Die „goldenen“ Jungs im Sicherheitsdorf

„Essen, schlafen mit … Löchern“

2023 ist das vierte Jahr, in dem das Viettel-Team am Pwn2Own-Wettbewerb teilnahm und den Ruhm wirklich verdient hatte. Während der erste Wettbewerb nur zum Üben diente, schaffte es das Team beim zweiten Wettbewerb (2021) unter die Top 5 und verlor beim Wettbewerb 2022 bedauerlicherweise gegen das Siegerteam und erhielt den zweiten Preis. Ngo Anh Huy (Teamkapitän) erklärte: „Pwn2Own ist der weltweit größte und prestigeträchtigste Wettbewerb für Cyberangriffe, die „Weltmeisterschaft“ der Sicherheitswelt mit einem Gesamtpreisgeld von bis zu mehreren Millionen US-Dollar. Die Angriffsziele sind alle gängigen Geräte und Software der Welt, von führenden Anbietern wie Microsoft, Apple, Google, Samsung, Xiaomi …“.

Pwn20wn-Wettbewerb Der Wettbewerb fand vom 24. bis 27. Oktober 2023 in Toronto (Kanada) statt. 14 junge Männer, von denen der jüngste erst 20 Jahre alt war, waren entschlossen, das Meisterschaftsziel zu erreichen. Anstatt sich wie bei früheren Wettbewerben auf das Auffinden vieler Schwachstellen zu konzentrieren, entwickelte die Gruppe junger Ingenieure bei diesem Wettbewerb eine methodische Strategie und suchte nach Fehlern, die nur wenige entdeckten und ausnutzten. Eines der Dinge, die Teamleiter Ngo Anh Huy am meisten beschäftigten und beunruhigten, war die Frage, wie die Mitglieder zu einem Team zusammengeführt werden konnten. In den letzten zwei Wochen vor dem Wettbewerb arbeitete das gesamte Team 20 Stunden pro Tag, aß und schlief fast vor Ort, musste Berichte für das Organisationskomitee erstellen und nach Updates suchen und Schwachstellen beheben. „Die Schwachstellen können vom Hersteller vor dem Wettbewerb gefunden und behoben werden. Daher müssen wir oft so viele Schwachstellen wie möglich finden und Backup-Angriffspläne vorbereiten, wenn wir die höchste Punktzahl erreichen wollen“, fügte Mitglied Ha Anh Hoang hinzu. Alles wurde sorgfältig vorbereitet und man wartete nur noch auf den Tag der Abreise nach Kanada, um dort anzutreten. Doch das Bedauerlichste war, dass das gesamte Team kurz vor dem Wettkampftag immer noch kein Einreisevisum erhalten hatte. „Anstatt persönlich anzutreten, musste das Team Viettel zu Hause bleiben und online antreten. Das ist auch ein Nachteil gegenüber einem persönlichen Wettkampf, da wir die Geräte nur per Kamera aus der Ferne überprüfen können. Bei einem persönlichen Wettkampf können wir uns vor Ort beraten oder die Organisatoren bitten, auftretende Probleme sofort zu prüfen. Außerdem können beim Online-Prozess unerwartete Probleme mit Maschinen und Geräten auftreten …“, erzählte Hoang.

Atemberaubender, überzeugender Sieg

Nach drei Monaten voller „Essen, Schlafen und Schwachstellensuche“ ist es endlich soweit: Das vietnamesische Team muss seine Fähigkeit unter Beweis stellen, Sicherheitslücken in kurzer Zeit zu schließen. Mitglied Nguyen Xuan Hoang erklärte: „Bei anderen Sicherheitswettbewerben gibt es normalerweise kein Zeitlimit, aber bei diesem Wettbewerb müssen wir innerhalb von 30 Minuten beweisen, dass wir Schwachstellen finden. Pwn2Own vereint die fortschrittlichsten Ziele und Geräte führender Technologieunternehmen und ist mit der aktuellsten Software ausgestattet. Die Aufgabe der Teams besteht darin, Angriffsrichtungen zu finden und bisher unentdeckte Schwachstellen zu entdecken.“ Jedes Team darf jedes Ziel nur einmal hacken. Je schwieriger das Ziel, desto höher die Punktzahl. Am Ende des Wettbewerbs gewinnt die Person oder Organisation mit der höchsten Punktzahl den Preis. „Unsere größte Sorge war, dass es zu Wiederholungsfehlern kommen könnte oder dass der Hersteller die Löcher nicht rechtzeitig entdeckt und geflickt hatte. Die Teammitglieder hatten verschiedene Löcher vorbereitet, und je mehr Punkte wir für die Kategorie vorbereiten mussten, desto mehr Fehler mussten wir vorbereiten. In diesem Teil erreichte das Team die Höchstpunktzahl, und es gab keine Wiederholungsfehler wie im letzten Jahr, die zu Punktabzug geführt hätten. Wir waren so glücklich, dass wir geweint haben“, sagte Ha Anh Hoang. Am aufregendsten war die Finalrunde des SOHO Smashup (kleine Bürogeräte). Das Team hatte psychologische Schwierigkeiten, da es die Meisterschaft im letzten Jahr verpasst hatte, und war daher etwas vorsichtig. Es gab sogar ein paar Mal, als die Dinge nicht nach Plan liefen. Alle schwitzten vor Sorge. Obwohl sie drei Löcher vorbereitet hatten, scheiterten sie die ersten beiden Male. Erst beim dritten Mal, als es ihnen gelang, brachen die Mitglieder in Freudentränen aus … Auch die Gegner bewunderten den beharrlichen Kampfgeist des vietnamesischen Teams.

