßgeblich zum Gesamtergebnis des Teams beigetragen.
Am Ende der letzten Runde am Abend des 27. Oktober gewann das Team von Viettel Cyber Security (VCS) offiziell die höchste Punktzahl mit 30 Master of Pwn-Punkten und ließ einen Abstand von 12,75 Punkten zum zweitplatzierten Team.
Mit diesem überzeugenden Ergebnis sicherte sich VCS den Meistertitel gegen zahlreiche internationale Gegner, die als starke Anwärter auf den Turniersieg galten, wie beispielsweise Sea Security (Singapur), Vupen, Synacktiv (Frankreich) und Devcore (Taiwan – der Vorjahresmeister)...
Ha Anh Hoang, Mitglied des VCS-Teams, berichtete über die Herausforderungen bei der Vorbereitung auf den Wettbewerb: „Drei Monate vor dem Wettbewerb gab das Organisationskomitee die zu erobernden Geräte bekannt. Daher blieben uns nur drei Monate Vorbereitungszeit, da das Team die Geräte zu diesem Zeitpunkt erst kürzlich für die Forschung angeschafft hatte. Viele davon mussten aus dem Ausland importiert werden, und es dauerte einen ganzen Monat, bis sie in Vietnam eintrafen.“
Laut Nguyen Xuan Hoang, einem weiteren Teammitglied, „nimmt der Wettbewerb an Teilnehmern teil, die schon lange dabei sind. Sie verfügen über viel Erfahrung, und es gibt auch sehr starke Konkurrenten, sowohl finanziell als auch fachlich. Team VCS ist fest entschlossen, mit sorgfältigster Vorbereitung, großem Zusammenhalt und einer geeigneten Wettbewerbsstrategie anzutreten, um im diesjährigen Wettbewerb den größtmöglichen Erfolg zu erzielen.“
Hoang fügte hinzu, dass das VCS-Team im letzten Jahr bei diesem Wettbewerb den zweiten Platz belegt hatte und nur 2,5 Punkte hinter dem Siegerteam lag. Daher ist das Team fest entschlossen, in diesem Jahr die Meisterschaft zu gewinnen.
Doch der Weg zur Meisterschaft ist nicht einfach: Die Angriffsziele in diesem Wettbewerb sind alle weltweit beliebten Geräte und Softwareprodukte führender Hersteller wie Microsoft, Apple, Google, Samsung... - teilte Nguyen Xuan Hoang mit.
Um den Anforderungen des Wettbewerbs gerecht zu werden, musste das Gerät aus den USA bestellt werden. Doch in einem Moment der Unachtsamkeit ging das Gerät kaputt, weil es eine für den US-Markt geeignete 110-V-Stromquelle nutzte, während in Vietnam 220 V verwendet werden.
Laut Ngo Anh Huy, einem Mitglied, das bereits viermal an diesem Wettbewerb teilgenommen hat, besteht die größte Sorge des Teams darin, dass Fehler doppelt auftreten oder der Hersteller nicht genügend Zeit hat, die vom Team gemeldeten Sicherheitslücken zu schließen. Im vergangenen Jahr nahm das Viettel-Team am Wettbewerb teil und belegte nur den zweiten Platz, da ihm wegen einer bereits gemeldeten Sicherheitslücke Punkte abgezogen wurden.
Doch damit nicht genug: Die Herausforderung kam in letzter Minute, denn aufgrund von Visaverzögerungen konnte das gesamte Team nicht rechtzeitig nach Toronto (Kanada) reisen, um persönlich am Wettbewerb teilzunehmen. Stattdessen mussten die 14 Mitglieder des VCS-Teams online antreten und sich viele Sorgen über mögliche Probleme machen, die sich während des Wettbewerbs nicht lösen ließen.
Doch das Endergebnis sprach für sich… Das VCS-Team hat nicht nur gewonnen, sondern auch einen spektakulären Sieg errungen.
„Als wir die Wertung der zehn besten Teams gewannen, brach das ganze Team in Jubel und Freude aus, denn wir hatten bewiesen, dass diese Meisterschaft ein überzeugender Sieg war, ohne jeden Zweifel“, erinnerte sich Nguyen Xuan Hoang stolz an diesen Moment.
