„Hackerul” Viettel își lasă amprenta pe harta lumii

Puțin după ora 1 dimineața, pe 27 octombrie, în sala puternic luminată a companiei de securitate cibernetică Viettel (VCS), cei 14 membri ai echipei VCS au izbucnit de bucurie: echipa câștigase campionatul celei mai mari și mai prestigioase competiții de atacuri cibernetice din lume, Pwn2Own 2023.

Acesta nu este doar rezultatul așteptat a trei luni de muncă continuă, zi și noapte, din partea întregii echipe, ci și al concurenței tenace împotriva celor mai puternici adversari din întreaga lume !

Aceasta nu este doar prima recompensă dulce pentru cel mai tânăr membru al echipei, Do Anh Dung, născut în 2003, care este în prezent student în anul trei la Universitatea de Tehnologie (VNU Hanoi)!

Nu este vorba doar de dorința de a ajunge în vârful competiției pentru membri precum Ngo Anh Huy, Nguyen Xuan Hoang, Nguyen Hong Quang… care își încearcă norocul la acest turneu de mai mulți ani la rând!

A fost, de asemenea, o realizare glorioasă să aducem acasă primul loc pentru țară într-una dintre cele mai prestigioase competiții globale, afirmând capacitățile vietnamezilor în domeniul securității și siguranței informațiilor.

Și cel mai important, este „fructul dulce” cules din semințele pe care Viettel le-a semănat cu statornicie de mulți ani. Astăzi, cu VCS și echipa sa de experți în securitatea informațiilor, Viettel poate pretinde cu mândrie că este una dintre companiile de top din lume în domeniul securității și siguranței informațiilor.

Toți cei 14 membri ai echipei VCS care a câștigat campionatul Pwn2Own 2023 sunt foarte tineri. Majoritatea membrilor sunt din generația anilor '90, cel mai tânăr membru fiind născut în 2003.

Însă majoritatea membrilor echipei au ani de experiență și o multitudine de realizări în domeniul securității informațiilor. Chiar și cel mai tânăr membru al echipei, Do Anh Dung, și-a dovedit valoarea: Dung a fost cel care a realizat un miracol în această competiție, câștigând la o categorie și contribuind la rezultatul general al echipei.

În seara zilei de 27 octombrie, încheind competiția finală, echipa de la Viettel Cyber ​​Security (VCS) și-a asigurat oficial victoria cu 30 de puncte Master of Pwn, lăsând echipa de pe locul doi mult în urmă, cu 12,75 puncte.

Cu acest scor convingător, VCS și-a asigurat titlul de campion în fața multor adversari internaționali, considerați candidați puternici pentru titlul de campioană al turneului, precum Sea Security (Singapore), Vupen, Synacktiv (Franța) și Devcore (Taiwan - campioana de anul trecut)...

Vorbind despre provocările întâmpinate în timpul pregătirilor pentru competiție, membrul echipei VCS, Ha Anh Hoang, a declarat: „Cu trei luni înainte de competiție, organizatorii au anunțat doar echipamentul care trebuia stăpânit. Prin urmare, am avut doar trei luni de pregătire, deoarece atunci echipa a putut achiziționa echipamentul necesar pentru studiu. Multe echipamente au trebuit importate din străinătate și a durat luni până au ajuns în Vietnam.”

Potrivit unui alt membru al echipei, Nguyen Xuan Hoang, „Competiția are concurenți care participă de mult timp. Au multă experiență și există, de asemenea, concurenți foarte puternici atât din punct de vedere economic , cât și profesional. Echipa VCS este hotărâtă să intre în competiție cu cea mai temeinică pregătire, unitate și o strategie potrivită pentru a obține cel mai mare succes posibil în competiția din acest an.”

Hoang a mai spus că anul trecut, echipa VCS a câștigat locul al doilea în această competiție cu un scor foarte apropiat de campioană, pierzând la doar 2,5 puncte. Prin urmare, echipa este hotărâtă să țintească campionatul în acest an.

Însă drumul către campionat nu este simplu: Țintele de atac în această competiție sunt toate dispozitivele și software-ul populare din întreaga lume, de la producători de top precum Microsoft, Apple, Google, Samsung… - a spus Nguyen Xuan Hoang.

