De "gyllene" pojkarna i säkerhetsbyn

"Ät, sov med… hål"

2023 är det fjärde året som Viettel-laget deltar i Pwn2Own-tävlingen och äran kom verkligen till dem. Om den första tävlingen bara var för träning, så kom laget in i den andra tävlingen (2021) bland de 5 bästa och i tävlingen 2022 förlorade laget mot mästarlaget, vilket de ångrade, och tog andra priset på. Ngo Anh Huy (lagkapten) delade: "Pwn2Own är världens största och mest prestigefyllda cyberattacktävling, säkerhetsvärldens "VM" med ett totalt pris på upp till miljoner USD. Attackmålen är alla populära enheter och programvaror i världen, från ledande leverantörer som Microsoft, Apple, Google, Samsung, Xiaomi...".

Pwn20wn-tävlingen Tävlingen ägde rum den 24 till 27 oktober 2023 i Toronto (Kanada). 14 unga män, varav den yngsta bara var 20 år gammal, var fast beslutna att uppnå mästerskapsmålet. Istället för att fokusera på att hitta många sårbarheter som tidigare tävlingar, byggde gruppen av unga ingenjörer i denna tävling en metodisk strategi och letade efter fel som få personer upptäckte och utnyttjade. En av de saker som lagledaren Ngo Anh Huy var mest bekymrad över var hur man skulle koppla samman medlemmarna för att arbeta i ett team (lagarbete). Under de sista två veckorna före tävlingen arbetade hela teamet 20 timmar/dag, nästan åt och sov på plats, var tvungna att förbereda rapporter att skicka till organisationskommittén och kontrollera uppdateringar och patcha sårbarheter. "Sårbarheterna kan hittas och patchas av tillverkaren före tävlingen. Därför måste vi ofta hitta så många sårbarheter som möjligt och förbereda reservattackplaner om vi vill uppnå högsta poäng", tillade medlemmen Ha Anh Hoang. Allt förbereddes noggrant, vi väntade bara på dagen för avresa till Kanada för att tävla, men det mest beklagliga var att hela laget nära tävlingsdagen fortfarande inte fick ett inresevisum. "Istället för att tävla personligen var Team Viettel tvungna att stanna hemma och tävla online. Detta är också en nackdel jämfört med att tävla personligen, nämligen att vi bara kan kontrollera enheten på distans via kamera. Om vi ​​tävlar personligen kan vi konsultera på plats eller be arrangörerna att omedelbart kontrollera eventuella uppkomna situationer. Dessutom kan online-processen ha oväntade problem relaterade till maskiner och utrustning...", berättade Hoang.

Hisnande, övertygande seger

Efter 3 månader av att "äta, sova och hitta sårbarheter" är det äntligen dags för det vietnamesiska laget att visa förmågan att attackera säkerhetsbrister på kort tid. Medlemmen Nguyen Xuan Hoang sa: "I andra säkerhetstävlingar finns det vanligtvis ingen tidsgräns, men i den här tävlingen måste vi visa att vi kan hitta sårbarheter inom 30 minuter. Pwn2Own sammanför de mest avancerade målen och enheterna från stora teknikföretag och installeras med de senaste programvaruversionerna. Lagens uppgift är att hitta attackriktningar och sårbarheter som aldrig har upptäckts." Varje lag kan bara hacka en gång för varje mål. Ju svårare målet är, desto högre poäng. I slutet av tävlingen vinner den individ eller organisation med högst poäng priset. "Vår största oro var att det skulle bli dubbla fel eller att tillverkaren hade upptäckt och lagat hålen i tid. Lagmedlemmarna hade förberett olika hål, och ju fler poäng vi hade att förbereda för kategorin, desto fler fel var vi tvungna att förbereda. I den här delen fick laget maximal totalpoäng, och det fanns inga dubbla fel som förra året, vilket resulterade i poängavdrag. Vi var så glada att vi grät", sa Ha Anh Hoang. Den mest spännande delen var den sista omgången av SOHO Smashup (liten kontorsutrustning). Lagets hinder var psykologiskt, eftersom de hade missat mästerskapet förra året, så de var lite försiktiga. Det fanns till och med några gånger då saker och ting inte gick som planerat. Alla svettades av oro. Trots att de hade förberett sig 3 hål misslyckades de de första 2 gångerna. Det var inte förrän tredje gången de lyckades som medlemmarna brast i glädjetårar... Motståndarna var också tvungna att beundra det vietnamesiska lagets ihärdiga kämpande.

