„Haker” Viettel zaznacza swoją obecność na mapie świata

Tuż po godzinie 1 w nocy, 27 października, w jasno oświetlonym pomieszczeniu firmy Viettel Cyber ​​Security Company (VCS), 14 członków zespołu VCS wybuchło radością: zespół wygrał mistrzostwa największego i najbardziej prestiżowego na świecie konkursu cyberataków, Pwn2Own 2023.

To nie tylko oczekiwany efekt trzech miesięcy ciągłej, całodobowej pracy całego zespołu, ale także wytrwałej rywalizacji z najsilniejszymi przeciwnikami z całego świata !

To nie tylko pierwsza słodka nagroda dla najmłodszego członka zespołu, Do Anh Dung, urodzonego w 2003 roku, który obecnie jest studentem trzeciego roku na Uniwersytecie Technologicznym (VNU Hanoi)!

Nie chodzi tylko o chęć dotarcia na szczyt rywalizacji dla takich członków jak Ngo Anh Huy, Nguyen Xuan Hoang, Nguyen Hong Quang…, którzy próbują swoich sił w tym turnieju od kilku lat z rzędu!

Kolejnym wspaniałym osiągnięciem było zajęcie najwyższego miejsca dla kraju w jednym z najbardziej prestiżowych konkursów na świecie, co potwierdziło kompetencje narodu wietnamskiego w dziedzinie bezpieczeństwa informacji.

A co najważniejsze, to „słodki owoc”, który Viettel zebrał z nasion, które Viettel konsekwentnie zasiewał przez wiele lat. Dziś, dzięki VCS i zespołowi ekspertów ds. bezpieczeństwa informacji, Viettel może z dumą twierdzić, że jest jedną z wiodących firm na świecie w dziedzinie bezpieczeństwa informacji.

Wszyscy 14 członków drużyny VCS, którzy wygrali mistrzostwa Pwn2Own 2023, są bardzo młodzi. Większość z nich to przedstawiciele pokolenia lat 90., a najmłodszy członek urodził się w 2003 roku.

Większość członków zespołu ma jednak wieloletnie doświadczenie i bogate osiągnięcia w dziedzinie bezpieczeństwa informacji. Nawet najmłodszy członek zespołu, Do Anh Dung, udowodnił swoją wartość: to Dung dokonał cudu w tym konkursie, wygrywając w jednej kategorii i przyczyniając się do ogólnego wyniku zespołu.

Wieczorem 27 października, kończąc rywalizację w ostatniej kategorii, zespół Viettel Cyber ​​Security (VCS) oficjalnie zapewnił sobie zwycięstwo, zdobywając 30 punktów Master of Pwn, pozostawiając drużynę, która zajęła drugie miejsce, daleko w tyle, z przewagą 12,75 punktów.

Dzięki temu przekonującemu wynikowi VCS zapewniło sobie tytuł mistrzowski, wyprzedzając wielu międzynarodowych przeciwników, którzy byli uważani za mocnych kandydatów do zwycięstwa w turnieju, takich jak Sea Security (Singapur), Vupen, Synacktiv (Francja) i Devcore (Tajwan - zeszłoroczny mistrz)...

Opowiadając o wyzwaniach związanych z przygotowaniami do zawodów, członek zespołu VCS, Ha Anh Hoang, powiedział: „Trzy miesiące przed zawodami organizatorzy ogłosili jedynie, jaki sprzęt należy opanować. Mieliśmy więc tylko trzy miesiące na przygotowania, ponieważ właśnie wtedy zespół mógł zakupić sprzęt do nauki. Wiele elementów sprzętu trzeba było sprowadzić z zagranicy, a jego dotarcie do Wietnamu zajęło miesiące”.

Według innego członka zespołu, Nguyen Xuan Hoang, „W zawodach biorą udział zawodnicy z długoletnim stażem. Mają duże doświadczenie, a także są wśród nich bardzo silni zawodnicy, zarówno pod względem ekonomicznym , jak i zawodowym. Zespół VCS jest zdeterminowany, aby przystąpić do zawodów z jak najdokładniejszym przygotowaniem, jednością i odpowiednią strategią, aby osiągnąć jak największy sukces w tegorocznych zawodach”.

Hoang dodał, że w zeszłym roku drużyna VCS zajęła drugie miejsce w tych rozgrywkach z wynikiem bardzo bliskim mistrzowi, przegrywając zaledwie 2,5 punktu. Dlatego drużyna jest zdeterminowana, aby w tym roku walczyć o mistrzostwo.

Jednak droga do mistrzostwa nie jest prosta: celem ataków w tym konkursie są wszystkie popularne urządzenia i oprogramowanie na świecie, od wiodących producentów, takich jak Microsoft, Apple, Google, Samsung… - powiedział Nguyen Xuan Hoang.

