Even na 1 uur 's nachts op 27 oktober barstte het in jubel uit bij de 14 leden van het VCS-team in de helder verlichte ruimte van Viettel Cyber Security Company (VCS): het team had het kampioenschap gewonnen van 's werelds grootste en meest prestigieuze cyberaanvalcompetitie, Pwn2Own 2023.
Dit is niet alleen het verwachte resultaat van drie maanden onafgebroken dag en nacht werken door het hele team, maar ook van het vasthoudend strijden tegen de sterkste tegenstanders van over de hele wereld !
Dit is niet alleen de eerste zoete beloning voor het jongste teamlid, Do Anh Dung, geboren in 2003, die momenteel in het derde jaar van zijn studie zit aan de Technische Universiteit van Hanoi (VNU)!
Voor leden als Ngo Anh Huy, Nguyen Xuan Hoang en Nguyen Hong Quang, die al meerdere jaren achter elkaar hun geluk beproeven in dit toernooi, is het niet alleen de ambitie om de top van de competitie te bereiken!
Het was bovendien een glorieuze prestatie om de eerste plaats voor het land te behalen in een van de meest prestigieuze wereldwijde competities, waarmee de capaciteiten van het Vietnamese volk op het gebied van informatiebeveiliging en -veiligheid werden bevestigd.
En het allerbelangrijkste: het is de "zoete vrucht" die is geplukt uit de zaden die Viettel jarenlang standvastig heeft gezaaid. Vandaag de dag kan Viettel, met VCS en haar team van informatiebeveiligingsexperts, met trots beweren een van de wereldwijd toonaangevende bedrijven te zijn op het gebied van informatiebeveiliging en -veiligheid.
Alle 14 leden van het VCS-team dat het Pwn2Own 2023-kampioenschap won, zijn erg jong. De meeste leden zijn geboren in de jaren 90, met het jongste lid geboren in 2003.
De meeste teamleden hebben echter jarenlange ervaring en een schat aan prestaties op het gebied van informatiebeveiliging. Zelfs het jongste teamlid, Do Anh Dung, heeft zich bewezen: Dung zorgde voor een wonder in deze competitie door in één categorie te winnen en zo bij te dragen aan het algehele resultaat van het team.
Op de avond van 27 oktober, tijdens de laatste wedstrijdronde, behaalde het team van Viettel Cyber Security (VCS) officieel de eerste plaats met 30 Master of Pwn-punten, waarmee ze het team op de tweede plaats met maar liefst 12,75 punten achter zich lieten.
Met deze overtuigende score verzekerde VCS zich van de kampioenstitel, vóór vele internationale tegenstanders die als sterke kanshebbers voor het toernooi werden beschouwd, zoals Sea Security (Singapore), Vupen, Synacktiv (Frankrijk) en Devcore (Taiwan - de kampioen van vorig jaar)...
VCS-teamlid Ha Anh Hoang vertelde over de uitdagingen tijdens de voorbereiding op de wedstrijd: "Drie maanden voor de wedstrijd maakten de organisatoren pas bekend welke apparatuur we moesten beheersen. We hadden dus maar drie maanden om ons voor te bereiden, want in die periode kon het team de benodigde apparatuur aanschaffen. Veel apparatuur moest uit het buitenland geïmporteerd worden en het duurde maanden voordat het in Vietnam aankwam."
Volgens een ander teamlid, Nguyen Xuan Hoang, "De competitie kent deelnemers die al lange tijd meedoen. Ze hebben veel ervaring en er zijn zowel economisch als professioneel zeer sterke concurrenten. Team VCS is vastbesloten om met de meest grondige voorbereiding, eenheid en een passende strategie aan de competitie deel te nemen om dit jaar het hoogst mogelijke succes te behalen."
Hoang vertelde verder dat het VCS-team vorig jaar de tweede plaats behaalde in deze competitie met een score die zeer dicht bij die van de kampioen lag, slechts 2,5 punten verschil. Daarom is het team vastbesloten om dit jaar voor het kampioenschap te gaan.
Maar de weg naar het kampioenschap is niet eenvoudig: de aanvalsdoelen in deze competitie zijn alle populaire apparaten en software wereldwijd, van toonaangevende fabrikanten zoals Microsoft, Apple, Google, Samsung… - aldus Nguyen Xuan Hoang.
Om aan de wedstrijdeisen te voldoen, moest het apparaat uit de VS worden besteld, maar door een moment van onachtzaamheid raakte het defect omdat het een 110V-voeding gebruikte die geschikt is voor de Amerikaanse markt, terwijl in Vietnam 220V-stroom wordt gebruikt.
