«Золотые» мальчики в деревне безопасности

«Ешь, спи с… дырками»

В 2023 году команда Viettel уже в четвёртый раз участвует в соревновании Pwn2Own, и слава действительно пришла к ним. Если первое соревнование было всего лишь тренировкой, то во втором (2021) команда вошла в пятёрку лучших, а в 2022 году с сожалением уступила команде-чемпиону, заняв второе место. Нго Ань Хуэй (капитан команды) поделился: «Pwn2Own — это крупнейшее и самое престижное в мире соревнование по кибератакам, своего рода «чемпионат мира» по безопасности с общим призовым фондом в несколько миллионов долларов США. Целью атак являются популярные устройства и программное обеспечение от ведущих мировых производителей, таких как Microsoft, Apple, Google, Samsung, Xiaomi...».

Соревнование Pwn20wn Соревнование проходило с 24 по 27 октября 2023 года в Торонто (Канада), 14 молодых людей, самому младшему из которых было всего 20 лет, были полны решимости достичь цели чемпионата. Вместо того, чтобы сосредоточиться на поиске множества уязвимостей, как в предыдущих соревнованиях, в этом соревновании группа молодых инженеров выстроила методичную стратегию, выискивая ошибки, которые мало кто обнаруживал и использовал. Одной из вещей, которая больше всего беспокоила и волновала руководителя команды Нго Ань Хуя, было то, как объединить участников для работы в команде (командная работа). В последние 2 недели перед соревнованием вся команда работала по 20 часов в день, практически ела и спала на месте, приходилось готовить отчеты для отправки в оргкомитет, проверять обновления и устранять уязвимости. «Производитель может найти и устранить уязвимости ещё до соревнований. Поэтому нам часто приходится выявлять как можно больше уязвимостей и готовить запасные планы атак, если мы хотим добиться наивысшего результата», — добавил участник Ха Ань Хоанг. Всё было тщательно подготовлено, мы ждали только дня отъезда в Канаду на соревнования, но самым прискорбным было то, что незадолго до дня соревнований вся команда так и не получила въездную визу. «Вместо того, чтобы соревноваться лично, Team Viettel пришлось остаться дома и соревноваться онлайн. Это также является недостатком по сравнению с очными соревнованиями, поскольку мы можем проверить устройство только удалённо с помощью камеры. Если же мы соревнуемся лично, то можем проконсультироваться на месте или попросить организаторов немедленно проверить любые возникающие проблемы. Кроме того, во время онлайн-соревнований могут возникнуть непредвиденные проблемы, связанные с техникой и оборудованием...» — рассказал Хоанг.

Захватывающая дух, убедительная победа

После трёх месяцев «еды, сна и поиска уязвимостей», наконец, настало время вьетнамской команде продемонстрировать способность атаковать уязвимости безопасности за короткое время. Участник Нгуен Суан Хоанг сказал: «В других соревнованиях по безопасности обычно нет ограничения по времени, но в этом соревновании мы должны продемонстрировать способность находить уязвимости в течение 30 минут. Pwn2Own объединяет самые передовые цели и устройства от крупных технологических компаний и оснащён последними версиями программного обеспечения. Задача команд — определить направления атак и найти уязвимости, которые ещё не были обнаружены». Каждая команда может взломать каждую цель только один раз. Чем сложнее цель, тем выше балл. В конце соревнования приз получит человек или организация, набравшая наибольшее количество баллов. «Больше всего мы беспокоились о том, что будут повторные ошибки или что производитель вовремя обнаружит и исправит их. Члены команды подготовили разные варианты, и чем больше очков нужно было подготовить для каждой категории, тем больше ошибок приходилось допускать. В этом разделе команда набрала максимальный общий балл, и не было ни одного повторного ошибки, как в прошлом году, из-за которого с нас снимали очки. Мы были так счастливы, что плакали», — сказал Ха Ань Хоанг. Самым захватывающим стал финальный раунд SOHO Smashup (комплекс мелкого офисного оборудования). Команда столкнулась с психологическим препятствием, поскольку в прошлом году они пропустили чемпионат, поэтому действовали осторожно. Несколько раз всё шло не по плану. Все были в поту от волнения. Несмотря на то, что они подготовили три варианта, первые два раза они провалили. Только на третий раз, когда им это удалось, участники расплакались от радости... Соперникам тоже пришлось восхищаться упорной борьбой вьетнамской команды.

