Die „goldenen“ Jungs im Sicherheitsdorf

„Essen, schlafen mit … Löchern“

2023 ist das vierte Jahr, in dem das Viettel-Team am Pwn2Own-Wettbewerb teilnahm und sich einen wahren Ruhm erarbeitete. Während der erste Wettbewerb nur zum Üben diente, schaffte es das Team im zweiten Wettbewerb (2021) unter die Top 5 und verlor im Wettbewerb 2022 bedauerlicherweise gegen das Siegerteam und erhielt den zweiten Preis. Ngo Anh Huy (Teamkapitän) erklärte: „Pwn2Own ist der weltweit größte und prestigeträchtigste Cyberangriffswettbewerb, die „Weltmeisterschaft“ der Sicherheitswelt mit einem Gesamtpreisgeld von bis zu mehreren Millionen US-Dollar. Angriffsziele sind alle gängigen Geräte und Software der Welt, von führenden Anbietern wie Microsoft, Apple, Google, Samsung, Xiaomi …“.

Pwn20wn-Wettbewerb Der Wettbewerb fand vom 24. bis 27. Oktober 2023 in Toronto (Kanada) statt. 14 junge Männer, von denen der jüngste erst 20 Jahre alt war, waren entschlossen, das Meisterschaftsziel zu erreichen. Anstatt sich wie bei früheren Wettbewerben auf das Aufspüren vieler Schwachstellen zu konzentrieren, entwickelte die Gruppe junger Ingenieure bei diesem Wettbewerb eine methodische Strategie und fand Fehler, die nur wenige entdeckten und ausnutzten. Teamleiter Ngo Anh Huy war besonders besorgt darüber, wie die Mitglieder zu einem Teamwork zusammengeführt werden konnten. In den letzten zwei Wochen vor dem Wettbewerb arbeitete das gesamte Team 20 Stunden pro Tag, aß und schlief fast vor Ort, erstellte Berichte für das Organisationskomitee und suchte nach Updates zur Behebung von Schwachstellen. „Die Schwachstellen können vom Hersteller vor dem Wettbewerb gefunden und behoben werden. Daher müssen wir oft so viele Schwachstellen wie möglich finden und Backup-Angriffspläne erstellen, um die höchste Punktzahl zu erreichen“, ergänzte Mitglied Ha Anh Hoang. Alles wurde sorgfältig vorbereitet, und man wartete nur noch auf den Tag der Abreise nach Kanada, um dort anzutreten. Doch das Bedauerlichste war, dass das gesamte Team kurz vor dem Wettkampftermin immer noch kein Einreisevisum erhalten hatte. „Anstatt direkt anzutreten, musste Team Viettel zu Hause bleiben und online antreten. Das ist auch ein Nachteil gegenüber dem direkten Wettkampf, da wir die Ausrüstung nur per Kamera aus der Ferne überprüfen können. Beim direkten Wettkampf können wir uns vor Ort beraten oder die Organisatoren bitten, auftretende Probleme sofort zu prüfen. Außerdem kann es beim Online-Prozess zu unerwarteten Problemen mit Maschinen und Ausrüstung kommen“, erzählte Hoang.

Atemberaubender, überzeugender Sieg

Nach drei Monaten voller „Essen, Schlafen und Schwachstellensuche“ ist es endlich so weit: Das vietnamesische Team muss beweisen, dass es in kurzer Zeit Sicherheitslücken schließen kann. Mitglied Nguyen Xuan Hoang erklärte: „Bei anderen Sicherheitswettbewerben gibt es normalerweise kein Zeitlimit, aber bei diesem Wettbewerb müssen wir innerhalb von 30 Minuten beweisen, dass wir Schwachstellen finden. Pwn2Own vereint die fortschrittlichsten Ziele und Geräte führender Technologieunternehmen und ist mit der aktuellsten Software ausgestattet. Die Aufgabe der Teams besteht darin, Angriffsrichtungen zu finden und bisher unentdeckte Schwachstellen zu entdecken.“ Jedes Team darf jedes Ziel nur einmal hacken. Je schwieriger das Ziel, desto höher die Punktzahl. Am Ende des Wettbewerbs gewinnt die Person oder Organisation mit der höchsten Punktzahl den Preis. „Unsere größte Sorge ist, dass es zu Wiederholungsfehlern kommt oder dass der Hersteller die Löcher nicht rechtzeitig entdeckt und geflickt hat. Die Teammitglieder haben verschiedene Löcher vorbereitet. Je mehr Punkte wir für die Kategorie vorbereiten müssen, desto mehr Fehler müssen wir vorbereiten. In diesem Teil erreichte das Team die Höchstpunktzahl, keine Wiederholungsfehler wie im letzten Jahr, die zu Punktabzug führten. Wir waren so glücklich, dass wir geweint haben“, sagte Ha Anh Hoang. Am spannendsten war die Finalrunde, SOHO Smashup (kleine Büroausstattung). Das Team hatte psychische Probleme, da es im letzten Jahr die Meisterschaft verpasst hatte, weshalb es etwas vorsichtiger war. Es gab sogar einige Male, in denen nicht alles nach Plan lief. Alle schwitzten vor Sorge. Obwohl sie drei Löcher vorbereitet hatten, misslangen die ersten beiden Versuche. Erst beim dritten Mal, als es ihnen gelang, brachen die Mitglieder in Jubel aus … Auch die Gegner konnten den beharrlichen Kampfgeist des vietnamesischen Teams bewundern.

