پسران «طلایی» در دهکده امنیتی

«با سوراخ‌ها بخور، بخواب»

سال ۲۰۲۳ چهارمین سالی است که تیم ویتل در مسابقات Pwn2Own شرکت می‌کند و واقعاً به افتخار دست یافته است. اگر مسابقه اول فقط برای تمرین بود، در مسابقه دوم (۲۰۲۱) این تیم به جمع ۵ تیم برتر راه یافت و در مسابقه ۲۰۲۲، با تأسف به تیم قهرمان باخت و جایزه دوم را دریافت کرد. نگو آنه هوی (کاپیتان تیم) به اشتراک گذاشت: «Pwn2Own بزرگترین و معتبرترین مسابقه حمله سایبری جهان ، «جام جهانی» دنیای امنیت با جایزه‌ای بالغ بر میلیون‌ها دلار آمریکا است. اهداف حمله، همه دستگاه‌ها و نرم‌افزارهای محبوب جهان، از تأمین‌کنندگان پیشرو مانند مایکروسافت، اپل، گوگل، سامسونگ، شیائومی و... هستند.»

مسابقه Pwn20wn این مسابقه از ۲۴ تا ۲۷ اکتبر ۲۰۲۳ در تورنتو (کانادا) برگزار شد. ۱۴ مرد جوان که جوان‌ترین آنها تنها ۲۰ سال داشت، مصمم بودند به هدف قهرمانی دست یابند. در این مسابقه، به جای تمرکز بر یافتن آسیب‌پذیری‌های زیاد مانند مسابقات قبلی، گروه مهندسان جوان یک استراتژی روشمند ایجاد کردند و به دنبال خطاهایی بودند که کمتر کسی آنها را کشف و بهره‌برداری می‌کرد. یکی از چیزهایی که نگو آنه هوی، رهبر تیم، بیشتر نگران آن بود، نحوه ارتباط اعضا برای کار تیمی (کار تیمی) بود. در ۲ هفته آخر قبل از مسابقه، کل تیم ۲۰ ساعت در روز کار می‌کرد، تقریباً درجا غذا می‌خورد و می‌خوابید، مجبور بود گزارش‌هایی را برای ارسال به کمیته برگزارکننده آماده کند و به‌روزرسانی‌ها و وصله‌های آسیب‌پذیری را بررسی کند. ها آنه هوانگ، یکی از اعضای تیم، افزود: «آسیب‌پذیری‌ها می‌توانند قبل از مسابقه توسط سازنده پیدا و وصله شوند. بنابراین، اگر می‌خواهیم به بالاترین امتیاز برسیم، اغلب باید تا حد امکان آسیب‌پذیری‌ها را پیدا کنیم و برنامه‌های حمله پشتیبان تهیه کنیم.» همه چیز با دقت آماده شده بود، فقط منتظر روز عزیمت به کانادا برای رقابت بودیم، اما تاسف‌بارترین چیز این بود که نزدیک به روز مسابقه، کل تیم هنوز ویزای ورود دریافت نکرده بودند. هوانگ گفت: «تیم ویتل به جای رقابت حضوری، مجبور شد در خانه بماند و به صورت آنلاین رقابت کند. این نیز یک نقطه ضعف در مقایسه با رقابت حضوری است، به این معنی که ما فقط می‌توانیم دستگاه را از راه دور و از طریق دوربین بررسی کنیم. اگر حضوری رقابت کنیم، می‌توانیم در محل مشورت کنیم یا از برگزارکنندگان بخواهیم که فوراً هرگونه وضعیت پیش آمده را بررسی کنند. علاوه بر این، فرآیند آنلاین می‌تواند مشکلات غیرمنتظره‌ای در رابطه با ماشین‌آلات و تجهیزات داشته باشد...».

