«پسران طلایی» دنیای امنیت سایبری

«با سوراخ‌ها بخور، بخواب و نفس بکش.»

سال ۲۰۲۳ چهارمین سالی بود که تیم ویتل در مسابقات Pwn2Own شرکت کرد و سرانجام افتخار واقعی به آنها رسید. در حالی که اولین تلاش آنها صرفاً برای تمرین بود، در دومین تلاش خود (۲۰۲۱) به جمع ۵ تیم برتر رسیدند و در مسابقات ۲۰۲۲، با اختلاف کمی از قهرمان شکست خوردند و در یک پایان ناامیدکننده، مقام دوم را کسب کردند. نگو آنه هوی (کاپیتان تیم) به اشتراک گذاشت: "Pwn2Own بزرگترین و معتبرترین مسابقه حمله سایبری جهان ، "جام جهانی" دنیای امنیت سایبری است که کل جایزه آن به میلیون‌ها دلار آمریکا می‌رسد. اهداف حمله، همه دستگاه‌ها و نرم‌افزارهای محبوب در سراسر جهان، از ارائه دهندگان پیشرو مانند مایکروسافت، اپل، گوگل، سامسونگ، شیائومی و... هستند."

مسابقه Pwn20wn که از ۲۴ تا ۲۷ اکتبر ۲۰۲۳ در تورنتو، کانادا برگزار شد، شاهد حضور ۱۴ مرد جوان بود که جوان‌ترین آنها تنها ۲۰ سال داشت و مصمم به پیروزی بودند. این بار تیم مهندسی جوان به جای تمرکز بر یافتن آسیب‌پذیری‌های متعدد مانند مسابقات قبلی، یک استراتژی سیستماتیک را تدوین کرد و به دنبال نقص‌های کمتر دیده شده گشت و از آنها بهره‌برداری کرد. یکی از بزرگترین نگرانی‌های نگو آنه هوی، سرپرست تیم، نحوه ارتباط اعضای تیم برای کار تیمی بود. در دو هفته پایانی قبل از مسابقه، کل تیم ۲۰ ساعت در روز کار می‌کرد، عملاً در محل غذا می‌خورد و می‌خوابید، گزارش‌هایی را برای برگزارکنندگان تهیه می‌کرد و همزمان آسیب‌پذیری‌ها را آزمایش، به‌روزرسانی و وصله می‌کرد. ها آنه هوآنگ، یکی از اعضای تیم، افزود: «آسیب‌پذیری‌ها به راحتی می‌توانند قبل از مسابقه توسط سازنده کشف و وصله شوند. بنابراین، اگر می‌خواهیم به بالاترین امتیاز برسیم، معمولاً باید تا حد امکان آسیب‌پذیری‌ها را پیدا کنیم و برنامه‌های حمله پشتیبان تهیه کنیم.» همه چیز با دقت آماده شده بود، فقط منتظر روز عزیمت به کانادا برای رقابت بودیم، اما تاسف‌بارترین چیز این بود که نزدیک به تاریخ مسابقه، کل تیم هنوز ویزای ورود خود را دریافت نکرده بودند. هوانگ گفت: «تیم ویتل به جای رقابت حضوری، مجبور شد از خانه به صورت آنلاین رقابت کند. این نیز یک نقطه ضعف در مقایسه با رقابت حضوری است، زیرا ما فقط می‌توانیم تجهیزات را از راه دور و از طریق دوربین بررسی کنیم. اگر حضوری رقابت می‌کردیم، می‌توانستیم در محل مشورت کنیم یا از برگزارکنندگان بخواهیم که هرگونه مشکلی را فوراً بررسی کنند. علاوه بر این، فرآیند آنلاین می‌تواند دارای نقص‌های غیرمنتظره مربوط به تجهیزات باشد...».

یک پیروزی نفس‌گیر و قانع‌کننده.

