"האקר" של וייטל משאיר את חותמו על מפת העולם

Báo Tuổi Trẻ•15/11/2023

קצת אחרי 1 לפנות בוקר ב-27 באוקטובר, בחדר המואר של חברת אבטחת הסייבר וייטל (VCS), פרצו 14 חברי צוות VCS בשמחה: הצוות זכה באליפות תחרות מתקפות הסייבר הגדולה והיוקרתית בעולם, Pwn2Own 2023.

זוהי לא רק התוצאה הצפויה של שלושה חודשי עבודה רצופה, יום ולילה, של כל הצוות, אלא גם של תחרות נמרצת מול היריבים החזקים ביותר מרחבי העולם !

זה לא רק הפרס המתוק הראשון עבור החבר הצעיר ביותר בקבוצה, דו אן דונג, יליד 2003, שכיום סטודנט שנה ג' באוניברסיטה לטכנולוגיה (VNU האנוי)!

זה לא רק הרצון להגיע לפסגת התחרות עבור חברים כמו נגו אן הוי, נגוין שואן הואנג, נגוין הונג קוואנג... שמנסים את מזלם בטורניר הזה כבר כמה שנים ברציפות!

Hacker Viettel ghi danh lên bản đồ thế giới - Ảnh 1.

זה היה גם הישג מפואר להביא הביתה את המקום הראשון עבור המדינה באחת התחרויות העולמיות היוקרתיות ביותר, מה שמאשר את יכולותיהם של העם הווייטנאמי בתחום אבטחת המידע ובטיחותו.

וחשוב מכל, זהו "הפרי המתוק" שנקטף מהזרעים ש- Viettel זרעה בהתמדה במשך שנים רבות. כיום, עם VCS וצוות מומחי אבטחת המידע שלה, Viettel יכולה לטעון בגאווה שהיא אחת החברות המובילות בעולם ביכולות אבטחת מידע ובטיחות.

Hacker Viettel ghi danh lên bản đồ thế giới - Ảnh 2.

כל 14 חברי קבוצת VCS שזכתה באליפות Pwn2Own 2023 הם צעירים מאוד. רוב החברים הם מדור שנות ה-90, כאשר הצעיר ביותר נולד בשנת 2003.

אבל לרוב חברי הצוות יש ניסיון של שנים ושפע של הישגים בתחום אבטחת המידע. אפילו החבר הצעיר ביותר בצוות, דו אן דונג, הוכיח את עצמו: דונג היה זה שהשיג נס בתחרות הזו, ניצח בקטגוריה אחת ותרם לתוצאה הכוללת של הצוות.

בסיום קטגוריית התחרות האחרונה בערב ה-27 באוקטובר, הקבוצה מ-Viettel Cyber Security (VCS) הבטיחה רשמית את הניצחון הגדול עם 30 נקודות Master of Pwn, והותירה את הקבוצה שסיימה במקום השני הרחק מאחור בפער של 12.75 נקודות.

Hacker Viettel ghi danh lên bản đồ thế giới - Ảnh 3.

עם תוצאה משכנעת זו, VCS הבטיחה את תואר האליפות לפני יריבות בינלאומיות רבות, שנחשבו למתמודדות חזקות על אליפות הטורניר, כמו Sea Security (סינגפור), Vupen, Synacktiv (צרפת) ו-Devcore (טייוואן - אלופת השנה שעברה)...

חבר צוות VCS, הא אן הואנג, שיתף את האתגרים במהלך ההכנות לתחרות ואמר: "שלושה חודשים לפני התחרות, המארגנים הכריזו רק על הציוד שהיה צריך לשלוט בו. לכן, היו לנו רק שלושה חודשים להתכונן, כי אז הצוות הצליח לרכוש את הציוד ללימודים. ציוד רב היה צריך להיות מיובא מחו"ל ולקח חודשים להגיע לווייטנאם."

