Viettel „Hacker” nyomot hagy a világtérképen

Október 27-én, hajnali 1 óra után, a Viettel Cyber ​​​​Security Company (VCS) fényesen megvilágított termében a VCS csapat 14 tagja örömujjongásban tört ki: A csapat megnyerte a világ legnagyobb és legrangosabb kibertámadási versenyének, a Pwn2Own 2023-nak a bajnokságát.

Ez nemcsak a teljes csapat három hónapos folyamatos, éjjel-nappali munkájának várható eredménye, hanem a világ legerősebb ellenfeleivel való kitartó versenyzésé is!

Ez nem csak az első édes jutalom a csapat legfiatalabb tagjának, a 2003-ban született Do Anh Dungnak, aki jelenleg harmadéves hallgató a Műszaki Egyetemen (VNU Hanoi)!

Nem csak a verseny csúcsára vágynak olyan tagok, mint Ngo Anh Huy, Nguyen Xuan Hoang, Nguyen Hong Quang… akik már évek óta próbálkoznak ezen a versenyen!

Dicsőséges eredmény volt az is, hogy az ország az egyik legrangosabb globális versenyen megszerezte a legmagasabb helyezést, megerősítve a vietnami emberek képességeit az információbiztonság és -védelem területén.

És ami a legfontosabb, ez az „édes gyümölcs”, amelyet a Viettel által évek óta rendületlenül elvetett magokból szüretelnek. Ma a VCS-sel és információbiztonsági szakértői csapatával a Viettel büszkén állíthatja magáról, hogy a világ egyik vezető vállalata az információbiztonság és a védelmi képességek terén.

A 2023-as Pwn2Own bajnokságot megnyerő VCS csapat mind a 14 tagja nagyon fiatal. A tagok többsége a 90-es évek generációjához tartozik, a legfiatalabb tag 2003-ban született.

De a csapattagok többsége több éves tapasztalattal és rengeteg eredménnyel rendelkezik az információbiztonság területén. Még a csapat legfiatalabb tagja, Do Anh Dung is bizonyított: Dung volt az, aki csodát művelt ebben a versenyben, megnyerte az egyik kategóriát, és hozzájárult a csapat összesített eredményéhez.

A verseny utolsó kategóriájának október 27-i estéjén történt lezárásakor a Viettel Cyber ​​​​Security (VCS) csapata hivatalosan is bebiztosította a fő győzelmet 30 Master of Pwn ponttal, messze lemaradva a második helyezett csapattól, 12,75 ponttal.

Ezzel a meggyőző eredménnyel a VCS bebiztosította a bajnoki címet számos nemzetközi ellenfél előtt, akiket olyan erős esélyeseknek tartottak a torna bajnoki címére, mint a Sea Security (Szingapúr), a Vupen, a Synacktiv (Franciaország) és a Devcore (Tajvan - a tavalyi bajnok)...

A versenyre való felkészülés során felmerült kihívásokról Ha Anh Hoang, a VCS csapat tagja elmondta: „Három hónappal a verseny előtt a szervezők csak azokat a felszereléseket jelentették be, amelyeket el kellett sajátítani. Ezért csak három hónapunk volt a felkészülésre, mert a csapat ekkor tudta megvásárolni a tanulmányozáshoz szükséges felszerelést. Sok felszerelést külföldről kellett importálni, és hónapokba telt, mire megérkeztek Vietnámba.”

Egy másik csapattag, Nguyen Xuan Hoang szerint: „A versenyen olyan versenyzők vesznek részt, akik már régóta részt vesznek. Sok tapasztalattal rendelkeznek, és gazdaságilag és szakmailag is nagyon erős versenyzők vannak. A VCS csapata eltökélt abban, hogy a lehető legalaposabb felkészüléssel, egységesen és megfelelő stratégiával induljon a versenyen, hogy az idei versenyen a lehető legnagyobb sikert érje el.”

Hoang továbbá elmondta, hogy tavaly a VCS csapata második helyezést ért el ebben a versenyben, nagyon közel az eredménnyel a bajnokhoz, mindössze 2,5 ponttal veszítve. Ezért a csapat eltökélt szándéka, hogy idén a bajnokságot célozza meg.

De a bajnoksághoz vezető út nem egyszerű: A támadások célpontjai ebben a versenyben világszerte népszerű eszközök és szoftverek, olyan vezető gyártóktól, mint a Microsoft, az Apple, a Google, a Samsung… - osztotta meg Nguyen Xuan Hoang.

A versenykövetelmények teljesítéséhez a készüléket az Egyesült Államokból kellett megrendelni, de egy pillanatnyi figyelmetlenség miatt meghibásodott, mivel az amerikai piacra alkalmas 110 V-os tápegységet használt, míg Vietnam 220 V-os áramot.

