Strax efter klockan ett på natten den 27 oktober, i det starkt upplysta rummet på Viettel Cyber Security Company (VCS), utbröt de 14 medlemmarna i VCS-teamet av glädje: Teamet hade vunnit mästerskapet i världens största och mest prestigefyllda cyberattacktävling, Pwn2Own 2023.
Detta är inte bara det förväntade resultatet av tre månaders kontinuerligt arbete dag och natt av hela teamet, utan också av envis tävlan mot de starkaste motståndarna från hela världen !
Detta är inte bara den första söta belöningen för den yngsta medlemmen i laget, Do Anh Dung, född 2003, som för närvarande är tredjeårsstudent vid tekniska universitetet (VNU Hanoi)!
Det är inte bara en önskan att nå toppen av tävlingen för medlemmar som Ngo Anh Huy, Nguyen Xuan Hoang, Nguyen Hong Quang… som har prövat lyckan i den här turneringen i flera år i rad!
Det var också en fantastisk prestation att ta hem landets topplacering i en av de mest prestigefyllda globala tävlingarna, vilket bekräftade det vietnamesiska folkets förmåga inom informationssäkerhet och trygghet.
Och viktigast av allt, det är den "söta frukten" som skördas från de frön som Viettel orubbligt har sått i många år. Idag, med VCS och sitt team av informationssäkerhetsexperter, kan Viettel stolt hävda att de är ett av världens ledande företag inom informationssäkerhet och säkerhetskapacitet.
Alla 14 medlemmar i VCS-laget som vann Pwn2Own-mästerskapet 2023 är mycket unga. Majoriteten av medlemmarna är från 90-talsgenerationen, med den yngsta medlemmen född 2003.
Men de flesta av teammedlemmarna har många års erfarenhet och en mängd prestationer inom informationssäkerhet. Även den yngsta medlemmen i teamet, Do Anh Dung, har bevisat vad han kan: Dung var den som åstadkom ett mirakel i den här tävlingen, vann i en kategori och bidrog till lagets totala resultat.
På kvällen den 27 oktober avslutade laget från Viettel Cyber Security (VCS) den sista tävlingskategorin med 30 Master of Pwn-poäng, vilket lämnade andraplatslaget långt efter med 12,75 poäng.
Med detta övertygande resultat säkrade VCS mästerskapstiteln före många internationella motståndare, som ansågs vara starka utmanare till turneringens mästerskap, såsom Sea Security (Singapore), Vupen, Synacktiv (Frankrike) och Devcore (Taiwan - förra årets mästare)...
VCS-teammedlemmen Ha Anh Hoang berättade om utmaningarna under förberedelserna inför tävlingen: "Tre månader före tävlingen tillkännagav arrangörerna bara den utrustning som behövde bemästras. Därför hade vi bara tre månader på oss att förbereda oss eftersom det var då teamet kunde köpa utrustning för att studera. Mycket utrustning var tvungen att importeras från utlandet och det tog månader att komma fram till Vietnam."
Enligt en annan lagmedlem, Nguyen Xuan Hoang, "Tävlingen har tävlande som har deltagit länge. De har mycket erfarenhet, och det finns också mycket starka konkurrenter både ekonomiskt och professionellt. Team VCS är fast beslutna att gå in i tävlingen med de mest grundliga förberedelserna, enigheten och en lämplig strategi för att uppnå högsta möjliga framgång i årets tävling."
Hoang berättade vidare att VCS-laget förra året vann andraplatsen i den här tävlingen med en poäng mycket nära mästaren, och förlorade med bara 2,5 poäng. Därför är laget fast beslutet att sikta på mästerskapet i år.
Men vägen till mästerskapet är inte enkel: Attackmålen i den här tävlingen är alla populära enheter och programvaror världen över, från ledande tillverkare som Microsoft, Apple, Google, Samsung… - Nguyen Xuan Hoang delade.
