«Золотые» мальчики в деревне безопасности

«Ешь, спи с… дырками»

2023 год — это 4-й год участия команды Viettel в конкурсе Pwn2Own, и слава действительно пришла к ним. Если первое соревнование было просто тренировкой, то во 2-м соревновании (2021) команда вошла в пятерку лучших, а в соревновании 2022 года команда с сожалением проиграла команде-чемпиону, получив второе место. Нго Ань Хуэй (капитан команды) поделился: «Pwn2Own — это крупнейшее и самое престижное в мире соревнование по кибератакам, «чемпионат мира» по безопасности с общим призовым фондом в миллионы долларов США. Целями атак являются все популярные в мире устройства и программное обеспечение от ведущих поставщиков, таких как Microsoft, Apple, Google, Samsung, Xiaomi...».

Соревнование Pwn20wn Соревнование проходило с 24 по 27 октября 2023 года в Торонто (Канада), 14 молодых людей, самому молодому из которых было всего 20 лет, были полны решимости достичь цели чемпионата. Вместо того, чтобы сосредоточиться на поиске множества уязвимостей, как в предыдущих соревнованиях, в этом соревновании группа молодых инженеров выстроила методичную стратегию, находя ошибки, которые мало кто обнаруживал и использовал. Одной из вещей, которая больше всего беспокоила и беспокоила руководителя команды Нго Ань Хуя, было то, как объединить участников для работы в команде (командная работа). В последние 2 недели перед соревнованием вся команда работала по 20 часов в день, практически ела и спала на месте, приходилось готовить отчеты для отправки в оргкомитет и проверять обновления для исправления уязвимостей. «Производитель может найти и исправить уязвимости до начала соревнований. Поэтому нам часто приходится находить как можно больше уязвимостей и готовить резервные планы атак, если мы хотим набрать наибольшее количество очков», — добавил участник Ха Ань Хоанг. Все было тщательно подготовлено, просто ждали дня отъезда в Канаду для участия в соревнованиях, но самым прискорбным было то, что ближе к дате соревнований вся команда так и не получила въездную визу. «Вместо того, чтобы соревноваться напрямую, Team Viettel пришлось остаться дома и соревноваться онлайн. Это также является недостатком по сравнению с прямыми соревнованиями, поскольку мы можем проверять оборудование только удаленно с помощью камеры. Если мы соревнуемся напрямую, мы можем консультироваться на месте или просить организаторов немедленно проверять любые возникающие ситуации. Кроме того, в ходе онлайн-процесса могут возникнуть непредвиденные проблемы, связанные с машинами и оборудованием...», — рассказал Хоанг.

Захватывающая, убедительная победа

После 3 месяцев «еды, сна и поиска уязвимостей», наконец, настал час G, вьетнамская команда должна продемонстрировать способность атаковать уязвимости безопасности за короткое время. Участник Нгуен Суан Хоанг сказал: «В других соревнованиях по безопасности обычно нет ограничения по времени, но в этом соревновании мы должны продемонстрировать нахождение уязвимостей в течение 30 минут. Pwn2Own объединяет самые передовые цели и устройства от крупных технологических компаний и устанавливается с последними версиями программного обеспечения. Задача команд — найти направления атак и найти уязвимости, которые никогда не были обнаружены». Каждая команда может взломать только один раз каждую цель. Чем сложнее цель, тем выше баллы. В конце соревнования человек или организация, набравшие наибольшее количество баллов, получат приз. «Наше самое большое беспокойство заключается в том, что будут повторяющиеся ошибки или что производитель вовремя обнаружил и залатал дыры. Члены команды подготовили разные дыры, чем больше очков мы должны подготовить для категории, тем больше ошибок мы должны подготовить. В этой части команда получила максимальный общий балл, никаких повторяющихся ошибок, как в прошлом году, за которые вычитались очки. Мы были так счастливы, что плакали», - сказал Ха Ань Хоанг. Самой захватывающей частью был финальный раунд, SOHO Smashup (малое офисное оборудование). Препятствием для команды стала психологическая проблема, потому что они пропустили чемпионат в прошлом году, поэтому они были немного осторожны. Было даже несколько раз, когда что-то шло не так, как планировалось. Все потели от беспокойства. Хотя они подготовили 3 дыры, первые 2 выступления провалились. Только на третий раз, когда им это удалось, члены команды взорвались от радости... Соперникам также пришлось восхищаться упорной борьбой вьетнамской команды.

