Viettel „Hacker” felírja a nevét a világtérképre

Október 27-én, hajnali 1 óra felett, a Viettel Cyber ​​Security Company (VCS) még mindig kivilágított termében a VCS csapat 14 tagja örömujjongásban tört ki: a csapat megnyerte a világ legnagyobb és legrangosabb kibertámadási versenyének, a Pwn2Own 2023-nak a bajnokságát.

Ez nem csupán a csapat három hónapos folyamatos, éjjel-nappali munkájának és a világ minden tájáról érkező legerősebb ellenfelekkel szembeni kitartó versenyzésnek a várt eredménye volt!

Ez nem csak az első édes gyümölcs a csapat legfiatalabb tagjának, a 2003-ban született Do Anh Dungnak, aki jelenleg harmadéves a Műegyetem (VNU) hallgatója!

Nem csak a verseny legmagasabb helyezésének eléréséről szól a vágy olyan tagok számára, mint Ngo Anh Huy, Nguyen Xuan Hoang, Nguyen Hong Quang… akik már évek óta próbálkoznak ezen a versenyen!

Megtiszteltetés az is, hogy az ország a legmagasabb helyezést érte el a világ egyik legrangosabb versenyén, megerősítve a vietnami nép kapacitását az információbiztonság és -védelem területén.

És mindenekelőtt ez az „édes gyümölcs”, amelyet a Viettel által sok évvel ezelőtt rendíthetetlenül elvetett magokból szüreteltek. A Viettel a mai napig, a VCS-sel és egy információbiztonsági szakértőkből álló csapattal a kezében, büszke lehet arra, hogy a világ egyik vezető vállalata az információbiztonság és a védelmi kapacitás terén.

A 2023-as Pwn2Own bajnokságot megnyerő VCS csapat 14 tagja mind nagyon fiatal. A tagok többsége a 9x generációhoz tartozik, a legfiatalabb tag csak 2003-ban született.

De a csapat nagy része már évek óta "harcol", rengeteg tapasztalattal és eredményekkel rendelkezik az információbiztonság és -védelem területén. Még a csapat legfiatalabb tagja, Do Anh Dung is már bizonyított: Dung az, aki csodát alkotott ebben a versenyben, kategóriát nyert, és ezzel hozzájárult az egész csapat összeredményéhez.

Az október 27-i esti döntő forduló végén a Viettel Cyber ​​​​Security (VCS) csapata hivatalosan is a legmagasabb pontszámot szerezte meg 30 Master of Pwn ponttal, így 12,75 ponttal maradt le a második helyezett csapattól.

Ezzel a meggyőző eredménnyel a VCS számos nemzetközi ellenféllel szemben bebiztosította a bajnoki címet, akiket a torna bajnoki címére esélyesnek tartottak, mint például a Sea Security (Szingapúr), a Vupen, a Synacktiv (Franciaország) és a Devcore (Tajvan - a tavalyi bajnokcsapat)...

A versenyre való felkészülés során felmerült kihívásokról Ha Anh Hoang, a VCS csapat tagja elmondta: „Három hónappal a verseny előtt a szervezőbizottság bejelentette a meghódítandó eszközöket. Ezért a felkészülési idő mindössze három hónap volt, mivel a csapat akkoriban éppen csak beszerezte a kutatáshoz szükséges eszközöket. Ezek közül sok eszközt külföldről kellett importálni, és egy egész hónapba telt, mire megérkeztek Vietnámba.”

Egy másik csapattag, Nguyen Xuan Hoang szerint: „A versenyen olyan versenyzők vesznek részt, akik már régóta részt vesznek. Sok tapasztalattal rendelkeznek, és anyagilag és szakmailag is nagyon erős versenyzők vannak. A VCS csapata eltökélt szándéka, hogy a lehető legkörültekintőbb felkészüléssel, szolidaritással és megfelelő versenystratégiával induljon a versenyen, hogy az idei versenyen a legnagyobb sikert érje el.”

Hoang hozzátette, hogy tavaly a VCS csapata második helyezést ért el ebben a versenyben, olyan pontszámmal, amely nagyon közel volt a bajnokcsapathoz, mindössze 2,5 ponttal veszítettek. Ezért a csapat eltökélt szándéka, hogy idén a bajnoki címet célozza meg.

De a bajnoksághoz vezető út nem egyszerű: A támadások célpontjai ebben a versenyben a világ összes népszerű eszköze és szoftvere, olyan vezető gyártóktól, mint a Microsoft, az Apple, a Google, a Samsung... - osztotta meg Nguyen Xuan Hoang.

