De «gullguttene» i sikkerhetslandsbyen

"Spis, sov med ... hull"

2023 er det fjerde året Viettel-laget deltar i Pwn2Own-konkurransen, og seieren havnet virkelig i dem. Hvis den første konkurransen bare var for trening, så kom laget blant de 5 beste i den andre konkurransen (2021), og i 2022-konkurransen tapte laget mot mesterlaget, og de beklaget at de vant andrepremien. Ngo Anh Huy (lagkaptein) delte: «Pwn2Own er verdens største og mest prestisjefylte cyberangrepskonkurranse, sikkerhetsverdenens «VM» med en totalpremie på opptil millioner av USD. Angrepsmålene er alle populære enheter og programvare i verden, fra ledende leverandører som Microsoft, Apple, Google, Samsung, Xiaomi...».

Pwn20wn-konkurransen Konkurransen fant sted fra 24. til 27. oktober 2023 i Toronto (Canada). 14 unge menn, hvorav den yngste bare var 20 år gammel, var fast bestemt på å nå mesterskapsmålet. I stedet for å fokusere på å finne mange sårbarheter som tidligere konkurranser, bygde gruppen av unge ingeniører i denne konkurransen en metodisk strategi, der de lette etter feil som få oppdaget og utnyttet. En av tingene som teamleder Ngo Anh Huy var mest opptatt og bekymret for, var hvordan man skulle koble medlemmene til å jobbe i et team (teamwork). I de siste to ukene før konkurransen jobbet hele teamet 20 timer i døgnet, nesten spiste og sov på stedet, måtte forberede rapporter for å sende til organisasjonskomiteen og sjekke etter oppdateringer og oppdatere sårbarheter. «Sårbarhetene kan bli funnet og oppdatert av produsenten før konkurransen. Derfor må vi ofte finne så mange sårbarheter som mulig og utarbeide backup-angrepsplaner hvis vi vil oppnå høyest mulig poengsum», la medlem Ha Anh Hoang til. Alt var nøye forberedt, vi ventet bare på avreisedagen til Canada for å konkurrere, men det mest beklagelige var at hele laget fortsatt ikke fikk innreisevisum nær konkurransedagen. «I stedet for å konkurrere personlig, måtte Team Viettel bli hjemme og konkurrere online. Dette er også en ulempe sammenlignet med å konkurrere personlig, nemlig at vi bare kan sjekke enheten eksternt via kamera. Hvis vi konkurrerer personlig, kan vi konsultere på stedet eller be arrangørene om å umiddelbart sjekke eventuelle situasjoner som oppstår. I tillegg kan online-prosessen ha uventede problemer knyttet til maskiner og utstyr ...», fortalte Hoang.

Overbevisende seier med en fantastisk utsikt

Etter 3 måneder med «spising, søvn og å finne sårbarheter», er tiden endelig inne. Det vietnamesiske laget må demonstrere evnen til å angripe sikkerhetssårbarheter på kort tid. Medlem Nguyen Xuan Hoang sa: «I andre sikkerhetskonkurranser er det vanligvis ingen tidsbegrensning, men i denne konkurransen må vi demonstrere at vi finner sårbarheter innen 30 minutter. Pwn2Own samler de mest avanserte målene og enhetene fra store teknologiselskaper og er installert med de nyeste programvareversjonene. Lagenes oppgave er å finne angrepsretninger og sårbarheter som aldri har blitt oppdaget.» Hvert lag kan bare hacke én gang for hvert mål. Jo vanskeligere målet er, desto høyere poengsum. På slutten av konkurransen vinner individet eller organisasjonen med høyest poengsum prisen. «Vår største bekymring var at det ville bli duplikatfeil, eller at produsenten hadde oppdaget og lappet hullene i tide. Lagmedlemmene hadde forberedt forskjellige hull, og jo flere poeng vi måtte forberede oss for kategorien, desto flere feil måtte vi forberede oss. I denne delen fikk laget den maksimale totalscoren, og det var ingen duplikatfeil som i fjor, noe som resulterte i poengtrekk. Vi var så glade at vi gråt», sa Ha Anh Hoang. Den mest spennende delen var den siste runden av SOHO Smashup (lite kontorutstyr). Lagets hindring var psykologisk, fordi de hadde gått glipp av mesterskapet i fjor, så de var litt forsiktige. Det var til og med et par ganger ting ikke gikk som planlagt. Alle svettet av bekymring. Selv om de hadde forberedt seg på tre hull, mislyktes de de to første gangene. Det var ikke før tredje gang de lyktes at medlemmene brast i gledestårer ... Motstanderne måtte også beundre den iherdige kampen til det vietnamesiske laget.