Nachdem das VCS-Team die letzten vier Jahre ununterbrochen an Pwn2Own teilgenommen hat, konnte es nun zum ersten Mal die Meisterschaft gewinnen. Pwn2Own ist ein zweimal jährlich von der Cybersicherheitsorganisation Zero Day Initiative veranstalteter Wettbewerb für Software- und Unterhaltungselektronikangriffe und zählt zu den anspruchsvollsten Cybersicherheitswettbewerben weltweit.
Herr Nguyen Son Hai, Direktor von VCS, erklärte, dass Viettel 2020 in diesem Marktsegment mit der SmartTV-Kategorie seinen ersten Sieg errungen habe. 2021 erreichte Viettel die Top 5, 2022 belegte das Unternehmen den zweiten Platz und sicherte sich dieses Jahr mit überwältigender Mehrheit den Titel.
Bei Pwn2Own treten nicht nur weltbekannte Cybersicherheitsteams an, sondern auch große Hersteller und Technologiekonzerne aus aller Welt. Jede Prüfung beinhaltet Fragen zu gängigen Software- oder Hardwaregeräten wie dem Windows-Betriebssystem, Smartphones von Apple, Xiaomi und Samsung oder Druckern von Canon und HP.
Die Teams wetteifern darum, unbekannte Sicherheitslücken in Software und Geräten zu finden und müssen innerhalb von 30 Minuten die Ausnutzung dieser Sicherheitslücken live demonstrieren.
„Warum können wir sagen, dass unsere Gegner nicht nur andere Sicherheitsexpertengruppen sind, sondern auch Gerätehersteller wie Apple, Xiaomi, Canon, TP-Link usw.? Weil sie es hassen, Sicherheitslücken in ihren Geräten zu riskieren und das Vertrauen ihrer Kunden zu verlieren. Diese Gerätehersteller verfügen stets über Sicherheitsteams und sind bereit, hohe Summen zu investieren, um Fehler in ihren Produkten vor dem Wettbewerb zu beheben und so einen Imageschaden zu vermeiden“, erklärte Experte Nguyen Hong Quang vom VCS-Team gegenüber Tuoi Tre .
Daher wird der Wettbewerb vom Beginn bis zur letzten Minute intensiv sein. Denn es ist durchaus möglich, dass die Teams zwar Sicherheitslücken entdecken, der Hersteller diese aber kurz vor dem Wettkampftag plötzlich behebt, wodurch ein Team all seine Anstrengungen und Erfolge zunichtemachen könnte.
„Deshalb mussten wir, je näher der Auftrittstermin rückte, Tag und Nacht Schichten einlegen, um zu beobachten, ob die von uns entdeckten Sicherheitslücken noch bestanden oder nicht, und den Hersteller genau im Auge behalten, um zu sehen, ob er die von uns entdeckten Fehler behoben hatte oder nicht“, sagte Ngo Anh Huy, ein erfahrener Pwn2Own-Spieler des VCS-Teams.
Der Pwn2Own-Wettbewerb 2023 in Toronto konzentriert sich auf Hardware, darunter Kategorien wie Mobiltelefone, Smart Speaker, Überwachungssysteme, Netzwerkspeichersysteme und Büroelektronik. In jeder Kategorie gibt es Preise zwischen 30.000 und 100.000 US-Dollar sowie Punktzahlen zwischen 2 und 10 Punkten, abhängig vom Schwierigkeitsgrad des Geräts und der Qualität der Angriffsdemonstration.
Die wertvollste Kategorie, sowohl in Bezug auf Preise als auch Punkte, ist die letzte Kategorie, Mash-up. Hierbei müssen die Teams Exploit-Code auf einem der vom Wettbewerb bereitgestellten Netzwerkrouter ausführen und dadurch ein Gerät in den zuvor genannten Kategorien angreifen. Der Preis beträgt 100.000 US-Dollar und 10 Punkte.
Nachdem die einzelnen Kategorien erfolgreich abgeschlossen und die Geräte Xiaomi 13 Pro, QNAP TS 464, Canon imageClass MF753Cdw sowie der Sonos Era 100 Lautsprecher angegriffen wurden, erzielte das VCS-Team 20 Punkte und gewann damit mit ziemlicher Sicherheit die Meisterschaft, da der Gegner Sea Security nach Abschluss aller Einzelkategorien und der kombinierten Kategorie nur 17,25 Punkte erzielt hatte.