Ngo Anh Huy, a csapat egyik tagja szerint, aki már négyszer vett részt ezen a versenyen, a csapat legnagyobb félelme a kettős sebezhetőségek, illetve az, hogy a gyártó gyorsan befoltozza a csapat által regisztrált biztonsági hibákat. Tavaly a Viettel csapata csak a második helyezést érte el, mivel megbüntették őket egy kettős sebezhetőség miatt.

Továbbá az utolsó pillanatban is felmerültek kihívások, mivel a vízumügyintézés elhúzódott, ami megakadályozta, hogy a teljes csapat időben Torontóba (Kanada) utazzon a személyes versenyre. Ehelyett a VCS csapat 14 tagjának online kellett versenyeznie, folyamatosan aggódva a lehetséges problémák miatt, amelyeket esetleg nem sikerült időben megoldani a mérkőzés alatt…

De a végeredmény magáért beszél… A VCS csapata nemcsak a bajnokságot nyerte meg, hanem látványos győzelmet is aratott.

„Amikor megnyertük a top 10-es kategóriát, az egész csapat örömtől és boldogságtól tört ki, mert bebizonyítottuk, hogy ez a bajnokság meggyőző győzelem volt, és nem hagytunk kétséget kizáróan” – emlékezett vissza büszkén Nguyen Xuan Hoang arra a pillanatra.

Miután négy egymást követő évben részt vettek a Pwn2Own versenyen, a VCS csapata végre először emelhette magasba a Pwn2Own bajnoki trófeát. Ez egy szoftver- és szórakoztatóelektronikai hackerverseny, amelyet a Zero Day Initiative kiberbiztonsági szervezet évente kétszer rendez meg, és amelyet a világ egyik legnagyobb kihívást jelentő kiberbiztonsági versenyének tartanak.

Nguyen Son Hai, a VCS igazgatója elmondta, hogy a Viettel 2020-ban érte el első győzelmét ebben a „versenyben” az okostévék kategóriájában. 2021-ben a Viettel bekerült a top 5-be. 2022-ben a második helyet szerezte meg. Idén pedig elsöprő fölénnyel megszerezte a bajnoki címet.

A Pwn2Own versenyén nemcsak világszerte elismert kiberbiztonsági csapatok vesznek részt, hanem jelentős globális gyártók és technológiai vállalatok is. Minden verseny népszerű szoftver- vagy hardvereszközökkel, például Windows operációs rendszerrel, Apple, Xiaomi és Samsung telefonokkal, vagy Canon és HP nyomtatókkal kapcsolatos kihívásokat vonultat fel.

A csapatoknak versenyezniük kell abban, hogy korábban ismeretlen biztonsági réseket találjanak szoftverekben és eszközökben, majd 30 percen belül élőben bemutassák, hogyan használják ki ezeket a sebezhetőségeket.

„Miért mondhatjuk, hogy a versenytársak nemcsak más biztonsági szakértői csoportok, hanem olyan eszközgyártók is, mint az Apple, a Xiaomi, a Canon, a TP-Link… hiszen utálják, ha azzal vádolják őket, hogy sebezhetőségek vannak az eszközeikben, ami aláásná az ügyfelek bizalmát. Ezeknek az eszközbeszállítóknak mindig van biztonsági csapatuk, és hajlandóak nagy összegeket költeni a termékeikben lévő hibák javítására, mielőtt a verseny elkezdődne, hogy termékeik ne kerüljenek szégyenbe a nyilvánosság szemében” – osztotta meg Nguyen Hong Quang, a VCS csapatának tagja a Tuoi Tre újsággal .

Ezért a verseny a kérdések megjelenésétől az utolsó pillanatig intenzív lesz. Teljesen lehetséges, hogy a csapatok hibákat fedeznek fel, de a fejlesztők váratlanul kijavítják azokat közvetlenül a verseny napja előtt, aminek következtében az egyik csapat elveszíti az összes kemény munkáját és eredményét.

Ezért „ahogy közeledett az előadás időpontja, nappali és éjszakai műszakokra kellett osztanunk magunkat, hogy »figyeljük«, hogy a felfedezett sebezhetőségek még mindig fennállnak-e, és szorosan követjük a producereket, hogy kijavították-e a talált hibákat” – mondta Ngo Anh Huy, a VCS csapatának tapasztalt Pwn2Own játékosa.