לדברי חבר צוות נוסף, נגוין שואן הואנג, "בתחרות יש מתחרים שמשתתפים כבר זמן רב. יש להם ניסיון רב, ויש גם מתחרים חזקים מאוד, הן מבחינה כלכלית והן מבחינה מקצועית. צוות VCS נחושה להיכנס לתחרות עם ההכנה המעמיקה ביותר, אחדות ואסטרטגיה מתאימה כדי להשיג את ההצלחה הגבוהה ביותר האפשרית בתחרות השנה."

Hacker Viettel ghi danh lên bản đồ thế giới - Ảnh 4.

הואנג שיתף עוד כי בשנה שעברה, קבוצת VCS זכתה במקום השני בתחרות זו עם תוצאה קרובה מאוד לאלופה, כשהיא מפסידה ב-2.5 נקודות בלבד. לכן, הקבוצה נחושה לשאוף לאליפות השנה.

אבל הדרך לאליפות אינה פשוטה: יעדי ההתקפה בתחרות הזו הם כל המכשירים והתוכנות הפופולריים ברחבי העולם, מיצרנים מובילים כמו מיקרוסופט, אפל, גוגל, סמסונג... - שיתף נגוין שואן הואנג.

כדי לעמוד בדרישות התחרות, היה צורך להזמין את המכשיר מארה"ב, אך רגע של חוסר זהירות גרם לתקלה שלו משום שהוא השתמש בספק כוח של 110 וולט המתאים לשוק האמריקאי, בעוד שוייטנאם משתמשת בחשמל של 220 וולט.

Hacker Viettel ghi danh lên bản đồ thế giới - Ảnh 5.

לדברי נגו אן הוי, חבר שהשתתף בתחרות זו ארבע פעמים, הפחד הגדול ביותר של הקבוצה הוא פגיעויות כפולות או שהיצרן יתקן במהירות את פגמי האבטחה שהקבוצה זיהתה. בשנה שעברה, קבוצת Viettel זכתה במקום השני בלבד משום שנקנסה על פגיעות כפולה.

יתר על כן, אתגרים צצו ברגע האחרון, כאשר הליכי הוויזה התעכבו, מה שמנע מכל הקבוצה לנסוע לטורונטו (קנדה) בזמן לתחרות פנים אל פנים. במקום זאת, 14 חברי צוות VCS נאלצו להתחרות באינטרנט, תוך דאגה מתמדת מבעיות פוטנציאליות שלא ייפתרו בזמן במהלך המשחק...

אבל התוצאה הסופית מדברת בעד עצמה... לא רק שקבוצת VCS זכתה באליפות, אלא גם השיגה ניצחון מרהיב.

"כשהיינו בקטגוריית עשרת הראשונים הסופית, כל הקבוצה התפרצה משמחה ואושר כי הוכחנו שהאליפות הזו הייתה ניצחון משכנע, ולא הותיר מקום לספק", נזכר נגוין שואן הואנג בגאווה ברגע הזה.

Hacker Viettel ghi danh lên bản đồ thế giới - Ảnh 6.

Hacker Viettel ghi danh lên bản đồ thế giới - Ảnh 7.

לאחר ארבע שנים רצופות של השתתפות ב-Pwn2Own, צוות VCS סוף סוף הניף את גביע האליפות של Pwn2Own בפעם הראשונה. זוהי תחרות פריצה לתוכנה ואלקטרוניקה צרכנית הנערכת פעמיים בשנה על ידי ארגון הסייבר Zero Day Initiative, ונחשבת לאחת מתחרויות הסייבר המאתגרות ביותר בעולם כיום.

מר נגוין סון האי, מנהל VCS, אמר שבשנת 2020, Viettel השיגה את ניצחונה הראשון ב"תחרות" זו בקטגוריית הטלוויזיות החכמות. בשנת 2021, Viettel הגיעה לטופ 5. בשנת 2022, היא הבטיחה את המקום השני. והשנה, היא עלתה וזכתה בתואר האליפות עם ניקוד מוחץ.

Hacker Viettel ghi danh lên bản đồ thế giới - Ảnh 8.

התחרות ב-Pwn2Own משתתפת לא רק בצוותי אבטחת סייבר ידועים ברחבי העולם, אלא גם ביצרנים גלובליים גדולים ותאגידי טכנולוגיה. כל תחרות תציג אתגרים הקשורים להתקני תוכנה או חומרה פופולריים כגון מערכת ההפעלה Windows, טלפונים של Apple, Xiaomi וסמסונג, או מדפסות Canon ו-HP וכו'.