Volgens Ngo Anh Huy, een teamlid dat al vier keer aan deze wedstrijd heeft deelgenomen, is de grootste angst van het team dat er dubbele kwetsbaarheden worden gevonden of dat de fabrikant de beveiligingslekken die het team heeft gemeld snel zal dichten. Vorig jaar behaalde het Viettel-team slechts de tweede plaats omdat ze werden bestraft voor een dubbele kwetsbaarheid.
Bovendien ontstonden er op het laatste moment problemen, doordat de visumprocedures vertraging opliepen, waardoor het hele team niet op tijd naar Toronto (Canada) kon reizen voor de fysieke wedstrijd. In plaats daarvan moesten de 14 leden van het VCS-team online deelnemen, waarbij ze zich constant zorgen maakten over mogelijke problemen die tijdens de wedstrijd mogelijk niet op tijd opgelost zouden worden…
Maar het eindresultaat spreekt voor zich… Het VCS-team won niet alleen het kampioenschap, maar behaalde ook een spectaculaire overwinning.
"Toen we de finale in de top 10-categorie wonnen, barstte het hele team uit in vreugde en blijdschap, omdat we hadden bewezen dat dit kampioenschap een overtuigende overwinning was, zonder enige twijfel," herinnerde Nguyen Xuan Hoang zich dat moment vol trots.
Na vier jaar op rij te hebben deelgenomen aan Pwn2Own, heeft het VCS-team eindelijk voor het eerst de Pwn2Own-kampioenstrofee in de wacht gesleept. Dit is een hackwedstrijd voor software en consumentenelektronica die twee keer per jaar wordt georganiseerd door de cybersecurityorganisatie Zero Day Initiative en wordt beschouwd als een van de meest uitdagende cybersecuritywedstrijden ter wereld.
De heer Nguyen Son Hai, directeur van VCS, zei dat Viettel in 2020 zijn eerste overwinning behaalde in deze "competitie" in de categorie Smart TV's. In 2021 bereikte Viettel de top 5. In 2022 behaalde het de tweede plaats. En dit jaar wist het met een overweldigende score de kampioenstitel te veroveren.
Bij Pwn2Own doen niet alleen gerenommeerde cybersecurityteams van over de hele wereld mee, maar ook grote internationale fabrikanten en technologiebedrijven. Elke wedstrijd biedt uitdagingen met betrekking tot populaire software of hardware, zoals het Windows-besturingssysteem, Apple-, Xiaomi- en Samsung-telefoons, of Canon- en HP-printers, enzovoort.
Teams moeten binnen 30 minuten onbekende beveiligingslekken in software en apparaten opsporen en vervolgens live demonstreren hoe ze die lekken kunnen misbruiken.
"Waarom kunnen we zeggen dat de concurrenten niet alleen andere groepen beveiligingsexperts zijn, maar ook fabrikanten van apparaten zoals Apple, Xiaomi, Canon, TP-Link...? Omdat ze er een hekel aan hebben om beschuldigd te worden van kwetsbaarheden in hun apparaten, wat het vertrouwen van de klant zou ondermijnen. Deze leveranciers van apparaten hebben altijd een beveiligingsteam en zijn bereid grote sommen geld uit te geven om bugs in hun producten te verhelpen vóór de wedstrijd plaatsvindt, zodat hun producten niet in diskrediet raken bij het publiek," vertelde Nguyen Hong Quang, lid van het VCS-team, aan de krant Tuoi Tre .
De concurrentie zal daarom hevig zijn vanaf het moment dat de vragen worden vrijgegeven tot de allerlaatste minuut. Het is heel goed mogelijk dat teams fouten ontdekken, maar dat de ontwikkelaars deze onverwacht vlak voor de wedstrijddag verhelpen, waardoor één team al zijn harde werk en prestaties kwijtraakt.
Daarom moesten we, naarmate het optreden dichterbij kwam, ons opsplitsen in dag- en nachtploegen om te 'monitoren' of de kwetsbaarheden die we hadden ontdekt nog steeds bestonden, en de producenten nauwlettend in de gaten houden om te zien of ze de gevonden bugs hadden verholpen," aldus Ngo Anh Huy, een ervaren Pwn2Own-speler van het VCS-team.
De Pwn2Own Toronto-competitie van 2023 richt zich op hardware, met categorieën zoals mobiele telefoons, slimme speakers, bewakingssystemen, netwerkopslagsystemen en kantoorapparatuur. Elke categorie biedt prijzen variërend van $30.000 tot $100.000 en scores van 2 tot 10 punten, afhankelijk van de moeilijkheidsgraad van het hacken van het apparaat en de mate van volledigheid van de hackdemonstratie.
