Viettel „Hacker” umieszcza swoje imię na mapie świata

O godzinie 1:00 nad ranem 27 października, w wciąż oświetlonym pomieszczeniu firmy Viettel Cyber ​​Security Company (VCS), 14 członków zespołu VCS eksplodowało radością: zespół wygrał mistrzostwa największego i najbardziej prestiżowego na świecie konkursu cyberataków Pwn2Own 2023.

Nie był to tylko oczekiwany rezultat trzech miesięcy ciągłej pracy dzień i noc całego zespołu i zaciętej rywalizacji z najsilniejszymi przeciwnikami z całego świata !

To nie tylko pierwszy słodki owoc dla najmłodszego członka zespołu, Do Anh Dunga, urodzonego w 2003 roku, obecnie studenta trzeciego roku na Uniwersytecie Technologicznym (VNU)!

Nie chodzi tylko o chęć osiągnięcia jak najwyższego miejsca w zawodach dla takich członków jak Ngo Anh Huy, Nguyen Xuan Hoang, Nguyen Hong Quang…, którzy próbują swoich sił w tym turnieju od kilku lat!

To również zaszczyt zapewnić naszemu krajowi najwyższe miejsce w jednym z najbardziej prestiżowych konkursów na świecie, potwierdzającym kompetencje narodu wietnamskiego w dziedzinie bezpieczeństwa informacji.

A przede wszystkim, to „słodki owoc” zebrany z nasion, które Viettel z determinacją zasiał wiele lat temu. Do dziś Viettel, z VCS i zespołem ekspertów ds. bezpieczeństwa informacji, może być dumny z bycia jedną z wiodących firm na świecie w dziedzinie bezpieczeństwa informacji.

Czternastu członków drużyny VCS, którzy wygrali mistrzostwa Pwn2Own 2023, to bardzo młodzi ludzie. Większość z nich pochodzi z pokolenia 9x, a najmłodszy członek urodził się dopiero w 2003 roku.

Jednak większość zespołu „walczy” od wielu lat, posiada bogate doświadczenie i osiągnięcia w dziedzinie bezpieczeństwa informacji. Nawet najmłodszy członek zespołu, Do Anh Dung, już się przekonał: to Dung dokonał cudu w tych zawodach, wygrywając kategorię i przyczyniając się do ogólnego wyniku całego zespołu.

Pod koniec rundy finałowej, która odbyła się wieczorem 27 października, zespół Viettel Cyber ​​Security (VCS) oficjalnie wygrał z najwyższą punktacją, zdobywając 30 punktów Master of Pwn, pozostawiając drużynie, która zajęła drugie miejsce, stratę 12,75 punktów.

Dzięki temu przekonującemu wynikowi VCS zapewniło sobie tytuł mistrzowski, pokonując wielu międzynarodowych przeciwników, którzy byli uważani za mocnych kandydatów do zwycięstwa w turnieju, takich jak Sea Security (Singapur), Vupen, Synacktiv (Francja) i Devcore (Tajwan - zeszłoroczny mistrz)...

Opowiadając o wyzwaniach związanych z przygotowaniami do konkursu, członek zespołu VCS, Ha Anh Hoang, powiedział: „Trzy miesiące przed zawodami Komitet Organizacyjny ogłosił urządzenia do zdobycia. Czas przygotowań wyniósł zatem tylko trzy miesiące, ponieważ w tym czasie zespół dopiero co zakupił urządzenia do badań. Wiele z nich musiało zostać sprowadzonych z zagranicy, a oczekiwanie na ich przybycie do Wietnamu trwało cały miesiąc”.

Według innego członka zespołu, Nguyen Xuan Hoang, „W zawodach biorą udział zawodnicy z długim stażem. Mają duże doświadczenie, a także są wśród nich bardzo silni konkurenci, zarówno pod względem finansowym , jak i zawodowym. Zespół VCS jest zdeterminowany, aby przystąpić do zawodów z jak najstaranniejszym przygotowaniem, solidarnością i odpowiednią strategią, aby osiągnąć jak największy sukces w tegorocznych zawodach”.

Hoang dodał, że w zeszłym roku drużyna VCS zajęła drugie miejsce w tych rozgrywkach z wynikiem bardzo zbliżonym do mistrzowskiej drużyny, przegrywając zaledwie 2,5 punktu. Dlatego drużyna jest zdeterminowana, aby w tym roku walczyć o mistrzostwo.

Ale droga do mistrzostwa nie jest prosta: celem ataków w tych zawodach są wszystkie popularne urządzenia i oprogramowanie na świecie, od wiodących producentów, takich jak Microsoft, Apple, Google, Samsung... - powiedział Nguyen Xuan Hoang.

