ה"נערים הזהובים" בכפר הביטחון

מהנדסים צעירים מחברת Viettel Cyber Security, שעקפו מומחים מתאגידי טכנולוגיה יוקרתיים ומומחי אבטחה מובילים, הוכתרו כאלופי תחרות מתקפות הסייבר הגדולה והיוקרתית בעולם, Pwn2Own 2023, והביאו לעולם את שמם של "האקרים לבנים" וייטנאמים...

"לאכול, לישון עם... חורים"

2023 היא השנה הרביעית בה קבוצת Viettel משתתפת בתחרות Pwn2Own והתהילה באמת הגיעה אליהם. אם התחרות הראשונה הייתה רק לאימון, אז בתחרות השנייה (2021) הקבוצה נכנסה לחמישייה הראשונה ובתחרות 2022 הפסידה הקבוצה לקבוצה האלופה בצער רב, וזכתה במקום השני. נגו אן הוי (קפטן הקבוצה) שיתף: "Pwn2Own היא תחרות מתקפות הסייבר הגדולה והיוקרתית בעולם , 'גביע העולם' של עולם האבטחה עם פרס כולל של עד מיליוני דולרים. יעדי ההתקפה הם כל המכשירים והתוכנות הפופולריים בעולם, מספקים מובילים כמו מיקרוסופט, אפל, גוגל, סמסונג, שיאומי...".

Những chàng trai 'vàng' trong làng bảo mật- Ảnh 1. — *הא אן הואנג (משמאל) ונגוין שואן הואנג (מימין) ייצגו את קבוצת וייטל בקנדה וקיבלו את הגביע והפרס בסך 180,000 דולר.*

תחרות Pwn20wn התחרות התקיימה בין ה-24 ל-27 באוקטובר 2023 בטורונטו (קנדה). 14 גברים צעירים, הצעיר שבהם בן 20 בלבד, היו נחושים להשיג את מטרת האליפות. במקום להתמקד במציאת נקודות תורפה רבות כמו בתחרויות קודמות, בתחרות זו, קבוצת המהנדסים הצעירים בנתה אסטרטגיה שיטתית, וחיפשה שגיאות שמעטים גילו וניצלו. אחד הדברים שהכי הדאיג ודאג למנהיג הצוות נגו אן הוי היה כיצד לחבר חברים לעבודה בצוות (עבודת צוות). בשבועיים האחרונים שלפני התחרות, כל הצוות עבד 20 שעות ביום, כמעט אכל וישן במקום, נאלץ להכין דוחות לשליחה לוועדת הארגון ולבדוק עדכונים ולתקן נקודות תורפה. "היצרן יכול למצוא ולתקן את הפגיעויות לפני התחרות. לכן, לעתים קרובות עלינו למצוא כמה שיותר נקודות תורפה ולהכין תוכניות גיבוי לתקיפה אם ברצוננו להשיג את הציון הגבוה ביותר", הוסיף החבר הא אן הואנג. הכל הוכן בקפידה, רק חיכינו ליום היציאה לקנדה כדי להתחרות, אבל הדבר המצער ביותר היה שסמוך ליום התחרות, כל הקבוצה עדיין לא קיבלה אשרת כניסה. "במקום להתחרות פנים אל פנים, קבוצת וייטל נאלצה להישאר בבית ולהתחרות באינטרנט. זהו גם חיסרון בהשוואה לתחרות פנים אל פנים, והוא שאנחנו יכולים לבדוק את המכשיר רק מרחוק דרך מצלמה. אם אנחנו מתחרים פנים אל פנים, אנחנו יכולים להתייעץ במקום או לבקש מהמארגנים לבדוק מיד כל מצב שמתעורר. בנוסף, התהליך המקוון יכול להוביל לבעיות בלתי צפויות הקשורות למכונות וציוד...", סיפר הואנג.

