Τα «χρυσά» αγόρια στο χωριό ασφαλείας

«Φάτε, κοιμηθείτε με… τρύπες»

Το 2023 είναι η 4η χρονιά που η ομάδα Viettel συμμετείχε στον διαγωνισμό Pwn2Own και η δόξα πραγματικά ήρθε σε αυτήν. Αν ο πρώτος διαγωνισμός ήταν απλώς για εξάσκηση, τότε στον 2ο διαγωνισμό (2021) η ομάδα μπήκε στην πρώτη 5άδα και στον διαγωνισμό του 2022, η ομάδα έχασε με λύπη από την πρωταθλήτρια ομάδα, λαμβάνοντας το δεύτερο βραβείο. Ο Ngo Anh Huy (αρχηγός της ομάδας) μοιράστηκε: «Το Pwn2Own είναι ο μεγαλύτερος και πιο αναγνωρισμένος διαγωνισμός κυβερνοεπιθέσεων στον κόσμο , το "Παγκόσμιο Κύπελλο" του κόσμου της ασφάλειας με συνολικό έπαθλο έως και εκατομμύρια δολάρια ΗΠΑ. Οι στόχοι της επίθεσης είναι όλες οι δημοφιλείς συσκευές και λογισμικό στον κόσμο, από κορυφαίους προμηθευτές όπως η Microsoft, η Apple, η Google, η Samsung, η Xiaomi...».

Διαγωνισμός Pwn20wn Ο διαγωνισμός πραγματοποιήθηκε από τις 24 έως τις 27 Οκτωβρίου 2023 στο Τορόντο (Καναδάς). 14 νέοι άνδρες, ο νεότερος από τους οποίους ήταν μόλις 20 ετών, ήταν αποφασισμένοι να επιτύχουν τον στόχο του πρωταθλήματος. Αντί να επικεντρωθούν στην εύρεση πολλών τρωτών σημείων όπως σε προηγούμενους διαγωνισμούς, σε αυτόν τον διαγωνισμό, η ομάδα των νεαρών μηχανικών έχτισε μια μεθοδική στρατηγική, αναζητώντας σφάλματα που λίγοι ανακάλυψαν και εκμεταλλεύτηκαν. Ένα από τα πράγματα που ανησυχούσε και ανησυχούσε περισσότερο ο αρχηγός της ομάδας, Ngo Anh Huy, ήταν το πώς να συνδέσει τα μέλη για να εργαστούν σε μια ομάδα (ομαδική εργασία). Τις τελευταίες 2 εβδομάδες πριν από τον διαγωνισμό, ολόκληρη η ομάδα εργάστηκε 20 ώρες την ημέρα, σχεδόν τρώγοντας και κοιμούμενοι επί τόπου, έπρεπε να προετοιμάσει αναφορές για να στείλει στην οργανωτική επιτροπή και να ελέγξει για ενημερώσεις και να διορθώσει τρωτά σημεία. «Τα τρωτά σημεία μπορούν να βρεθούν και να διορθωθούν από τον κατασκευαστή πριν από τον διαγωνισμό. Επομένως, συχνά πρέπει να βρίσκουμε όσο το δυνατόν περισσότερα τρωτά σημεία και να προετοιμάζουμε εφεδρικά σχέδια επίθεσης, αν θέλουμε να επιτύχουμε την υψηλότερη βαθμολογία», πρόσθεσε το μέλος Ha Anh Hoang. Όλα ήταν προσεκτικά προετοιμασμένα, απλώς περιμένοντας την ημέρα που θα έφευγε ο Καναδάς για να αγωνιστεί, αλλά το πιο λυπηρό ήταν ότι κοντά στην ημέρα του διαγωνισμού, ολόκληρη η ομάδα δεν είχε λάβει ακόμη βίζα εισόδου. «Αντί να αγωνιστεί αυτοπροσώπως, η ομάδα Viettel έπρεπε να μείνει σπίτι και να αγωνιστεί διαδικτυακά. Αυτό είναι επίσης ένα μειονέκτημα σε σύγκριση με τον αυτοπρόσωπο αγώνα, το οποίο είναι ότι μπορούμε να ελέγξουμε τη συσκευή μόνο εξ αποστάσεως μέσω κάμερας. Αν αγωνιστούμε αυτοπροσώπως, μπορούμε να συμβουλευτούμε επί τόπου ή να ζητήσουμε από τους διοργανωτές να ελέγξουν αμέσως τυχόν καταστάσεις που προκύπτουν. Επιπλέον, η διαδικτυακή διαδικασία μπορεί να έχει απρόβλεπτα προβλήματα σχετικά με τα μηχανήματα και τον εξοπλισμό...», αφηγήθηκε ο Hoang.