Pentru a îndeplini cerințele concurenței, dispozitivul a trebuit comandat din SUA, dar o clipă de neatenție a cauzat defecțiunea acestuia, deoarece folosea o sursă de alimentare de 110V potrivită pentru piața americană, în timp ce Vietnamul folosește electricitate de 220V.

Potrivit lui Ngo Anh Huy, un membru care a participat la această competiție de patru ori, cea mai mare teamă a echipei este reprezentată de vulnerabilitățile duplicate sau de faptul că producătorul va remedia rapid defectele de securitate înregistrate de echipă. Anul trecut, echipa Viettel a ocupat locul al doilea doar pentru că a fost penalizată pentru că avea o vulnerabilitate duplicată.

În plus, au apărut dificultăți în ultimul moment, deoarece procedurile de obținere a vizelor au fost întârziate, împiedicând întreaga echipă să călătorească la Toronto (Canada) la timp pentru competiția față în față. În schimb, cei 14 membri ai echipei VCS au trebuit să concureze online, îngrijorându-se constant de potențiale probleme care ar putea să nu fie rezolvate la timp în timpul meciului...

Dar rezultatul final vorbește de la sine… Echipa VCS nu numai că a câștigat campionatul, dar a obținut și o victorie spectaculoasă.

„Când am câștigat în finala categoriei top 10, întreaga echipă a erups de bucurie și fericire pentru că am demonstrat că acest campionat a fost o victorie convingătoare, fără a lăsa loc de îndoială”, și-a amintit cu mândrie Nguyen Xuan Hoang acel moment.

După ce a participat la Pwn2Own timp de patru ani consecutivi, echipa VCS a câștigat în sfârșit trofeul campionatului Pwn2Own pentru prima dată. Aceasta este o competiție de hacking în domeniul software și al electronicelor de larg consum, organizată de două ori pe an de organizația de securitate cibernetică Zero Day Initiative și este considerată una dintre cele mai provocatoare competiții de securitate cibernetică din lume în prezent.

Dl. Nguyen Son Hai, directorul VCS, a declarat că în 2020, Viettel a obținut prima victorie în această „competiție” la categoria Smart TV. În 2021, Viettel a ajuns în Top 5. În 2022, și-a asigurat locul al doilea. Iar anul acesta, a câștigat titlul de campioană cu un scor copleșitor.

Competiția de la Pwn2Own implică nu doar echipe de securitate cibernetică renumite din întreaga lume, ci și producători și corporații tehnologice importante la nivel global. Fiecare competiție va prezenta provocări legate de dispozitive software sau hardware populare, cum ar fi sistemul de operare Windows, telefoanele Apple, Xiaomi și Samsung sau imprimantele Canon și HP etc.

Echipele trebuie să concureze pentru a găsi vulnerabilități de securitate necunoscute anterior în software și dispozitive și apoi să demonstreze cum să exploateze aceste vulnerabilități în timp real, în termen de 30 de minute.

„De ce putem spune că concurenții nu sunt doar alte grupuri de experți în securitate, ci și producători de dispozitive precum Apple, Xiaomi, Canon, TP-Link... pentru că detestă să fie acuzați că au vulnerabilități în dispozitivele lor, ceea ce ar eroda încrederea clienților. Acești furnizori de dispozitive au întotdeauna o echipă de securitate și sunt dispuși să cheltuiască sume mari de bani pentru a remedia erorile din produsele lor înainte de a avea loc concurența, astfel încât produsele lor să nu fie dezonorate de public”, a declarat Nguyen Hong Quang, membru al echipei VCS, pentru ziarul Tuoi Tre .

Prin urmare, competiția va fi intensă din momentul în care întrebările sunt lansate până în ultimul moment. Este foarte posibil ca echipele să descopere defecte, dar dezvoltatorii le vor corecta în mod neașteptat chiar înainte de ziua competiției, ceea ce va face ca o echipă să piardă toată munca și realizările depuse.

Prin urmare, „pe măsură ce se apropia ora performanței, a trebuit să ne împărțim în ture de zi și de noapte pentru a «monitoriza» dacă vulnerabilitățile descoperite încă existau și pentru a urmări îndeaproape producătorii pentru a vedea dacă au corectat erorile pe care le-am găsit”, a declarat Ngo Anh Huy, un jucător experimentat de Pwn2Own din echipa VCS.