T. Tho

Även om det var första gången Dinh Quang Vu deltog i tävlingen, gjorde han ett viktigt bidrag till att hjälpa sitt lag att vinna kategorin mobiltelefoners sårbarhet. Detta är en ny kategori i tävlingen. Vu delade: "Vårt team valde två mobila enheter från Samsung och Xiaomi. Trots att vi hade undersökt och förberett oss ganska noggrant och hade klarat tillverkarens patchar före tävlingsdagen, misslyckades vi med första försöket med Samsung. Jag kände mig kvävd och förkrossad då, men som tur var var vi lugna och klarade Xiaomis mobila enhetstävling." Efter fyra kvällar av intensiv tävling med de starkaste lagen från många platser runt om i världen, klockan ett på natten den 27 oktober, avslutade Team Viettel framgångsrikt tävlingen med en totalpoäng på 30, 12,75 poäng före laget som kom på andra plats. Unga vietnamesiska ingenjörer vann övertygande Pwn2Own-mästerskapet, uppnådde absoluta poäng i alla sju registrerade kategorier och tog hem ett pris på 180 000 USD. Bland de produkter som upptäcktes fel fanns Xiaomi 13 Pro, QNAP-lagringssystem, skrivare från Canon, HP och Lexmark, Sonos smarta högtalare och SOHO Smashup. Denna seger markerade också ett nytt genombrott för den vietnamesiska informationssäkerhetsbranschen när de vann mästerskapet för första gången vid en prestigefylld internationell turnering. Förutom priserna på Pwn2Own upptäckte unga ingenjörer från VSC Company också mer än 400 nolldagssäkerhetssårbarheter i stora IT-plattformar och system som Microsoft, Oracle, Google, Apache, VMWare...

Strävan att erövra nya höjder

Utan att "vila på lagrarna" började hela teamet efter tävlingen förbereda sig för nästa tävling som är planerad att hållas i Tokyo (Japan) i början av 2024, med beslutsamheten att erövra nya höjder. Ha Anh Hoang anförtrodde: "För att uppnå seger idag har vi erövrat steg för steg, gått från lätt till svårt. Lagets seger är mycket övertygande, men vi kan inte ignorera motståndarna i denna tävling, för när det gäller expertis finns det fortfarande vissa forskningsområden, vissa förmågor som utländska team har, som Viettel-teamet inte kan. Teamets omedelbara mål är att hitta nya forskningsämnen, hitta säkerhetsbrister hos gigantiska leverantörer som Apple, Google... Och det ytterligare målet är att leda på den globala säkerhetsarenan." Som en av Vietnams unga säkerhetsexperter, erkänd av det internationella samfundet, inbjuden att arbeta med tusentals USD av många kända teknikföretag, stannar Ngo Anh Huy fortfarande kvar i Team Viettel. ”För mig handlar det inte bara om att hävda mig och uppnå en ny ranking inom säkerhet att övervinna utmaningen, jag vill stanna i Vietnam för att fortsätta skriva nya sidor i historien om informationssäkerhetsbranschen med unga människor som delar samma passion och göra Vietnam känt på internationella arenor”, ​​delade Huy. Enligt överste Tao Duc Thang, styrelseordförande och generaldirektör för Viettel, är detta inte en tävling för att hitta rätt svar, utan likt ett spel där man "fångar ordet" måste unga ingenjörer "kämpa" med världens ledande leverantörer och tillverkare av teknisk utrustning. Bakom leverantörerna finns en mycket stor grupp som Canon, Xiaomi... Segern är inte lätt eftersom det är mycket möjligt att leverantören i sista minuten plötsligt släpper patchar, vilket gör de tävlande teamen passiva och oförmögna att reagera. Överste Tao Duc Thang tror att mästerskapsframgången i Pwn2Own 2023 bara är början. Vägen framåt för "white hat hackers" är fortfarande lång eftersom cybersäkerhetsområdet är mycket stort, cyberrymden är vidsträckt och det finns många utmaningar som väntar unga ingenjörer. Inte bara inom IoT-området, det finns även områden inom industri, energi, el, säkerhet... unga ingenjörer har möjlighet att hävda sig.