Der Wettbewerbsdruck ist zwar nicht mehr so hoch, doch die letzte Kategorie bereitet den VCS-Ingenieuren weiterhin Kopfzerbrechen. Der Grund: Im Mashup-Wettbewerb verpasste das Team letztes Jahr die Meisterschaft. „Auch dieses Mal sind wir in der Mashup-Kategorie benachteiligt, da wir bei der Auslosung für die nächste Runde denselben Fehler machen wie das vorherige Team. Dann werden uns Punkte abgezogen“, erklärte Ngo Anh Huy. Ein solcher Fehler führte dazu, dass VCS im letzten Jahr bei Pwn2Own 2,5 Punkte hinter dem Erstplatzierten lag.
„Dieses Jahr haben wir nicht nur versucht, neue Schwachstellen auszunutzen, sondern auch gezielt Schwachstellen ausgewählt, die sehr schwer zu finden und schwer mit anderen Teams zu kombinieren waren, oder die zwar leicht zu finden, aber schwer auszunutzen waren. Zudem hatten wir viele Ausweichpläne. Das ist das Ergebnis dreimonatiger konzentrierter Forschung des gesamten Teams“, sagte Huy.
Als Ergebnis erzielte das VCS-Team in der Gesamtwertung 10/10 Punkte und gewann die Meisterschaft mit einer Gesamtpunktzahl von 30, 12,5 Punkte mehr als der Zweitplatzierte – ein spektakulärer und vollständiger Sieg.
„Wir haben uns für Pwn2Own entschieden, um unsere Fähigkeiten unter Beweis zu stellen, da es sich um einen Wettbewerb mit den weltweit beliebtesten Geräten führender Hersteller handelt, der einem strengen Testverfahren unterliegt“, sagte Nguyen Son Hai, Direktor von VCS. „Die Investition in ein spezialisiertes Forschungsteam und die Teilnahme an internationalen Wettbewerben sind Teil der Bemühungen von VCS, die personellen Ressourcen weiterzuentwickeln.“
Der Weg des VCS-Teams zur Pwn2Own-Meisterschaft 2023 ist das Ergebnis einer langen, traditionsreichen Geschichte und ein eindrucksvoller Beweis für die Vision, die die Führungskräfte der Viettel-Gruppe vor vielen Jahren im Bereich der Informationssicherheit hatten.
Vor mehr als einem Jahrzehnt, als VCS-Direktor Nguyen Son Hai noch im selben Alter war wie die Mitglieder des heutigen Pwn2Own 2023-Meisterteams, waren die Führungskräfte der Viettel Group fest entschlossen, in den Bereich der Informationssicherheit zu investieren.
Die ersten Samen für ein junges Feld wurden bald darauf von Viettel systematisch und strategisch ausgesät und gepflegt.
Die intensive Forschungsarbeit von VCS begann bereits in den Anfangsjahren, als sich zunächst nur sechs Mitarbeiter mit Informationssicherheit befassten. Seit 2011 führt das VCS-Team simulierte Angriffe mit Einheiten innerhalb der Viettel-Gruppe durch, um Sicherheitslücken aufzuzeigen.
„Da Viettel kritische Infrastrukturen betreibt, ist Netzwerksicherheit ein zentraler Bestandteil unserer Forschungsstrategie“, sagte Herr Son Hai. „Bei der Netzwerksicherheit sind die Menschen der wichtigste Faktor. Selbst wenn Endnutzer die weltweit besten Produkte verwenden, ist das Risiko eines Angriffs sehr hoch, während Viettels kritische Infrastrukturen wie Mobilfunk und Internet Ziel von Angriffen der größten Gruppen weltweit sind.“
Um ein Expertenteam zum Schutz kritischer Infrastrukturen aufzubauen, strebt VCS die Ausbildung von Cybersicherheitsexperten mit weltweit vergleichbarer Kompetenz an. Laut Herrn Hai haben Viettel und VCS seit 2015 450 Studierende ausgebildet, von denen 5 % der am besten geeigneten Mitarbeiter übernommen wurden.
