Viettel 'Hacker' deixa sua marca no mapa mundial

Pouco depois da 1h da manhã do dia 27 de outubro, na sala bem iluminada da Viettel Cyber ​​Security Company (VCS), os 14 membros da equipe da VCS explodiram em alegria: a equipe havia conquistado o campeonato da maior e mais prestigiada competição de ciberataques do mundo, a Pwn2Own 2023.

Este não é apenas o resultado esperado de três meses de trabalho contínuo, dia e noite, por toda a equipe, mas também de uma competição tenaz contra os adversários mais fortes do mundo !

Esta não é apenas a primeira doce recompensa para o membro mais jovem da equipe, Do Anh Dung, nascido em 2003, que atualmente é aluno do terceiro ano da Universidade de Tecnologia (VNU Hanoi)!

Não é apenas o desejo de chegar ao topo da competição que motiva membros como Ngo Anh Huy, Nguyen Xuan Hoang, Nguyen Hong Quang… que vêm tentando a sorte neste torneio há vários anos consecutivos!

Foi também uma conquista gloriosa trazer para casa o primeiro lugar para o país em uma das competições globais mais prestigiosas, confirmando as capacidades do povo vietnamita na área de segurança da informação.

E, mais importante ainda, são os "frutos doces" colhidos das sementes que a Viettel semeou com dedicação durante muitos anos. Hoje, com a VCS e sua equipe de especialistas em segurança da informação, a Viettel pode afirmar com orgulho ser uma das empresas líderes mundiais em segurança e proteção da informação.

Todos os 14 membros da equipe VCS que venceu o campeonato Pwn2Own 2023 são muito jovens. A maioria dos membros é da geração dos anos 90, sendo o mais jovem nascido em 2003.

Mas a maioria dos membros da equipe possui anos de experiência e um vasto histórico de conquistas na área de segurança da informação. Até mesmo o membro mais jovem da equipe, Do Anh Dung, já provou seu valor: Dung foi o responsável por um feito extraordinário nesta competição, vencendo em uma categoria e contribuindo para o resultado geral da equipe.

Ao concluir a última categoria da competição na noite de 27 de outubro, a equipe da Viettel Cyber ​​Security (VCS) garantiu oficialmente a primeira vitória com 30 pontos no Master of Pwn, deixando a equipe que ficou em segundo lugar bem atrás, por 12,75 pontos.

Com essa pontuação convincente, a VCS garantiu o título de campeã à frente de muitos adversários internacionais, considerados fortes concorrentes ao título do torneio, como Sea Security (Singapura), Vupen, Synacktiv (França) e Devcore (Taiwan - campeã do ano passado)...

Ao falar sobre os desafios durante a preparação para a competição, Ha Anh Hoang, membro da equipe VCS, disse: "Três meses antes da competição, os organizadores só anunciaram os equipamentos que precisariam ser dominados. Portanto, tínhamos apenas três meses para nos preparar, pois esse foi o período em que a equipe conseguiu comprar os equipamentos para estudo. Muitos equipamentos tiveram que ser importados e levaram meses para chegar ao Vietnã."

Segundo outro membro da equipe, Nguyen Xuan Hoang, "A competição conta com competidores que participam há muito tempo. Eles têm muita experiência e também são muito fortes, tanto em termos econômicos quanto profissionais. A equipe VCS está determinada a entrar na competição com a preparação mais completa, união e uma estratégia adequada para alcançar o maior sucesso possível na competição deste ano."

Hoang acrescentou ainda que, no ano passado, a equipe VCS conquistou o segundo lugar nesta competição com uma pontuação muito próxima da do campeão, perdendo por apenas 2,5 pontos. Portanto, a equipe está determinada a almejar o campeonato este ano.

Mas o caminho para o campeonato não é simples: os alvos de ataque nesta competição são todos dispositivos e softwares populares em todo o mundo, de fabricantes líderes como Microsoft, Apple, Google, Samsung… - compartilhou Nguyen Xuan Hoang.