ניצחון עוצר נשימה ומשכנע

לאחר 3 חודשים של "אכילה, שינה ומציאת פגיעויות", סוף סוף הגיע הזמן, הצוות הוייטנאמי חייב להדגים את היכולת לתקוף פגיעויות אבטחה בזמן קצר. חבר הצוות נגוין שואן הואנג אמר: "בתחרויות אבטחה אחרות, בדרך כלל אין מגבלת זמן, אבל בתחרות הזו, עלינו להדגים מציאת פגיעויות תוך 30 דקות. Pwn2Own מאגד את המטרות והמכשירים המתקדמים ביותר מחברות טכנולוגיה גדולות ומותקן בו גרסאות התוכנה העדכניות ביותר. משימת הצוותים היא למצוא כיווני תקיפה ולמצוא פגיעויות שמעולם לא התגלו." כל צוות יכול לפרוץ פעם אחת בלבד לכל מטרה. ככל שהמטרה קשה יותר, כך הציון גבוה יותר. בסוף התחרות, האדם או הארגון עם הציון הגבוה ביותר יזכו בפרס. "הדאגה הגדולה ביותר שלנו הייתה שיהיו שגיאות כפולות או שהיצרן גילה ותיקן את החורים בזמן. חברי הצוות הכינו חורים שונים, וככל שהיינו צריכים להכין יותר נקודות לקטגוריה, כך היינו צריכים להכין יותר שגיאות. בחלק הזה, הצוות קיבל את הציון הכולל המקסימלי, ולא היו שגיאות כפולות כמו בשנה שעברה, מה שהוביל להפחתת נקודות. היינו כל כך שמחים שבכינו", אמר הא אן הואנג. החלק המרגש ביותר היה הסיבוב האחרון של SOHO Smashup (ציוד משרדי קטן). המכשול של הצוות היה פסיכולוגי, כי הם החמיצו את האליפות בשנה שעברה, אז הם היו קצת זהירים. היו אפילו כמה פעמים שהדברים לא הלכו כמתוכנן. כולם הזיעו מדאגה. למרות שהם הכינו 3 חורים, הם נכשלו בפעמיים הראשונות. רק בפעם השלישית שהם הצליחו, החברים פרצו בבכי של שמחה... גם היריבים נאלצו להעריץ את הלחימה העיקשת של הצוות הוייטנאמי.

Những chàng trai 'vàng' trong làng bảo mật- Ảnh 2. — *14 בנים מקבוצת וייטל*

למרות שזו הייתה הפעם הראשונה שלו להשתתף בתחרות, דין קוואנג וו תרם תרומה חשובה לקבוצתו לנצח בקטגוריית פגיעות הטלפונים הניידים. זוהי קטגוריה חדשה בתחרות. וו שיתף: "הקבוצה שלנו בחרה בשני מכשירים ניידים של סמסונג ושיאומי. למרות שחקרנו והתכוננו בקפידה רבה ועברנו את תיקוני היצרן לפני יום התחרות, נכשלנו בניסיון הראשון עם סמסונג. הרגשתי חנוק ושבור לב באותו רגע, אבל למרבה המזל, היינו רגועים ועברנו את תחרות המכשירים הניידים של שיאומי." לאחר 4 לילות של תחרות אינטנסיבית עם הקבוצות החזקות ביותר ממקומות רבים ברחבי העולם, בשעה 1 לפנות בוקר ב-27 באוקטובר, צוות וייטל סיים בהצלחה את התחרות עם ציון כולל של 30, 12.75 נקודות לפני הקבוצה שזכתה במקום השני. מהנדסים וייטנאמים צעירים זכו באופן משכנע באליפות Pwn2Own, כשהם משיגים ניקוד מוחלט בכל 7 הקטגוריות הרשומות, והביאו הביתה פרס של 180,000 דולר. המוצרים שנמצאו כבעלי שגיאות כללו את Xiaomi 13 Pro, מערכות אחסון QNAP, מדפסות Canon, HP, Lexmark, רמקולים חכמים Sonos ו-SOHO Smashup. ניצחון זה סימן גם פריצת דרך חדשה עבור תעשיית אבטחת המידע הוייטנאמית כאשר זכתה באליפות בפעם הראשונה בטורניר בינלאומי יוקרתי. בנוסף לפרסים ב-Pwn2Own, מהנדסים צעירים של חברת VSC גילו גם יותר מ-400 פגיעויות אבטחה מסוג Zero-day בפלטפורמות ומערכות טכנולוגיות מידע מרכזיות כמו Microsoft, Oracle, Google, Apache, VMWare...

