Viettel 'Hacker' lascia il segno sulla mappa del mondo

Poco dopo l'una di notte del 27 ottobre, nella sala illuminata a giorno della Viettel Cyber ​​Security Company (VCS), i 14 membri del team VCS sono esplosi di gioia: la squadra aveva vinto il campionato della più grande e prestigiosa competizione di cyberattacchi al mondo, Pwn2Own 2023.

Questo non è solo il risultato atteso di tre mesi di lavoro ininterrotto, giorno e notte, da parte di tutto il team, ma anche di una tenace competizione contro i più forti avversari del mondo !

Questo non è solo il primo dolce premio per il membro più giovane del team, Do Anh Dung, nato nel 2003, che attualmente è uno studente del terzo anno presso l'Università di Tecnologia (VNU Hanoi)!

Non è solo il desiderio di raggiungere la vetta della competizione per membri come Ngo Anh Huy, Nguyen Xuan Hoang, Nguyen Hong Quang... che tentano la fortuna in questo torneo da diversi anni consecutivi!

È stato inoltre un risultato straordinario portare a casa il primo posto per il Paese in una delle competizioni globali più prestigiose, a conferma delle capacità del popolo vietnamita nel campo della sicurezza informatica.

E, soprattutto, è il "frutto dolce" raccolto dai semi che Viettel ha seminato con tenacia per molti anni. Oggi, con VCS e il suo team di esperti in sicurezza informatica, Viettel può affermare con orgoglio di essere una delle aziende leader a livello mondiale nelle capacità di sicurezza e protezione delle informazioni.

Tutti e 14 i membri del team VCS che ha vinto il campionato Pwn2Own 2023 sono molto giovani. La maggior parte dei membri appartiene alla generazione degli anni '90, con il membro più giovane nato nel 2003.

Ma la maggior parte dei membri del team vanta anni di esperienza e un ricco palmarès di successi nel campo della sicurezza informatica. Persino il membro più giovane del team, Do Anh Dung, si è distinto: Dung è stato colui che ha compiuto un vero e proprio miracolo in questa competizione, vincendo in una categoria e contribuendo al risultato complessivo del team.

Concludendo l'ultima categoria di gara la sera del 27 ottobre, il team di Viettel Cyber ​​Security (VCS) si è assicurato ufficialmente la vittoria con 30 punti Master of Pwn, distanziando nettamente il secondo classificato di 12,75 punti.

Con questo risultato convincente, VCS si è assicurata il titolo di campione davanti a numerosi avversari internazionali, considerati tra i principali contendenti al titolo, come Sea Security (Singapore), Vupen, Synacktiv (Francia) e Devcore (Taiwan - campione uscente)...

Parlando delle difficoltà incontrate durante la preparazione alla competizione, Ha Anh Hoang, membro del team VCS, ha dichiarato: "Tre mesi prima della gara, gli organizzatori hanno annunciato solo l'attrezzatura necessaria. Pertanto, abbiamo avuto solo tre mesi per prepararci, perché è stato in quel lasso di tempo che il team ha potuto acquistare l'attrezzatura da studiare. Molti pezzi di equipaggiamento dovevano essere importati dall'estero e ci sono voluti mesi prima che arrivassero in Vietnam."

Secondo un altro membro del team, Nguyen Xuan Hoang, "Alla competizione partecipano concorrenti che vantano una lunga esperienza e sono molto forti sia economicamente che professionalmente. Il team VCS è determinato ad affrontare la competizione con la massima preparazione, unità e una strategia adeguata per raggiungere il massimo successo possibile in questa edizione."

Hoang ha inoltre aggiunto che l'anno scorso la squadra VCS si è classificata seconda in questa competizione con un punteggio molto vicino a quello del vincitore, perdendo per soli 2,5 punti. Pertanto, la squadra è determinata a puntare al campionato quest'anno.

Ma il percorso verso il campionato non è semplice: gli obiettivi degli attacchi in questa competizione sono tutti dispositivi e software diffusi in tutto il mondo, di produttori leader come Microsoft, Apple, Google, Samsung... - ha dichiarato Nguyen Xuan Hoang.

Per soddisfare i requisiti della competizione, il dispositivo doveva essere ordinato dagli Stati Uniti, ma un momento di disattenzione ne causò il malfunzionamento perché utilizzava un alimentatore da 110 V adatto al mercato statunitense, mentre in Vietnam si utilizza la corrente elettrica a 220 V.