Para atender aos requisitos da competição, o dispositivo teve que ser encomendado dos EUA, mas um momento de descuido causou seu mau funcionamento, pois utilizava uma fonte de alimentação de 110V, adequada para o mercado americano, enquanto o Vietnã utiliza eletricidade de 220V.

Segundo Ngo Anh Huy, membro da equipe que participou da competição quatro vezes, o maior receio é a existência de vulnerabilidades duplicadas ou a rápida correção, por parte do fabricante, das falhas de segurança registradas pela equipe. No ano passado, a equipe da Viettel conquistou apenas o segundo lugar devido a uma penalização por apresentar uma vulnerabilidade duplicada.

Além disso, surgiram desafios de última hora, pois os procedimentos de visto atrasaram, impedindo que toda a equipe viajasse para Toronto (Canadá) a tempo para a competição presencial. Em vez disso, os 14 membros da equipe VCS tiveram que competir online, constantemente preocupados com possíveis problemas que poderiam não ser resolvidos a tempo durante a partida…

Mas o resultado final fala por si só… A equipe VCS não só venceu o campeonato, como também conquistou uma vitória espetacular.

"Quando vencemos na categoria final dos 10 melhores, toda a equipe explodiu de alegria e felicidade porque tínhamos provado que este campeonato era uma vitória convincente, sem deixar espaço para dúvidas", recordou orgulhosamente Nguyen Xuan Hoang sobre aquele momento.

Após participar do Pwn2Own por quatro anos consecutivos, a equipe VCS finalmente conquistou o troféu de campeã pela primeira vez. Trata-se de uma competição de hacking de software e eletrônicos de consumo realizada duas vezes por ano pela organização de cibersegurança Zero Day Initiative, e considerada uma das competições de cibersegurança mais desafiadoras do mundo atualmente.

O Sr. Nguyen Son Hai, diretor da VCS, afirmou que, em 2020, a Viettel conquistou sua primeira vitória nesta "competição" na categoria Smart TV. Em 2021, a Viettel chegou ao Top 5. Em 2022, garantiu o segundo lugar. E este ano, ascendeu ao título de campeã com uma pontuação esmagadora.

A competição Pwn2Own envolve não apenas equipes de cibersegurança renomadas mundialmente, mas também grandes fabricantes globais e corporações de tecnologia. Cada competição apresentará desafios relacionados a softwares ou dispositivos de hardware populares, como o sistema operacional Windows, celulares Apple, Xiaomi e Samsung, ou impressoras Canon e HP, etc.

As equipes devem competir para encontrar vulnerabilidades de segurança desconhecidas em softwares e dispositivos e, em seguida, demonstrar ao vivo como explorar essas vulnerabilidades em 30 minutos.

"Podemos afirmar que os concorrentes não são apenas outros grupos de especialistas em segurança, mas também fabricantes de dispositivos como Apple, Xiaomi, Canon, TP-Link… porque eles detestam ser acusados ​​de terem vulnerabilidades em seus dispositivos, o que prejudicaria a confiança do cliente. Esses fornecedores de dispositivos sempre têm uma equipe de segurança e estão dispostos a investir grandes somas de dinheiro para corrigir bugs em seus produtos antes da competição, para que seus produtos não sejam desonrados aos olhos do público", compartilhou Nguyen Hong Quang, membro da equipe da VCS, com o jornal Tuoi Tre .

Portanto, a competição será intensa desde o momento em que as perguntas forem divulgadas até o último minuto. É totalmente possível que as equipes descubram falhas, mas os desenvolvedores as corrijam inesperadamente pouco antes do dia da competição, fazendo com que uma equipe perca todo o seu trabalho árduo e suas conquistas.

Portanto, "à medida que a hora da apresentação se aproximava, tivemos que nos dividir em turnos diurnos e noturnos para 'monitorar' se as vulnerabilidades que descobrimos ainda existiam e acompanhar de perto os produtores para ver se eles haviam corrigido os bugs que encontramos", disse Ngo Anh Huy, um jogador experiente de Pwn2Own da equipe VCS.