Competiția Pwn2Own Toronto din 2023 se concentrează pe hardware, incluzând categorii precum telefoane mobile, boxe inteligente, sisteme de supraveghere, sisteme de stocare în rețea și electronice de birou. Fiecare categorie oferă premii cuprinse între 30.000 și 100.000 de dolari și scoruri cuprinse între 2 și 10 puncte, în funcție de dificultatea piratării dispozitivului și de nivelul de finalizare a demonstrației de hacking.

Cel mai valoros premiu, atât din punct de vedere al recompensei, cât și al punctelor, este categoria finală, un mash-up, care impune echipelor să execute cod de exploit pe unul dintre routerele de rețea furnizate în cadrul competiției și, prin urmare, să atace un dispozitiv din categoriile menționate anterior, cu un premiu de 100.000 de dolari și 10 puncte.

După finalizarea sarcinilor individuale și atacul cu succes asupra telefoanelor Xiaomi 13 Pro, sistemelor de stocare QNAP TS 464, imprimantelor Canon imageClass MF753Cdw și boxelor Sonos Era 100, echipa VCS a obținut 20 de puncte, asigurându-și aproape campionatul, în timp ce adversarul lor, Sea Security, a ajuns la doar 17,25 puncte după finalizarea atât a sarcinilor individuale, cât și a celor combinate.

Deși presiunea competitivă intensă s-a diminuat, categoria finală continuă să-i bântuie pe inginerii VCS, deoarece lipsa punctelor acumulate în provocarea mash-up a fost motivul pentru care au ratat campionatul anul trecut. „De data aceasta, intrând în categoria smash-up, am fost din nou dezavantajați când am fost trași la sorți pentru a concura mai târziu. Dacă am fi făcut aceeași greșeală ca echipa anterioară, am fi pierdut puncte”, a declarat Ngo Anh Huy. Această greșeală suprapusă a dus la situarea VCS la 2,5 puncte în spatele echipei câștigătoare a turneului Pwn2Own de anul trecut.

„Anul acesta, nu numai că am căutat să exploatăm vulnerabilități noi, dar am ales în mod deliberat vulnerabilități care erau foarte greu de găsit și puțin probabil să fie duplicate de alte echipe sau care ar fi putut fi ușor de găsit, dar dificil de exploatat, și aveau, de asemenea, multe opțiuni de rezervă. Acesta este rezultatul a trei luni de cercetare concentrată de către întreaga echipă”, a spus Huy.

Drept urmare, echipa VCS a obținut un scor perfect de 10/10 la categoria combinată și a câștigat campionatul general cu un total de 30 de puncte, depășind cu mult clasata secundă cu 12,5 puncte, asigurându-și o victorie spectaculoasă și completă.

„Am ales Pwn2Own pentru a ne testa abilitățile deoarece este o competiție pe cele mai populare dispozitive din lume, de la producători de top cu proceduri riguroase de testare”, a declarat dl. Nguyen Son Hai, directorul VCS. „Investiția într-o echipă de cercetare specializată și testarea abilităților noastre pe scena internațională fac parte din eforturile VCS de a dezvolta resursele umane.”

Călătoria echipei VCS către campionatul Pwn2Own 2023 este punctul culminant al unui demers lung și plin de succes, o dovadă vie a viziunii de lungă durată a liderilor Viettel Group în domeniul securității informațiilor.

În urmă cu mai bine de un deceniu, când directorul VCS, Nguyen Son Hai, avea aceeași vârstă ca membrii echipei campioanei Pwn2Own 2023, conducerea Grupului Viettel era hotărâtă să investească în domeniul securității informațiilor.

Primele semințe pentru un câmp emergent au fost semănate de timpuriu de Viettel, iar acestea au beneficiat de investiții și îngrijire sistematică și strategică.

Cercetarea aprofundată a VCS a început în primii ani, cu doar șase persoane care lucrau inițial la securitatea informațiilor. Din 2011, echipa VCS a efectuat atacuri simulate cu unități din cadrul Grupului Viettel pentru a identifica vulnerabilități de securitate.

„Deoarece operăm infrastructură critică, viziunea Viettel este de a cerceta securitatea cibernetică ca piatră de temelie”, a declarat dl. Son Hai. „În securitatea cibernetică, oamenii sunt cel mai important factor. Chiar și atunci când se utilizează cele mai bune produse din lume, dacă sunt utilizate doar ca utilizator final, riscul de atac rămâne foarte ridicat, în timp ce infrastructura critică, cum ar fi serviciile mobile și de internet ale Viettel, este ținta atacurilor din partea celor mai mari grupuri din lume.”