Aby sprostać wymaganiom konkursu, urządzenie należało zamówić ze Stanów Zjednoczonych, ale chwila nieuwagi spowodowała jego awarię, ponieważ korzystało z zasilania o napięciu 110 V, odpowiednim dla rynku amerykańskiego, podczas gdy w Wietnamie stosuje się napięcie 220 V.

Według Ngo Anh Huya, członka, który brał udział w tym konkursie czterokrotnie, największą obawą zespołu są duplikacje luk w zabezpieczeniach lub to, że producent szybko załata luki w zabezpieczeniach, które zespół zarejestrował. W zeszłym roku zespół Viettel zajął tylko drugie miejsce, ponieważ został ukarany za duplikację luki w zabezpieczeniach.

Co więcej, w ostatniej chwili pojawiły się problemy, ponieważ procedury wizowe uległy opóźnieniu, uniemożliwiając całemu zespołowi dotarcie do Toronto (Kanada) na czas na zawody na żywo. Zamiast tego, 14 członków zespołu VCS musiało rywalizować online, nieustannie martwiąc się o potencjalne problemy, które mogły nie zostać rozwiązane na czas podczas meczu…

Ale końcowy wynik mówi sam za siebie… Zespół VCS nie tylko wygrał mistrzostwa, ale odniósł także spektakularne zwycięstwo.

„Kiedy wygraliśmy w finałowej kategorii 10 najlepszych, cała drużyna wybuchnęła radością i szczęściem, ponieważ udowodniliśmy, że te mistrzostwa były przekonującym zwycięstwem, nie pozostawiającym miejsca na wątpliwości” – z dumą wspominał ten moment Nguyen Xuan Hoang.

Po czterech kolejnych latach uczestnictwa w Pwn2Own, zespół VCS w końcu po raz pierwszy zdobył mistrzostwo Pwn2Own. To konkurs hakerski oprogramowania i elektroniki użytkowej, organizowany dwa razy w roku przez organizację zajmującą się cyberbezpieczeństwem Zero Day Initiative, uważany za jeden z najtrudniejszych konkursów cyberbezpieczeństwa na świecie.

Pan Nguyen Son Hai, dyrektor VCS, powiedział, że w 2020 roku Viettel odniósł swoje pierwsze zwycięstwo w tym „konkursie” w kategorii Smart TV. W 2021 roku Viettel znalazł się w pierwszej piątce. W 2022 roku zajął drugie miejsce. W tym roku z przytłaczającą przewagą zdobył tytuł mistrzowski.

W zawodach Pwn2Own biorą udział nie tylko renomowane zespoły zajmujące się cyberbezpieczeństwem na całym świecie, ale także czołowi globalni producenci i korporacje technologiczne. W każdym konkursie rywalizować będą konkurencje z popularnym oprogramowaniem i sprzętem, takim jak system operacyjny Windows, telefony Apple, Xiaomi i Samsung, czy drukarki Canon i HP.

Zespoły muszą rywalizować ze sobą, znajdując nieznane dotąd luki w zabezpieczeniach oprogramowania i urządzeń, a następnie w ciągu 30 minut pokazać, jak wykorzystać te luki na żywo.

„Dlaczego możemy twierdzić, że konkurentami są nie tylko inne grupy ekspertów ds. bezpieczeństwa, ale także producenci urządzeń, tacy jak Apple, Xiaomi, Canon, TP-Link… ponieważ nie znoszą oskarżeń o luki w zabezpieczeniach swoich urządzeń, które mogłyby podważyć zaufanie klientów? Ci dostawcy urządzeń zawsze mają zespół ds. bezpieczeństwa i są gotowi wydać duże sumy pieniędzy na łatanie błędów w swoich produktach, zanim pojawi się konkurencja, aby ich produkty nie zostały zhańbione w oczach opinii publicznej” – powiedział Nguyen Hong Quang, członek zespołu VCS, w wywiadzie dla gazety Tuoi Tre .

Dlatego rywalizacja będzie zacięta od momentu opublikowania pytań aż do ostatniej chwili. Jest całkiem możliwe, że zespoły odkryją błędy, ale twórcy niespodziewanie je załatają tuż przed dniem zawodów, przez co jeden z zespołów straci całą swoją ciężką pracę i osiągnięcia.

Dlatego też, „gdy zbliżał się czas występu, musieliśmy podzielić się na zmiany dzienne i nocne, aby „monitorować”, czy odkryte przez nas luki w zabezpieczeniach nadal istnieją, a także uważnie śledzić pracę producentów, aby sprawdzić, czy załatali znalezione przez nas błędy” — powiedział Ngo Anh Huy, doświadczony gracz Pwn2Own z zespołu VCS.