A competição Pwn2Own Toronto 2023 foca-se em hardware, incluindo categorias como telemóveis, colunas inteligentes, sistemas de vigilância, sistemas de armazenamento em rede e eletrónica de escritório. Cada categoria oferece prémios que variam entre 30.000 e 100.000 dólares e pontuações de 2 a 10 pontos, dependendo da dificuldade de invasão do dispositivo e do nível de conclusão da demonstração de invasão.

O prêmio mais valioso, tanto em termos de recompensa quanto de pontos, é a categoria final, um mash-up, que exige que as equipes executem um código de exploração em um dos roteadores de rede fornecidos na competição e, assim, ataquem um dispositivo nas categorias mencionadas anteriormente, com um prêmio de US$ 100.000 e 10 pontos.

Após concluir as tarefas individuais e atacar com sucesso os telefones Xiaomi 13 Pro, os sistemas de armazenamento QNAP TS 464, as impressoras Canon imageClass MF753Cdw e as caixas de som Sonos Era 100, a equipe VCS alcançou 20 pontos, praticamente garantindo o campeonato, já que sua adversária, a Sea Security, obteve apenas 17,25 pontos após concluir as tarefas individuais e combinadas.

Embora a intensa pressão competitiva tenha diminuído, a categoria final continua a assombrar os engenheiros da VCS, pois a falta de pontos no desafio de mash-up foi o motivo pelo qual perderam o campeonato no ano passado. "Desta vez, ao entrarmos na categoria de mash-up, estávamos novamente em desvantagem por termos sido sorteados para competir mais tarde. Se cometêssemos o mesmo erro da equipe anterior, perderíamos pontos", compartilhou Ngo Anh Huy. Esse erro repetido fez com que a VCS ficasse 2,5 pontos atrás da equipe vencedora no torneio Pwn2Own do ano passado.

"Este ano, não só procuramos explorar novas vulnerabilidades, como também escolhemos deliberadamente vulnerabilidades muito difíceis de encontrar e com pouca probabilidade de serem duplicadas por outras equipes, ou que fossem fáceis de encontrar, mas difíceis de explorar, e que também tivessem muitas opções de contingência. Este é o resultado de três meses de pesquisa focada por toda a equipe", disse Huy.

Como resultado, a equipe VCS alcançou a pontuação máxima de 10/10 na categoria combinada e conquistou o campeonato geral com um total de 30 pontos, superando o segundo colocado por 12,5 pontos e garantindo uma vitória espetacular e completa.

"Escolhemos o Pwn2Own para testar nossas habilidades porque é uma competição com os dispositivos mais populares do mundo, de fabricantes líderes, com procedimentos de teste rigorosos", disse Nguyen Son Hai, diretor da VCS. "Investir em uma equipe de pesquisa especializada e testar nossas habilidades no cenário internacional faz parte dos esforços da VCS para desenvolver recursos humanos."

A jornada da equipe VCS rumo ao campeonato Pwn2Own 2023 é o ápice de um longo e gratificante esforço, um testemunho vívido da visão de longa data do Grupo Viettel de liderança na área de segurança da informação.

Há mais de uma década, quando Nguyen Son Hai, diretor da VCS, tinha a mesma idade que os membros da equipe campeã do Pwn2Own 2023 têm agora, a liderança do Grupo Viettel estava determinada a investir na área de segurança da informação.

As primeiras sementes para um campo nascente foram semeadas cedo pela Viettel, e receberam investimento e cuidado sistemáticos e estratégicos.

A jornada de pesquisa aprofundada da VCS começou em seus primeiros anos, com apenas seis pessoas trabalhando inicialmente em segurança da informação. Desde 2011, a equipe da VCS realiza ataques simulados com unidades do Grupo Viettel para identificar vulnerabilidades de segurança.

"Como operamos infraestrutura crítica, a visão da Viettel é ter a cibersegurança como pilar fundamental", disse o Sr. Son Hai. "Em cibersegurança, as pessoas são o fator mais importante. Mesmo utilizando os melhores produtos do mundo, se o usuário final estiver apenas no papel de consumidor, o risco de ataques permanece muito alto, enquanto infraestruturas críticas como os serviços de internet e telefonia móvel da Viettel são alvos de ataques dos maiores grupos do mundo."