Συναρπαστική, πειστική νίκη

Μετά από 3 μήνες «φαγητού, ύπνου και εύρεσης τρωτών σημείων», επιτέλους, ήρθε η ώρα η βιετναμέζικη ομάδα να επιδείξει την ικανότητα να επιτίθεται σε τρωτά σημεία ασφαλείας σε σύντομο χρονικό διάστημα. Το μέλος Nguyen Xuan Hoang δήλωσε: «Σε άλλους διαγωνισμούς ασφαλείας, συνήθως δεν υπάρχει χρονικό όριο, αλλά σε αυτόν τον διαγωνισμό, πρέπει να επιδείξουμε την εύρεση τρωτών σημείων εντός 30 λεπτών. Το Pwn2Own συγκεντρώνει τους πιο προηγμένους στόχους και συσκευές από μεγάλες εταιρείες τεχνολογίας και είναι εγκατεστημένο με τις πιο πρόσφατες εκδόσεις λογισμικού. Το έργο των ομάδων είναι να βρουν κατευθύνσεις επίθεσης και να βρουν τρωτά σημεία που δεν έχουν ανακαλυφθεί ποτέ». Κάθε ομάδα μπορεί να χακάρει μόνο μία φορά για κάθε στόχο. Όσο πιο δύσκολος είναι ο στόχος, τόσο υψηλότερη είναι η βαθμολογία. Στο τέλος του διαγωνισμού, το άτομο ή ο οργανισμός με την υψηλότερη βαθμολογία θα κερδίσει το βραβείο. «Η μεγαλύτερη ανησυχία μας ήταν μήπως υπήρχαν διπλά λάθη ή μήπως ο κατασκευαστής είχε ανακαλύψει και επισκευάσει τις τρύπες εγκαίρως. Τα μέλη της ομάδας είχαν προετοιμάσει διαφορετικές τρύπες και όσο περισσότερους βαθμούς είχαμε για να προετοιμαστούμε για την κατηγορία, τόσο περισσότερα λάθη έπρεπε να προετοιμαστούμε. Σε αυτό το μέρος, η ομάδα έλαβε τη μέγιστη συνολική βαθμολογία και δεν υπήρχαν διπλά λάθη όπως πέρυσι, με αποτέλεσμα να αφαιρεθούν βαθμοί. Ήμασταν τόσο χαρούμενοι που κλάψαμε», είπε ο Ha Anh Hoang. Το πιο συναρπαστικό μέρος ήταν ο τελικός γύρος του SOHO Smashup (μικρός εξοπλισμός γραφείου). Το εμπόδιο της ομάδας ήταν ψυχολογικό, επειδή είχαν χάσει το πρωτάθλημα πέρυσι, οπότε ήταν λίγο επιφυλακτικοί. Υπήρξαν ακόμη και μερικές φορές που τα πράγματα δεν πήγαν όπως είχαν προγραμματιστεί. Όλοι ίδρωναν από ανησυχία. Αν και είχαν προετοιμάσει 3 τρύπες, απέτυχαν τις πρώτες 2 φορές. Μόνο την 3η φορά που τα κατάφεραν τα μέλη ξέσπασαν σε δάκρυα χαράς... Οι αντίπαλοι έπρεπε επίσης να θαυμάσουν την επίμονη μάχη της βιετναμέζικης ομάδας.

Τ. Θο

Αν και ήταν η πρώτη φορά που συμμετείχε στον διαγωνισμό, ο Dinh Quang Vu συνέβαλε σημαντικά βοηθώντας την ομάδα του να κερδίσει στην κατηγορία ευπάθειας σε κινητά τηλέφωνα. Πρόκειται για μια νέα κατηγορία στον διαγωνισμό. Ο Vu μοιράστηκε: «Η ομάδα μας επέλεξε δύο κινητές συσκευές από τη Samsung και την Xiaomi. Παρόλο που είχαμε ερευνήσει και προετοιμαστεί αρκετά προσεκτικά και είχαμε περάσει τις ενημερώσεις κώδικα του κατασκευαστή πριν από την ημέρα του διαγωνισμού, αποτύχαμε στην πρώτη προσπάθεια με τη Samsung. Ένιωσα ασφυξία και συντριβή εκείνη τη στιγμή, αλλά ευτυχώς, ήμασταν ήρεμοι και περάσαμε τον διαγωνισμό κινητών συσκευών Xiaomi». Μετά από 4 νύχτες έντονου ανταγωνισμού με τις ισχυρότερες ομάδες από πολλά μέρη του κόσμου, στη 1 π.μ. στις 27 Οκτωβρίου, η ομάδα Viettel ολοκλήρωσε με επιτυχία τον διαγωνισμό με συνολική βαθμολογία 30, 12,75 βαθμούς μπροστά από την ομάδα που κατέλαβε τη δεύτερη θέση. Νέοι Βιετναμέζοι μηχανικοί κέρδισαν πειστικά το πρωτάθλημα Pwn2Own, πετυχαίνοντας απόλυτη βαθμολογία και στις 7 εγγεγραμμένες κατηγορίες, φέρνοντας σπίτι ένα έπαθλο 180.000 δολαρίων ΗΠΑ. Μεταξύ των προϊόντων που εντοπίστηκαν σφάλματα ήταν τα Xiaomi 13 Pro, τα συστήματα αποθήκευσης QNAP, η Canon, η HP, οι εκτυπωτές Lexmark, τα έξυπνα ηχεία Sonos και το SOHO Smashup. Αυτή η νίκη σηματοδότησε επίσης μια νέα σημαντική ανακάλυψη για τη βιομηχανία ασφάλειας πληροφοριών του Βιετνάμ, καθώς κέρδισε το πρωτάθλημα για πρώτη φορά σε ένα διεθνές τουρνουά υψηλού κύρους. Εκτός από τα βραβεία στο Pwn2Own, νέοι μηχανικοί της εταιρείας VSC ανακάλυψαν επίσης περισσότερα από 400 τρωτά σημεία ασφαλείας Zero-day σε μεγάλες πλατφόρμες και συστήματα τεχνολογίας πληροφοριών όπως η Microsoft, η Oracle, η Google, η Apache, η VMWare...