Konkurs Pwn2Own Toronto 2023 koncentruje się na sprzęcie, w tym kategoriach takich jak telefony komórkowe, inteligentne głośniki, systemy monitoringu, sieciowe systemy pamięci masowej i elektronika biurowa. W każdej kategorii nagrody wynoszą od 30 000 do 100 000 dolarów, a punkty przyznawane są od 2 do 10 w zależności od stopnia trudności zhakowania urządzenia i poziomu zaawansowania pokazu hakerskiego.

Najcenniejszą nagrodą, zarówno pod względem nagród, jak i punktów, jest kategoria finałowa, mash-up, w której zespoły muszą uruchomić kod exploita na jednym z routerów sieciowych udostępnionych w konkursie i w ten sposób zaatakować urządzenie z wyżej wymienionych kategorii, z nagrodą w wysokości 100 000 dolarów i 10 punktami.

Po wykonaniu poszczególnych zadań i pomyślnym zaatakowaniu telefonów Xiaomi 13 Pro, systemów pamięci masowej QNAP TS 464, drukarek Canon imageClass MF753Cdw i głośników Sonos Era 100, zespół VCS zdobył 20 punktów, co niemal zapewniło mu mistrzostwo, ponieważ ich przeciwnik, Sea Security, zdobył tylko 17,25 punktów po wykonaniu zarówno zadań indywidualnych, jak i łączonych.

Choć intensywna presja rywalizacji opadła, finałowa kategoria wciąż dręczy inżynierów VCS, ponieważ brak punktów w wyzwaniu mash-up był powodem, dla którego nie awansowali do mistrzostw w zeszłym roku. „Tym razem, startując w kategorii smash-up, ponownie znaleźliśmy się w niekorzystnej sytuacji, gdy później wylosowano nas do rywalizacji. Gdybyśmy popełnili ten sam błąd co poprzednia drużyna, stracilibyśmy punkty” – powiedział Ngo Anh Huy. Ten błąd nakładania się punktów spowodował, że VCS traciło 2,5 punktu do zwycięskiej drużyny w zeszłorocznym turnieju Pwn2Own.

„W tym roku nie tylko staraliśmy się wykorzystać nowe luki w zabezpieczeniach, ale także celowo wybieraliśmy luki, które były bardzo trudne do znalezienia i mało prawdopodobne, aby zostały powielone przez inne zespoły, lub takie, które były łatwe do znalezienia, ale trudne do wykorzystania, a jednocześnie miały wiele opcji zapasowych. To efekt trzech miesięcy intensywnych badań całego zespołu” – powiedział Huy.

W rezultacie zespół VCS osiągnął maksymalną notę ​​10/10 w łącznej kategorii i wygrał mistrzostwa w klasyfikacji generalnej, zdobywając łącznie 30 punktów, znacznie przewyższając wicemistrza o 12,5 punktu, zapewniając sobie spektakularne i całkowite zwycięstwo.

„Wybraliśmy Pwn2Own, aby sprawdzić nasze umiejętności, ponieważ jest to konkurs na najpopularniejsze urządzenia na świecie, od wiodących producentów, z rygorystycznymi procedurami testowania” – powiedział Nguyen Son Hai, dyrektor VCS. „Inwestowanie w wyspecjalizowany zespół badawczy i testowanie naszych umiejętności na arenie międzynarodowej jest częścią działań VCS na rzecz rozwoju zasobów ludzkich”.

Droga zespołu VCS do mistrzostw Pwn2Own 2023 jest ukoronowaniem długich, owocnych wysiłków, żywym dowodem długofalowej wizji lidera Viettel Group w dziedzinie bezpieczeństwa informacji.

Ponad dekadę temu, gdy dyrektor VCS Nguyen Son Hai miał tyle samo lat, co obecnie członkowie mistrzowskiego zespołu Pwn2Own 2023, kierownictwo Viettel Group postanowiło zainwestować w dziedzinę bezpieczeństwa informacji.

Pierwsze nasiona nowego pola zostały zasiane na wczesnym etapie przez Viettel, który zapewnił im systematyczną i strategiczną opiekę oraz inwestycje.

Głębokie badania VCS rozpoczęły się już na wczesnym etapie działalności, kiedy zaledwie sześć osób zajmowało się bezpieczeństwem informacji. Od 2011 roku zespół VCS przeprowadzał symulowane ataki z udziałem jednostek Grupy Viettel w celu identyfikacji luk w zabezpieczeniach.

„Ponieważ zarządzamy infrastrukturą krytyczną, wizją Viettel jest badanie cyberbezpieczeństwa jako kamienia węgielnego” – powiedział pan Son Hai. „W cyberbezpieczeństwie najważniejszy jest człowiek. Nawet korzystając z najlepszych na świecie produktów, jeśli są one wykorzystywane jedynie jako użytkownicy końcowi, ryzyko ataku pozostaje bardzo wysokie, a infrastruktura krytyczna, taka jak usługi mobilne i internetowe Viettel, jest celem ataków ze strony największych grup na świecie”.