پیروزی نفس‌گیر و قاطع

پس از ۳ ماه «خوردن، خوابیدن و یافتن آسیب‌پذیری‌ها»، بالاخره زمان آن فرا رسید. تیم ویتنامی باید توانایی حمله به آسیب‌پذیری‌های امنیتی را در مدت زمان کوتاهی نشان دهد. نگوین شوان هوانگ، یکی از اعضای تیم، گفت: «در سایر مسابقات امنیتی، معمولاً محدودیت زمانی وجود ندارد، اما در این مسابقه، ما باید یافتن آسیب‌پذیری‌ها را در عرض ۳۰ دقیقه نشان دهیم. Pwn2Own پیشرفته‌ترین اهداف و دستگاه‌ها را از شرکت‌های بزرگ فناوری گرد هم می‌آورد و با جدیدترین نسخه‌های نرم‌افزاری نصب می‌شود. وظیفه تیم‌ها یافتن مسیرهای حمله و یافتن آسیب‌پذیری‌هایی است که هرگز کشف نشده‌اند.» هر تیم فقط می‌تواند یک بار برای هر هدف هک کند. هرچه هدف دشوارتر باشد، امتیاز بالاتر می‌رود. در پایان مسابقه، فرد یا سازمانی که بالاترین امتیاز را کسب کند، جایزه را برنده خواهد شد. «بزرگترین نگرانی ما این بود که خطاهای تکراری وجود داشته باشد یا اینکه سازنده به موقع سوراخ‌ها را کشف و وصله کرده باشد. اعضای تیم سوراخ‌های مختلفی را آماده کرده بودند و هرچه امتیاز بیشتری برای این دسته داشتیم، باید خطاهای بیشتری را آماده می‌کردیم. در این بخش، تیم حداکثر امتیاز کل را دریافت کرد و هیچ خطای تکراری مانند سال گذشته وجود نداشت که منجر به کسر امتیاز شود. ما آنقدر خوشحال بودیم که گریه کردیم.» ها آنه هوانگ گفت. هیجان‌انگیزترین بخش، دور نهایی SOHO Smashup (تجهیزات اداری کوچک) بود. مانع تیم روانی بود، زیرا آنها سال گذشته قهرمانی را از دست داده بودند، بنابراین کمی محتاط بودند. حتی چند باری پیش آمد که اوضاع طبق برنامه پیش نرفت. همه از نگرانی عرق کرده بودند. اگرچه آنها 3 سوراخ آماده کرده بودند، اما در 2 بار اول شکست خوردند. تا بار سوم که موفق شدند، اعضا از خوشحالی اشک شوق ریختند... حریفان نیز مجبور بودند مبارزه مداوم تیم ویتنامی را تحسین کنند.

تی. تو

اگرچه این اولین باری بود که در این مسابقه شرکت می‌کرد، دین کوانگ وو سهم مهمی در کمک به تیمش برای برنده شدن در بخش آسیب‌پذیری تلفن همراه داشت. این یک بخش جدید در این مسابقه است. وو به اشتراک گذاشت: «تیم ما دو دستگاه تلفن همراه از سامسونگ و شیائومی را انتخاب کرد. اگرچه ما قبل از روز مسابقه کاملاً تحقیق و آماده شده بودیم و وصله‌های سازنده را پشت سر گذاشته بودیم، اما در اولین تلاش با سامسونگ شکست خوردیم. در آن زمان احساس خفگی و دلشکستگی کردم، اما خوشبختانه آرام بودیم و از رقابت دستگاه تلفن همراه شیائومی عبور کردیم.» پس از ۴ شب رقابت شدید با قوی‌ترین تیم‌ها از بسیاری از نقاط جهان، ساعت ۱ بامداد ۲۷ اکتبر، تیم ویتل با موفقیت مسابقه را با امتیاز کلی ۳۰ و ۱۲.۷۵ امتیاز بالاتر از تیم دوم به پایان رساند. مهندسان جوان ویتنامی با قاطعیت قهرمانی Pwn2Own را به دست آوردند و در هر ۷ بخش ثبت شده به امتیاز کامل دست یافتند و جایزه ۱۸۰،۰۰۰ دلاری را به خانه آوردند. محصولاتی که دارای خطا بودند شامل Xiaomi 13 Pro، سیستم‌های ذخیره‌سازی QNAP، Canon، HP، چاپگرهای Lexmark، بلندگوهای هوشمند Sonos و SOHO Smashup بودند. این پیروزی همچنین موفقیت جدیدی را برای صنعت امنیت اطلاعات ویتنام رقم زد، زیرا این کشور برای اولین بار در یک تورنمنت معتبر بین‌المللی قهرمان شد. علاوه بر جوایز Pwn2Own، مهندسان جوان شرکت VSC همچنین بیش از ۴۰۰ آسیب‌پذیری امنیتی Zero-day را در پلتفرم‌ها و سیستم‌های اصلی فناوری اطلاعات مانند مایکروسافت، اوراکل، گوگل، آپاچی، VMWare و ... کشف کردند.