A verseny követelményeinek teljesítéséhez a készüléket az Egyesült Államokból kellett megrendelni, de egy pillanatnyi figyelmetlenség miatt a készülék „meghalt”, mert egy amerikai piacra alkalmas 110 V-os áramforrást használt, míg Vietnam 220 V-ot.

Ngo Anh Huy, a csapat egyik tagja szerint, aki már négyszer vett részt ezen a versenyen, a csapat legnagyobb félelme a duplikált hibák, illetve az, hogy a gyártónak nincs ideje befoltozni a csapat által észlelt biztonsági réseket. Tavaly a Viettel csapata is részt vett a versenyen, és csak a második helyezést érte el, mivel pontokat vontak le tőlük egy duplikált sebezhetőség miatt.

Ráadásul a kihívás az utolsó pillanatban érkezett, a vízumkérelmek elbírálása miatt a teljes csapat nem tudott időben eljutni Torontóba (Kanada), hogy személyesen versenyezzen. Ehelyett a VCS csapat 14 tagjának online kellett versenyeznie, számos aggodalommal adva okot a verseny során megoldatlan problémákra...

De a végeredmény mindent elmondott… A VCS csapata nemcsak hogy győzött, de látványos győzelmet aratott.

„Amikor megnyertük a 10 legmagasabb pontszámú kategóriát, az egész csapat örömtől és boldogságtól szakadt, mert bebizonyítottuk, hogy ez a bajnokság meggyőző győzelem volt, minden kétséget kizáróan” – emlékezett vissza büszkén Nguyen Xuan Hoang arra a pillanatra.

Miután az elmúlt négy évben folyamatosan részt vettek a Pwn2Own versenyen, a VCS csapata most először nyerte meg a Pwn2Own bajnokságot. Ez egy szoftver- és szórakoztatóelektronikai támadási verseny, amelyet a Zero Day Initiative kiberbiztonsági szervezet évente kétszer rendez meg, és amely napjaink egyik legnehezebb kiberbiztonsági versenye a világon.

Nguyen Son Hai, a VCS igazgatója elmondta, hogy a Viettel 2020-ban aratta első győzelmét ezen a „játszótéren” az okosTV kategóriában. 2021-ben a Viettel bekerült a top 5-be. 2022-ben a második helyen végzett. Idén pedig elsöprő fölénnyel nyerte meg a bajnokságot.

A Pwn2Own-on nemcsak a világ híres kiberbiztonsági csapatai versenyeznek, hanem nagy gyártók és technológiai vállalatok is a világ minden tájáról. Minden vizsga kérdéseket tartalmaz népszerű szoftver- vagy hardvereszközökről, mint például a Windows operációs rendszer, az Apple, a Xiaomi, a Samsung telefonok vagy a Canon, HP nyomtatók...

A csapatok ismeretlen biztonsági réseket keresnek szoftverekben és eszközökben, és 30 percen belül be kell mutatniuk ezen réseket kihasználó élő kísérleteket.

„Miért mondhatjuk, hogy az ellenfelek nemcsak más biztonsági szakértői csoportok, hanem olyan eszközgyártók is, mint az Apple, a Xiaomi, a Canon, a TP Link...? Mert utálják, ha arról ismerik őket, hogy sebezhetőségek vannak az eszközeiken, és ezzel elveszítik az ügyfelek bizalmát. Ezeknek az eszközbeszállítóknak mindig van biztonsági csapatuk, és hajlandóak nagy összegeket fizetni azért, hogy a verseny előtt kijavítsák a termékeiken lévő hibákat, hogy a termékek ne kerüljenek szégyenbe a nyilvánosság előtt” – osztotta meg Tuoi Tre- vel Nguyen Hong Quang szakértő, a VCS csapatának tagja.

Ezért a verseny a megnyitótól az utolsó pillanatig intenzív lesz. Mivel teljesen lehetséges, hogy a csapatok felfedezik a sebezhetőségeket, de a gyártó hirtelen, közvetlenül a verseny napja előtt bejavítja azokat, aminek következtében a csapat elveszíti minden erőfeszítését és eredményét.

Ezért „a teljesítés időpontjához közelebb éjjel-nappali műszakokban kellett »figyelnünk«, hogy a felfedezett sebezhetőségek még mindig fennállnak-e vagy sem, és szorosan figyelnünk kellett a gyártót, hogy kijavították-e a felfedezett hibákat vagy sem” – mondta Ngo Anh Huy, a VCS csapat tapasztalt Pwn2Own játékosa.

