Az „aranyfiúk” a biztonsági faluban

"Egyél, aludj… lyukakkal"

2023 a negyedik év, hogy a Viettel csapata részt vett a Pwn2Own versenyen, és a dicsőség igazán megérkezett hozzájuk. Míg az első verseny csak gyakorlás volt, a második versenyen (2021) a csapat bejutott a legjobb 5 közé, a 2022-es versenyen pedig sajnálatos módon kikaptak a bajnokcsapattól, és a második díjat kapták meg. Ngo Anh Huy (csapatkapitány) megosztotta: „A Pwn2Own a világ legnagyobb és legrangosabb kibertámadási versenye, a biztonsági világ „világbajnoksága”, amelynek összdíjazása akár több millió dollár is lehet. A támadások célpontjai a világ összes népszerű eszköze és szoftvere, olyan vezető beszállítóktól, mint a Microsoft, az Apple, a Google, a Samsung, a Xiaomi...”.

Pwn20wn Verseny A versenyre 2023. október 24. és 27. között került sor Torontóban (Kanada). 14 fiatalember, akik közül a legfiatalabb mindössze 20 éves volt, eltökélt volt, hogy elérje a bajnoki célt. A korábbi versenyekhez hasonlóan a számos sebezhetőség felkutatására való összpontosítás helyett a fiatal mérnökökből álló csoport ebben a versenyben módszeres stratégiát dolgozott ki, olyan hibákat keresve, amelyeket kevesen fedeztek fel és használtak ki. Az egyik dolog, ami a csapatvezetőt, Ngo Anh Huy-t a legjobban aggasztotta, az volt, hogyan lehet a tagokat csapatmunkába kapcsolni (csapatmunka). A verseny előtti utolsó 2 hétben az egész csapat napi 20 órát dolgozott, szinte helyben evett és aludt, jelentéseket kellett készítenie a szervezőbizottságnak, frissítéseket ellenőriznie és sebezhetőségeket javítania. „A sebezhetőségeket a gyártó a verseny előtt megtalálhatja és kijavíthatja. Ezért gyakran a lehető legtöbb sebezhetőséget kell megtalálnunk, és tartalék támadási terveket kell készítenünk, ha a legmagasabb pontszámot akarjuk elérni” – tette hozzá Ha Anh Hoang tag. Mindent gondosan előkészítettek, csak a napra vártak, hogy Kanadába indulhassanak a versenyre, de a legsajnálatosabb az volt, hogy a verseny napjához közeledve a teljes csapat még mindig nem kapta meg a belépési vízumot. „A személyes versenyzés helyett a Viettel csapatnak otthon kellett maradnia és online versenyeznie. Ez is hátrány a személyes versenyzéshez képest, nevezetesen, hogy az eszközt csak távolról, kamerán keresztül tudjuk ellenőrizni. Ha személyesen versenyzünk, a helyszínen tudunk konzultálni, vagy kérni tudjuk a szervezőket, hogy azonnal ellenőrizzék a felmerülő helyzeteket. Ráadásul az online folyamatban váratlan problémák adódhatnak a gépekkel és berendezésekkel kapcsolatban...” – mesélte Hoang.

Lélegzetelállító, meggyőző győzelem

3 hónapnyi „evés, alvás és sebezhetőségek felkutatása” után végre elérkezett az idő, a vietnami csapatnak bizonyítania kell, hogy képes rövid időn belül megtámadni a biztonsági réseket. Nguyen Xuan Hoang tag elmondta: „Más biztonsági versenyeken általában nincs időkorlát, de ebben a versenyben 30 percen belül kell bemutatnunk a sebezhetőségek felkutatását. A Pwn2Own a legnagyobb technológiai vállalatok legfejlettebb célpontjait és eszközeit gyűjti össze, és a legújabb szoftververziókkal van telepítve. A csapatok feladata a támadási irányok megtalálása és a még soha nem felfedezett sebezhetőségek megtalálása.” Minden csapat csak egyszer hackelhet minden célpontot. Minél nehezebb a célpont, annál magasabb a pontszám. A verseny végén a legmagasabb pontszámot elérő személy vagy szervezet nyeri a díjat. „A legnagyobb aggodalmunk az volt, hogy ismétlődő hibák lesznek, vagy hogy a gyártó időben felfedezte és befoltozta a lyukakat. A csapattagok különböző lyukakat készítettek elő, és minél több pontot kellett felkészítenünk az adott kategóriára, annál több hibára kellett felkészülnünk. Ebben a részben a csapat a maximális összpontszámot kapta, és nem voltak ismétlődő hibák, mint tavaly, amelyek pontlevonást eredményeztek volna. Annyira boldogok voltunk, hogy sírtunk” – mondta Ha Anh Hoang. A legizgalmasabb rész a SOHO Smashup (kis irodai felszerelés) utolsó fordulója volt. A csapat számára a nehézség pszichológiai volt, mivel tavaly lemaradtak a bajnokságról, ezért kissé óvatosak voltak. Volt néhányszor, amikor a dolgok nem a tervek szerint alakultak. Mindenki izzadt az aggodalomtól. Bár 3 lyukat készítettek elő, az első kettőt elbukták. Csak a harmadik alkalommal sikerült, amikor a tagok örömkönnyekben törtek ki... Az ellenfeleknek is csodálniuk kellett a vietnami csapat kitartó küzdelmét.