T. Tho

Obwohl er zum ersten Mal an dem Wettbewerb teilnahm, leistete Dinh Quang Vu einen wichtigen Beitrag zum Sieg seines Teams in der Kategorie „Sicherheitslücken bei Mobiltelefonen“. Diese Kategorie ist neu im Wettbewerb. Vu erklärte: „Unser Team hat sich für zwei Mobilgeräte von Samsung und Xiaomi entschieden. Obwohl wir sorgfältig recherchiert und vorbereitet waren und vor dem Wettbewerbstag die Patches der Hersteller bestanden hatten, scheiterten wir beim ersten Versuch mit Samsung. Ich war damals erdrückt und untröstlich, aber zum Glück blieben wir ruhig und gewannen den Wettbewerb für Xiaomi-Mobilgeräte.“ Nach vier Nächten intensiven Wettbewerbs mit den stärksten Teams aus aller Welt schloss Team Viettel am 27. Oktober um 1 Uhr morgens den Wettbewerb mit einer Gesamtpunktzahl von 30 ab, 12,75 Punkte vor dem zweitplatzierten Team. Junge vietnamesische Ingenieure gewannen überzeugend die Pwn2Own-Meisterschaft, erreichten absolute Punktzahlen in allen sieben registrierten Kategorien und nahmen ein Preisgeld von 180.000 USD mit nach Hause. Zu den Produkten mit den festgestellten Fehlern gehörten Xiaomi 13 Pro, QNAP-Speichersysteme, Canon-, HP- und Lexmark-Drucker, Sonos-Smart-Lautsprecher und SOHO Smashup. Dieser Sieg markierte auch einen Durchbruch für die vietnamesische Informationssicherheitsbranche, da sie zum ersten Mal die Meisterschaft bei einem prestigeträchtigen internationalen Turnier gewann. Neben den Auszeichnungen bei Pwn2Own entdeckten junge Ingenieure der VSC Company auch mehr als 400 Zero-Day-Sicherheitslücken in wichtigen IT-Plattformen und -Systemen wie Microsoft, Oracle, Google, Apache, VMWare usw.

Streben nach neuen Höhen

Das gesamte Team ruhte sich nicht auf seinen Lorbeeren aus, sondern begann nach dem Wettbewerb mit den Vorbereitungen für den nächsten Wettbewerb, der Anfang 2024 in Tokio (Japan) stattfinden soll, und ist fest entschlossen, neue Höhen zu erklimmen. Ha Anh Hoang gestand: „Um heute zu gewinnen, haben wir uns Schritt für Schritt vorgearbeitet, vom Einfachen zum Schwierigen. Der Sieg des Teams ist sehr überzeugend, aber wir können die Gegner dieses Wettbewerbs nicht ignorieren, denn was das Fachwissen angeht, gibt es noch einige Forschungsbereiche und Fähigkeiten, die ausländische Teams haben und die das Viettel-Team nicht beherrscht. Das unmittelbare Ziel des Teams ist es, neue Forschungsthemen zu finden und Sicherheitslücken bei großen Anbietern wie Apple, Google usw. zu finden. Und das weitere Ziel ist es, in der weltweiten Sicherheitsarena führend zu sein.“ Als einer der jungen, international anerkannten Sicherheitsexperten Vietnams, der von vielen namhaften Technologieunternehmen mit Tausenden von US-Dollar zur Arbeit eingeladen wurde, bleibt Ngo Anh Huy dem Viettel-Team treu. „Für mich bedeutet die Bewältigung dieser Herausforderung nicht nur, mich durchzusetzen und in Sachen Sicherheit ein neues Ranking zu erreichen. Ich möchte in Vietnam bleiben und gemeinsam mit jungen Menschen, die dieselbe Leidenschaft teilen, weiterhin neue Seiten der Geschichte der Informationssicherheitsbranche schreiben und Vietnam auf internationaler Ebene bekannt machen“, so Huy. Laut Oberst Tao Duc Thang, Vorstandsvorsitzender und Generaldirektor von Viettel, handelt es sich hierbei nicht um einen Wettbewerb, bei dem es darum geht, die richtige Antwort zu finden. Vielmehr müssen junge Ingenieure wie bei einem „Fang das Wort“-Spiel gegen die weltweit führenden Lieferanten und Hersteller von Technologiegeräten antreten. Hinter den Lieferanten steht eine sehr große Gruppe wie Canon, Xiaomi usw. Der Sieg ist nicht leicht, da es sehr gut möglich ist, dass der Lieferant in letzter Minute plötzlich Patches herausbringt, wodurch die konkurrierenden Teams passiv werden und nicht reagieren können. Oberst Tao Duc Thang ist davon überzeugt, dass der Meistertitel von Pwn2Own 2023 erst der Anfang ist. Der Weg für „White Hat Hacker“ ist noch lang, denn das Feld der Cybersicherheit ist sehr umfangreich, der Cyberspace riesig und es warten viele Herausforderungen auf junge Ingenieure. Nicht nur im IoT-Bereich, sondern auch in den Bereichen Industrie, Energie, Elektrizität und Sicherheit haben junge Ingenieure die Möglichkeit, sich zu behaupten.