پس از سه ماه «خوردن، خوابیدن و جستجوی آسیب‌پذیری‌ها»، لحظه حقیقت فرا رسید و تیم ویتنامی باید توانایی خود را در بهره‌برداری از آسیب‌پذیری‌های امنیتی در مدت کوتاهی نشان می‌داد. نگوین شوان هوانگ، یکی از اعضای تیم، گفت: «در سایر مسابقات امنیتی، معمولاً هیچ محدودیت زمانی وجود ندارد، اما در این مسابقه، ما باید کشف آسیب‌پذیری را در عرض 30 دقیقه نشان می‌دادیم. Pwn2Own پیشرفته‌ترین اهداف و دستگاه‌ها را از شرکت‌های بزرگ فناوری گرد هم می‌آورد که همگی از آخرین نسخه‌های نرم‌افزاری استفاده می‌کنند. وظیفه هر تیم یافتن روش‌های حمله و کشف آسیب‌پذیری‌های کشف نشده قبلی است.» هر تیم فقط مجاز است یک بار برای هر هدف هک کند. هرچه هدف دشوارتر باشد، امتیاز بالاتر می‌رود. در پایان مسابقه، فرد یا سازمانی که بالاترین امتیاز را کسب کند، جایزه را دریافت خواهد کرد. «بزرگترین نگرانی ما خطاهای تکراری یا کشف و رفع نقص‌ها توسط سازنده به موقع بود. اعضای تیم نقص‌های مختلفی را آماده کردند؛ هر چه امتیاز یک دسته بیشتر بود، باید نقص‌های بیشتری را آماده می‌کردیم. در این بخش، تیم حداکثر امتیاز کل را بدون نقص‌های تکراری مانند سال گذشته که منجر به کسر امتیاز شد، دریافت کرد. ما بسیار خوشحال بودیم.» ها آنه هوانگ گفت. اعصاب‌خردکن‌ترین بخش، مسابقه نهایی، SOHO Smashup (تجهیزات اداری کوچک) بود. مانع تیم، روانی بود، زیرا آنها سال گذشته قهرمانی را از دست دادند، بنابراین کمی محتاط بودند. حتی مواقعی بود که همه چیز طبق برنامه پیش نمی‌رفت. همه از اضطراب عرق می‌ریختند. اگرچه آنها سه نقص را آماده کرده بودند، اما دو تلاش اول شکست خورد. تا تلاش سوم موفق نشدند و اعضای تیم از شادی منفجر شدند... رقبا همچنین تحت تأثیر روحیه مبارزه‌جویانه مداوم تیم ویتنامی قرار گرفتند.

تی. تو

دین کوانگ وو که برای اولین بار در این مسابقه شرکت کرده بود، سهم بسزایی در پیروزی تیمش در دسته آسیب‌پذیری تلفن همراه، دسته جدیدی که در این مسابقه معرفی شده بود، داشت. وو به اشتراک گذاشت: «تیم ما دو دستگاه تلفن همراه از سامسونگ و شیائومی را انتخاب کرد. اگرچه ما قبل از روز مسابقه کاملاً تحقیق و آماده شده بودیم و وصله‌های سازنده را دور زده بودیم، اما در اولین تلاش با سامسونگ شکست خوردیم. این مسابقه بسیار دلهره‌آور و اعصاب خردکن بود، اما خوشبختانه آرام ماندیم و در چالش دستگاه تلفن همراه شیائومی برنده شدیم.» پس از چهار شب رقابت شدید در برابر قوی‌ترین تیم‌های سراسر جهان، ساعت ۱ بامداد ۲۷ اکتبر، تیم ویتل با موفقیت تمام چالش‌ها را با امتیاز کلی ۳۰ به پایان رساند و با اختلاف ۱۲.۷۵ امتیاز از تیم دوم پیشی گرفت. مهندسان جوان ویتنامی با قاطعیت قهرمانی Pwn2Own را به دست آوردند و در هر هفت دسته ثبت شده به امتیازات کامل دست یافتند و جایزه ۱۸۰،۰۰۰ دلاری را به خانه بردند. محصولاتی که دارای آسیب‌پذیری تشخیص داده شده‌اند شامل Xiaomi 13 Pro، سیستم‌های ذخیره‌سازی QNAP، چاپگرهای Canon، HP و Lexmark، بلندگوهای هوشمند Sonos و SOHO Smashup هستند. این پیروزی همچنین یک پیشرفت جدید برای صنعت امنیت اطلاعات ویتنام محسوب می‌شود، زیرا این اولین باری است که آنها در یک رقابت معتبر بین‌المللی به مقام قهرمانی دست یافته‌اند. علاوه بر جوایز Pwn2Own، مهندسان جوان شرکت VSC همچنین بیش از ۴۰۰ آسیب‌پذیری امنیتی روز صفر را در پلتفرم‌ها و سیستم‌های اصلی فناوری اطلاعات مانند مایکروسافت، اوراکل، گوگل، آپاچی، VMWare و غیره کشف کردند.