„Nachdem wir ein Expertenteam aufgebaut und in intensive Forschung investiert haben, suchen wir weiterhin nach Möglichkeiten, die Angriffsfähigkeiten des VCS-Expertenteams zu verbessern. Die Teilnahme an Weltklasse-Wettbewerben dient ebenfalls diesem Zweck“, sagte Herr Nguyen Son Hai.
2013 begann VCS mit der Erforschung von Zero-Day-Schwachstellen – unbekannten und ungepatchten Sicherheitslücken, die besonders kostspielig sind. Anh Huy und Hong Quang gehörten zu den ersten Spezialisten auf diesem Gebiet. Bis 2015 entdeckte das VCS-Team die ersten Schwachstellen, und bis heute hat VCS 400 Schwachstellen gefunden.
„Kein vietnamesisches Unternehmen hat eine solche Zahl erreicht, und auch weltweit nicht viele“, sagte Herr Hai.
Die Möglichkeit, sich durch die Teilnahme an intensiver Forschung weiterzubilden, ist der Grund, warum VCS zu einem attraktiven Arbeitgeber für Cybersicherheitsexperten geworden ist, die kürzlich den ersten Platz bei Pwn2Own belegten. Auf die Frage, warum er sich für Viettel entschieden habe, sagte Anh Huy: „Meiner Erfahrung nach sind nicht viele Unternehmen bereit, langfristig in Cybersicherheitsforschung und Forschungsteams zu investieren.“
„Gerade im Bereich der Cybersicherheit ist der menschliche Faktor von größter Bedeutung. Daher legt VCS großen Wert auf Schulungen, die Weiterentwicklung des Teams und den Aufbau der nächsten Generation hochqualifizierter Mitarbeiter, die stets für internationale Herausforderungen gerüstet sind“, betonte VCS-Direktor Nguyen Son Hai.
Bei der Zeremonie zur Ehrung und Gratulation der am Wettbewerb teilnehmenden Teammitglieder äußerte Tao Duc Thang, Vorstandsvorsitzender und Generaldirektor der Viettel-Gruppe, seinen Stolz auf die Viettel-„White-Hat-Hacker“. Er bekräftigte: „Viettel ist stolz darauf, dass das VCS-Team diese prestigeträchtige Auszeichnung im Bereich der globalen Cybersicherheit gewonnen hat und sich dabei gegen die weltweit führenden Gerätehersteller mit großen Forschungs- und Entwicklungsabteilungen durchgesetzt hat.“
Der Chef der Viettel-Gruppe erklärte: „Pwn2Own ist ein prestigeträchtiger Wettbewerb mit einem extrem hohen Schwierigkeitsgrad für jeden Hacker. Er gleicht einem Kampf gegen Hersteller mit den weltweit führenden IT-Sicherheitsteams, die bis zur letzten Minute auf Hackerangriffe vorbereitet sind. Ein Spiel ohne Altersbeschränkung, das sogar multinationale Kooperationen ermöglicht.“ Herr Tao Duc Thang fügte stolz hinzu: „Die Pwn2Own-Meisterschaft 2023 hat Viettel und Vietnam international bekannt gemacht.“
Der Vorsitzende Tao Duc Thang räumte außerdem ein, dass das Gebiet der Cybersicherheit riesig sei, ein langer Weg für die Experten von Viettel und dass noch viele Herausforderungen vor ihnen lägen.
„Die Spitzenposition zu halten ist nicht einfach, deshalb müssen wir weiterhin härter arbeiten und große Träume haben, ständig danach streben, den Traum zu verwirklichen und Vietnam der Welt zu präsentieren“, betonte Herr Tao Duc Thang.
Der Vorsitzende der Viettel-Gruppe teilte außerdem mit, dass die Gruppe in der kommenden Zeit spezielle Maßnahmen zur Ausbildung hochqualifizierter Fachkräfte ergreifen werde, damit diese sich weiterhin mit Zuversicht ihrer Arbeit widmen können.
Bei der Übertragung der Aufgabe an VCS betonte Herr Tao Duc Thang, dass VCS weiterhin mehr Sicherheitsexperten ausbilden müsse, um die nächste Generation bestmöglich auszubilden, damit diese nicht nur dem Unternehmen, sondern auch dem Land dienen und die Nation im Cyberspace schützen könne.
Kommentar (0)