T. Tho

Dinh Quang Vu nahm zum ersten Mal am Wettbewerb teil und trug maßgeblich dazu bei, dass sein Team in der Kategorie „Sicherheitslücken bei Mobiltelefonen“ gewann. Diese Kategorie ist neu im Wettbewerb. Vu erklärte: „Unser Team wählte zwei Mobilgeräte von Samsung und Xiaomi. Obwohl wir recherchiert, uns sorgfältig vorbereitet und die Hersteller-Patches vor dem Wettbewerbstag installiert hatten, scheiterten wir beim ersten Versuch mit Samsung. Das Gefühl war damals bedrückend und herzzerreißend. Zum Glück behielten wir die Ruhe und gewannen mit dem Xiaomi-Mobilgerät.“ Nach vier Nächten intensiven Wettbewerbs mit den stärksten Teams aus aller Welt schloss Team Viettel am 27. Oktober um 1:00 Uhr morgens den Wettbewerb mit einer Gesamtpunktzahl von 30 Punkten ab, 12,75 Punkte vor dem zweitplatzierten Team. Junge vietnamesische Ingenieure gewannen die Pwn2Own-Meisterschaft souverän, erzielten in allen sieben Kategorien absolute Punkte und nahmen ein Preisgeld von 180.000 USD mit nach Hause. Zu den fehlerhaften Produkten gehörten Xiaomi 13 Pro, QNAP-Speichersysteme, Canon-, HP- und Lexmark-Drucker, Sonos-Smart-Lautsprecher und SOHO Smashup. Dieser Sieg markierte zugleich einen Durchbruch für die vietnamesische Informationssicherheitsbranche, da sie erstmals die Meisterschaft bei einem prestigeträchtigen internationalen Turnier gewann. Neben den Auszeichnungen bei Pwn2Own entdeckten junge Ingenieure der VSC Company auch über 400 Zero-Day-Sicherheitslücken in wichtigen IT-Plattformen und -Systemen wie Microsoft, Oracle, Google, Apache, VMWare usw.

Streben nach neuen Höhen

Das gesamte Team ruhte sich nicht auf seinen Lorbeeren aus und begann nach dem Wettbewerb mit den Vorbereitungen für den nächsten Wettbewerb, der Anfang 2024 in Tokio (Japan) stattfinden soll – fest entschlossen, neue Höhen zu erklimmen. Ha Anh Hoang erklärte: „Um heute zu gewinnen, haben wir uns Schritt für Schritt vorgearbeitet, vom Einfachen zum Schwierigen. Der Sieg des Teams ist sehr überzeugend, aber wir dürfen die Gegner dieses Wettbewerbs nicht ignorieren, denn es gibt noch einige Forschungsbereiche und Fähigkeiten, die ausländische Teams beherrschen, die das Viettel-Team nicht beherrscht. Das unmittelbare Ziel des Teams ist es, neue Forschungsthemen zu finden und Sicherheitslücken bei großen Anbietern wie Apple, Google usw. zu identifizieren. Das weitere Ziel ist es, im weltweiten Sicherheitsbereich führend zu sein.“ Als einer der jungen Sicherheitsexperten Vietnams, der von der internationalen Gemeinschaft anerkannt ist und von vielen namhaften Technologieunternehmen mit einem Gehalt von Tausenden von US-Dollar eingeladen wird, bleibt Ngo Anh Huy dem Viettel-Team treu. „Für mich geht es bei der Bewältigung dieser Herausforderung nicht nur darum, mich zu behaupten und ein neues Sicherheitsranking zu erreichen. Ich möchte in Vietnam bleiben, um gemeinsam mit jungen Menschen, die dieselbe Leidenschaft teilen, weiterhin neue Seiten der Informationssicherheitsgeschichte zu schreiben und Vietnam international bekannt zu machen“, erklärte Huy. Laut Oberst Tao Duc Thang, Vorstandsvorsitzender und Generaldirektor von Viettel, handelt es sich nicht um einen Wettbewerb, bei dem es darum geht, die richtige Antwort zu finden. Vielmehr müssen junge Ingenieure wie bei einem Spiel namens „Bild einfangen und Wort einfangen“ gegen die weltweit führenden Anbieter und Hersteller von Technologieausrüstung antreten. Hinter den Anbietern stehen große Konzerne wie Canon, Xiaomi usw. Der Sieg ist nicht leicht, da es durchaus möglich ist, dass ein Anbieter in letzter Minute plötzlich Patches veröffentlicht, die die konkurrierenden Teams handlungsunfähig machen. Oberst Tao Duc Thang ist überzeugt, dass der Gewinn des Pwn2Own 2023-Titels erst der Anfang ist. Der Weg für „White Hat Hacker“ ist noch lang, denn das Feld der Cybersicherheit ist riesig, der Cyberspace weitläufig und bietet jungen Ingenieuren viele Herausforderungen. Nicht nur im IoT-Bereich, sondern auch in den Bereichen Industrie, Energie, Elektrizität und Sicherheit haben junge Ingenieure die Möglichkeit, sich zu behaupten.