צוותים חייבים להתחרות כדי למצוא פגיעויות אבטחה שלא היו ידועות קודם לכן בתוכנות ובמכשירים ולאחר מכן להדגים כיצד לנצל את הפגיעויות הללו בשידור חי תוך 30 דקות.

"מדוע נוכל לומר שהמתחרים אינם רק קבוצות מומחי אבטחה אחרות, אלא גם יצרני מכשירים כמו אפל, שיאומי, קנון, TP-Link... כי הם שונאים להיות מואשמים בנקודות תורפה במכשירים שלהם, מה שעלול לפגוע באמון הלקוחות. לספקי מכשירים אלה תמיד יש צוות אבטחה והם מוכנים להוציא סכומי כסף גדולים כדי לתקן באגים במוצרים שלהם לפני שהתחרות מתקיימת, כך שהמוצרים שלהם לא ייפגעו בעיני הציבור", שיתף נגוין הונג קוואנג, חבר בצוות VCS, עם עיתון Tuoi Tre .

לכן, התחרות תהיה עזה מרגע פרסום השאלות ועד לרגע האחרון ממש. ייתכן בהחלט שקבוצות יגלו פגמים, אך המפתחים יתקנו אותם באופן בלתי צפוי ממש לפני יום התחרות, מה שיגרום לאחת הקבוצות לאבד את כל עבודתה הקשה והישגיה.

לכן, "ככל שזמן ההופעה התקרב, היינו צריכים להתחלק למשמרות יום ולילה כדי 'לעקוב' האם הפגיעויות שגילינו עדיין קיימות, ולעקוב מקרוב אחר המפיקים כדי לראות אם הם תיקנו את הבאגים שמצאנו", אמר נגו אן הוי, שחקן Pwn2Own ותיק מצוות VCS.

תחרות Pwn2Own טורונטו לשנת 2023 מתמקדת בחומרה, כולל קטגוריות כמו טלפונים ניידים, רמקולים חכמים, מערכות מעקב, מערכות אחסון ברשת ואלקטרוניקה משרדית. כל קטגוריה מציעה פרסים הנעים בין 30,000$ ל-100,000$ וציונים הנעים בין 2 ל-10 נקודות בהתאם לקושי הפריצה למכשיר ולרמת ההשלמה של הדגמת הפריצה.

הפרס היקר ביותר, הן מבחינת תגמול והן מבחינת נקודות, הוא הקטגוריה האחרונה, שילוב (mash-up), הדורש מהקבוצות להריץ קוד פרץ על אחד מנתבי הרשת המסופקים בתחרות ובכך לתקוף מכשיר בקטגוריות שהוזכרו לעיל, עם פרס של 100,000 דולר ו-10 נקודות.

Hacker Viettel ghi danh lên bản đồ thế giới - Ảnh 9.

לאחר השלמת המשימות האישיות ותקיפה מוצלחת של טלפונים מדגם Xiaomi 13 Pro, מערכות אחסון QNAP TS 464, מדפסות Canon imageClass MF753Cdw ורמקולים מדגם Sonos Era 100, צוות VCS השיג 20 נקודות, וכמעט הבטיח את האליפות בעוד שיריבתם, Sea Security, הגיעה ל-17.25 נקודות בלבד לאחר השלמת המשימות האישיות והמשולבות.

בעוד שהלחץ התחרותי העז שכך, הקטגוריה האחרונה ממשיכה לרדוף את מהנדסי VCS, משום שחוסר נקודות באתגר המאש-אפ היה הסיבה להחמצת האליפות בשנה שעברה. "הפעם, כשנכנסנו לקטגוריית המאש-אפ, היינו שוב בעמדת נחיתות כשהוגרלנו להתחרות מאוחר יותר. אם היינו עושים את אותה טעות כמו הקבוצה הקודמת, היינו מאבדים נקודות", שיתף נגו אן הוי. טעות חופפת זו הביאה לכך ש-VCS הייתה בפיגור של 2.5 נקודות מהקבוצה המנצחת בטורניר Pwn2Own בשנה שעברה.