De meest waardevolle prijs, zowel qua beloning als punten, is de laatste categorie, een mash-up, waarbij teams exploitcode moeten uitvoeren op een van de netwerkrouters die in de competitie beschikbaar worden gesteld en zo een apparaat in de eerdergenoemde categorieën moeten aanvallen. Hiervoor is een prijs van $100.000 en 10 punten te winnen.
Na het voltooien van de individuele taken en het succesvol aanvallen van Xiaomi 13 Pro-telefoons, QNAP TS 464-opslagsystemen, Canon imageClass MF753Cdw-printers en Sonos Era 100-luidsprekers, behaalde het VCS-team 20 punten, waarmee ze de titel bijna veiligstelden. Hun tegenstander, Sea Security, behaalde namelijk slechts 17,25 punten na het voltooien van zowel de individuele als de gecombineerde taken.
Hoewel de intense concurrentiedruk is afgenomen, blijft de laatste categorie de VCS-engineers achtervolgen, omdat een gebrek aan punten in de mash-up-uitdaging de reden was dat ze vorig jaar het kampioenschap misliepen. "Deze keer, toen we in de mash-up-categorie terechtkwamen, hadden we opnieuw een achterstand omdat we later in de wedstrijd werden ingedeeld. Als we dezelfde fout maakten als het team van vorig jaar, zouden we punten verliezen", aldus Ngo Anh Huy. Deze herhaalde fout zorgde ervoor dat VCS 2,5 punten achter het winnende team van het Pwn2Own-toernooi van vorig jaar eindigde.
"Dit jaar hebben we niet alleen geprobeerd nieuwe kwetsbaarheden te exploiteren, maar hebben we ook bewust gekozen voor kwetsbaarheden die zeer moeilijk te vinden waren en waarvan het onwaarschijnlijk was dat andere teams ze zouden dupliceren, of die misschien gemakkelijk te vinden maar moeilijk te exploiteren waren, en die bovendien veel back-upopties boden. Dit is het resultaat van drie maanden gericht onderzoek door het hele team," aldus Huy.
Het VCS-team behaalde daardoor een perfecte score van 10/10 in de gecombineerde categorie en won het algemene kampioenschap met een totaal van 30 punten, waarmee ze de nummer twee met maar liefst 12,5 punten achter zich lieten en een spectaculaire en complete overwinning behaalden.
"We kozen voor Pwn2Own om onze vaardigheden te testen omdat het een wedstrijd is op de populairste apparaten ter wereld, van toonaangevende fabrikanten met strenge testprocedures", aldus de heer Nguyen Son Hai, directeur van VCS. "Investeren in een gespecialiseerd onderzoeksteam en onze vaardigheden testen op internationaal niveau maakt deel uit van de inspanningen van VCS om menselijk kapitaal te ontwikkelen."
De reis van het VCS-team naar het Pwn2Own 2023-kampioenschap is de bekroning van een lange, succesvolle onderneming en een levendig bewijs van de langgekoesterde visie van Viettel Group's leiderschap op het gebied van informatiebeveiliging.
Meer dan tien jaar geleden, toen VCS-directeur Nguyen Son Hai dezelfde leeftijd had als de leden van het Pwn2Own 2023-kampioensteam nu, was de leiding van de Viettel Group vastbesloten te investeren in informatiebeveiliging.
Viettel legde al vroeg de eerste basis voor een ontluikend veld, en deze zaden kregen systematische en strategische investeringen en zorg.
Het diepgaande onderzoek van VCS begon al in de beginjaren, met aanvankelijk slechts zes mensen die zich bezighielden met informatiebeveiliging. Sinds 2011 heeft het VCS-team gesimuleerde aanvallen uitgevoerd met afdelingen binnen de Viettel Group om beveiligingslekken te identificeren.
"Omdat we kritieke infrastructuur beheren, is onderzoek naar cyberbeveiliging een hoeksteen van Viettels visie", aldus de heer Son Hai. "Bij cyberbeveiliging zijn mensen de belangrijkste factor. Zelfs bij gebruik van de beste producten ter wereld blijft het risico op een aanval zeer hoog als je alleen de eindgebruiker bent. Kritieke infrastructuur zoals de mobiele en internetdiensten van Viettel zijn immers doelwit van aanvallen door de grootste groeperingen ter wereld."