T. Tho

Selv om det var første gang Dinh Quang Vu deltok i konkurransen, bidro han viktig til å hjelpe laget sitt med å vinne kategorien for mobiltelefoners sårbarhet. Dette er en ny kategori i konkurransen. Vu delte: «Teamet vårt valgte to mobile enheter fra Samsung og Xiaomi. Selv om vi hadde undersøkt og forberedt oss ganske nøye og hadde bestått produsentens oppdateringer før konkurransedagen, mislyktes vi i første forsøk med Samsung. Jeg følte meg kvalt og knust på det tidspunktet, men heldigvis var vi rolige og bestod Xiaomis konkurranse om mobile enheter.» Etter fire netter med intens konkurranse med de sterkeste lagene fra mange steder rundt om i verden, klokken 01.00 den 27. oktober, fullførte Team Viettel konkurransen med en totalscore på 30, 12,75 poeng foran laget som kom på andreplass. Unge vietnamesiske ingeniører vant Pwn2Own-mesterskapet overbevisende, og oppnådde absolutte poengsummer i alle de syv registrerte kategoriene, og tok med seg en premie på 180 000 USD hjem. Produktene som ble funnet å ha feil inkluderte Xiaomi 13 Pro, QNAP-lagringssystemer, Canon-, HP- og Lexmark-skrivere, Sonos-smarthøyttalere og SOHO Smashup. Denne seieren markerte også et nytt gjennombrudd for den vietnamesiske informasjonssikkerhetsbransjen da de vant mesterskapet for første gang i en prestisjefylt internasjonal turnering. I tillegg til prisene på Pwn2Own oppdaget unge ingeniører fra VSC Company også mer enn 400 nulldagssikkerhetssårbarheter i store IT-plattformer og -systemer som Microsoft, Oracle, Google, Apache, VMWare...

Ønske om å erobre nye høyder

Etter konkurransen «hvilte de ikke på laurbærene», og hele laget begynte å forberede seg til den neste konkurransen som skal avholdes i Tokyo (Japan) tidlig i 2024, med en bestemt målsetning om å nå nye høyder. Ha Anh Hoang betrodde: «For å oppnå seier i dag har vi erobret steg for steg, og gått fra lett til vanskelig. Lagets seier er svært overbevisende, men vi kan ikke ignorere motstanderne i denne konkurransen, for når det gjelder ekspertise, er det fortsatt noen forskningsområder, noen kapasiteter som utenlandske lag har, som Viettel-teamet ikke kan klare. Lagets umiddelbare mål er å finne nye forskningsemner, finne sikkerhetssårbarheter hos gigantiske leverandører som Apple, Google... Og det videre målet er å lede an på verdens sikkerhetsarena.» Som en av Vietnams unge sikkerhetseksperter, anerkjent av det internasjonale samfunnet, invitert til å jobbe med tusenvis av USD av mange kjente teknologiselskaper, er Ngo Anh Huy fortsatt i Team Viettel. «For meg handler det å mestre utfordringen ikke bare om å hevde meg selv og oppnå en ny rangering innen sikkerhet. Jeg ønsker å bli i Vietnam for å fortsette å skrive nye sider med historie om informasjonssikkerhetsbransjen med unge mennesker som deler den samme lidenskapen, og gjøre Vietnam berømt på internasjonale arenaer», delte Huy. Ifølge oberst Tao Duc Thang, styreleder og administrerende direktør i Viettel, er ikke dette en konkurranse om å finne det riktige svaret, men som et spill der man «fanger ordet», må unge ingeniører «kjempe» med verdens ledende leverandører og produsenter av teknologisk utstyr. Bak leverandørene står en veldig stor gruppe som Canon, Xiaomi... Seieren er ikke enkel fordi det er veldig mulig at leverandøren i siste liten plutselig slipper patcher, noe som gjør de konkurrerende lagene passive og ute av stand til å reagere. Oberst Tao Duc Thang mener at mesterskapsprestasjonen i Pwn2Own 2023 bare er begynnelsen. Veien videre for «white hat hackere» er fortsatt lang fordi feltet for cybersikkerhet er veldig stort, cyberspace er enormt og det er mange utfordringer som venter unge ingeniører. Ikke bare stopper det ved IoT-feltet, det finnes også felt innen industri, energi, elektrisitet, sikkerhet ... unge ingeniører har muligheten til å hevde seg.