Die „Goldjungen“ im Sicherheitsdorf

"Essen, schlafen mit… Löchern"

2023 war das vierte Jahr, in dem das Viettel-Team am Pwn2Own-Wettbewerb teilnahm und diesmal große Erfolge feierte. Nachdem der erste Wettbewerb lediglich als Übung diente, erreichte das Team im zweiten Wettbewerb (2021) die Top 5 und musste sich 2022 dem späteren Siegerteam geschlagen geben, musste sich aber mit dem zweiten Platz begnügen. Teamkapitän Ngo Anh Huy erklärte: „Pwn2Own ist der weltweit größte und renommierteste Wettbewerb für Cyberangriffe, die Weltmeisterschaft der IT-Sicherheit mit einem Gesamtpreisgeld von mehreren Millionen US-Dollar. Die Angriffsziele sind alle gängigen Geräte und Softwareprodukte führender Hersteller wie Microsoft, Apple, Google, Samsung, Xiaomi und vielen mehr.“

Der Pwn20wn-Wettbewerb fand vom 24. bis 27. Oktober 2023 in Toronto (Kanada) statt. 14 junge Männer, der Jüngste erst 20 Jahre alt, waren fest entschlossen, den Titel zu gewinnen. Anders als bei früheren Wettbewerben, bei denen es vor allem darum ging, möglichst viele Sicherheitslücken zu finden, verfolgte die Gruppe junger Ingenieure diesmal eine methodische Strategie und suchte nach Fehlern, die nur wenige entdeckt und ausgenutzt hatten. Teamleiter Ngo Anh Huy machte sich vor allem Sorgen um die Teamarbeit. In den zwei Wochen vor dem Wettbewerb arbeitete das gesamte Team 20 Stunden am Tag, fast ohne Pause, um Berichte für das Organisationskomitee zu erstellen und nach Updates und Sicherheitslücken zu suchen. „Die Hersteller können die Sicherheitslücken bereits vor dem Wettbewerb gefunden und behoben haben. Deshalb müssen wir so viele Schwachstellen wie möglich finden und alternative Angriffsstrategien entwickeln, um die höchste Punktzahl zu erreichen“, ergänzte Teammitglied Ha Anh Hoang. Alles war sorgfältig vorbereitet, wir warteten nur noch auf den Tag der Abreise nach Kanada zum Wettkampf. Doch am schlimmsten war, dass das gesamte Team kurz vor dem Wettkampftag immer noch kein Einreisevisum erhalten hatte. „Statt persönlich anzutreten, musste Team Viettel zu Hause bleiben und online teilnehmen. Das ist ein Nachteil gegenüber der Teilnahme vor Ort, da wir die Geräte nur per Kamera fernüberwachen können. Bei einem Wettkampf vor Ort können wir uns direkt beraten oder die Organisatoren bitten, auftretende Probleme sofort zu beheben. Außerdem kann es beim Online-Verfahren zu unerwarteten Problemen mit den Geräten kommen…“, erzählte Hoang.

Atemberaubender, überzeugender Sieg

Nach drei Monaten, in denen das Team sich ausschließlich auf die Suche nach Sicherheitslücken konzentrierte, ist es endlich soweit: Die vietnamesischen Teams müssen ihre Fähigkeit unter Beweis stellen, Sicherheitslücken in kürzester Zeit aufzuspüren. Teammitglied Nguyen Xuan Hoang erklärt: „Bei anderen Sicherheitswettbewerben gibt es üblicherweise kein Zeitlimit, aber hier müssen wir innerhalb von 30 Minuten Schwachstellen finden. Pwn2Own vereint die modernsten Ziele und Geräte führender Technologieunternehmen mit der neuesten Software. Die Aufgabe der Teams besteht darin, Angriffswege zu finden und bisher unentdeckte Schwachstellen aufzuspüren.“ Jedes Team darf jedes Ziel nur einmal hacken. Je schwieriger das Ziel, desto höher die Punktzahl. Am Ende des Wettbewerbs gewinnt die Einzelperson oder Organisation mit der höchsten Punktzahl den Preis. „Unsere größte Sorge war, dass es doppelte Fehler geben würde oder dass der Hersteller die Lücken rechtzeitig entdeckt und behoben hätte. Die Teammitglieder hatten verschiedene Löcher vorbereitet, und je mehr Punkte wir in dieser Kategorie erzielen mussten, desto mehr Fehler mussten wir einplanen. In diesem Teil erreichte das Team die maximale Punktzahl, und es gab keine doppelten Fehler wie im letzten Jahr, die zu Punktabzügen geführt hatten. Wir waren so glücklich, dass wir geweint haben“, sagte Ha Anh Hoang. Der spannendste Teil war die Finalrunde des SOHO Smashup (Kleinbüroausstattung). Die größte Herausforderung für das Team war psychologischer Natur, da sie die Meisterschaft im letzten Jahr verpasst hatten und daher etwas vorsichtig waren. Es gab sogar einige Momente, in denen nicht alles nach Plan lief. Alle waren vor Sorge ganz schön nervös. Obwohl sie drei Löcher vorbereitet hatten, scheiterten sie die ersten beiden Male. Erst beim dritten Versuch gelang es ihnen, und die Teammitglieder brachen in Freudentränen aus. Auch die Gegner mussten den unermüdlichen Kampfgeist des vietnamesischen Teams bewundern.

