Viettel 'Hacker' adını dünya haritasına yazdırdı

27 Ekim sabahı saat 01:00'den fazla bir süre sonra, Viettel Cyber ​​​​Security Company'nin (VCS) hala aydınlık odasında, VCS ekibinden 14 kişi sevinçten havaya uçtu: Ekip, dünyanın en büyük ve en prestijli siber saldırı yarışması Pwn2Own 2023'ün şampiyonluğunu kazandı.

Bu, sadece üç ay boyunca tüm ekibin gece gündüz aralıksız çalışmasının ve dünyanın dört bir yanından gelen en güçlü rakiplere karşı verilen mücadelenin beklenen sonucu değildi!

Bu, yalnızca ekibin en genç üyesi olan 2003 doğumlu ve şu anda Teknoloji Üniversitesi'nde (VNU) 3. sınıf öğrencisi olan Do Anh Dung için ilk tatlı meyve değil!

Ngo Anh Huy, Nguyen Xuan Hoang, Nguyen Hong Quang gibi yıllardır bu turnuvada şanslarını deneyen üyelerin tek isteği yarışmanın en üst sırasına ulaşmak değil!

Ayrıca, dünyanın en prestijli yarışmalarından birinde ülkemize en üst sırayı kazandırmak da bizim için bir onurdur. Bu, Vietnam halkının bilgi güvenliği ve emniyeti alanındaki kapasitesini teyit etmektedir.

Ve her şeyden önce, Viettel'in yıllar önce azimle ektiği tohumlardan elde edilen "tatlı meyve"dir. Bugüne kadar, Viettel, VCS ve bilgi güvenliği uzmanlarından oluşan ekibiyle, bilgi güvenliği ve emniyet kapasitesinde dünyanın önde gelen şirketlerinden biri olmaktan gurur duymaktadır.

Pwn2Own 2023 şampiyonasını kazanan VCS ekibinin 14 üyesinin tamamı çok genç. Üyelerin çoğu 9x kuşağından, en genç üye ise 2003 doğumlu.

Ancak ekibin çoğu uzun yıllardır "mücadele ediyor", bilgi güvenliği ve emniyeti alanında zengin deneyim ve başarılara sahip. Ekibin en genç üyesi Do Anh Dung bile kendini kanıtlamış durumda: Dung, bu yarışmada bir mucize yaratarak tüm ekibin genel sonuçlarına katkıda bulunacak bir kategoriyi kazandı.

27 Ekim akşamı yapılan final turunun sonunda Viettel Cyber ​​​​Security (VCS) takımı 30 Master of Pwn puanıyla en yüksek puanı alarak resmen birinci olurken, ikinci sıradaki takımla 12.75 puan farkıyla farkı kapattı.

VCS, bu ikna edici skorla turnuvanın şampiyonluğuna güçlü adaylar olarak görülen Sea Security (Singapur), Vupen, Synacktiv (Fransa) ve Devcore (Tayvan - geçen yılın şampiyonu) gibi birçok uluslararası rakibini geride bırakarak şampiyonluk unvanını elde etti...

Yarışmaya hazırlık sürecinde karşılaşılan zorluklar hakkında konuşan VCS ekip üyesi Ha Anh Hoang şunları söyledi: Yarışmadan üç ay önce Organizasyon Komitesi, kazanılacak cihazları duyurdu. Dolayısıyla hazırlık süresi yalnızca üç ay oldu çünkü ekip o sırada araştırma yapmak için cihazları yeni satın almıştı. Birçok cihazın yurt dışından ithal edilmesi gerekti ve Vietnam'a ulaşmaları tam bir ay sürdü.

Takımın bir diğer üyesi Nguyen Xuan Hoang ise, "Yarışmaya uzun süredir katılan yarışmacılar katılıyor. Çok deneyimliler ve hem maddi hem de profesyonel açıdan çok güçlü rakipler var. VCS Takımı, bu yılki yarışmada en yüksek başarıyı elde etmek için en dikkatli hazırlık, dayanışma ve uygun bir yarışma stratejisiyle yarışmaya katılmaya kararlı." dedi.

Hoang, VCS takımının geçen yıl şampiyon takıma çok yakın bir skorla bu yarışmada ikinci olduğunu ve sadece 2,5 puan farkla kaybettiğini sözlerine ekledi. Bu nedenle takımın bu yıl şampiyonluğu hedeflemeye kararlı olduğunu belirtti.

Ancak şampiyonluğa giden yol hiç de kolay değil: Bu yarışmadaki saldırı hedefleri Microsoft, Apple, Google, Samsung gibi dünyanın önde gelen üreticilerinin tüm popüler cihazları ve yazılımları... - Nguyen Xuan Hoang paylaştı.