A 2023-as Pwn2Own Toronto verseny a hardverekre összpontosít, olyan kategóriákat beleértve, mint a mobiltelefonok, okoshangszórók, megfigyelőrendszerek, hálózati tárolórendszerek és irodai elektronika. Minden kategória 30 000 és 100 000 dollár közötti nyereményeket kínál, és 2-10 pontot lehet szerezni az eszköz feltörésének nehézségétől és a hackertámadási bemutató elvégzésének szintjétől függően.

A legértékesebb díj, mind a jutalom, mind a pontok tekintetében, az utolsó kategória, egy mash-up, amelyben a csapatoknak exploit kódot kell futtatniuk a versenyben megadott hálózati routerek egyikén, és ezáltal megtámadniuk egy eszközt a fent említett kategóriákban, a díj pedig 100 000 dollár és 10 pont.

Az egyéni feladatok teljesítése és a Xiaomi 13 Pro telefonok, QNAP TS 464 tárolórendszerek, Canon imageClass MF753Cdw nyomtatók és Sonos Era 100 hangszórók sikeres megtámadása után a VCS csapata 20 pontot ért el, amivel majdnem bebiztosította a bajnoki címet, mivel ellenfelük, a Sea Security, az egyéni és a kombinált feladatok teljesítése után is csak 17,25 pontot kapott.

Bár az intenzív versenynyomás alábbhagyott, az utolsó kategória továbbra is kísérti a VCS mérnökeit, mivel a mash-up kihívásban elért pontok hiánya volt az oka annak, hogy tavaly lemaradtak a bajnokságról. „Ezúttal, amikor beneveztünk a smash-up kategóriába, ismét hátrányba kerültünk, amikor később sorsoltak ki minket a versenyre. Ha ugyanazt a hibát követnénk el, mint az előző csapat, pontokat veszítenénk” – mondta Ngo Anh Huy. Ez az átfedő hiba azt eredményezte, hogy a VCS 2,5 ponttal lemaradt a tavalyi Pwn2Own torna győztes csapatától.

„Idén nemcsak az új sebezhetőségek kihasználására törekedtünk, hanem szándékosan olyan sebezhetőségeket választottunk, amelyeket nagyon nehéz volt megtalálni, és amelyeket más csapatok valószínűleg nem tudtak lemásolni, vagy amelyeket könnyű lehet megtalálni, de nehéz kihasználni, és számos biztonsági mentési lehetőséggel is rendelkeztek. Ez a teljes csapat három hónapos célzott kutatásának eredménye” – mondta Huy.

Ennek eredményeként a VCS csapata tökéletes, 10/10-es pontszámot ért el az összetett kategóriában, és összesen 30 ponttal megnyerte az összesített bajnokságot, messze 12,5 ponttal megelőzve a második helyezettet, látványos és teljes győzelmet aratva.

„A Pwn2Own-t választottuk képességeink tesztelésére, mert ez egy verseny a világ legnépszerűbb eszközein, vezető gyártók szigorú tesztelési eljárásaival” – mondta Nguyen Son Hai, a VCS igazgatója. „Egy speciális kutatócsoportba való befektetés és képességeink nemzetközi színtéren való tesztelése a VCS humánerőforrás-fejlesztési erőfeszítéseinek része.”

A VCS csapatának útja a 2023-as Pwn2Own bajnokságig egy hosszú, betetőzésre törekvő törekvés csúcspontja, élénk bizonyítéka a Viettel Group vezető szerepének régóta dédelgetett jövőképének az információbiztonság területén.

Több mint egy évtizeddel ezelőtt, amikor Nguyen Son Hai, a VCS igazgatója annyi idős volt, mint a 2023-as Pwn2Own bajnokcsapat tagjai most, a Viettel Group vezetősége eltökélt volt az információbiztonság területére való befektetés mellett.

A születőben lévő földterület első magvait Viettel már korán elvetette, és azok szisztematikus és stratégiai befektetésben és gondoskodásban részesültek.

A VCS alapos kutatási folyamata már a kezdeti években elkezdődött, amikor kezdetben mindössze hat ember dolgozott az információbiztonságon. 2011 óta a VCS csapata szimulált támadásokat hajtott végre a Viettel Csoporton belüli egységekkel a biztonsági réseket azonosítva.

„Mivel kritikus infrastruktúrát üzemeltetünk, a Viettel víziója a kiberbiztonság kutatása, mint sarokkő” – mondta Son Hai úr. „A kiberbiztonságban az emberek a legfontosabb tényezők. Még a világ legjobb termékeinek használata esetén is, ha csak végfelhasználóként használják őket, a támadások kockázata továbbra is nagyon magas, míg a kritikus infrastruktúra, mint például a Viettel mobil- és internetes szolgáltatásai, a világ legnagyobb csoportjainak támadásainak célpontjai.”