T. Tho

Obwohl Dinh Quang Vu zum ersten Mal an dem Wettbewerb teilnahm, leistete er einen wichtigen Beitrag zum Sieg seines Teams in der Kategorie „Sicherheitslücken von Mobiltelefonen“. Diese Kategorie war neu im Wettbewerb. Vu erzählte: „Unser Team wählte zwei Mobilgeräte von Samsung und Xiaomi. Obwohl wir sorgfältig recherchiert und uns vorbereitet hatten und die Hersteller-Patches vor dem Wettbewerbstag installiert hatten, scheiterten wir beim ersten Versuch mit dem Samsung-Gerät. Ich fühlte mich in diesem Moment wie gelähmt und am Boden zerstört, aber zum Glück behielten wir die Ruhe und konnten den Wettbewerb mit dem Xiaomi-Gerät gewinnen.“ Nach vier Nächten intensiven Wettkampfs mit den stärksten Teams aus aller Welt beendete Team Viettel den Wettbewerb am 27. Oktober um 1 Uhr nachts erfolgreich mit einer Gesamtpunktzahl von 30, 12,75 Punkte vor dem zweitplatzierten Team. Die jungen vietnamesischen Ingenieure gewannen überzeugend die Pwn2Own-Meisterschaft, erzielten in allen sieben Kategorien die Höchstpunktzahl und nahmen ein Preisgeld von 180.000 US-Dollar mit nach Hause. Zu den Produkten mit gefundenen Sicherheitslücken gehörten das Xiaomi 13 Pro, QNAP-Speichersysteme, Drucker von Canon, HP und Lexmark, Smart Speaker von Sonos und der SOHO Smashup. Dieser Erfolg markierte einen Meilenstein für die vietnamesische IT-Sicherheitsbranche, da sie erstmals die Meisterschaft bei einem renommierten internationalen Wettbewerb gewann. Zusätzlich zu den Auszeichnungen bei Pwn2Own entdeckten die jungen Ingenieure von VSC Company über 400 Zero-Day-Sicherheitslücken in wichtigen IT-Plattformen und -Systemen wie Microsoft, Oracle, Google, Apache und VMware.

Das Bestreben, neue Höhen zu erklimmen

Das Team ruhte sich nach dem Wettbewerb nicht auf seinen Lorbeeren aus, sondern bereitete sich mit dem festen Willen, neue Höhen zu erreichen, auf den nächsten Wettbewerb vor, der Anfang 2024 in Tokio (Japan) stattfinden soll. Ha Anh Hoang erklärte: „Um den heutigen Sieg zu erringen, haben wir uns Schritt für Schritt vorgearbeitet und uns von den leichteren zu den schwierigeren Aufgaben gesteigert. Der Sieg des Teams ist sehr überzeugend, aber wir dürfen die Konkurrenz nicht unterschätzen, denn in puncto Expertise gibt es noch Forschungsbereiche und Fähigkeiten, die ausländische Teams besitzen, die das Viettel-Team aber nicht abdecken kann. Das unmittelbare Ziel des Teams ist es, neue Forschungsthemen zu finden und Sicherheitslücken bei großen Anbietern wie Apple und Google aufzudecken. Langfristig wollen wir eine führende Rolle im Bereich der globalen IT-Sicherheit einnehmen.“ Ngo Anh Huy, einer der international anerkannten jungen Sicherheitsexperten Vietnams, der von zahlreichen renommierten Technologieunternehmen mit Honoraren in Höhe von mehreren Tausend US-Dollar eingeladen wurde, bleibt weiterhin Teil des Viettel-Teams. „Für mich bedeutet die Bewältigung dieser Herausforderung nicht nur, mich zu beweisen und eine neue Platzierung im Bereich IT-Sicherheit zu erreichen. Ich möchte in Vietnam bleiben und gemeinsam mit jungen Menschen, die meine Leidenschaft teilen, neue Kapitel der Geschichte der IT-Sicherheit schreiben und Vietnam international bekannt machen“, erklärte Huy. Laut Oberst Tao Duc Thang, Vorstandsvorsitzender und Generaldirektor von Viettel, geht es bei diesem Wettbewerb nicht darum, die richtige Antwort zu finden, sondern vielmehr um ein Fangspiel, bei dem junge Ingenieure gegen die weltweit führenden Anbieter und Hersteller von Technologieausrüstung antreten müssen. Hinter diesen Anbietern steht ein sehr großer Konzern wie Canon, Xiaomi usw. Der Sieg ist nicht leicht, denn es ist durchaus möglich, dass ein Anbieter in letzter Minute noch Patches veröffentlicht und die teilnehmenden Teams dadurch passiv und reaktionsunfähig werden. Oberst Tao Duc Thang ist überzeugt, dass der Erfolg bei Pwn2Own 2023 erst der Anfang ist. Der Weg für „White-Hat-Hacker“ ist noch lang, denn das Feld der Cybersicherheit ist sehr umfangreich, der Cyberspace riesig und viele Herausforderungen warten auf junge Ingenieure. Nicht nur im Bereich des Internets der Dinge (IoT) bieten sich ihnen Möglichkeiten, ihr Können unter Beweis zu stellen, sondern auch in Industrie, Energie, Elektrizität und Sicherheit.