För att uppfylla tävlingskraven var apparaten tvungen att beställas från USA, men ett ögonblick av slarv orsakade att den inte fungerade eftersom den använde en 110V strömförsörjning lämplig för den amerikanska marknaden, medan Vietnam använder 220V elektricitet.
Enligt Ngo Anh Huy, en medlem som har deltagit i den här tävlingen fyra gånger, är lagets största rädsla dubbletter av sårbarheter eller att tillverkaren snabbt kommer att laga de säkerhetsbrister som laget har registrerat. Förra året vann Viettel-laget bara andraplatsen eftersom de straffades för att ha en duplicerad sårbarhet.
Dessutom uppstod utmaningar i sista minuten, då visumförfarandena försenades, vilket hindrade hela laget från att resa till Toronto (Kanada) i tid för tävlingen på plats. Istället var de 14 medlemmarna i VCS-laget tvungna att tävla online och ständigt oroade sig för potentiella problem som kanske inte skulle lösas i tid under matchen…
Men slutresultatet talar för sig självt… VCS-laget vann inte bara mästerskapet, utan de uppnådde också en spektakulär seger.
"När vi vann i den sista topp 10-kategorin utbröt hela laget av glädje och lycka eftersom vi hade bevisat att det här mästerskapet var en övertygande seger, vilket inte lämnade utrymme för tvivel", mindes Nguyen Xuan Hoang stolt det ögonblicket.
Efter att ha deltagit i Pwn2Own fyra år i rad lyfte VCS-teamet äntligen Pwn2Own-mästerskapstrofén för första gången. Detta är en tävling inom hacking av mjukvara och hemelektronik som hålls två gånger om året av cybersäkerhetsorganisationen Zero Day Initiative, och anses vara en av de mest utmanande cybersäkerhetstävlingarna i världen idag.
Herr Nguyen Son Hai, chef för VCS, sa att Viettel år 2020 vann sin första seger i denna "tävling" i kategorin Smart TV. År 2021 tog sig Viettel till topp 5. År 2022 säkrade de andraplatsen. Och i år tog de sig an mästerskapstiteln med en överväldigande poäng.
Tävlingen på Pwn2Own involverar inte bara välkända cybersäkerhetsteam världen över utan även stora globala tillverkare och teknikföretag. Varje tävling kommer att presentera utmaningar relaterade till populära program- eller hårdvaruenheter som Windows-operativsystem, Apple-, Xiaomi- och Samsung-telefoner, eller Canon- och HP-skrivare etc.
Lag måste tävla om att hitta tidigare okända säkerhetsbrister i programvara och enheter och sedan demonstrera hur man utnyttjar dessa sårbarheter live inom 30 minuter.
”Varför kan vi säga att konkurrenterna inte bara är andra säkerhetsexpertgrupper, utan även enhetstillverkare som Apple, Xiaomi, Canon, TP-Link… eftersom de hatar att bli anklagade för att ha sårbarheter i sina enheter, vilket skulle undergräva kundernas förtroende. Dessa enhetsleverantörer har alltid ett säkerhetsteam och är villiga att spendera stora summor pengar för att laga buggar i sina produkter innan konkurrensen äger rum så att deras produkter inte vanäras i allmänhetens ögon”, delade Nguyen Hong Quang, medlem i VCS-teamet, med tidningen Tuoi Tre .
Därför kommer konkurrensen att vara intensiv från det ögonblick frågorna släpps till sista minuten. Det är fullt möjligt att lag upptäcker brister, men utvecklarna kommer oväntat att åtgärda dem precis före tävlingsdagen, vilket gör att ett lag förlorar allt sitt hårda arbete och alla sina prestationer.
Därför, ”när föreställningstiden närmade sig, var vi tvungna att dela upp oss i dag- och nattskift för att ’övervaka’ om de sårbarheter vi upptäckte fortfarande fanns kvar, och noggrant följa producenterna för att se om de patchade de buggar vi hade hittat”, sa Ngo Anh Huy, en erfaren Pwn2Own-spelare från VCS-teamet.