Aby sprostać wymaganiom konkursu, urządzenie należało zamówić ze Stanów Zjednoczonych, ale w chwili nieuwagi urządzenie „umarło”, ponieważ korzystało ze źródła zasilania o napięciu 110 V, odpowiedniego dla rynku amerykańskiego, podczas gdy w Wietnamie stosuje się napięcie 220 V.

Według Ngo Anh Huya, członka, który brał udział w tym konkursie czterokrotnie, największym zmartwieniem zespołu są powielone błędy lub brak czasu producenta na załatanie luk w zabezpieczeniach, które zespół zarejestrował. W zeszłym roku zespół Viettel wziął udział w konkursie i zajął drugie miejsce tylko dlatego, że odjęto mu punkty za powielenie luki.

Co więcej, wyzwanie pojawiło się w ostatniej chwili, ponieważ z powodu opóźnienia w wizach cały zespół nie mógł dotrzeć do Toronto (Kanada) na czas, aby wziąć udział w zawodach osobiście. Zamiast tego, 14 członków zespołu VCS musiało rywalizować online, martwiąc się o potencjalne problemy, których nie udało się rozwiązać podczas zawodów...

Ale końcowy wynik powiedział wszystko… Zespół VCS nie tylko wygrał, ale odniósł spektakularne zwycięstwo.

„Kiedy wygraliśmy finałową dziesiątkę w kategorii z największą liczbą punktów, cała drużyna wybuchnęła radością i szczęściem, ponieważ udowodniliśmy, że te mistrzostwa były przekonującym zwycięstwem, bez cienia wątpliwości” – Nguyen Xuan Hoang z dumą wspominał tamten moment.

Po czterech latach nieprzerwanego uczestnictwa w Pwn2Own, zespół VCS po raz pierwszy wygrał mistrzostwa Pwn2Own. To zawody w atakach na oprogramowanie i elektronikę użytkową, organizowane dwa razy w roku przez organizację Zero Day Initiative, jeden z najtrudniejszych konkursów cyberbezpieczeństwa na świecie.

Pan Nguyen Son Hai, dyrektor VCS, powiedział, że w 2020 roku Viettel odniósł swoje pierwsze zwycięstwo na tym „placu zabaw” w kategorii SmartTV. W 2021 roku Viettel znalazł się w pierwszej piątce. W 2022 roku zajął drugie miejsce. W tym roku firma zdobyła mistrzostwo z przytłaczającą przewagą.

W Pwn2Own rywalizują nie tylko znane na całym świecie zespoły zajmujące się cyberbezpieczeństwem, ale także duzi producenci i korporacje technologiczne z całego świata. Każdy egzamin będzie zawierał pytania dotyczące popularnego oprogramowania i sprzętu, takiego jak system operacyjny Windows, telefony Apple, Xiaomi, Samsung czy drukarki Canon i HP.

Zespoły rywalizują ze sobą, aby znaleźć nieznane luki w zabezpieczeniach oprogramowania i urządzeń oraz w ciągu 30 minut muszą wykazać się wykorzystaniem tych luk w praktyce.

„Dlaczego możemy twierdzić, że przeciwnikami są nie tylko inne grupy ekspertów ds. bezpieczeństwa, ale także producenci urządzeń, tacy jak Apple, Xiaomi, Canon, TP Link… ponieważ nie znoszą, gdy ich urządzenia są znane z luk w zabezpieczeniach i tracą zaufanie klientów. Ci dostawcy urządzeń zawsze mają zespół ds. bezpieczeństwa i są gotowi zapłacić duże sumy pieniędzy za naprawienie błędów w swoich produktach, zanim konkurencja się pojawi, aby nie zostały one zhańbione w oczach opinii publicznej” – powiedział ekspert Nguyen Hong Quang, członek zespołu VCS, w rozmowie z Tuoi Tre .

Dlatego rywalizacja będzie zacięta od samego początku aż do ostatniej chwili. Jest bowiem całkiem możliwe, że luki zostaną odkryte przez zespoły, ale producent nagle je załata tuż przed dniem zawodów, co spowoduje utratę wszystkich wysiłków i osiągnięć zespołu.

Dlatego „bliżej terminu rozpoczęcia występu musieliśmy pracować na zmiany, dniem i nocą, aby „obserwować”, czy odkryte przez nas luki w zabezpieczeniach nadal istnieją, a także uważnie monitorować producenta, aby dowiedzieć się, czy załatał on odkryte przez nas błędy”, powiedział Ngo Anh Huy, doświadczony gracz Pwn2Own z zespołu VCS.