שאיפה לכבוש גבהים חדשים

לאחר התחרות, כל הצוות לא "נחה על זרי הדפנה", והחל להתכונן לתחרות הבאה שתתקיים בטוקיו (יפן) בתחילת 2024, מתוך נחישות לכבוש פסגות חדשות. הא אן הואנג התוודה: "כדי להשיג ניצחון היום, כבשנו צעד אחר צעד, מהקל לקשה. ניצחון הצוות משכנע מאוד, אך איננו יכולים להתעלם מיריבינו בתחרות זו, משום שמבחינת מומחיות, עדיין ישנם כמה תחומי מחקר, כמה יכולות שיש לצוותים זרים, שצוות וייטל אינו יכול לעשות. המטרה המיידית של הצוות היא למצוא נושאי מחקר חדשים, למצוא פגיעויות אבטחה של ספקים ענקיים כמו אפל, גוגל... והמטרה הנוספת היא להוביל בזירת הביטחון העולמית". כאחד ממומחי הביטחון הצעירים של וייטנאם, המוכרים על ידי הקהילה הבינלאומית, שהוזמן לעבוד עם אלפי דולרים על ידי חברות טכנולוגיה מפורסמות רבות, נגו אן הוי עדיין נשאר בצוות וייטל. "עבורי, כיבוש האתגר הוא לא רק לטעון לעצמי ולהשיג דירוג חדש באבטחה, אני רוצה להישאר בווייטנאם כדי להמשיך לכתוב דפים חדשים בהיסטוריה על תעשיית אבטחת המידע עם צעירים שחולקים את אותה התשוקה, ולהפוך את וייטנאם למפורסמת בזירות הבינלאומיות", שיתף הוי. לדברי קולונל טאו דוק טאנג, יו"ר מועצת המנהלים והמנכ"ל של Viettel, זו לא תחרות למציאת התשובה הנכונה, אלא כמו משחק של "לתפוס את המילה", מהנדסים צעירים צריכים "להילחם" עם הספקים והיצרנים המובילים בעולם של ציוד טכנולוגי. מאחורי הספקים עומדת קבוצה גדולה מאוד כמו קנון, שיאומי... ניצחון אינו קל מכיוון שייתכן מאוד שברגע האחרון הספק ישחרר פתאום תיקונים, מה שהופך את הצוותים המתחרות לפסיביים וחסרי יכולת להגיב. קולונל טאו דוק טאנג מאמין שההישג באליפות של Pwn2Own 2023 הוא רק ההתחלה. הדרך קדימה עבור "האקרים לבנים" עדיין ארוכה מכיוון שתחום אבטחת הסייבר גדול מאוד, מרחב הסייבר עצום וישנם אתגרים רבים שמחכים למהנדסים צעירים לפניהם. לא רק שתחום האינטרנט של הדברים (IoT) עוצרת, ישנם גם תחומים של תעשייה, אנרגיה, חשמל, בטיחות... למהנדסים צעירים יש הזדמנות לבטא את עצמם.

לדברי מר נגוין סון האי, מנהל חברת VSC: "התחרות היא עדיין רק משחק, ישנן עדיין מטרות אחרות שצוות וייטל צריך לכבוש. הניצחון ב-Pwn2Own הוא רק ההתחלה, אנו מממשים את המשימה להפוך למגן איתן כדי להבטיח את אבטחת הרשת כך שאנשים יוכלו לחיות ולעבוד בצורה בטוחה יותר בסביבת הרשת, להביא את תעשיית האבטחה הוייטנאמית לביסוס מעמד איתן על מפת אבטחת הרשת העולמית. אם יהיה לנו חזון רחב מספיק, אמונה גדולה מספיק, נחישות לא לוותר ופעולות מעשיות מספיק, נשיג את המטרה".

Thanhnien.vn

קישור למקור