Т. То

Это был первый раз, когда Дин Куанг Ву участвовал в соревновании, но он внес важный вклад, чтобы помочь своей команде победить в категории уязвимости мобильных телефонов. Это новая категория в соревновании. Ву поделился: «Наша команда выбрала 2 мобильных устройства от Samsung и Xiaomi. Хотя мы исследовали, подготовились довольно тщательно и прошли патчи производителя до дня соревнования, мы провалили первую попытку с Samsung. Ощущение в то время было удушающим и душераздирающим, к счастью, мы были спокойны и прошли соревнование, чтобы победить с мобильным устройством Xiaomi». После 4 ночей напряженного соревнования с сильнейшими командами из многих мест по всему миру, в 1:00 ночи 27 октября команда Viettel успешно завершила соревнование с общим счетом 30, на 12,75 очков опередив команду, занявшую второе место. Молодые вьетнамские инженеры убедительно выиграли чемпионат Pwn2Own, набрав абсолютные баллы во всех 7 зарегистрированных категориях, забрав домой приз в размере 180 000 долларов США. Среди продуктов, в которых были обнаружены ошибки, были Xiaomi 13 Pro, системы хранения данных QNAP, принтеры Canon, HP, Lexmark, интеллектуальные колонки Sonos и SOHO Smashup. Эта победа также ознаменовала новый прорыв для вьетнамской индустрии информационной безопасности, когда она впервые выиграла чемпионат на престижном международном турнире. Помимо наград на Pwn2Own, молодые инженеры компании VSC также обнаружили более 400 уязвимостей безопасности нулевого дня в основных платформах и системах информационных технологий, таких как Microsoft, Oracle, Google, Apache, VMWare и т. д.

Стремление покорить новые вершины

Не останавливаясь на достигнутом, после соревнований вся команда начала готовиться к следующим соревнованиям, которые должны состояться в Токио (Япония) в начале 2024 года, с решимостью покорить новые вершины. Ха Ань Хоанг признался: «Чтобы добиться сегодняшней победы, мы побеждали шаг за шагом, переходя от простого к сложному. Победа команды очень убедительна, но мы не можем игнорировать противников этого соревнования, потому что с точки зрения экспертизы все еще есть некоторые области исследований, некоторые возможности, которые есть у иностранных команд, команда Viettel не может сделать. Ближайшая цель команды — найти новые темы исследований, найти уязвимости безопасности гигантов-поставщиков, таких как Apple, Google... А дальнейшая цель — лидировать на мировой арене безопасности». Будучи одним из молодых экспертов по безопасности во Вьетнаме, признанных международным сообществом, приглашенных на работу многими известными технологическими компаниями с зарплатой в тысячи долларов США, Нго Ань Хюй по-прежнему остается в команде Viettel. «Для меня преодоление этого испытания — это не только самоутверждение и достижение нового рейтинга безопасности, я хочу остаться во Вьетнаме, чтобы продолжить писать новые страницы истории об индустрии информационной безопасности с молодыми людьми, которые разделяют ту же страсть, прославляя Вьетнам на международной арене», — поделился Хуй. По словам полковника Тао Дык Тханга, председателя совета директоров и генерального директора Viettel, это не соревнование по поиску правильного ответа, а, как в игре «поймай картинку и поймай слово», молодым инженерам приходится «сражаться» с ведущими мировыми поставщиками и производителями технологического оборудования. За поставщиками стоит очень большая группа, такая как Canon, Xiaomi... Победа дается нелегко, потому что вполне возможно, что в последнюю минуту поставщик внезапно выпустит патчи, сделав конкурирующие команды пассивными и неспособными отреагировать. Полковник Тао Дык Тхан считает, что чемпионское достижение Pwn2Own 2023 — это только начало. Дорога впереди для "белых хакеров" еще длинная, потому что область кибербезопасности очень большая, киберпространство огромное, и впереди молодых инженеров ждет много вызовов. Не останавливаясь только на области IoT, есть также области промышленности, энергетики, электричества, безопасности... у молодых инженеров есть возможность заявить о себе.