Yarışmanın şartlarını yerine getirebilmek için cihazın ABD'den sipariş edilmesi gerekiyordu ancak bir anlık dikkatsizlik sonucu cihaz, ABD pazarına uygun 110v güç kaynağı kullanırken, Vietnam'da 220v kullanılması nedeniyle "bozuldu".

Bu yarışmaya dört kez katılan üyelerden Ngo Anh Huy'a göre, ekibin en büyük korkusu, tekrarlanan hatalar veya üreticinin ekibin kaydettiği güvenlik açıklarını kapatmak için zaman bulamaması. Geçen yıl yarışmaya katılan Viettel ekibi, tekrarlanan bir güvenlik açığına sahip oldukları için puanlarının düşürülmesi nedeniyle ikinci olmuştu.

Üstelik, vize gecikmesi nedeniyle yarışma son dakikada geldi ve tüm ekip Toronto'ya (Kanada) şahsen yarışmak için zamanında gelemedi. Bunun yerine, VCS ekibinin 14 üyesi, yarışma sırasında çözülemeyen olası sorunlar konusunda endişelenerek çevrimiçi yarışmak zorunda kaldı...

Ancak final sonucu her şeyi anlatıyordu... VCS takımı sadece kazanmakla kalmadı, aynı zamanda muhteşem bir zafer de elde etti.

"Son 10 en yüksek puan kategorisini kazandığımızda, tüm takım sevinç ve mutluluktan havaya uçtu, çünkü bu şampiyonanın hiç şüphesiz ikna edici bir zafer olduğunu kanıtlamıştık" - Nguyen Xuan Hoang o anı gururla hatırlıyordu.

Son dört yıldır aralıksız Pwn2Own'a katılan VCS ekibi, ilk kez Pwn2Own şampiyonluğunu kazandı. Bu, Zero Day Initiative siber güvenlik kuruluşu tarafından yılda iki kez düzenlenen ve günümüzün en "zorlu" siber güvenlik yarışmalarından biri olan bir yazılım ve tüketici elektroniği saldırı yarışmasıdır.

VCS Direktörü Bay Nguyen Son Hai, Viettel'in 2020'de SmartTV kategorisinde bu "oyun alanında" ilk zaferini kazandığını söyledi. Viettel, 2021'de ilk 5'e girdi. 2022'de ise ikinci oldu. Ve bu yıl ezici bir skorla şampiyonluğu kazandı.

Pwn2Own'da yalnızca dünyanın ünlü siber güvenlik ekipleri değil, aynı zamanda dünyanın dört bir yanındaki büyük üreticiler ve teknoloji şirketleri de yarışıyor. Her sınavda Windows işletim sistemi, Apple, Xiaomi, Samsung telefonlar veya Canon, HP yazıcılar gibi popüler yazılım veya donanım cihazlarıyla ilgili sorular yer alacak.

Takımlar, yazılım ve cihazlardaki bilinmeyen güvenlik açıklarını bulmak için yarışıyor ve bu açıkların canlı olarak nasıl kullanıldığını 30 dakika içinde göstermeleri gerekiyor.

"Rakiplerin sadece diğer güvenlik uzman grupları değil, aynı zamanda Apple, Xiaomi, Canon, TP Link gibi cihaz üreticileri olduğunu neden söyleyebiliriz ki? Çünkü cihazlarında güvenlik açığı olduğu ve müşterilerinin güvenini kaybettiği bilinmekten nefret ediyorlar. Bu cihaz tedarikçilerinin her zaman bir güvenlik ekibi vardır ve ürünlerin kamuoyu önünde rezil olmaması için rekabet başlamadan önce ürünlerindeki hataları düzeltmek için büyük miktarda para ödemeye razıdırlar." diye belirtti VCS ekibinden uzman Nguyen Hong Quang, Tuoi Tre ile.

Bu nedenle, yarışmanın başlangıcından son dakikaya kadar rekabet yoğun olacak. Çünkü takımlar tarafından güvenlik açıklarının keşfedilmesi ve üreticinin yarışma gününden hemen önce bunları aniden yamalaması ve bir takımın tüm çaba ve başarılarını kaybetmesine yol açması oldukça olası.

VCS ekibinin deneyimli Pwn2Own oyuncusu Ngo Anh Huy, "Bu nedenle, performans zamanına yaklaştıkça, keşfettiğimiz güvenlik açıklarının hala var olup olmadığını görmek için gece gündüz vardiyalı çalışarak 'izlemek' ve keşfettiğimiz hataları düzeltip düzeltmediklerini görmek için üreticiyi yakından takip etmek zorunda kaldık" dedi.

