De 'gouden' jongens in het beveiligingsdorp

"Eten, slapen met... gaten"

2023 was het vierde jaar dat het Viettel-team deelnam aan de Pwn2Own-competitie en de eer viel hen echt ten deel. Was de eerste competitie slechts een oefening, dan eindigde het team in de tweede competitie (2021) in de top 5 en in de competitie van 2022 verloor het team met spijt van de winnaar en won de tweede prijs. Ngo Anh Huy (teamcaptain) deelde: "Pwn2Own is 's werelds grootste en meest prestigieuze cyberaanvalscompetitie, de "World Cup" van de beveiligingswereld met een totale prijzenpot van miljoenen dollars. De aanvalsdoelen zijn alle populaire apparaten en software ter wereld, van toonaangevende leveranciers zoals Microsoft, Apple, Google, Samsung en Xiaomi...".

De Pwn20wn-competitie vond plaats van 24 tot en met 27 oktober 2023 in Toronto (Canada). 14 jonge mannen, van wie de jongste slechts 20 jaar oud was, waren vastbesloten om het kampioenschapsdoel te bereiken. In plaats van zich te concentreren op het vinden van vele kwetsbaarheden zoals bij eerdere competities, ontwikkelde de groep jonge engineers in deze competitie een methodische strategie, op zoek naar fouten die maar weinig mensen ontdekten en uitbuitten. Een van de dingen waar teamleider Ngo Anh Huy zich het meest zorgen over maakte, was hoe hij de leden kon laten samenwerken in een team (teamwork). In de laatste twee weken voor de competitie werkte het hele team 20 uur per dag, at en sliep bijna ter plekke, moest rapporten opstellen om naar het organisatiecomité te sturen en controleren op updates en het patchen van kwetsbaarheden. "De kwetsbaarheden kunnen door de fabrikant worden gevonden en gepatcht vóór de competitie. Daarom moeten we vaak zoveel mogelijk kwetsbaarheden vinden en back-up aanvalsplannen voorbereiden als we de hoogste score willen behalen", voegde lid Ha Anh Hoang eraan toe. Alles was tot in de puntjes voorbereid, wachtend op de dag dat Canada zou vertrekken om deel te nemen, maar het meest betreurenswaardige was dat het hele team vlak voor de wedstrijddag nog steeds geen inreisvisum had ontvangen. "In plaats van fysiek deel te nemen, moest Team Viettel thuisblijven en online deelnemen. Dit is ook een nadeel ten opzichte van fysiek deelnemen, namelijk dat we het apparaat alleen op afstand via een camera kunnen controleren. Als we fysiek deelnemen, kunnen we ter plekke overleggen of de organisatoren vragen om eventuele situaties direct te controleren. Bovendien kunnen er bij online deelname onverwachte problemen optreden met machines en apparatuur...", vertelde Hoang.

Adembenemende, overtuigende overwinning

Na 3 maanden van "eten, slapen en kwetsbaarheden vinden", is het eindelijk zover. Het Vietnamese team moet aantonen dat ze in korte tijd beveiligingslekken kunnen aanpakken. Lid Nguyen Xuan Hoang zei: "In andere beveiligingswedstrijden is er meestal geen tijdslimiet, maar in deze wedstrijd moeten we aantonen dat we binnen 30 minuten kwetsbaarheden kunnen vinden. Pwn2Own combineert de meest geavanceerde doelwitten en apparaten van grote technologiebedrijven en is voorzien van de nieuwste softwareversies. De taak van de teams is om aanvalsrichtingen te vinden en kwetsbaarheden te vinden die nog nooit zijn ontdekt." Elk team mag elk doelwit slechts één keer hacken. Hoe moeilijker het doelwit, hoe hoger de score. Aan het einde van de wedstrijd wint de persoon of organisatie met de hoogste score de prijs. "Onze grootste zorg was dat er dubbele fouten zouden zijn of dat de fabrikant de gaten op tijd had ontdekt en gerepareerd. De teamleden hadden verschillende gaten voorbereid, en hoe meer punten we moesten voorbereiden voor de categorie, hoe meer fouten we moesten maken. In dit onderdeel kreeg het team de maximale totaalscore, en er waren geen dubbele fouten zoals vorig jaar, waardoor er punten werden afgetrokken. We waren zo blij dat we moesten huilen," zei Ha Anh Hoang. Het spannendste onderdeel was de laatste ronde van SOHO Smashup (kleine kantoorapparatuur). Het team kampte met een psychologisch probleem, omdat ze vorig jaar het kampioenschap hadden gemist, dus ze waren wat voorzichtig. Er waren zelfs een paar momenten waarop het niet ging zoals gepland. Iedereen zweette van de zorgen. Hoewel ze drie gaten hadden voorbereid, faalden ze de eerste twee keer. Pas bij de derde keer dat het lukte, barstten de leden in tranen van vreugde uit... Ook de tegenstanders moesten de aanhoudende strijdlust van het Vietnamese team bewonderen.