A kritikus infrastruktúra védelmére szakosodott szakértői csapat felépítése érdekében a VCS célja, hogy a világszínvonalnak megfelelő képességekkel rendelkező kiberbiztonsági személyzetet képezzen. 2015-től napjainkig a Viettel és a VCS 450 hallgatót képzett ki, akik közül a legalkalmasabb jelöltek 5%-át vették fel a további munkára – mondta Hai úr.

„Miután felépítettünk egy szakértői csapatot és szisztematikusan befektettünk az alapos kutatásba, továbbra is keressük a módját annak, hogy befektessünk a VCS szakértői csapatának támadókészségeinek fejlesztésébe. A világszínvonalú versenyeken való részvétel is ezt a célt szolgálja” – mondta Nguyen Son Hai úr.

2013-ban a VCS elkezdte kutatni a nulladik napi sebezhetőségeket – az ismeretlen és nem javított sebezhetőségeket, és ezért a legdrágábbakat kihasználni. Anh Huy és Hong Quang voltak az elsők között, akik ezt a munkát végezték. 2015-re a VCS csapata megtalálta az első sebezhetőségeit, és a mai napig a VCS által felfedezett sebezhetőségek száma elérte a 400-at.

„Egyetlen vietnami vállalkozás sem ért el ilyen számot, és a világon sincs sok” – jelentette ki Hai úr.

A mélyreható kutatási részvételen keresztüli képzési lehetőség az oka annak, hogy a VCS vonzó munkahely a kiberbiztonsági szakértők számára, akik nemrég nyerték el az első díjat a Pwn2Own-on. Amikor arról kérdezték, hogy miért választotta a Viettelt, Anh Huy azt mondta: „Tapasztalataim szerint nem sok vállalat hajlandó hosszú távon befektetni a kiberbiztonsági kutatásba és kutatócsoportokba.”

„Különösen a kiberbiztonság területén az emberi tényező a legfontosabb tényező. Ezért a VCS mindig tudatosan képzi és fejleszti csapatát, valamint a magasan képzett munkatársak generációit építi, akik mindig készen állnak a nemzetközi szintű kihívások leküzdésére” – hangsúlyozta Nguyen Son Hai, a VCS igazgatója.

A díjátadó ünnepségen, gratulálva a csapattagoknak a versenyen való részvételükhöz, Tao Duc Thang, a Viettel Group elnöke és vezérigazgatója kifejezte büszkeségét a Viettel „fehér kalapos hackerei” iránt. Megerősítette: „A Viettel büszke arra, hogy a VCS csapata rangos díjat nyert a globális kiberbiztonság területén, „versenyezve” a vezető globális berendezésgyártókkal, amelyek nagy K+F egységekkel rendelkeznek.”

A Viettel Group vezetője úgy értékelte, hogy „a Pwn2Own egy rangos verseny, amely rendkívül nehéz minden hacker számára. A verseny olyan gyártók elleni „harchoz” hasonlítható, amelyek a világ élvonalába tartozó információbiztonsági csapatokkal rendelkeznek, és az utolsó pillanatig készen állnak a hackerek elleni megtorlásra. Ez egy korhatár nélküli játék, amely akár multinacionális együttműködéseket is magában foglalhat…”. Ezért Tao Duc Thang úr kijelentette: „A 2023-as Pwn2Own bajnokság megnyerése dicsőséget hozott Viettelnek és Vietnamnak a nemzetközi porondon” – mondta büszkén a csoport elnöke.

Cao Duc Thang elnök azt is elismerte, hogy a kiberbiztonság területe hatalmas, hosszú út áll előttünk a Viettel szakértői számára, és hogy számos kihívás áll előttünk.

„Nem könnyű megtartani a vezető pozíciót, ezért folyamatosan csiszolnunk kell a képességeinket és nagy álmokat kell dédelgetnünk, folyamatosan azon dolgozva, hogy ezeket az álmokat valóra váltsuk, és elhozzuk Vietnamot a világnak” – hangsúlyozta Tao Duc Thang úr.

A Viettel Csoport elnöke azt is elmondta, hogy a jövőben a Csoport konkrét politikákkal fog rendelkezni a magas színvonalú emberi erőforrások képzésére, hogy azok továbbra is nyugodtan elkötelezettek lehessenek munkájuk iránt.

A VCS-nek kijelölt feladatok során Tao Duc Thang úr hangsúlyozta, hogy a VCS-nek továbbra is több biztonsági szakértőt kell képeznie, a következő generáció képzésére összpontosítva, a legjobb alapokkal, hogy ne csak a vállalatot, hanem az országot is szolgálhassák, megvédve a nemzetet a kibertérben.