Die „Goldjungs“ der Cybersicherheitswelt.

„Essen, schlafen und atmen mit… Löchern.“

2023 markierte das vierte Jahr, in dem das Viettel-Team am Pwn2Own-Wettbewerb teilnahm und endlich den ersehnten Erfolg feierte. Während ihr erster Versuch lediglich als Übung diente, erreichten sie bei ihrem zweiten Versuch (2021) die Top 5. Im Wettbewerb 2022 unterlagen sie dem späteren Sieger nur knapp und belegten in einem enttäuschenden Ergebnis den zweiten Platz. Ngo Anh Huy (Teamkapitän) erklärte: „Pwn2Own ist der weltweit größte und renommierteste Cyberangriffswettbewerb, die ‚Weltmeisterschaft‘ der Cybersicherheit, mit einem Gesamtpreisgeld in Millionenhöhe. Die Angriffsziele sind alle weltweit gängigen Geräte und Softwareprodukte führender Anbieter wie Microsoft, Apple, Google, Samsung, Xiaomi…“

Der Pwn20wn-Wettbewerb, der vom 24. bis 27. Oktober 2023 in Toronto, Kanada, stattfand, lockte 14 junge Männer an, der jüngste erst 20 Jahre alt, die alle fest entschlossen waren zu gewinnen. Anders als in früheren Wettbewerben, bei denen es vor allem darum ging, möglichst viele Schwachstellen zu finden, entwickelte das junge Entwicklerteam diesmal eine systematische Strategie, um weniger auffällige Sicherheitslücken aufzuspüren und auszunutzen. Eine der größten Herausforderungen für Teamleiter Ngo Anh Huy war die Förderung des Teamzusammenhalts. In den letzten zwei Wochen vor dem Wettbewerb arbeitete das gesamte Team 20 Stunden am Tag, lebte quasi vor Ort und erstellte Berichte für die Organisatoren, während es gleichzeitig Schwachstellen testete, aktualisierte und behob. „Schwachstellen können vom Hersteller vor dem Wettbewerb leicht entdeckt und behoben werden. Deshalb müssen wir in der Regel so viele Schwachstellen wie möglich finden und alternative Angriffsstrategien entwickeln, wenn wir die höchste Punktzahl erreichen wollen“, fügte Teammitglied Ha Anh Hoang hinzu. Alles war akribisch vorbereitet, wir warteten nur noch auf den Tag der Abreise nach Kanada zum Wettkampf. Doch das Schlimmste war, dass das gesamte Team kurz vor dem Termin immer noch keine Einreisevisa erhalten hatte. „Statt persönlich anzutreten, musste Team Viettel online von zu Hause aus teilnehmen. Das ist ein Nachteil gegenüber einem Wettkampf vor Ort, da wir die Ausrüstung nur per Kamera aus der Ferne überprüfen können. Wären wir vor Ort gewesen, hätten wir uns direkt beraten oder die Organisatoren bitten können, eventuelle Probleme sofort zu beheben. Außerdem kann es beim Online-Verfahren zu unerwarteten technischen Störungen kommen…“, erzählte Hoang.

Ein atemberaubender, überzeugender Sieg.

Nach drei Monaten, in denen sie sich ausschließlich auf die Suche nach Sicherheitslücken konzentrierten, war es soweit: Das vietnamesische Team musste innerhalb kürzester Zeit beweisen, dass es Sicherheitslücken ausnutzen kann. Teammitglied Nguyen Xuan Hoang erklärte: „Bei anderen Sicherheitswettbewerben gibt es in der Regel kein Zeitlimit, aber hier mussten wir die Schwachstellen innerhalb von 30 Minuten aufspüren. Pwn2Own vereint die modernsten Ziele und Geräte führender Technologieunternehmen, die alle mit den neuesten Softwareversionen laufen. Die Aufgabe jedes Teams besteht darin, Angriffsmethoden zu finden und bisher unentdeckte Schwachstellen aufzudecken.“ Jedes Team darf jedes Ziel nur einmal hacken. Je schwieriger das Ziel, desto höher die Punktzahl. Am Ende des Wettbewerbs erhält die Einzelperson oder Organisation mit der höchsten Punktzahl den Preis. „Unsere größte Sorge waren doppelte Fehler oder dass der Hersteller die Mängel rechtzeitig entdeckt und behebt. Die Teammitglieder hatten verschiedene Fehler vorbereitet; je mehr Punkte eine Kategorie hatte, desto mehr Fehler mussten wir vorbereiten. In diesem Abschnitt erreichte das Team die maximale Punktzahl, ohne doppelte Fehler wie im letzten Jahr, die zu Punktabzügen geführt hatten. Wir waren überglücklich“, sagte Ha Anh Hoang. Der nervenaufreibendste Teil war der letzte Wettbewerb, SOHO Smashup (Kleinbüroausstattung). Die Hürde für das Team war psychologischer Natur, da sie im letzten Jahr die Meisterschaft verpasst hatten und daher etwas vorsichtig waren. Es gab sogar Momente, in denen nicht alles nach Plan lief. Alle waren vor Anspannung schweißgebadet. Obwohl sie drei Fehler vorbereitet hatten, scheiterten die ersten beiden Versuche. Erst im dritten Versuch gelang es ihnen, und die Teammitglieder brachen in Jubel aus. Auch die Konkurrenten waren vom unermüdlichen Kampfgeist des vietnamesischen Teams beeindruckt.