Secondo Ngo Anh Huy, membro che ha partecipato a questa competizione per quattro volte, la più grande paura del team è la presenza di vulnerabilità duplicate o che il produttore corregga rapidamente i difetti di sicurezza segnalati. L'anno scorso, il team Viettel si è classificato solo secondo perché penalizzato per aver segnalato una vulnerabilità duplicata.

Inoltre, all'ultimo minuto sono sorti degli imprevisti, poiché le procedure per il visto hanno subito dei ritardi, impedendo all'intera squadra di raggiungere Toronto (Canada) in tempo per la competizione in presenza. I 14 membri del team VCS hanno quindi dovuto competere online, costantemente preoccupati per i potenziali problemi che avrebbero potuto non risolversi in tempo durante la gara…

Ma il risultato finale parla da sé… La squadra VCS non solo ha vinto il campionato, ma ha anche ottenuto una vittoria spettacolare.

"Quando abbiamo vinto nella categoria finale top 10, tutta la squadra è esplosa di gioia e felicità perché avevamo dimostrato che questo campionato era una vittoria convincente, senza lasciare spazio a dubbi", ha ricordato con orgoglio Nguyen Xuan Hoang.

Dopo aver partecipato a Pwn2Own per quattro anni consecutivi, il team VCS ha finalmente sollevato per la prima volta il trofeo del campionato. Si tratta di una competizione di hacking di software ed elettronica di consumo che si tiene due volte l'anno, organizzata dall'organizzazione di sicurezza informatica Zero Day Initiative, ed è considerata una delle competizioni di cybersecurity più impegnative al mondo.

Il signor Nguyen Son Hai, direttore di VCS, ha affermato che nel 2020 Viettel ha ottenuto la sua prima vittoria in questa "competizione" nella categoria Smart TV. Nel 2021, Viettel è entrata nella Top 5. Nel 2022, si è assicurata il secondo posto. E quest'anno, è salita alla ribalta conquistando il titolo di campione con un punteggio schiacciante.

La competizione Pwn2Own coinvolge non solo rinomati team di sicurezza informatica di tutto il mondo, ma anche importanti produttori e aziende tecnologiche globali. Ogni competizione presenterà sfide relative a software o dispositivi hardware diffusi, come il sistema operativo Windows, i telefoni Apple, Xiaomi e Samsung, le stampanti Canon e HP, ecc.

Le squadre devono competere per individuare vulnerabilità di sicurezza precedentemente sconosciute in software e dispositivi e poi dimostrare in tempo reale, entro 30 minuti, come sfruttarle.

"Perché possiamo affermare che i nostri concorrenti non sono solo altri gruppi di esperti di sicurezza, ma anche produttori di dispositivi come Apple, Xiaomi, Canon, TP-Link...? Perché detestano essere accusati di avere vulnerabilità nei loro dispositivi, il che minerebbe la fiducia dei clienti. Questi fornitori di dispositivi hanno sempre un team di sicurezza e sono disposti a spendere ingenti somme di denaro per correggere i bug nei loro prodotti prima dell'inizio della competizione, in modo che i loro prodotti non vengano screditati agli occhi del pubblico", ha dichiarato Nguyen Hong Quang, membro del team VCS, al quotidiano Tuoi Tre .

Pertanto, la competizione sarà intensa dal momento in cui verranno pubblicate le domande fino all'ultimo minuto. È del tutto possibile che i team scoprano delle falle, ma che gli sviluppatori le correggano inaspettatamente poco prima del giorno della gara, facendo perdere a uno dei team tutto il lavoro e i risultati ottenuti.

Pertanto, "con l'avvicinarsi dell'orario previsto per l'evento, abbiamo dovuto dividerci in turni diurni e notturni per 'monitorare' se le vulnerabilità che avevamo scoperto fossero ancora presenti e seguire da vicino i produttori per vedere se avessero corretto i bug che avevamo trovato", ha affermato Ngo Anh Huy, un giocatore esperto di Pwn2Own del team VCS.

L'edizione 2023 del concorso Pwn2Own Toronto si concentra sull'hardware, includendo categorie come telefoni cellulari, altoparlanti intelligenti, sistemi di sorveglianza, sistemi di archiviazione di rete ed elettronica per ufficio. Ogni categoria offre premi che vanno dai 30.000 ai 100.000 dollari e punteggi da 2 a 10 punti a seconda della difficoltà di violare il dispositivo e del livello di completezza della dimostrazione di hacking.