آرزوی فتح قله‌های جدید

پس از مسابقه، تمام تیم بدون اینکه به افتخارات خود اکتفا کنند، با عزمی راسخ برای فتح قله‌های جدید، خود را برای مسابقه بعدی که قرار است در اوایل سال ۲۰۲۴ در توکیو (ژاپن) برگزار شود، آماده کردند. ها آن هوآنگ با اطمینان گفت: «برای رسیدن به پیروزی امروز، گام به گام پیش رفته‌ایم و از آسان به دشوار رسیده‌ایم. پیروزی تیم بسیار قانع‌کننده است، اما نمی‌توانیم رقبای این مسابقه را نادیده بگیریم، زیرا از نظر تخصص، هنوز برخی زمینه‌های تحقیقاتی و برخی قابلیت‌هایی وجود دارد که تیم‌های خارجی دارند و تیم ویتل نمی‌تواند آنها را انجام دهد. هدف فوری این تیم یافتن موضوعات تحقیقاتی جدید، یافتن آسیب‌پذیری‌های امنیتی تأمین‌کنندگان غول‌هایی مانند اپل، گوگل... و هدف بعدی رهبری در عرصه امنیت جهانی است.» نگو آن هوی، به عنوان یکی از متخصصان جوان امنیت ویتنام که توسط جامعه بین‌المللی شناخته شده و توسط بسیاری از شرکت‌های فناوری معروف با هزاران دلار آمریکا دعوت به همکاری شده است، هنوز در تیم ویتل باقی مانده است. هوی گفت: «برای من، غلبه بر این چالش فقط به معنای اثبات خودم و دستیابی به رتبه‌ای جدید در امنیت نیست، بلکه می‌خواهم در ویتنام بمانم تا به نوشتن صفحات جدیدی از تاریخ صنعت امنیت اطلاعات با جوانانی که اشتیاق مشابهی دارند ادامه دهم و ویتنام را در عرصه‌های بین‌المللی مشهور کنم.» به گفته سرهنگ تائو دوک تانگ، رئیس هیئت مدیره و مدیر کل ویتل، این یک رقابت برای یافتن پاسخ درست نیست، بلکه مانند یک بازی «گرفتن حرف»، مهندسان جوان باید با تأمین‌کنندگان و تولیدکنندگان پیشرو تجهیزات فناوری در جهان «مبارزه» کنند. پشت سر تأمین‌کنندگان، گروه بسیار بزرگی مانند کانن، شیائومی قرار دارد... پیروزی آسان نیست زیرا بسیار محتمل است که در آخرین لحظه، تأمین‌کننده ناگهان وصله‌هایی را منتشر کند و تیم‌های رقیب را منفعل و ناتوان از واکنش کند. سرهنگ تائو دوک تانگ معتقد است که موفقیت در مسابقات قهرمانی Pwn2Own 2023 فقط آغاز راه است. راه پیش روی «هکرهای کلاه سفید» هنوز طولانی است زیرا حوزه امنیت سایبری بسیار گسترده است، فضای مجازی وسیع است و چالش‌های زیادی در انتظار مهندسان جوان پیش رو است. نه تنها در حوزه اینترنت اشیا، بلکه در حوزه‌های صنعت، انرژی، برق، ایمنی و... نیز مهندسان جوان این فرصت را دارند که خود را اثبات کنند.