"השנה, לא רק ביקשנו לנצל פגיעויות חדשות, אלא גם בחרנו במכוון פגיעויות שהיו קשות מאוד למציאה וסביר להניח שלא ישוכפלו על ידי צוותים אחרים, או שעשויות להיות קלות למציאה אך קשות לניצול, וגם היו להן אפשרויות גיבוי רבות. זוהי תוצאה של שלושה חודשי מחקר ממוקד של כל הצוות", אמר הוי.

כתוצאה מכך, קבוצת VCS השיגה ציון מושלם של 10/10 בקטגוריה המשולבת וזכתה באליפות הכללית עם סך של 30 נקודות, תוך שהיא עוקפת בהרבה את סגנית האלופה ב-12.5 נקודות, והבטיחה ניצחון מרהיב ומוחלט.

Hacker Viettel ghi danh lên bản đồ thế giới - Ảnh 10.

Hacker Viettel ghi danh lên bản đồ thế giới - Ảnh 11.

"בחרנו ב-Pwn2Own כדי לבחון את כישורינו משום שמדובר בתחרות על המכשירים הפופולריים ביותר בעולם, מיצרנים מובילים עם הליכי בדיקה קפדניים", אמר מר נגוין סון האי, מנהל VCS. "השקעה בצוות מחקר ייעודי ובחינת כישורינו בזירה הבינלאומית היא חלק ממאמצי VCS לפתח משאבי אנוש."

המסע של צוות VCS לאליפות Pwn2Own 2023 הוא שיאו של מאמץ ארוך ומרשים, עדות חיה לחזון רב השנים של מנהיגות קבוצת Viettel בתחום אבטחת המידע.

Hacker Viettel ghi danh lên bản đồ thế giới - Ảnh 12.

לפני יותר מעשור, כאשר מנהל VCS, נגוין סון האי, היה באותו גיל כמו חברי קבוצת אליפות Pwn2Own 2023 כיום, הנהלת קבוצת Viettel הייתה נחושה להשקיע בתחום אבטחת המידע.

הזרעים הראשונים לשדה צעיר נזרעו מוקדם על ידי וייטל, והם זכו להשקעה וטיפול שיטתיים ואסטרטגיים.

מסע המחקר המעמיק של VCS החל בשנותיה הראשונות, כאשר רק שישה אנשים עבדו בתחילה בתחום אבטחת מידע. מאז 2011, צוות VCS ביצע סימולציות של מתקפות עם יחידות בתוך קבוצת Viettel כדי לזהות פגיעויות אבטחה.

Hacker Viettel ghi danh lên bản đồ thế giới - Ảnh 13.

"מכיוון שאנו מפעילים תשתית קריטית, החזון של Viettel הוא לחקור את אבטחת הסייבר כאבן פינה", אמר מר סון האי. "באבטחת הסייבר, אנשים הם הגורם החשוב ביותר. אפילו כאשר משתמשים במוצרים הטובים בעולם, אם משתמשים בהם רק כמשתמש קצה, הסיכון לתקיפה נותר גבוה מאוד, בעוד שתשתיות קריטיות כמו שירותי הסלולר והאינטרנט של Viettel הן מטרות להתקפות מצד הקבוצות הגדולות בעולם".

כדי לבנות צוות מומחים להגנה על תשתיות קריטיות, VCS שואפת להכשיר אנשי אבטחת סייבר בעלי יכולות שוות ערך לסטנדרטים עולמיים. משנת 2015 ועד היום, Viettel ו-VCS הכשירו 450 סטודנטים, מתוכם גויסו 5% מהמועמדים המתאימים ביותר להמשך עבודתם, אמר מר האי.

"לאחר בניית צוות מומחים והשקעה שיטתית במחקר מעמיק, אנו ממשיכים לחפש דרכים להשקיע בשיפור כישורי ההתקפה של צוות המומחים של VCS. השתתפות בתחרויות ברמה עולמית מכוונת גם היא למטרה זו", אמר מר נגוין סון האי.