T. Tho

Bár Dinh Quang Vu először vett részt a versenyen, fontos szerepet játszott abban, hogy csapata megnyerje a mobiltelefonok sebezhetőségi kategóriáját. Ez egy új kategória a versenyben. Vu megosztotta: „Csapatunk két mobileszközt választott a Samsungtól és a Xiaomitól. Bár alaposan utánajártunk és felkészültünk, és a verseny napja előtt átmentünk a gyártói javításokon, a Samsunggal az első próbálkozásra elbuktunk. Akkoriban megfulladtam és összetört a szívem, de szerencsére nyugodtak voltunk, és átmentünk a Xiaomi mobileszközök versenyén.” A világ számos pontjáról érkező legerősebb csapatokkal vívott 4 intenzív verseny után október 27-én hajnali 1 órakor a Viettel csapata sikeresen teljesítette a versenyt 30 ponttal, 12,75 ponttal megelőzve a második helyezett csapatot. A fiatal vietnami mérnökök meggyőzően nyerték meg a Pwn2Own bajnokságot, mind a 7 regisztrált kategóriában abszolút pontszámot elérve, és 180 000 dolláros díjat hoztak haza. A hibásnak talált termékek között volt a Xiaomi 13 Pro, QNAP tárolórendszerek, Canon, HP, Lexmark nyomtatók, Sonos okoshangszórók és a SOHO Smashup. Ez a győzelem egyben új áttörést is jelentett a vietnami információbiztonsági ipar számára, mivel először nyerték meg a bajnokságot egy rangos nemzetközi versenyen. A Pwn2Own díjai mellett a VSC Company fiatal mérnökei több mint 400 nulladik napi biztonsági rést fedeztek fel olyan főbb informatikai platformokon és rendszerekben, mint a Microsoft, az Oracle, a Google, az Apache, a VMWare...

Vágy az új magasságok meghódítására

A verseny után a csapat nem „ült a babérjain”, hanem elkezdte a felkészülést a 2024 elején Tokióban (Japán) megrendezésre kerülő következő versenyre, azzal az elszántsággal, hogy új magasságokat hódítson meg. Ha Anh Hoang bizalmasan elárulta: „A mai győzelem eléréséhez lépésről lépésre kellett hódítanunk, a könnyűtől a nehézig haladva. A csapat győzelme nagyon meggyőző, de nem hagyhatjuk figyelmen kívül a verseny ellenfeleit, mert szakértelem tekintetében még mindig vannak olyan kutatási területek, olyan képességek, amelyekkel a külföldi csapatok rendelkeznek, és amelyeket a Viettel csapata nem tud megtenni. A csapat közvetlen célja új kutatási témák felkutatása, az olyan óriásbeszállítók biztonsági réseinek feltárása, mint az Apple, a Google... A további cél pedig az, hogy vezető szerepet töltsön be a világ biztonsági színterén.” Ngo Anh Huy, a nemzetközi közösség által elismert vietnami fiatal biztonsági szakértő, akit számos neves technológiai vállalat hívott meg több ezer dolláros munkára, továbbra is a Viettel csapatánál marad. „Számomra a kihívás leküzdése nemcsak az önmegvalósítást és az új biztonsági helyezés elérését jelenti, hanem Vietnámban is szeretnék maradni, hogy a hasonló szenvedéllyel rendelkező fiatalokkal együtt újabb oldalakat írjak az információbiztonsági iparág történelmébe, és híressé tegyék Vietnamot a nemzetközi porondon” – osztotta meg Huy. Tao Duc Thang ezredes, a Viettel igazgatótanácsának elnöke és vezérigazgatója szerint ez nem egy verseny a helyes válasz megtalálásáért, hanem egy „kapd el a szót” játékhoz hasonlóan a fiatal mérnököknek a világ vezető technológiai berendezések beszállítóival és gyártóival kell „megküzdeniük”. A beszállítók mögött egy nagyon nagy csoport áll, mint például a Canon, a Xiaomi... A győzelem nem könnyű, mert könnyen előfordulhat, hogy az utolsó pillanatban a beszállító hirtelen kiadja a javításokat, passzívvá és reagálásképtelenné téve a versenytárs csapatokat. Tao Duc Thang ezredes úgy véli, hogy a Pwn2Own 2023 bajnoki címe csak a kezdet. A „white hat hackerek” előtt még hosszú az út, mert a kiberbiztonság területe nagyon nagy, a kibertér hatalmas, és számos kihívás vár a fiatal mérnökökre. Nem csak az IoT területén állunk meg, hanem az ipar, az energia, a villamosenergia-termelés, a biztonság területein is... a fiatal mérnököknek lehetőségük van érvényesülni.