Pwn2Own Toronto-tävlingen 2023 fokuserar på hårdvara, inklusive kategorier som mobiltelefoner, smarta högtalare, övervakningssystem, nätverksanslutna lagringssystem och kontorselektronik. Varje kategori erbjuder priser från 30 000 till 100 000 dollar och poäng från 2 till 10 poäng beroende på svårighetsgraden att hacka enheten och hur väl hackningsdemonstrationen är genomförd.
Det mest värdefulla priset, både vad gäller belöning och poäng, är den sista kategorin, en blandning, som kräver att lagen kör exploitkod på en av de nätverksroutrar som tillhandahålls i tävlingen och därigenom attackerar en enhet i de ovannämnda kategorierna, med ett pris på 100 000 dollar och 10 poäng.
Efter att ha slutfört de individuella uppgifterna och framgångsrikt attackerat Xiaomi 13 Pro-telefoner, QNAP TS 464-lagringssystem, Canon imageClass MF753Cdw-skrivare och Sonos Era 100-högtalare, uppnådde VCS-teamet 20 poäng och säkrade nästan mästerskapet medan deras motståndare, Sea Security, bara nådde 17,25 poäng efter att ha slutfört både den individuella och den kombinerade uppgiften.
Medan det intensiva tävlingstrycket har avtagit fortsätter den sista kategorin att hemsöka VCS ingenjörer eftersom brist på poäng i mash-up-utmaningen var anledningen till att de missade mästerskapet förra året. "Den här gången, när vi gick in i smash-up-kategorin, hade vi återigen en nackdel när vi lottades ut för att tävla senare. Om vi gjorde samma misstag som det föregående laget skulle vi förlora poäng", delade Ngo Anh Huy. Detta överlappande misstag resulterade i att VCS låg 2,5 poäng efter det vinnande laget i förra årets Pwn2Own-turnering.
"I år försökte vi inte bara utnyttja nya sårbarheter, utan valde också medvetet sårbarheter som var mycket svåra att hitta och sannolikt inte skulle dupliceras av andra team, eller som kan vara lätta att hitta men svåra att utnyttja, och som också hade många reservalternativ. Detta är resultatet av tre månaders fokuserad forskning av hela teamet", sa Huy.
Som ett resultat uppnådde VCS-laget perfekta 10/10 i den kombinerade kategorin och vann det totala mästerskapet med totalt 30 poäng, vilket var 12,5 poäng längre än tvåan, vilket säkrade en spektakulär och fullständig seger.
”Vi valde Pwn2Own för att testa våra färdigheter eftersom det är en tävling om de mest populära enheterna i världen, från ledande tillverkare med rigorösa testprocedurer”, säger Nguyen Son Hai, chef för VCS. ”Att investera i ett specialiserat forskarteam och testa våra färdigheter på den internationella scenen är en del av VCS ansträngningar att utveckla mänskliga resurser.”
VCS-teamets resa till Pwn2Own-mästerskapet 2023 är kulmen på en lång och framgångsrik strävan, ett levande bevis på Viettel Groups långvariga vision inom informationssäkerhet.
För mer än ett decennium sedan, när VCS-direktören Nguyen Son Hai var i samma ålder som medlemmarna i Pwn2Own 2023-mästerskapet nu är, var Viettel Groups ledning fast besluten att investera inom informationssäkerhet.
De första fröna till ett spirande fält såddes tidigt av Viettel, och de fick systematiska och strategiska investeringar och omsorger.
VCS djupgående forskningsresa började under dess tidiga år, med endast sex personer som initialt arbetade med informationssäkerhet. Sedan 2011 har VCS-teamet genomfört simulerade attacker med enheter inom Viettel-gruppen för att identifiera säkerhetsbrister.
”Eftersom vi driver kritisk infrastruktur är Viettels vision att forskning kring cybersäkerhet ska vara en hörnsten”, säger Son Hai. ”Inom cybersäkerhet är människorna den viktigaste faktorn. Även när man använder världens bästa produkter, om de bara används som slutanvändare, är risken för attacker fortfarande mycket hög, medan kritisk infrastruktur som Viettels mobil- och internettjänster är mål för attacker från de största grupperna i världen.”