T. Tho

Hoewel het zijn eerste deelname aan de wedstrijd was, leverde Dinh Quang Vu een belangrijke bijdrage aan de overwinning van zijn team in de categorie kwetsbaarheid van mobiele telefoons. Dit is een nieuwe categorie in de wedstrijd. Vu deelde: "Ons team koos twee mobiele apparaten van Samsung en Xiaomi. Hoewel we ons goed hadden voorbereid en grondig hadden onderzocht en de patches van de fabrikant vóór de wedstrijddag hadden goedgekeurd, faalden we bij de eerste poging met Samsung. Ik voelde me op dat moment verstikt en gebroken, maar gelukkig waren we kalm en slaagden we in de Xiaomi-competitie voor mobiele apparaten." Na vier nachten van intense competitie met de sterkste teams van over de hele wereld, voltooide Team Viettel op 27 oktober om 1 uur 's nachts de wedstrijd met een totaalscore van 30, 12,75 punten voorsprong op het team dat op de tweede plaats eindigde. Jonge Vietnamese ingenieurs wonnen overtuigend het Pwn2Own-kampioenschap en behaalden absolute scores in alle zeven geregistreerde categorieën, goed voor een prijs van 180.000 dollar. Tot de producten met fouten behoorden onder meer de Xiaomi 13 Pro, QNAP-opslagsystemen, Canon-, HP- en Lexmark-printers, Sonos-speakers en SOHO Smashup. Deze overwinning betekende tevens een nieuwe doorbraak voor de Vietnamese informatiebeveiligingsindustrie, die voor het eerst het kampioenschap won op een prestigieus internationaal toernooi. Naast de prijzen op Pwn2Own ontdekten jonge ingenieurs van VSC Company ook meer dan 400 zero-day beveiligingslekken in belangrijke informatietechnologieplatforms en -systemen zoals Microsoft, Oracle, Google, Apache en VMWare.

De ambitie om nieuwe hoogten te bereiken

Zonder op hun lauweren te rusten, begon het hele team zich na de wedstrijd voor te bereiden op de volgende wedstrijd, die begin 2024 in Tokio (Japan) zou plaatsvinden, vastberaden om nieuwe hoogten te bereiken. Ha Anh Hoang vertrouwde toe: "Om vandaag de overwinning te behalen, hebben we stap voor stap overwonnen, van makkelijk naar moeilijk. De overwinning van het team is zeer overtuigend, maar we kunnen de tegenstanders van deze wedstrijd niet negeren, want qua expertise zijn er nog steeds een aantal onderzoeksgebieden en capaciteiten die buitenlandse teams hebben, die het Viettel-team niet kan. Het directe doel van het team is om nieuwe onderzoeksonderwerpen te vinden, beveiligingslekken te ontdekken bij grote leveranciers zoals Apple en Google... En het verdere doel is om toonaangevend te zijn in de wereldwijde veiligheidssector." Als een van de jonge Vietnamese veiligheidsexperts die door de internationale gemeenschap wordt erkend en door vele bekende technologiebedrijven is uitgenodigd om met duizenden dollars te werken, blijft Ngo Anh Huy bij Team Viettel. "Voor mij is het overwinnen van de uitdaging niet alleen om mezelf te laten gelden en een nieuwe rang in de beveiliging te bereiken, ik wil in Vietnam blijven om samen met jonge mensen die dezelfde passie delen, nieuwe pagina's geschiedenis te schrijven over de informatiebeveiligingsindustrie en Vietnam internationaal beroemd te maken", aldus Huy. Volgens kolonel Tao Duc Thang, voorzitter van de raad van bestuur en algemeen directeur van Viettel, is dit geen wedstrijd om het juiste antwoord te vinden, maar net als bij een spelletje "vang het woord" moeten jonge ingenieurs het opnemen tegen 's werelds toonaangevende leveranciers en fabrikanten van technologische apparatuur. Achter de leveranciers staat een zeer grote groep zoals Canon, Xiaomi... De overwinning is niet gemakkelijk, want het is zeer goed mogelijk dat de leverancier op het laatste moment plotseling patches uitbrengt, waardoor de deelnemende teams passief worden en niet meer kunnen reageren. Kolonel Tao Duc Thang gelooft dat het behalen van het kampioenschap van Pwn2Own 2023 nog maar het begin is. De weg voor "white hat hackers" is nog lang, want het cybersecurity-veld is zeer groot, de cyberspace is enorm en er wachten jonge ingenieurs nog veel uitdagingen. Niet alleen op het gebied van IoT, maar ook in de industrie, energie, elektriciteit, veiligheid... krijgen jonge ingenieurs de kans om zich te bewijzen.