Konkurs Pwn2Own 2023 w Toronto koncentruje się na sprzęcie, w tym kategoriach takich jak telefony komórkowe, inteligentne głośniki, systemy monitoringu, sieciowe systemy pamięci masowej i elektronika biurowa. W każdej kategorii nagrody wahają się od 30 000 do 100 000 dolarów, a punkty przyznawane są od 2 do 10, w zależności od poziomu trudności urządzenia i poziomu zaawansowania demonstracji ataku.

Najcenniejszą nagrodą i punktami jest kategoria finałowa, mash-up, w której zespoły muszą uruchomić kod exploita na jednym z udostępnionych routerów sieciowych konkursu i w ten sposób zaatakować urządzenie z wyżej wymienionych kategorii. Nagroda wynosi 100 000 dolarów i 10 punktów.

Po ukończeniu poszczególnych kategorii i pomyślnym pokonaniu telefonów Xiaomi 13 Pro, systemu pamięci masowej QNAP TS 464, drukarki Canon imageClass MF753Cdw i głośnika Sonos Era 100, zespół VCS zdobył 20 punktów, co niemal zapewniło mu zwycięstwo w mistrzostwach, ponieważ przeciwna drużyna Sea Security zdobyła tylko 17,25 punktów po ukończeniu wszystkich poszczególnych kategorii i kategorii łącznej.

Presja rywalizacji nie jest już tak duża, ale finałowa kategoria wciąż dręczy inżynierów VCS, ponieważ brak punktów w zawodach mash-up był powodem, dla którego drużyna ta nie zdobyła mistrzostwa w zeszłym roku. „Tym razem, startując w kategorii smash-up, nadal jesteśmy w niekorzystnej sytuacji podczas losowania kolejnej rundy. Jeśli trafimy na tę samą lukę co poprzednia drużyna, stracimy punkty” – powiedział Ngo Anh Huy. Ten powielony błąd spowodował, że VCS straciło 2,5 punktu do drużyny, która zajęła pierwsze miejsce w zeszłorocznym Pwn2Own.

„W tym roku nie tylko staraliśmy się wykorzystać nowe luki w zabezpieczeniach, ale także celowo wybieraliśmy luki, które były bardzo trudne do znalezienia i trudne do pokrycia w innych zespołach, lub takie, które były łatwe do znalezienia, ale trudne do wykorzystania, a także dysponowaliśmy wieloma planami awaryjnymi. To efekt trzech miesięcy intensywnych badań całego zespołu” – powiedział Huy.

W rezultacie drużyna VCS zdobyła 10/10 punktów w łącznej kategorii i wygrała mistrzostwa w klasyfikacji generalnej z łączną notą 30 punktów, o 12,5 punktu więcej niż drużyna, która zajęła drugie miejsce, odnosząc spektakularne i całkowite zwycięstwo.

„Wybraliśmy Pwn2Own, aby sprawdzić nasze umiejętności, ponieważ jest to konkurs na najpopularniejsze urządzenia na świecie, od wiodących producentów, z rygorystycznym procesem testowania” – powiedział Nguyen Son Hai, dyrektor VCS. „Inwestowanie w wyspecjalizowany zespół badawczy i testowanie naszych umiejętności na arenie międzynarodowej jest częścią działań VCS na rzecz rozwoju zasobów ludzkich”.

Droga zespołu VCS do mistrzostw Pwn2Own 2023 to efekt długiej, wspólnej podróży, żywy dowód wizji, jaką wiele lat temu mieli liderzy Viettel Group w dziedzinie bezpieczeństwa informacji.

Ponad dekadę temu, gdy dyrektor VCS Nguyen Son Hai był jeszcze w tym samym wieku co obecni mistrzowie Pwn2Own 2023, liderzy Viettel Group postanowili zainwestować w dziedzinę bezpieczeństwa informacji.

Viettel wkrótce zasadził pierwsze nasiona młodego pola i zaczął o nie dbać w sposób systematyczny i strategiczny.

Głębokie badania VCS rozpoczęły się już na wczesnym etapie działalności, kiedy zaledwie sześć osób zajmowało się bezpieczeństwem informacji. Od 2011 roku zespół VCS przeprowadzał symulowane ataki z udziałem jednostek Grupy Viettel, aby wykryć problemy z bezpieczeństwem.

„Z uwagi na zarządzanie infrastrukturą krytyczną, Viettel kieruje się wizją badawczą, która traktuje bezpieczeństwo sieci jako filar” – powiedział Son Hai. „W bezpieczeństwie sieci najważniejszy jest człowiek. Nawet korzystając z najlepszych produktów na świecie, ale tylko jako użytkownik końcowy, ryzyko ataku jest nadal bardzo wysokie. Jednocześnie infrastruktura krytyczna Viettel, taka jak telefonia komórkowa i internet, jest celem ataków największych grup na świecie”.