Pwn2Own 2023 Toronto yarışması, cep telefonları, akıllı hoparlörler, gözetim sistemleri, ağ bağlantılı depolama sistemleri ve ofis elektroniği gibi kategoriler de dahil olmak üzere donanıma odaklanıyor. Her kategoride 30.000 ila 100.000 dolar arasında değişen ödüller ve cihazın zorluk derecesine ve saldırı gösterisinin tamamlanma seviyesine bağlı olarak 2 ila 10 puan arasında değişen puanlar bulunuyor.

Hem ödül hem de puan açısından en değerli kategori ise, takımların yarışmaya verilen ağ yönlendiricilerinden birinde exploit kodu çalıştırarak yukarıda belirtilen kategorilerdeki bir cihaza saldırmasını gerektiren mash-up kategorisidir ve 100.000 dolar ve 10 puan ödülü kazanır.

Bireysel kategorileri tamamladıktan sonra Xiaomi 13 Pro telefon cihazları, QNAP TS 464 depolama sistemi, Canon imageClass MF753Cdw yazıcı, Sonos Era 100 hoparlör gibi ürünleri başarıyla kullanan VCS takımı, 20 puan alarak şampiyonluğu neredeyse kesinleştirdi çünkü rakip Sea Security, tüm bireysel kategorileri ve kombine kategoriyi tamamladıktan sonra sadece 17.25 puan alabildi.

Artık çok fazla rekabet baskısı yok, ancak final kategorisi VCS mühendislerini hâlâ rahatsız ediyor çünkü geçen yıl bu takımın şampiyonayı kaçırmasının sebebi, karma yarışmadaki puan eksikliğiydi. Ngo Anh Huy, "Bu sefer karma kategoriye girerken, bir sonraki tur için kura çekiminde dezavantajlı olmaya devam ediyoruz. Önceki takımla aynı açığı yakalarsak, puanlarımız silinecek," diye paylaştı. Böyle bir tekrar hatası, VCS'nin geçen yılki Pwn2Own'da birinci olan takımın 2,5 puan gerisinde kalmasına neden oldu.

Huy, "Bu yıl yalnızca yeni güvenlik açıklarını istismar etmeye çalışmadık, aynı zamanda bulunması çok zor ve diğer ekiplerle çakışması zor olan veya bulunması kolay ama istismar edilmesi zor olan güvenlik açıklarını da bilinçli olarak seçtik ve ayrıca birçok yedek planımız vardı. Bu, tüm ekibin üç ay boyunca yürüttüğü yoğun araştırmanın sonucudur," dedi.

Sonuç olarak, VCS takımı kombine kategoride 10/10 puan alarak, ikinciden 12,5 puan fazla alarak toplam 30 puanla genel şampiyonluğu muhteşem ve eksiksiz bir şekilde kazandı.

VCS Direktörü Bay Nguyen Son Hai, "Yeteneklerimizi test etmek için Pwn2Own'ı seçtik çünkü bu, dünyanın önde gelen üreticilerinin en popüler cihazlarının sıkı bir test sürecinden geçtiği bir yarışma," dedi. "Uzman bir araştırma ekibine yatırım yapmak ve kendimizi uluslararası arenada test etmek, VCS'nin insan kaynakları geliştirme çabalarının bir parçası."

VCS ekibinin Pwn2Own 2023 şampiyonluğuna uzanan yolculuğu, uzun ve miras kalan bir yolculuğun sonucudur ve Viettel Group'un bilgi güvenliği alanındaki liderlerinin yıllar önceki vizyonunun canlı bir göstergesidir.

On yıldan fazla bir süre önce, VCS Direktörü Nguyen Son Hai, şu anki Pwn2Own 2023 şampiyon ekibi üyeleriyle aynı yaştayken, Viettel Group'un liderleri bilgi güvenliği alanına yatırım yapmaya kararlıydı.

Viettel, genç bir tarlanın ilk tohumlarını kısa sürede ekti ve sistematik ve stratejik bir şekilde bakımını üstlendi.

VCS'nin derinlemesine araştırma yolculuğu, başlangıçta yalnızca altı kişinin bilgi güvenliği alanında çalıştığı ilk yıllarda başladı. VCS ekibi, 2011 yılından bu yana güvenlik sorunlarını vurgulamak için Viettel Group bünyesindeki birimlerle sahte saldırılar düzenliyor.

Bay Son Hai, "Kritik altyapıları işletmesi nedeniyle Viettel, ağ güvenliğini temel bir unsur olarak gören bir araştırma vizyonuna sahip," dedi. "Ağ güvenliğinde en önemli faktör insanlardır. Dünyanın en iyi ürünlerini yalnızca son kullanıcı olarak kullansak bile, saldırıya uğrama riski hala çok yüksektir. Viettel'in mobil ve internet gibi kritik altyapıları ise dünyanın en büyük gruplarının saldırılarının hedefidir."