Aby zbudować zespół ekspertów do ochrony infrastruktury krytycznej, VCS dąży do przeszkolenia personelu ds. cyberbezpieczeństwa o kompetencjach odpowiadających światowym standardom. Od 2015 roku do chwili obecnej Viettel i VCS przeszkoliły 450 studentów, z czego 5% najbardziej odpowiednich kandydatów zostało zrekrutowanych do dalszej pracy, powiedział pan Hai.

„Po zbudowaniu zespołu ekspertów i systematycznym inwestowaniu w dogłębne badania, nadal poszukujemy sposobów na doskonalenie umiejętności ofensywnych zespołu ekspertów VCS. Udział w zawodach światowej klasy również służy temu celowi” – ​​powiedział pan Nguyen Son Hai.

W 2013 roku VCS rozpoczął badania nad lukami zero-day – nieznanymi i niezałatanymi lukami, a zatem najdroższymi w wykorzystaniu. Anh Huy i Hong Quang byli jednymi z pierwszych specjalistów, którzy się tym zajęli. Do 2015 roku zespół VCS odkrył pierwsze luki, a do tej pory liczba luk odkrytych przez VCS sięgnęła 400.

„Żadne wietnamskie przedsiębiorstwo nie osiągnęło takich wyników i na świecie nie ma ich wiele” – stwierdził pan Hai.

Możliwość odbycia szkolenia poprzez udział w dogłębnych badaniach to powód, dla którego VCS jest atrakcyjnym miejscem pracy dla ekspertów ds. cyberbezpieczeństwa, którzy właśnie zdobyli pierwszą nagrodę w konkursie Pwn2Own. Zapytany o to, dlaczego wybrał Viettel, Anh Huy odpowiedział: „Z mojego doświadczenia wynika, że ​​niewiele firm jest skłonnych inwestować długoterminowo w badania i zespoły badawcze w dziedzinie cyberbezpieczeństwa”.

„Szczególnie w dziedzinie cyberbezpieczeństwa, czynnik ludzki jest najważniejszy. Dlatego VCS zawsze dba o szkolenie i doskonalenie swojego zespołu oraz budowanie kolejnych pokoleń wysoko wykwalifikowanej kadry, zawsze gotowej do podejmowania wyzwań na arenie międzynarodowej” – podkreślił dyrektor VCS, Nguyen Son Hai.

Podczas ceremonii wręczenia nagród, gratulując członkom zespołu udziału w konkursie, prezes i dyrektor generalny Viettel Group, Tao Duc Thang, wyraził dumę z „białych hakerów” Viettel. Stwierdził: „Viettel jest dumny, że zespół VCS zdobył prestiżową nagrodę w dziedzinie globalnego cyberbezpieczeństwa, „konkurując” z wiodącymi światowymi producentami sprzętu, dysponującymi dużymi jednostkami badawczo-rozwojowymi”.

Szef Viettel Group ocenił, że „Pwn2Own to prestiżowy konkurs o bardzo wysokim poziomie trudności dla każdego hakera. Konkurs można porównać do „bitwy” z producentami posiadającymi najlepsze na świecie zespoły ds. bezpieczeństwa informacji, gotowe do odwetu na hakerach do ostatniej chwili. To gra bez ograniczeń wiekowych, w której mogą uczestniczyć nawet międzynarodowe zespoły…”. Dlatego też, jak z dumą powiedział Tao Duc Thang: „Zwycięstwo w mistrzostwach Pwn2Own 2023 przyniosło Viettel i Wietnamowi chwałę na arenie międzynarodowej” – powiedział prezes grupy z dumą.

Przewodniczący Cao Duc Thang przyznał również, że obszar cyberbezpieczeństwa jest ogromny, eksperci Viettel mają przed sobą długą drogę i że przed nami jeszcze wiele wyzwań.

„Utrzymanie pozycji lidera nie jest łatwe, dlatego musimy nieustannie dążyć do celu i mieć wielkie marzenia, nieustannie dążąc do ich realizacji, aby pokazać Wietnam światu” – podkreślił pan Tao Duc Thang.

Prezes Viettel Group dodał, że w przyszłości Grupa będzie miała konkretną politykę szkolenia wysoko wykwalifikowanych pracowników, aby mogli oni nadal poświęcać się swojej pracy ze spokojem ducha.

Przydzielając zadania firmie VCS, pan Tao Duc Thang podkreślił, że VCS musi nadal szkolić większą liczbę ekspertów ds. bezpieczeństwa, koncentrując się na szkoleniu kolejnego pokolenia, które będzie miało najlepsze podstawy, aby służyć nie tylko firmie, ale także krajowi, chroniąc naród w cyberprzestrzeni.