A Pwn2Own 2023-as torontói verseny a hardverekre összpontosít, olyan kategóriákat beleértve, mint a mobiltelefonok, okoshangszórók, megfigyelőrendszerek, hálózati tárolórendszerek és irodai elektronika. Minden kategóriában 30 000 és 100 000 dollár közötti díjazás és 2-10 pont közötti pontszámok kaphatók az eszköz nehézségétől és a támadási demonstráció teljesítésének szintjétől függően.

A legértékesebb mind a díjak, mind a pontok tekintetében az utolsó kategória, a mash-up, amelyben a csapatoknak exploit kódot kell futtatniuk a verseny adott hálózati routerein, és ezáltal megtámadniuk egy eszközt a fent említett kategóriákban, 100 000 dolláros díjért és 10 pontért.

Az egyéni kategóriák teljesítése után, sikeresen támadva a Xiaomi 13 Pro telefonokat, a QNAP TS 464 tárolórendszert, a Canon imageClass MF753Cdw nyomtatót és a Sonos Era 100 hangszórót, a VCS csapata 20 pontot szerzett, amivel szinte biztosan megnyerte a bajnokságot, mivel az ellenfél, a Sea Security mindössze 17,25 pontot szerzett, miután teljesítette az összes egyéni kategóriát és az összesített kategóriát is.

Már nincs túl nagy versenynyomás, de az utolsó kategória továbbra is kísérti a VCS mérnökeit, mivel a mash-up versenyben elért pontok hiánya az oka annak, hogy ez a csapat tavaly lemaradt a bajnokságról. „Ezúttal, a smash-up kategóriába nevezve, továbbra is hátrányban vagyunk a következő forduló sorsolásakor, ha ugyanaz a kiskapu van, mint az előző csapatnál, pontokat vonnak le tőlünk” – osztotta meg Ngo Anh Huy. Egy ilyen ismétlődő hiba miatt a VCS 2,5 ponttal lemaradt a tavalyi Pwn2Own első helyezett csapatától.

„Idén nemcsak új sebezhetőségeket próbáltunk kihasználni, hanem szándékosan olyan sebezhetőségeket választottunk, amelyeket nagyon nehéz volt megtalálni és amelyek nehezen voltak átfedésben más csapatokéval, vagy amelyek könnyen megtalálhatók, de nehezen kihasználhatók, valamint számos tartaléktervünk volt. Ez a teljes csapat három hónapos célzott kutatásának eredménye” – mondta Huy.

Ennek eredményeként a VCS csapata 10/10 pontot szerzett az összesített kategóriában, és 30 ponttal megnyerte az összesített bajnokságot, ami 12,5 ponttal magasabb, mint a második helyezetté, látványos és teljes győzelmet aratva.

„Azért választottuk a Pwn2Own-t, hogy teszteljük a képességeinket, mert ez egy verseny a világ legnépszerűbb eszközein, vezető gyártóktól, szigorú tesztelési folyamattal” – mondta Nguyen Son Hai, a VCS igazgatója. „Egy speciális kutatócsoportba való befektetés és a nemzetközi színtéren való megmérettetés a VCS humánerőforrás-fejlesztési erőfeszítéseinek része.”

A VCS csapatának a 2023-as Pwn2Own bajnokságig vezető útja egy hosszú, örökölt út eredménye, amely élénken demonstrálja a Viettel Group vezetőinek sok évvel ezelőtti elképzeléseit az információbiztonság területén.

Több mint egy évtizeddel ezelőtt, amikor Nguyen Son Hai, a VCS igazgatója még egyidős volt a jelenlegi Pwn2Own 2023 bajnokcsapat tagjaival, a Viettel Group vezetői elhatározták, hogy befektetnek az információbiztonság területére.

A fiatal szántóföld első magjait Viettel hamarosan elvetette és gondozta szisztematikus és stratégiai módon.

A VCS mélyreható kutatási útja már a kezdeti években elkezdődött, amikor kezdetben mindössze hat ember dolgozott az információbiztonságon. 2011 óta a VCS csapata áltámadásokat hajtott végre a Viettel Group egységeivel a biztonsági problémák kiemelése érdekében.

„A kritikus infrastruktúrák üzemeltetése miatt a Viettel kutatási víziója a hálózati biztonságot pillérnek tekinti” – mondta Son Hai úr. „A hálózati biztonságban az emberek a legfontosabb tényezők. Még akkor is, ha a világ legjobb termékeit használjuk, de csak végfelhasználóként, a támadás kockázata továbbra is nagyon magas, miközben a Viettel kritikus infrastruktúrái, mint például a mobil és az internet, a világ legnagyobb csoportjainak támadásainak célpontjai.”