Pentru a construi o echipă de experți care să protejeze infrastructura critică, VCS își propune să instruiască personalul din domeniul securității cibernetice cu capacități echivalente standardelor mondiale. Din 2015 până în prezent, Viettel și VCS au instruit 450 de studenți, dintre care 5% dintre cei mai potriviți candidați au fost recrutați pentru a continua să lucreze, a declarat dl Hai.

„După ce am format o echipă de experți și am investit sistematic în cercetări aprofundate, continuăm să căutăm modalități de a investi în îmbunătățirea abilităților ofensive ale echipei de experți VCS. Participarea la competiții de talie mondială vizează, de asemenea, acest obiectiv”, a declarat dl. Nguyen Son Hai.

În 2013, VCS a început să cerceteze vulnerabilitățile zero-day – vulnerabilități necunoscute și nepachetate, prin urmare cele mai costisitoare de exploatat. Anh Huy și Hong Quang au fost printre primii specialiști care au făcut acest lucru. Până în 2015, echipa VCS găsise primele vulnerabilități, iar până în prezent, numărul vulnerabilităților descoperite de VCS a ajuns la 400.

„Nicio afacere vietnameză nu a atins o astfel de cifră și nici în lume nu sunt multe”, a declarat dl Hai.

Oportunitatea de formare prin participarea la cercetări aprofundate este motivul pentru care VCS este un loc de muncă atractiv pentru experții în securitate cibernetică, care tocmai au câștigat premiul întâi la Pwn2Own. Când a fost întrebat de ce a ales Viettel, Anh Huy a spus: „Din experiența mea, nu multe companii sunt dispuse să investească pe termen lung în cercetarea și echipele de cercetare în domeniul securității cibernetice.”

„Mai ales în domeniul securității cibernetice, elementul uman este cel mai important factor. Prin urmare, VCS este mereu conștientă de instruirea și modernizarea echipei sale și de construirea unor generații succesive de personal înalt calificat, mereu pregătit să abordeze provocările la nivel internațional”, a subliniat directorul VCS, Nguyen Son Hai.

La ceremonia de premiere, felicitând membrii echipei pentru participarea la competiție, președintele și directorul general al Grupului Viettel, Tao Duc Thang, și-a exprimat mândria față de „hackerii white-hat” ai Viettel. El a afirmat: „Viettel este mândră că echipa VCS a câștigat un premiu prestigios în domeniul securității cibernetice globale, «concurând» cu producători de echipamente de top la nivel mondial, cu unități mari de cercetare și dezvoltare.”

Șeful Grupului Viettel a evaluat că „Pwn2Own este o competiție prestigioasă, cu un nivel foarte ridicat de dificultate pentru orice hacker. Competiția este asemănată cu o «bătălie» împotriva producătorilor cu echipe de securitate a informațiilor de top din lume, gata să riposteze împotriva hackerilor până în ultimul moment. Este un joc fără limită de vârstă și poate implica chiar și colaborări multinaționale...”. Prin urmare, domnul Tao Duc Thang a declarat: „Câștigarea campionatului Pwn2Own 2023 a adus glorie Viettel și Vietnamului pe scena internațională”, a spus cu mândrie președintele grupului.

Președintele Cao Duc Thang a recunoscut, de asemenea, că domeniul securității cibernetice este vast, o călătorie lungă pentru experții Viettel și că există multe provocări în față.

„Menținerea poziției de vârf nu este ușoară, așa că trebuie să ne perfecționăm în continuare abilitățile și să avem vise mărețe, străduindu-ne constant să transformăm aceste vise în realitate pentru a aduce Vietnamul în lume”, a subliniat domnul Tao Duc Thang.

Președintele Grupului Viettel a mai spus că, în viitor, Grupul va avea politici specifice pentru a forma resurse umane de înaltă calitate, astfel încât acestea să poată continua să se dedice muncii lor cu liniște sufletească.

Atribuind sarcini către VCS, dl. Tao Duc Thang a subliniat că VCS trebuie să continue să formeze mai mulți experți în securitate, concentrându-se pe instruirea următoarei generații cu cea mai bună bază pentru a servi nu doar corporația, ci și țara, protejând națiunea în spațiul cibernetic.