För att bygga ett expertteam för att skydda kritisk infrastruktur strävar VCS efter att utbilda cybersäkerhetspersonal med kapacitet motsvarande världsstandard. Från 2015 till idag har Viettel och VCS utbildat 450 studenter, varav 5 % av de mest lämpliga kandidaterna har rekryterats för att fortsätta arbeta, sade Hai.
”Efter att ha byggt upp ett expertteam och systematiskt investerat i djupgående forskning fortsätter vi att söka efter sätt att investera i att förbättra VCS expertteams offensiva färdigheter. Deltagande i tävlingar i världsklass syftar också till detta mål”, sade Nguyen Son Hai.
År 2013 började VCS undersöka zero-day-sårbarheter – okända och opatchade sårbarheter, och därför de dyraste att utnyttja. Anh Huy och Hong Quang var bland de första specialisterna som gjorde det. År 2015 hade VCS-teamet hittat sina första sårbarheter, och hittills har antalet sårbarheter som VCS upptäckt nått 400.
"Inget vietnamesiskt företag har nått en sådan siffra, och det finns inte många i världen heller", konstaterade Hai.
Möjligheten till utbildning genom fördjupat forskningsdeltagande är anledningen till att VCS är en attraktiv arbetsplats för cybersäkerhetsexperter som just vunnit första pris på Pwn2Own. På frågan om varför han valde Viettel sa Anh Huy: "Av min erfarenhet är det inte många företag som är villiga att investera långsiktigt i cybersäkerhetsforskning och forskarteam."
"Särskilt inom cybersäkerhet är den mänskliga faktorn den viktigaste faktorn. Därför är VCS alltid medvetna om att utbilda och uppgradera sitt team och bygga upp generationer av högkvalificerad personal, alltid redo att ta itu med utmaningar på internationell nivå", betonade VCS-direktören Nguyen Son Hai.
Vid prisutdelningen gratulerade Viettel Groups ordförande och VD, Tao Duc Thang, teammedlemmarna till deras deltagande i tävlingen och uttryckte sin stolthet över Viettels "white hat hackers". Han bekräftade: "Viettel är stolta över att VCS-teamet vann ett prestigefyllt pris inom global cybersäkerhet och 'konkurrerar' med ledande globala utrustningstillverkare med stora FoU-enheter."
Chefen för Viettel Group bedömde att "Pwn2Own är en prestigefylld tävling med mycket hög svårighetsgrad för alla hackare. Tävlingen liknas vid en 'strid' mot tillverkare med världens främsta informationssäkerhetsteam, redo att hämnas mot hackare in i sista minuten. Det är ett spel utan åldersgräns och kan till och med involvera multinationella samarbeten...". Därför sa Tao Duc Thang: "Att vinna Pwn2Own 2023-mästerskapet har gett Viettel och Vietnam ära på den internationella scenen", sa gruppens ordförande stolt.
Ordförande Cao Duc Thang erkände också att cybersäkerhetsområdet är omfattande, en lång resa för Viettels experter, och att det finns många utmaningar framöver.
"Att behålla toppositionen är inte lätt, så vi måste fortsätta finslipa våra färdigheter och ha stora drömmar, och ständigt sträva efter att förverkliga dessa drömmar för att föra Vietnam till världen", betonade Tao Duc Thang.
Ordföranden för Viettel Group delade också med sig av att koncernen i framtiden kommer att ha specifika policyer för att utbilda högkvalificerade mänskliga resurser, så att de kan fortsätta att ägna sig åt sitt arbete med sinnesro.
När Tao Duc Thang tilldelade VCS uppgifter betonade han att VCS behöver fortsätta att utbilda fler säkerhetsexperter, med fokus på att utbilda nästa generation med den bästa grunden för att tjäna inte bara företaget utan även landet och skydda nationen i cyberrymden.
Kommentar (0)