T. Thọ

Dinh Quang Vu, der zum ersten Mal an dem Wettbewerb teilnahm, leistete einen entscheidenden Beitrag zum Sieg seines Teams in der neu eingeführten Kategorie „Sicherheitslücken von Mobiltelefonen“. Vu berichtete: „Unser Team wählte zwei Mobilgeräte von Samsung und Xiaomi. Obwohl wir gründlich recherchiert und uns vorbereitet hatten und die Hersteller-Patches vor dem Wettbewerbstag umgangen hatten, scheiterten wir beim ersten Versuch mit Samsung. Es war unglaublich nervenaufreibend, aber zum Glück behielten wir die Ruhe und gewannen die Herausforderung mit dem Xiaomi-Gerät.“ Nach vier Nächten intensiven Wettkampfs gegen die stärksten Teams der Welt meisterte Team Viettel am 27. Oktober um 1 Uhr nachts alle Herausforderungen erfolgreich und erreichte eine Gesamtpunktzahl von 30 – weit vor dem zweitplatzierten Team mit 12,75 Punkten Vorsprung. Die jungen vietnamesischen Ingenieure gewannen souverän die Pwn2Own-Meisterschaft, erzielten in allen sieben Kategorien die Höchstpunktzahl und nahmen ein Preisgeld von 180.000 US-Dollar mit nach Hause. Zu den Produkten, bei denen Sicherheitslücken entdeckt wurden, gehören das Xiaomi 13 Pro, QNAP-Speichersysteme, Drucker von Canon, HP und Lexmark, Sonos-Smart-Speaker und SOHO Smashup. Dieser Erfolg markiert einen Durchbruch für die vietnamesische IT-Sicherheitsbranche, da es das erste Mal ist, dass sie bei einem so renommierten internationalen Wettbewerb einen Titel errungen hat. Zusätzlich zu den Auszeichnungen bei Pwn2Own entdeckten junge Ingenieure der VSC Company über 400 Zero-Day-Sicherheitslücken in wichtigen IT-Plattformen und -Systemen wie Microsoft, Oracle, Google, Apache, VMware usw.

Das Bestreben, neue Höhen zu erklimmen.

Das Team ruhte sich nach dem Wettbewerb nicht auf seinen Lorbeeren aus, sondern begann umgehend mit den Vorbereitungen für den nächsten Wettbewerb, der Anfang 2024 in Tokio (Japan) stattfinden soll, fest entschlossen, neue Höhen zu erreichen. Ha Anh Hoang verriet: „Um diesen Sieg zu erringen, haben wir jeden Schritt einzeln gemeistert und uns von den leichten zu den schwierigen Aufgaben vorgearbeitet. Der Sieg des Teams ist sehr überzeugend, aber wir dürfen die Konkurrenz in diesem Wettbewerb nicht unterschätzen, denn in puncto Expertise gibt es Forschungsbereiche und Fähigkeiten, die ausländische Teams besitzen, die das Viettel-Team noch nicht erreicht hat. Das unmittelbare Ziel des Teams ist es, neue Forschungsthemen zu finden und Sicherheitslücken bei großen Anbietern wie Apple und Google aufzudecken. Das noch langfristigere Ziel ist es, eine führende Rolle im globalen Sicherheitsbereich einzunehmen.“ Ngo Anh Huy, einer der jungen Sicherheitsexperten Vietnams, der von der internationalen Gemeinschaft anerkannt wird und Jobangebote von vielen renommierten Technologieunternehmen mit Gehältern in Höhe von mehreren Tausend US-Dollar erhalten hat, bleibt dem Team Viettel weiterhin treu. „Für mich bedeutet die Bewältigung von Herausforderungen nicht nur, mich zu beweisen und neue Bestleistungen im Bereich IT-Sicherheit zu erzielen. Ich möchte in Vietnam bleiben und mich mit anderen jungen Menschen, die dieselbe Leidenschaft teilen, zusammenschließen, um neue Kapitel in der Geschichte der Informationssicherheit zu schreiben und Vietnam international zu Ruhm zu verhelfen“, erklärte Huy. Laut Oberst Tao Duc Thang, Vorsitzender und CEO von Viettel, geht es bei diesem Wettbewerb nicht um die Suche nach der richtigen Lösung, sondern eher um ein Ratespiel, bei dem junge Ingenieure gegen führende globale Technologieausrüster und -hersteller antreten müssen. Hinter diesen Anbietern stehen Großkonzerne wie Canon und Xiaomi. Der Sieg ist nicht leicht, denn es ist durchaus möglich, dass die Anbieter in letzter Minute unerwartet Patches veröffentlichen und die teilnehmenden Teams unvorbereitet zurücklassen. Oberst Tao Duc Thang ist überzeugt, dass der Gewinn der Pwn2Own-Meisterschaft 2023 erst der Anfang ist. Der Weg für „White-Hat-Hacker“ ist noch lang, denn das Feld der Cybersicherheit ist riesig, der Cyberspace unermesslich und viele Herausforderungen warten auf junge Ingenieure. Das beschränkt sich nicht nur auf das Internet der Dinge; es gibt auch Bereiche wie Industrie, Energie, Elektrotechnik, Sicherheit und mehr, in denen junge Ingenieure die Möglichkeit haben, ihr Können unter Beweis zu stellen.