آرزوی فتح قله‌های جدید.

پس از این مسابقه، تیم بلافاصله با عزم راسخ برای فتح قله‌های جدید، آماده‌سازی برای مسابقه بعدی که قرار است در اوایل سال ۲۰۲۴ در توکیو (ژاپن) برگزار شود را آغاز کرد. ها آن هوآنگ گفت: «برای رسیدن به این پیروزی، ما هر مرحله را یکی پس از دیگری فتح کردیم و از آسان به دشوار رفتیم. پیروزی تیم بسیار قانع‌کننده است، اما نمی‌توانیم رقبای این مسابقه را نادیده بگیریم، زیرا از نظر تخصص، برخی زمینه‌های تحقیقاتی و قابلیت‌هایی وجود دارد که تیم‌های خارجی دارند و تیم ویتل هنوز نمی‌تواند به آنها دست یابد. هدف فوری این تیم یافتن موضوعات تحقیقاتی جدید، کشف آسیب‌پذیری‌های امنیتی ارائه‌دهندگان غول‌هایی مانند اپل، گوگل... و هدف بلندمدت‌تر آن، رهبری در عرصه امنیت جهانی است.» نگو آن هوی، به عنوان یکی از کارشناسان جوان امنیت ویتنام که توسط جامعه بین‌المللی شناخته شده است و از بسیاری از شرکت‌های فناوری معروف با حقوق هزاران دلار آمریکا پیشنهادهای شغلی دریافت کرده است، همچنان به تیم ویتل متعهد است. هوی گفت: «برای من، غلبه بر چالش‌ها فقط به اثبات خودم و دستیابی به رتبه‌های جدید در امنیت مربوط نمی‌شود؛ می‌خواهم در ویتنام بمانم تا با همان اشتیاق به جوانان دیگر در نوشتن فصل‌های جدید در تاریخ امنیت اطلاعات بپیوندم و ویتنام را در عرصه‌های بین‌المللی سربلند کنم.» به گفته سرهنگ تائو دوک تانگ، رئیس و مدیرعامل ویتل، این یک رقابت برای یافتن راه‌حل مناسب نیست، بلکه بیشتر شبیه یک بازی «حدس بزن تصویر» است که در آن مهندسان جوان باید با تأمین‌کنندگان و تولیدکنندگان پیشرو تجهیزات فناوری جهانی «نبرد» کنند. پشت این تأمین‌کنندگان، شرکت‌های بزرگی مانند کانن و شیائومی قرار دارند... پیروزی آسان نیست زیرا بسیار محتمل است که در آخرین لحظه، تأمین‌کنندگان به‌طور غیرمنتظره‌ای وصله‌هایی را منتشر کنند و تیم‌های رقیب را بدون آمادگی رها کنند. سرهنگ تائو دوک تانگ معتقد است که پیروزی در مسابقات قهرمانی Pwn2Own 2023 فقط آغاز راه است. راه پیش روی «هکرهای کلاه سفید» هنوز طولانی است زیرا حوزه امنیت سایبری گسترده است، فضای مجازی بسیار زیاد است و چالش‌های زیادی در انتظار مهندسان جوان است. این فقط به اینترنت اشیا محدود نمی‌شود؛ همچنین زمینه‌هایی مانند صنعت، انرژی، مهندسی برق، ایمنی و موارد دیگر وجود دارد که مهندسان جوان فرصت‌هایی برای اثبات خود دارند.