Т. То

Несмотря на то, что Динь Куанг Ву впервые участвовал в соревновании, он внёс важный вклад в победу своей команды в категории «Уязвимости мобильных телефонов». Это новая категория в конкурсе. Ву поделился: «Наша команда выбрала два мобильных устройства от Samsung и Xiaomi. Несмотря на то, что мы тщательно изучили вопрос и подготовились, а также прошли проверку производителя до дня соревнований, первая попытка с Samsung провалилась. В тот момент я чувствовал себя подавленным и убитым горем, но, к счастью, мы сохранили спокойствие и прошли конкурс мобильных устройств Xiaomi». После четырёх ночей напряжённой борьбы с сильнейшими командами из разных уголков мира, в час ночи 27 октября команда Team Viettel успешно завершила соревнование, набрав 30 очков, опередив команду, занявшую второе место, на 12,75 очка. Молодые вьетнамские инженеры уверенно выиграли чемпионат Pwn2Own, набрав абсолютные баллы во всех 7 заявленных категориях и получив приз в размере 180 000 долларов США. Среди продуктов, в которых были обнаружены ошибки, были Xiaomi 13 Pro, системы хранения данных QNAP, принтеры Canon, HP, Lexmark, умные колонки Sonos и SOHO Smashup. Эта победа также ознаменовала новый прорыв для вьетнамской индустрии информационной безопасности, поскольку страна впервые выиграла чемпионат на престижном международном турнире. Помимо наград на Pwn2Own, молодые инженеры компании VSC также обнаружили более 400 уязвимостей нулевого дня в основных платформах и системах информационных технологий, таких как Microsoft, Oracle, Google, Apache, VMWare...

Стремление покорить новые высоты

Не останавливаясь на достигнутом, после соревнований вся команда начала готовиться к следующим соревнованиям, которые пройдут в Токио (Япония) в начале 2024 года, с решимостью покорить новые вершины. Ха Ань Хоанг признался: «Чтобы добиться сегодняшней победы, мы побеждали шаг за шагом, двигаясь от простого к сложному. Победа команды очень убедительна, но мы не можем игнорировать соперников, ведь с точки зрения экспертизы, есть области исследований, возможности, которые есть у иностранных команд, чего команда Viettel не может сделать. Ближайшая цель команды — поиск новых тем для исследований, выявление уязвимостей в системах безопасности таких гигантов, как Apple, Google... А дальнейшая цель — лидерство на мировой арене безопасности». Нго Ань Хюй, один из молодых вьетнамских экспертов по безопасности, признанный международным сообществом и приглашенный для работы с тысячами долларов США многими известными технологическими компаниями, по-прежнему остаётся в команде Viettel. «Для меня преодоление этого вызова — это не только самоутверждение и достижение нового рейтинга в области безопасности. Я хочу остаться во Вьетнаме, чтобы вместе с молодыми людьми, разделяющими мою страсть, продолжать писать новые страницы истории индустрии информационной безопасности, прославляя Вьетнам на международной арене», — поделился Хёй. По словам полковника Тао Дык Тханга, председателя совета директоров и генерального директора Viettel, это не соревнование в поиске правильного ответа, а, подобно игре «поймай слово», молодым инженерам предстоит «сразиться» с ведущими мировыми поставщиками и производителями технологического оборудования. За поставщиками стоит очень большая группа компаний, таких как Canon, Xiaomi... Победа дается нелегко, поскольку вполне вероятно, что в последний момент поставщик внезапно выпустит патчи, что сделает соперничающие команды пассивными и неспособными отреагировать. Полковник Тао Дык Тхан считает, что чемпионский титул Pwn2Own 2023 — это только начало. Путь, который предстоит «белым хакерам», ещё долог, поскольку сфера кибербезопасности очень обширна, киберпространство огромно, и молодых инженеров ждёт множество вызовов. Сфера не ограничивается только Интернетом вещей, но и промышленностью, энергетикой, электроснабжением, безопасностью... У молодых инженеров есть возможность проявить себя.