Η φιλοδοξία για κατάκτηση νέων υψών

Χωρίς να «επαναπαύονται στις δάφνες τους», μετά τον διαγωνισμό, όλη η ομάδα ξεκίνησε την προετοιμασία για τον επόμενο διαγωνισμό που έχει προγραμματιστεί να διεξαχθεί στο Τόκιο (Ιαπωνία) στις αρχές του 2024 με την αποφασιστικότητα να κατακτήσει νέα ύψη. Ο Ha Anh Hoang εμπιστεύτηκε: «Για να πετύχουμε τη νίκη σήμερα, κατακτήσαμε βήμα βήμα, πηγαίνοντας από το εύκολο στο δύσκολο. Η νίκη της ομάδας είναι πολύ πειστική, αλλά δεν μπορούμε να αγνοήσουμε τους αντιπάλους αυτού του διαγωνισμού, επειδή από άποψη εμπειρογνωμοσύνης, υπάρχουν ακόμα ορισμένοι ερευνητικοί τομείς, ορισμένες δυνατότητες που έχουν ξένες ομάδες, τις οποίες η ομάδα της Viettel δεν μπορεί να κάνει. Ο άμεσος στόχος της ομάδας είναι να βρει νέα ερευνητικά θέματα, να εντοπίσει τρωτά σημεία ασφαλείας γιγάντιων προμηθευτών όπως η Apple, η Google... Και ο περαιτέρω στόχος είναι να ηγηθεί στον παγκόσμιο χώρο της ασφάλειας». Ως ένας από τους νέους εμπειρογνώμονες ασφαλείας του Βιετνάμ, αναγνωρισμένος από τη διεθνή κοινότητα, προσκαλεσμένος να συνεργαστεί με χιλιάδες δολάρια ΗΠΑ από πολλές διάσημες εταιρείες τεχνολογίας, ο Ngo Anh Huy εξακολουθεί να παραμένει στην ομάδα της Viettel. «Για μένα, η κατάκτηση της πρόκλησης δεν σημαίνει μόνο να επιβάλω τον εαυτό μου και να επιτύχω μια νέα κατάταξη στην ασφάλεια, θέλω να μείνω στο Βιετνάμ για να συνεχίσω να γράφω νέες σελίδες ιστορίας για τον κλάδο της ασφάλειας πληροφοριών με νέους ανθρώπους που μοιράζονται το ίδιο πάθος, κάνοντας το Βιετνάμ διάσημο σε διεθνείς αρένες», μοιράστηκε ο Huy. Σύμφωνα με τον Συνταγματάρχη Tao Duc Thang, Πρόεδρο του Διοικητικού Συμβουλίου και Γενικό Διευθυντή της Viettel, δεν πρόκειται για διαγωνισμό για να βρεθεί η σωστή απάντηση, αλλά σαν ένα παιχνίδι «πιάσε τη λέξη», οι νέοι μηχανικοί πρέπει να «πολεμήσουν» με τους κορυφαίους προμηθευτές και κατασκευαστές τεχνολογικού εξοπλισμού στον κόσμο. Πίσω από τους προμηθευτές βρίσκεται μια πολύ μεγάλη ομάδα όπως η Canon, η Xiaomi... Η νίκη δεν είναι εύκολη επειδή είναι πολύ πιθανό την τελευταία στιγμή ο προμηθευτής να κυκλοφορήσει ξαφνικά ενημερώσεις κώδικα, καθιστώντας τις ανταγωνιστικές ομάδες παθητικές και ανίκανες να αντιδράσουν. Ο Συνταγματάρχης Tao Duc Thang πιστεύει ότι το επίτευγμα του πρωταθλήματος του Pwn2Own 2023 είναι μόνο η αρχή. Ο δρόμος μπροστά για τους «white hat hackers» είναι ακόμα μακρύς επειδή ο τομέας της κυβερνοασφάλειας είναι πολύ μεγάλος, ο κυβερνοχώρος είναι τεράστιος και υπάρχουν πολλές προκλήσεις που περιμένουν τους νέους μηχανικούς μπροστά. Δεν σταματάμε μόνο στον τομέα του IoT, υπάρχουν επίσης τομείς όπως η βιομηχανία, η ενέργεια, ο ηλεκτρισμός, η ασφάλεια... οι νέοι μηχανικοί έχουν την ευκαιρία να επιβληθούν.