Hacker Viettel ghi danh lên bản đồ thế giới - Ảnh 14.

בשנת 2013, VCS החלה לחקור פגיעויות יום-אפס - פגיעויות לא ידועות ולא מתוקנות, ולכן היקרות ביותר לניצול. אנה הוי והונג קוואנג היו בין המומחים הראשונים שעשו זאת. עד שנת 2015, צוות VCS מצא את הפגיעויות הראשונות שלו, ועד היום, מספר הפגיעויות שהתגלו על ידי VCS הגיע ל-400.

"אף עסק וייטנאמי לא הגיע למספר כזה, וגם אין הרבה בעולם", הצהיר מר האי.

ההזדמנות להכשרה באמצעות השתתפות מעמיקה במחקר היא הסיבה לכך ש-VCS היא מקום עבודה אטרקטיבי עבור מומחי אבטחת סייבר שזכו זה עתה בפרס הראשון ב-Pwn2Own. כשנשאל מדוע בחר ב-Viettel, אמר אן הוי: "מניסיוני, לא הרבה חברות מוכנות להשקיע לטווח ארוך במחקר ובצוותי מחקר בתחום אבטחת הסייבר."

Hacker Viettel ghi danh lên bản đồ thế giới - Ảnh 15.

"במיוחד בתחום אבטחת הסייבר, הגורם האנושי הוא הגורם החשוב ביותר. לכן, VCS תמיד מודעת להכשרה ושדרוג הצוות שלה ולבניית דורות עוקבים של צוות מוכשר ביותר, שתמיד מוכן להתמודד עם אתגרים ברמה הבינלאומית", הדגיש מנהל VCS, נגוין סון האי.

בטקס הענקת הפרסים, בו בירך את חברי הצוות על השתתפותם בתחרות, הביע יו"ר ומנכ"ל קבוצת וייטל, טאו דוק טאנג, את גאוותו ב"האקרים הלבנים" של וייטל. הוא אישר: "וייטל גאה בכך שצוות VCS זכה בפרס יוקרתי בתחום אבטחת הסייבר העולמית, ו'מתחרה' עם יצרניות ציוד גלובליות מובילות בעלות יחידות מחקר ופיתוח גדולות."

ראש קבוצת Viettel העריך כי "Pwn2Own היא תחרות יוקרתית בעלת רמת קושי גבוהה מאוד עבור כל האקר. התחרות משולה ל'קרב' נגד יצרנים עם צוותי אבטחת מידע מהשורה הראשונה בעולם, המוכנים להגיב בהאקרים עד הרגע האחרון. זהו משחק ללא הגבלת גיל, ויכול לכלול אפילו שיתופי פעולה רב לאומיים...". לכן, מר טאו דוק טאנג הצהיר: "הזכייה באליפות Pwn2Own 2023 הביאה תהילה ל-Viettel ולווייטנאם בזירה הבינלאומית", אמר בגאווה יו"ר הקבוצה.

היו"ר קאו דוק טאנג הודה גם כי תחום אבטחת הסייבר הוא עצום, מסע ארוך עבור מומחי Viettel, וכי אתגרים רבים צפויים לפנינו.

"שמירה על התפקיד הבכיר אינה קלה, לכן עלינו להמשיך ולשפר את כישורינו ולחלום חלומות גדולים, תוך שאיפה מתמדת להפוך את החלומות הללו למציאות כדי להביא את וייטנאם לעולם", הדגיש מר טאו דוק טאנג.

יו"ר קבוצת וייטל שיתף גם כי בעתיד, לקבוצה יהיו מדיניות ספציפית להכשרת כוח אדם איכותי, כך שיוכלו להמשיך ולהקדיש את עצמם לעבודתם בראש שקט.

מר טאו דוק טאנג, שהטיל משימות על VCS, הדגיש כי VCS צריכה להמשיך ולהכשיר מומחי אבטחה נוספים, תוך התמקדות בהכשרת הדור הבא עם הבסיס הטוב ביותר לשרת לא רק את התאגיד אלא גם את המדינה, ולהגן על האומה במרחב הקיברנטי.