I "ragazzi d'oro" del mondo della sicurezza informatica.

La competizione Pwn20wn, svoltasi dal 24 al 27 ottobre 2023 a Toronto, in Canada, ha visto 14 giovani, il più giovane dei quali di soli 20 anni, determinati a vincere. Invece di concentrarsi sulla ricerca di numerose vulnerabilità come nelle precedenti edizioni, questa volta il giovane team di ingegneri ha sviluppato una strategia sistematica, cercando e sfruttando falle meno evidenti. Una delle maggiori preoccupazioni per il team leader Ngo Anh Huy era come far collaborare i membri del team. Nelle ultime due settimane prima della competizione, l'intero team ha lavorato 20 ore al giorno, praticamente mangiando e dormendo sul posto, preparando report per gli organizzatori e, allo stesso tempo, testando, aggiornando e correggendo le vulnerabilità. "Le vulnerabilità possono essere facilmente scoperte e corrette dal produttore prima della competizione. Pertanto, di solito dobbiamo trovare quante più vulnerabilità possibili e preparare piani di attacco alternativi se vogliamo ottenere il punteggio più alto", ha aggiunto Ha Anh Hoang, membro del team. Tutto era stato preparato meticolosamente, si aspettava solo il giorno della partenza per il Canada per partecipare alla competizione, ma la sfortuna si è abbattuta su tutta la squadra, che a ridosso della data di gara non aveva ancora ricevuto i visti d'ingresso. "Invece di gareggiare di persona, il Team Viettel ha dovuto competere online da casa. Anche questo rappresenta uno svantaggio rispetto alla competizione in presenza, poiché potevamo controllare l'attrezzatura solo a distanza tramite webcam. Se avessimo gareggiato di persona, avremmo potuto consultarci sul posto o chiedere agli organizzatori di verificare immediatamente eventuali problemi. Inoltre, la competizione online può presentare malfunzionamenti imprevisti relativi all'attrezzatura...", ha raccontato Hoang.

Una vittoria mozzafiato e convincente.

Dopo tre mesi di "mangiare, dormire e cercare vulnerabilità", è arrivato il momento della verità e il team vietnamita ha dovuto dimostrare la propria capacità di sfruttare le vulnerabilità di sicurezza in un breve lasso di tempo. Il membro del team Nguyen Xuan Hoang ha dichiarato: "In altre competizioni di sicurezza, di solito non ci sono limiti di tempo, ma in questa competizione dovevamo dimostrare di essere in grado di individuare una vulnerabilità entro 30 minuti. Pwn2Own riunisce i target e i dispositivi più avanzati delle principali aziende tecnologiche, tutti dotati delle versioni software più recenti. Il compito di ogni team è quello di trovare metodi di attacco e scoprire vulnerabilità precedentemente non rilevate". Ogni team può effettuare un solo attacco per ciascun target. Più il target è difficile, più alto sarà il punteggio. Al termine della competizione, l'individuo o l'organizzazione con il punteggio più alto riceverà il premio. "La nostra più grande preoccupazione era la presenza di errori duplicati o che il produttore scoprisse e correggesse i difetti in tempo. I membri del team hanno preparato diversi difetti; più punti valeva una categoria, più difetti dovevamo preparare. In questa sezione, il team ha ottenuto il punteggio totale massimo, senza difetti duplicati come l'anno scorso, che avevano comportato detrazioni di punti. Eravamo felicissimi", ha detto Ha Anh Hoang. La parte più snervante è stata la competizione finale, SOHO Smashup (attrezzature per piccoli uffici). L'ostacolo per il team era psicologico, dato che avevano mancato il campionato l'anno scorso, quindi erano un po' cauti. Ci sono stati anche momenti in cui le cose non sono andate come previsto. Tutti sudavano per l'ansia. Sebbene avessero preparato tre difetti, i primi due tentativi sono falliti. Solo al terzo tentativo sono riusciti, e i membri del team sono esplosi di gioia... Anche i concorrenti sono rimasti colpiti dallo spirito combattivo e tenace del team vietnamita.