Il premio più ambito, sia in termini di ricompensa che di punteggio, è la categoria finale, un mash-up, che richiede ai team di eseguire codice di exploit su uno dei router di rete forniti nella competizione e quindi attaccare un dispositivo nelle categorie sopra menzionate, con un premio di 100.000 dollari e 10 punti.

Dopo aver completato i compiti individuali e aver attaccato con successo telefoni Xiaomi 13 Pro, sistemi di archiviazione QNAP TS 464, stampanti Canon imageClass MF753Cdw e altoparlanti Sonos Era 100, il team VCS ha totalizzato 20 punti, assicurandosi quasi il campionato, dato che il loro avversario, Sea Security, ha raggiunto solo 17,25 punti dopo aver completato sia i compiti individuali che quelli combinati.

Sebbene l'intensa pressione competitiva si sia attenuata, la categoria finale continua a tormentare gli ingegneri della VCS, poiché la mancanza di punti nella sfida mash-up è stata la ragione per cui hanno mancato il campionato l'anno scorso. "Questa volta, entrando nella categoria smash-up, eravamo di nuovo svantaggiati perché siamo stati sorteggiati per competere più tardi. Se avessimo commesso lo stesso errore della squadra precedente, avremmo perso punti", ha spiegato Ngo Anh Huy. Questo errore di sovrapposizione ha fatto sì che la VCS si trovasse a 2,5 punti di distanza dalla squadra vincitrice del torneo Pwn2Own dell'anno scorso.

"Quest'anno non solo abbiamo cercato di sfruttare nuove vulnerabilità, ma abbiamo anche scelto deliberatamente vulnerabilità molto difficili da individuare e improbabili da replicare da parte di altri team, oppure facili da trovare ma difficili da sfruttare, e che inoltre presentavano numerose opzioni di backup. Questo è il risultato di tre mesi di ricerca mirata da parte dell'intero team", ha affermato Huy.

Di conseguenza, il team VCS ha ottenuto un punteggio perfetto di 10/10 nella categoria combinata e ha vinto il campionato generale con un totale di 30 punti, distanziando nettamente il secondo classificato di 12,5 punti, assicurandosi una vittoria spettacolare e completa.

"Abbiamo scelto Pwn2Own per mettere alla prova le nostre competenze perché si tratta di una competizione sui dispositivi più popolari al mondo, prodotti da aziende leader del settore e con rigorose procedure di test", ha dichiarato Nguyen Son Hai, direttore di VCS. "Investire in un team di ricerca specializzato e mettere alla prova le nostre capacità a livello internazionale fa parte degli sforzi di VCS per lo sviluppo delle risorse umane."

Il percorso del team VCS verso il campionato Pwn2Own 2023 rappresenta il culmine di un lungo e ambizioso impegno, una vivida testimonianza della visione di lunga data del Gruppo Viettel in materia di leadership nel campo della sicurezza informatica.

Oltre dieci anni fa, quando il direttore di VCS Nguyen Son Hai aveva la stessa età dei membri del team campione Pwn2Own 2023, la dirigenza del Gruppo Viettel era determinata a investire nel campo della sicurezza informatica.

I primi semi per un campo nascente furono seminati fin da subito da Viettel, e ricevettero investimenti e cure sistematiche e strategiche.

Il percorso di ricerca approfondita di VCS è iniziato nei suoi primi anni, con sole sei persone inizialmente impegnate nella sicurezza informatica. Dal 2011, il team di VCS ha condotto attacchi simulati con unità interne al Gruppo Viettel per identificare le vulnerabilità di sicurezza.

"Poiché gestiamo infrastrutture critiche, la visione di Viettel è quella di considerare la ricerca sulla sicurezza informatica come un elemento fondamentale", ha affermato il signor Son Hai. "Nella sicurezza informatica, le persone sono il fattore più importante. Anche utilizzando i migliori prodotti al mondo, se usati solo come utenti finali, il rischio di attacco rimane molto elevato, mentre le infrastrutture critiche come i servizi mobili e internet di Viettel sono bersaglio di attacchi da parte dei gruppi più grandi al mondo."