Para formar uma equipe de especialistas em proteção de infraestruturas críticas, a VCS visa capacitar profissionais de cibersegurança com habilidades equivalentes aos padrões internacionais. De 2015 até o presente, a Viettel e a VCS treinaram 450 alunos, dos quais 5% dos candidatos mais qualificados foram contratados para continuar trabalhando, afirmou o Sr. Hai.

"Após formar uma equipe de especialistas e investir sistematicamente em pesquisas aprofundadas, continuamos buscando maneiras de investir no aprimoramento das habilidades ofensivas da equipe de especialistas da VCS. A participação em competições de nível mundial também visa a esse objetivo", disse o Sr. Nguyen Son Hai.

Em 2013, a VCS começou a pesquisar vulnerabilidades de dia zero – vulnerabilidades desconhecidas e não corrigidas, e, portanto, as mais caras de explorar. Anh Huy e Hong Quang estavam entre os primeiros especialistas a fazer isso. Em 2015, a equipe da VCS encontrou suas primeiras vulnerabilidades e, até hoje, o número de vulnerabilidades descobertas pela VCS chegou a 400.

"Nenhuma empresa vietnamita atingiu tal valor, e também não há muitas no mundo todo", afirmou o Sr. Hai.

A oportunidade de treinamento por meio da participação em pesquisas aprofundadas é o motivo pelo qual a VCS é um local de trabalho atraente para especialistas em cibersegurança que acabaram de ganhar o primeiro prêmio no Pwn2Own. Quando perguntado por que escolheu a Viettel, Anh Huy disse: "Pela minha experiência, poucas empresas estão dispostas a investir a longo prazo em pesquisa e equipes de pesquisa em cibersegurança."

"Especialmente na área de cibersegurança, o fator humano é o mais importante. Portanto, a VCS está sempre atenta ao treinamento e aprimoramento de sua equipe, formando gerações sucessivas de profissionais altamente qualificados e sempre prontos para enfrentar desafios de nível internacional", enfatizou o diretor da VCS, Nguyen Son Hai.

Na cerimônia de premiação, ao parabenizar os membros da equipe pela participação na competição, o presidente e CEO do Grupo Viettel, Tao Duc Thang, expressou seu orgulho pelos "hackers éticos" da Viettel. Ele afirmou: "A Viettel se orgulha de que a equipe VCS tenha conquistado um prêmio de prestígio na área de segurança cibernética global, 'competindo' com os principais fabricantes globais de equipamentos com grandes centros de P&D."

O presidente do Grupo Viettel avaliou que "Pwn2Own é uma competição prestigiosa com um nível de dificuldade muito alto para qualquer hacker. A competição é comparada a uma 'batalha' contra fabricantes com as melhores equipes de segurança da informação do mundo, prontas para retaliar contra hackers até o último minuto. É um jogo sem limite de idade e que pode até envolver colaborações multinacionais…". Portanto, o Sr. Tao Duc Thang declarou: "Vencer o campeonato Pwn2Own 2023 trouxe glória para a Viettel e para o Vietnã no cenário internacional", disse o presidente do grupo com orgulho.

O presidente Cao Duc Thang também reconheceu que o campo da cibersegurança é vasto, uma longa jornada para os especialistas da Viettel, e que há muitos desafios pela frente.

"Manter a posição de destaque não é fácil, por isso precisamos continuar aprimorando nossas habilidades e ter grandes sonhos, buscando constantemente transformá-los em realidade para levar o Vietnã ao mundo", enfatizou o Sr. Tao Duc Thang.

O presidente do Grupo Viettel também compartilhou que, no futuro, o Grupo terá políticas específicas para treinar recursos humanos de alta qualidade, para que eles possam continuar se dedicando ao trabalho com tranquilidade.

Ao atribuir tarefas à VCS, o Sr. Tao Duc Thang enfatizou que a VCS precisa continuar treinando mais especialistas em segurança, com foco na formação da próxima geração, proporcionando-lhes a melhor base para servir não apenas a corporação, mas também o país, protegendo a nação no ciberespaço.