Om een team van experts samen te stellen voor de bescherming van kritieke infrastructuur, streeft VCS ernaar cybersecuritypersoneel op te leiden met vaardigheden die voldoen aan wereldwijde standaarden. Van 2015 tot heden hebben Viettel en VCS 450 studenten opgeleid, waarvan 5% van de meest geschikte kandidaten is aangenomen om bij het bedrijf te blijven werken, aldus de heer Hai.
"Na een team van experts te hebben samengesteld en systematisch te hebben geïnvesteerd in diepgaand onderzoek, blijven we zoeken naar manieren om de aanvallende vaardigheden van het VCS-expertteam te verbeteren. Deelname aan wedstrijden van wereldklasse is hier ook op gericht," aldus de heer Nguyen Son Hai.
In 2013 begon VCS met onderzoek naar zero-day-kwetsbaarheden – onbekende en niet-gepatchte kwetsbaarheden, en daarom het duurst om te exploiteren. Anh Huy en Hong Quang behoorden tot de eerste specialisten die zich hiermee bezighielden. In 2015 had het VCS-team zijn eerste kwetsbaarheden gevonden, en tot op heden heeft VCS er al 400 ontdekt.
"Geen enkel Vietnamees bedrijf heeft ooit zo'n omzet behaald, en wereldwijd zijn er ook maar weinig," aldus de heer Hai.
De mogelijkheid tot training door middel van diepgaande deelname aan onderzoek is de reden waarom VCS een aantrekkelijke werkplek is voor cybersecurity-experts die onlangs de eerste prijs wonnen bij Pwn2Own. Op de vraag waarom hij voor Viettel koos, zei Anh Huy: "Uit mijn ervaring weet ik dat niet veel bedrijven bereid zijn om op lange termijn te investeren in cybersecurity-onderzoek en onderzoeksteams."
"Vooral op het gebied van cybersecurity is het menselijke aspect de belangrijkste factor. Daarom is VCS zich er altijd van bewust dat het belangrijk is om haar team te trainen en bij te scholen, en om opeenvolgende generaties hooggekwalificeerde medewerkers op te leiden die altijd klaar staan om uitdagingen op internationaal niveau aan te gaan," benadrukte VCS-directeur Nguyen Son Hai.
Tijdens de prijsuitreiking feliciteerde Tao Duc Thang, voorzitter en CEO van Viettel Group, de teamleden met hun deelname aan de wedstrijd en sprak hij zijn trots uit over de "white-hat hackers" van Viettel. Hij bevestigde: "Viettel is er trots op dat het VCS-team een prestigieuze prijs heeft gewonnen op het gebied van wereldwijde cyberbeveiliging, in een competitie met toonaangevende wereldwijde fabrikanten van apparatuur met grote R&D-afdelingen."
De topman van de Viettel Group verklaarde: "Pwn2Own is een prestigieuze competitie met een zeer hoge moeilijkheidsgraad voor elke hacker. De competitie is te vergelijken met een 'strijd' tegen fabrikanten met de beste informatiebeveiligingsteams ter wereld, die tot het allerlaatste moment klaarstaan om terug te slaan tegen hackers. Het is een spel zonder leeftijdsgrens en kan zelfs internationale samenwerkingen omvatten...". Daarom zei de heer Tao Duc Thang trots: "Het winnen van het Pwn2Own-kampioenschap in 2023 heeft Viettel en Vietnam internationale roem gebracht."
Voorzitter Cao Duc Thang erkende ook dat het vakgebied cyberbeveiliging enorm is, dat er voor de experts van Viettel nog een lange weg te gaan is en dat er nog veel uitdagingen in het verschiet liggen.
"Het is niet eenvoudig om de toppositie te behouden, dus we moeten onze vaardigheden blijven aanscherpen en grote dromen koesteren, en er constant naar streven om die dromen te verwezenlijken en Vietnam op de wereldkaart te zetten," benadrukte de heer Tao Duc Thang.
De voorzitter van de Viettel Group deelde ook mee dat de groep in de toekomst specifieke beleidsmaatregelen zal nemen om hoogwaardig personeel op te leiden, zodat zij zich met een gerust hart aan hun werk kunnen blijven wijden.
Bij het toewijzen van taken aan VCS benadrukte de heer Tao Duc Thang dat VCS door moet gaan met het opleiden van meer beveiligingsexperts, met de nadruk op het opleiden van de volgende generatie met de beste basis om niet alleen het bedrijf, maar ook het land te dienen en de natie te beschermen in het cyberruim.
![[Foto] Jongeren in Da Nang stralen de lentestemming uit in traditionele ao dai-jurken.](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2026%2F02%2F05%2F1770283565383_ndo_br_d7fd33c1bcc2329c6bd3-3439-jpg.webp&w=3840&q=75)
Reactie (0)