Aby stworzyć zespół ekspertów do ochrony infrastruktury krytycznej, VCS dąży do przeszkolenia personelu ds. cyberbezpieczeństwa o potencjale porównywalnym ze światowym. Od 2015 roku do chwili obecnej Viettel i VCS przeszkoliły 450 studentów, z czego 5% najbardziej odpowiednich pracowników zostało zrekrutowanych do dalszej pracy, powiedział pan Hai.

„Po zbudowaniu zespołu ekspertów i zainwestowaniu w dogłębne badania, nadal szukamy sposobów na doskonalenie umiejętności ofensywnych zespołu ekspertów VCS. Udział w zawodach światowej klasy również służy temu celowi” – ​​powiedział pan Nguyen Son Hai.

W 2013 roku VCS rozpoczął badania nad lukami zero-day, nieznanymi i niezałatanymi, a przez to najdroższymi w skutkach. Anh Huy i Hong Quang byli jednymi z pierwszych specjalistów w tej dziedzinie. Do 2015 roku zespół VCS odkrył pierwsze luki, a do tej pory liczba luk znalezionych przez VCS sięgnęła 400.

„Żadne wietnamskie przedsiębiorstwo nie osiągnęło takiej liczby, i to nie jest wiele na świecie” – powiedział pan Hai.

Możliwość odbycia szkolenia poprzez udział w dogłębnych badaniach to powód, dla którego VCS stał się atrakcyjnym miejscem pracy dla ekspertów ds. cyberbezpieczeństwa, którzy niedawno zdobyli pierwsze miejsce w konkursie Pwn2Own. Zapytany o to, dlaczego wybrał Viettel, Anh Huy odpowiedział: „Z mojego doświadczenia wynika, że ​​niewiele firm jest skłonnych inwestować długoterminowo w badania i zespoły badawcze zajmujące się cyberbezpieczeństwem”.

„Szczególnie w dziedzinie cyberbezpieczeństwa czynnik ludzki jest najważniejszy. Dlatego VCS zawsze dba o szkolenia, doskonalenie zespołu i budowanie kolejnego pokolenia wysoko wykwalifikowanych pracowników, zawsze gotowych na wyzwania międzynarodowe” – podkreślił dyrektor VCS, Nguyen Son Hai.

Podczas ceremonii wręczenia nagród i gratulacji członkom zespołu biorącym udział w konkursie, prezes i dyrektor generalny Grupy Viettel, Tao Duc Thang, wyraził dumę z „białych kapeluszy” hakerów Viettel. Stwierdził: „Viettel jest dumny, że zespół VCS zdobył prestiżową nagrodę w dziedzinie globalnego cyberbezpieczeństwa, „konkurując” z wiodącymi światowymi producentami sprzętu, dysponującymi dużymi jednostkami badawczo-rozwojowymi”.

Szef Viettel Group ocenił, że „Pwn2Own to prestiżowy konkurs o bardzo wysokim poziomie trudności dla każdego hakera. Zawody można porównać do „bitwy” z producentami, którzy posiadają najlepsze na świecie zespoły ds. bezpieczeństwa informacji, gotowe do reagowania na ataki hakerów do ostatniej chwili. Gra nie ma ograniczeń wiekowych i może obejmować nawet współpracę międzynarodową…”. Dlatego też, jak powiedział Tao Duc Thang: „Mistrzostwa Pwn2Own 2023 rozsławiły Viettel i Wietnam na arenie międzynarodowej” – z dumą stwierdził prezes grupy.

Przewodniczący Tao Duc Thang przyznał również, że dziedzina cyberbezpieczeństwa jest ogromna, a eksperci z Viettel mają przed sobą długą drogę i wiele wyzwań do pokonania.

„Utrzymanie pierwszej pozycji nie jest łatwe, dlatego musimy nadal ciężej pracować i mieć wielkie marzenia, nieustannie pragnąc je spełnić i pokazać Wietnam światu” – podkreślił pan Tao Duc Thang.

Prezes Viettel Group poinformował również, że w najbliższym czasie Grupa wprowadzi specjalną politykę szkolenia wysoko wykwalifikowanych pracowników, aby mogli oni nadal z przekonaniem poświęcać się swojej pracy.

Powierzając to zadanie firmie VCS, pan Tao Duc Thang podkreślił, że VCS musi nadal szkolić większą liczbę ekspertów ds. bezpieczeństwa, decydując się na szkolenie kolejnego pokolenia, które będzie miało najlepsze podstawy, aby służyć nie tylko firmie, ale także krajowi, chroniąc naród w cyberprzestrzeni.