Kritik altyapıları korumak için uzman bir ekibe sahip olmak adına VCS, dünya çapında kapasiteye sahip siber güvenlik personeli yetiştirmeyi hedefliyor. Bay Hai, Viettel ve VCS'nin 2015 yılından bu yana 450 öğrenciye eğitim verdiğini ve bunların %5'inin işe devam etmek üzere işe alındığını söyledi.

"Uzmanlardan oluşan bir ekip kurup derinlemesine araştırmalara yatırım yaptıktan sonra, VCS uzman ekibinin hücum becerilerini geliştirmek için yatırım yapmanın yollarını bulmaya devam ediyoruz. Dünya standartlarındaki yarışmalara katılmak da bu amaca hizmet ediyor," dedi Bay Nguyen Son Hai.

VCS, 2013 yılında bilinmeyen, yamalanmamış ve dolayısıyla en pahalı güvenlik açıkları olan sıfırıncı gün güvenlik açıklarını araştırmaya başladı. Anh Huy ve Hong Quang da bu alandaki ilk uzmanlardan ikisiydi. 2015 yılına gelindiğinde, VCS ekibi ilk güvenlik açıklarını tespit etti ve bugüne kadar VCS tarafından tespit edilen güvenlik açığı sayısı 400'e ulaştı.

Hai, "Hiçbir Vietnam işletmesi bu sayıya ulaşmadı, dünyada da pek fazla işletme yok" dedi.

Derinlemesine araştırmalara katılarak eğitim alma fırsatı, VCS'nin yakın zamanda Pwn2Own'da birincilik kazanan siber güvenlik uzmanları için cazip bir iş yeri haline gelmesinin sebebidir. Viettel'i neden seçtiği sorulduğunda Anh Huy, "Deneyimlerime göre, pek çok şirket siber güvenlik araştırmalarına ve araştırma ekiplerine uzun vadeli yatırım yapmaya istekli değil." dedi.

"Özellikle siber güvenlik alanında insan faktörü en önemli unsurdur. Bu nedenle VCS, eğitimin, ekibin geliştirilmesinin ve uluslararası sorunlara her zaman hazır, yüksek nitelikli yeni nesil personelin yetiştirilmesinin öneminin bilincindedir." - VCS Direktörü Nguyen Son Hai vurguladı.

Yarışmaya katılan ekip üyelerini onurlandırmak ve tebrik etmek için düzenlenen törende, Viettel Group Yönetim Kurulu Başkanı ve Genel Müdürü Tao Duc Thang, Viettel'in "beyaz şapkalı hacker'ları" ile gurur duyduğunu ifade etti. "Viettel, VCS ekibinin, büyük Ar-Ge birimlerine sahip dünyanın önde gelen ekipman üreticileriyle 'rekabet ederek' küresel siber güvenlik alanında prestijli bir ödül kazanmasından gurur duyuyor." dedi.

Viettel Group başkanı, "Pwn2Own, her hacker için çok yüksek zorluk seviyesine sahip prestijli bir yarışma. Yarışma, dünyanın en iyi bilgi güvenliği ekiplerine sahip üreticilerin son dakikaya kadar hacker'lara müdahale etmeye hazır olduğu bir 'savaşa' benziyor. Yaş sınırı olmayan, hatta çok uluslu iş birliklerini bile içerebilen bir oyun..." değerlendirmesinde bulundu. Grubun başkanı, "Pwn2Own 2023 şampiyonası, Viettel'i ve Vietnam'ı uluslararası arenada ünlü yaptı" diye gururla belirtti.

Başkan Tao Duc Thang ayrıca siber güvenlik alanının çok büyük olduğunu, Viettel uzmanları için uzun bir yol olduğunu ve önlerinde birçok zorluğun bulunduğunu kabul etti.

Tao Duc Thang, "En üst sıradaki yerimizi korumak kolay değil, bu yüzden daha çok çalışmaya devam etmeli ve büyük hayaller kurmalıyız, Vietnam'ı dünyaya tanıtmak için hayalimizi gerçekleştirmeyi sürekli arzulamalıyız" diye vurguladı.

Viettel Grup Yönetim Kurulu Başkanı ayrıca, önümüzdeki dönemde Grubun, yüksek kalitede insan kaynağı yetiştirmek için özel politikalara sahip olacağını, bu kişilerin güvenle işlerine odaklanmaya devam edebileceklerini söyledi.

Görevi VCS'ye veren Bay Tao Duc Thang, VCS'nin daha fazla güvenlik uzmanı yetiştirmeye devam etmesi gerektiğini vurgulayarak, sadece kuruma değil aynı zamanda ülkeye hizmet edecek ve siber uzayda ulusu koruyacak en iyi temele sahip gelecek nesli yetiştirmeye kararlı olduğunu söyledi.