T. Thọ

Partecipando per la prima volta alla competizione, Dinh Quang Vu ha dato un contributo cruciale alla vittoria del suo team nella categoria vulnerabilità dei telefoni cellulari, una nuova categoria introdotta nella competizione. Vu ha raccontato: "Il nostro team ha scelto due dispositivi mobili di Samsung e Xiaomi. Nonostante avessimo fatto ricerche e ci fossimo preparati a fondo, aggirando le patch del produttore prima del giorno della competizione, abbiamo fallito al primo tentativo con Samsung. È stato snervante, ma per fortuna siamo rimasti calmi e abbiamo vinto la sfida con il dispositivo mobile Xiaomi". Dopo quattro notti di intensa competizione contro i team più forti del mondo, all'una di notte del 27 ottobre, il Team Viettel ha completato con successo tutte le sfide con un punteggio totale di 30, distanziando di ben 12,75 punti il ​​team secondo classificato. I giovani ingegneri vietnamiti hanno vinto in modo convincente il campionato Pwn2Own, ottenendo il punteggio massimo in tutte e sette le categorie registrate e portandosi a casa un premio di 180.000 dollari. Tra i prodotti in cui sono state riscontrate vulnerabilità figurano lo Xiaomi 13 Pro, i sistemi di archiviazione QNAP, le stampanti Canon, HP e Lexmark, gli altoparlanti intelligenti Sonos e SOHO Smashup. Questa vittoria rappresenta anche una svolta per il settore della sicurezza informatica vietnamita, in quanto è la prima volta che il Vietnam si aggiudica un campionato in una prestigiosa competizione internazionale. Oltre ai premi vinti al Pwn2Own, i giovani ingegneri della VSC Company hanno anche scoperto più di 400 vulnerabilità di sicurezza zero-day in importanti piattaforme e sistemi IT come Microsoft, Oracle, Google, Apache, VMWare, ecc.

L'aspirazione a conquistare nuove vette.

Senza adagiarsi sugli allori, dopo la competizione il team ha subito iniziato a prepararsi per la prossima, in programma a Tokyo (Giappone) all'inizio del 2024, con la determinazione di raggiungere nuovi traguardi. Ha Anh Hoang ha confidato: "Per raggiungere questa vittoria, abbiamo superato ogni ostacolo uno alla volta, partendo dal più facile fino al più difficile. La vittoria del team è davvero convincente, ma non possiamo ignorare i nostri avversari in questa competizione, perché in termini di competenze, ci sono alcune aree di ricerca e capacità che i team stranieri possiedono e che il team Viettel non può ancora raggiungere. L'obiettivo immediato del team è trovare nuovi argomenti di ricerca, scoprire vulnerabilità di sicurezza di colossi come Apple, Google... E l'obiettivo a lungo termine è quello di diventare leader nel panorama globale della sicurezza". Ngo Anh Huy, uno dei giovani esperti di sicurezza vietnamiti riconosciuto dalla comunità internazionale e con offerte di lavoro da numerose aziende tecnologiche di fama mondiale con stipendi di migliaia di dollari, rimane fedele al Team Viettel. "Per me, superare le sfide non significa solo dimostrare il mio valore e raggiungere nuove posizioni in classifica nel settore della sicurezza; voglio rimanere in Vietnam per unirmi ad altri giovani con la stessa passione e scrivere nuovi capitoli nella storia della sicurezza informatica, portando lustro al Vietnam nelle arene internazionali", ha dichiarato Huy. Secondo il Colonnello Tao Duc Thang, Presidente e CEO di Viettel, non si tratta di una competizione per trovare la soluzione giusta, ma piuttosto di un gioco "indovina l'immagine", in cui i giovani ingegneri devono "sfidarsi" con i principali fornitori e produttori globali di apparecchiature tecnologiche. Dietro questi fornitori si celano enormi aziende come Canon e Xiaomi... Vincere non è facile perché è molto probabile che all'ultimo minuto i fornitori rilascino inaspettatamente delle patch, lasciando i team in gara impreparati. Il Colonnello Tao Duc Thang ritiene che vincere il campionato Pwn2Own 2023 sia solo l'inizio. La strada da percorrere per gli "hacker etici" è ancora lunga, perché il campo della sicurezza informatica è vasto, il cyberspazio è immenso e molte sfide attendono i giovani ingegneri. Non si limita solo all'IoT; ci sono anche settori come l'industria, l'energia, l'ingegneria elettrica, la sicurezza e molti altri, dove i giovani ingegneri hanno l'opportunità di mettersi alla prova.