A kritikus infrastruktúra védelmére szakosodott szakértői csapat létrehozása érdekében a VCS célja, hogy a világméretű kapacitással megegyező kapacitású kiberbiztonsági személyzetet képezzen. 2015 óta a Viettel és a VCS 450 hallgatót képzett ki, akik közül a legalkalmasabb személyzet 5%-át vették fel a további munkára – mondta Hai úr.

„Miután felépítettünk egy szakértői csapatot és mélyreható kutatásba fektettünk, továbbra is keressük a módját annak, hogy befektessünk a VCS szakértői csapatának támadókészségeinek fejlesztésébe. A világszínvonalú versenyeken való részvétel is ezt a célt szolgálja” – mondta Nguyen Son Hai úr.

2013-ban a VCS elkezdte kutatni a nulladik napi sebezhetőségeket, az ismeretlen és javítatlan, ezért a legköltségesebb sebezhetőségeket, amelyekben Anh Huy és Hong Quang is az elsők között voltak. 2015-re a VCS csapata megtalálta az első sebezhetőségeket, és a mai napig a VCS által talált sebezhetőségek száma elérte a 400-at.

„Egyetlen vietnami vállalkozás sem érte el ezt a számot, és a világon sem sok” – mondta Hai úr.

Az alapos kutatásokban való részvételen keresztüli képzés lehetősége az oka annak, hogy a VCS vonzó munkahely lett a kiberbiztonsági szakértők számára, akik nemrégiben első helyezést értek el a Pwn2Own konferencián. Amikor Anh Huyt arról kérdezték, hogy miért választotta a Viettelt, azt mondta: „Tapasztalataim szerint nem sok vállalat hajlandó hosszú távon befektetni a kiberbiztonsági kutatásba és kutatócsoportokba.”

„Különösen a kiberbiztonság területén az emberi tényező a legfontosabb. Ezért a VCS mindig odafigyel a képzésre, a csapat fejlesztésére és a magasan képzett munkatársak következő generációjának felépítésére, akik mindig készen állnak a nemzetközi problémákra” – hangsúlyozta Nguyen Son Hai, a VCS igazgatója.

A versenyen részt vevő csapattagok tiszteletére és gratulációjára rendezett ünnepségen Tao Duc Thang, a Viettel Csoport elnöke és vezérigazgatója kifejezte büszkeségét a Viettel „fehér kalapos hackerei” iránt. Kijelentette: „A Viettel büszke arra, hogy a VCS csapata elnyerte a rangos díjat a globális kiberbiztonság területén, „versenyezve” a világ vezető, nagy K+F egységekkel rendelkező berendezésgyártóival”.

A Viettel Group vezetője úgy értékelte, hogy „a Pwn2Own egy rangos verseny, amely rendkívül nehéz minden hacker számára. A verseny egy olyan „csatához” hasonlítható, amelyben a világ legjobb információbiztonsági csapatait birtokló gyártók vesznek részt, és akik az utolsó pillanatig készen állnak a hackerek támadásaira reagálni. Egy korhatár nélküli játék, amely akár multinacionális együttműködést is magában foglalhat...”. Ezért Tao Duc Thang úr azt mondta: „A 2023-as Pwn2Own bajnokság híressé tette Viettelt és Vietnamot a nemzetközi színtéren” – mondta büszkén a csoport elnöke.

Tao Duc Thang elnök azt is elismerte, hogy a kiberbiztonság területe hatalmas, hosszú út áll a Viettel szakértői előtt, és számos kihívás áll még előttük.

„Nem könnyű megtartani az első 1-es pozíciót, ezért továbbra is keményebben kell dolgoznunk, nagy álmokat kell dédelgetnünk, és folyamatosan arra kell törekednünk, hogy valóra váltsuk az álmot, és elhozzuk Vietnamot a világnak” – hangsúlyozta Tao Duc Thang úr.

A Viettel Csoport elnöke azt is elmondta, hogy a Csoport az elkövetkező időszakban különleges politikákat fog alkalmazni a magas színvonalú emberi erőforrások képzésére, hogy továbbra is magabiztosan szentelhessék magukat munkájuknak.

A VCS-re bízva a feladatot, Tao Duc Thang úr hangsúlyozta, hogy a VCS-nek továbbra is több biztonsági szakértőt kell képeznie, eltökélten a következő generáció kiképzése mellett, hogy a legjobb alapokkal rendelkezzenek, akik nemcsak a vállalatot, hanem az országot is szolgálhatják, megvédve a nemzetet a kibertérben.