Per creare un team di esperti in grado di proteggere le infrastrutture critiche, VCS punta a formare personale specializzato in sicurezza informatica con competenze equivalenti agli standard mondiali. Dal 2015 ad oggi, Viettel e VCS hanno formato 450 studenti, di cui il 5% dei candidati più idonei è stato assunto, ha affermato il signor Hai.

"Dopo aver creato un team di esperti e investito sistematicamente in ricerche approfondite, continuiamo a cercare modi per potenziare le capacità offensive del team di esperti VCS. Anche la partecipazione a competizioni di livello mondiale rientra in questo obiettivo", ha affermato Nguyen Son Hai.

Nel 2013, VCS ha iniziato a studiare le vulnerabilità zero-day, ovvero vulnerabilità sconosciute e non corrette, e quindi le più costose da sfruttare. Anh Huy e Hong Quang sono stati tra i primi specialisti a farlo. Entro il 2015, il team VCS ha individuato le prime vulnerabilità e, ad oggi, il numero di vulnerabilità scoperte da VCS ha raggiunto quota 400.

"Nessuna azienda vietnamita ha mai raggiunto una cifra simile, e non ce ne sono molte nemmeno nel mondo", ha affermato il signor Hai.

L'opportunità di formazione attraverso la partecipazione a progetti di ricerca approfonditi è il motivo per cui VCS è un luogo di lavoro attraente per gli esperti di sicurezza informatica, che si sono appena aggiudicati il ​​primo premio al Pwn2Own. Alla domanda sul perché avesse scelto Viettel, Anh Huy ha risposto: "Dalla mia esperienza, non molte aziende sono disposte a investire a lungo termine nella ricerca e nei team di ricerca in ambito di sicurezza informatica".

"Soprattutto nel campo della sicurezza informatica, l'elemento umano è il fattore più importante. Per questo motivo, VCS è sempre attenta alla formazione e all'aggiornamento del proprio team, con l'obiettivo di creare generazioni successive di personale altamente qualificato, sempre pronto ad affrontare sfide di livello internazionale", ha sottolineato il direttore di VCS, Nguyen Son Hai.

Durante la cerimonia di premiazione, congratulandosi con i membri del team per la loro partecipazione alla competizione, il Presidente e CEO del Gruppo Viettel, Tao Duc Thang, ha espresso il suo orgoglio per gli "hacker etici" di Viettel. Ha affermato: "Viettel è orgogliosa che il team VCS abbia vinto un prestigioso premio nel campo della sicurezza informatica globale, 'competendo' con i principali produttori mondiali di apparecchiature dotati di grandi unità di ricerca e sviluppo".

Il capo del Gruppo Viettel ha affermato che "Pwn2Own è una competizione prestigiosa con un livello di difficoltà molto elevato per qualsiasi hacker. La competizione è paragonabile a una 'battaglia' contro aziende produttrici con team di sicurezza informatica di altissimo livello a livello mondiale, pronti a contrattaccare gli hacker fino all'ultimo minuto. È un gioco senza limiti di età e può persino coinvolgere collaborazioni multinazionali...". Pertanto, il signor Tao Duc Thang ha dichiarato: "Vincere il campionato Pwn2Own 2023 ha portato lustro a Viettel e al Vietnam sulla scena internazionale", ha affermato con orgoglio il presidente del gruppo.

Il presidente Cao Duc Thang ha inoltre riconosciuto che il campo della sicurezza informatica è vasto, rappresenta un lungo percorso per gli esperti di Viettel e che ci sono molte sfide da affrontare.

"Mantenere la posizione di vertice non è facile, quindi dobbiamo continuare ad affinare le nostre competenze e coltivare grandi sogni, impegnandoci costantemente per trasformarli in realtà e portare il Vietnam nel mondo", ha sottolineato il signor Tao Duc Thang.

Il presidente del Gruppo Viettel ha inoltre affermato che in futuro il Gruppo adotterà politiche specifiche per la formazione di risorse umane altamente qualificate, in modo che possano continuare a dedicarsi al proprio lavoro con serenità.

Nell'assegnare i compiti a VCS, il signor Tao Duc Thang ha sottolineato la necessità per VCS di continuare a formare un numero sempre maggiore di esperti di sicurezza, concentrandosi sulla formazione della prossima generazione, fornendo loro le migliori basi per servire non solo l'azienda, ma anche il Paese, proteggendo la nazione nel cyberspazio.