Güvenlik köyündeki 'altın' çocuklar

"Ye, uyu… deliklerle"

2023, Viettel ekibinin Pwn2Own Yarışması'na katıldığı 4. yıldı ve gerçekten de zafer onlara geldi. İlk yarışma sadece pratik amaçlıydı, ancak ikinci yarışmada (2021) ilk 5'e girdiler ve 2022 yarışmasında şampiyon takıma üzülerek yenilerek ikincilik ödülünü aldılar. Ngo Anh Huy (takım kaptanı) şunları söyledi: "Pwn2Own, dünyanın en büyük ve en prestijli siber saldırı yarışması, güvenlik dünyasının "Dünya Kupası" ve toplam ödülleri milyonlarca ABD dolarına kadar ulaşıyor. Saldırı hedefleri, Microsoft, Apple, Google, Samsung ve Xiaomi gibi önde gelen tedarikçilerin tüm popüler cihaz ve yazılımları...".

Pwn20wn Yarışması Yarışma, 24-27 Ekim 2023 tarihleri ​​arasında Toronto'da (Kanada) gerçekleşti. En genci henüz 20 yaşında olan 14 genç, şampiyonluk hedefine ulaşmaya kararlıydı. Önceki yarışmalarda olduğu gibi birçok güvenlik açığı bulmaya odaklanmak yerine, bu yarışmada genç mühendislerden oluşan grup, çok az kişinin keşfedip faydalandığı hataları arayarak metodik bir strateji geliştirdi. Takım lideri Ngo Anh Huy'un en çok endişe duyduğu ve endişelendiği konulardan biri, üyeleri bir ekip halinde çalışmaya (takım çalışması) nasıl bağlayacaklarıydı. Yarışmadan önceki son 2 hafta boyunca, tüm ekip günde 20 saat çalıştı, neredeyse yerinde yemek yedi ve uyudu, organizasyon komitesine gönderilecek raporları hazırlamak, güncellemeleri kontrol etmek ve güvenlik açıklarını kapatmak zorunda kaldı. Üye Ha Anh Hoang, "Güvenlik açıkları, yarışmadan önce üretici tarafından bulunup kapatılabilir. Bu nedenle, en yüksek puanı almak istiyorsak, genellikle mümkün olduğunca çok güvenlik açığı bulmamız ve yedek saldırı planları hazırlamamız gerekiyor," diye ekledi. Her şey özenle hazırlanmıştı, sadece Kanada'ya yarışmak için yola çıkma gününü bekliyorduk, ancak en üzücü olanı, yarışma gününe yakın bir zamanda tüm takımın hala giriş vizesi alamamış olmasıydı. Hoang, "Takım Viettel, şahsen yarışmak yerine evde kalıp çevrimiçi yarışmak zorunda kaldı. Bu da şahsen yarışmaya kıyasla bir dezavantaj; çünkü cihazı yalnızca kamera aracılığıyla uzaktan kontrol edebiliyoruz. Şahsen yarışırsak, yerinde danışabilir veya organizatörlerden ortaya çıkabilecek durumları derhal kontrol etmelerini isteyebiliriz. Ayrıca, çevrimiçi süreçte makine ve ekipmanlarla ilgili beklenmedik sorunlar yaşanabiliyor..." diye anlattı.

Nefes kesen, ikna edici zafer

3 ay süren "yemek, uyuma ve güvenlik açıklarını bulma" macerasının ardından nihayet Vietnam ekibinin güvenlik açıklarına kısa sürede saldırma becerisini göstermesi gereken zaman geldi. Üye Nguyen Xuan Hoang şunları söyledi: "Diğer güvenlik yarışmalarında genellikle süre sınırı yoktur, ancak bu yarışmada 30 dakika içinde güvenlik açıklarını bulmayı göstermemiz gerekiyor. Pwn2Own, büyük teknoloji şirketlerinden en gelişmiş hedefleri ve cihazları bir araya getiriyor ve en yeni yazılım sürümleriyle yüklü. Ekiplerin görevi, saldırı yönlerini belirlemek ve daha önce keşfedilmemiş güvenlik açıklarını bulmak." Her ekip, her hedef için yalnızca bir kez saldırı yapabilir. Hedef ne kadar zorsa, puan o kadar yüksek olur. Yarışmanın sonunda, en yüksek puanı alan kişi veya kuruluş ödülü kazanacaktır. "En büyük endişemiz, tekrar eden hatalar olması veya üreticinin delikleri zamanında tespit edip yamalamasıydı. Takım üyeleri farklı delikler hazırlamıştı ve kategori için ne kadar çok puanımız varsa, o kadar çok hata yapmamız gerekiyordu. Bu bölümde takım maksimum toplam puanı aldı ve geçen yılki gibi tekrar eden hatalar olmadı, bu da puanlarımızın düşmesine neden oldu. O kadar mutluyduk ki ağladık," dedi Ha Anh Hoang. En heyecanlı kısım SOHO Smashup'ın (küçük ofis ekipmanı) final turuydu. Takımın engeli psikolojikti çünkü geçen yıl şampiyonayı kaçırmışlardı, bu yüzden biraz temkinliydiler. Hatta birkaç kez işler planlandığı gibi gitmedi. Herkes endişeden terliyordu. Üç delik hazırlamış olmalarına rağmen, ilk ikisinde başarısız oldular. Ancak üçüncü seferde başardılar ve sevinç gözyaşlarına boğuldular... Rakipler de Vietnam takımının ısrarlı mücadelesine hayran kaldılar.

T. Tho

Yarışmaya ilk kez katılmasına rağmen Dinh Quang Vu, takımının mobil telefon güvenlik açığı kategorisinde kazanmasına önemli bir katkı sağladı. Bu, yarışmada yeni bir kategori. Vu şunları paylaştı: "Takımımız Samsung ve Xiaomi'den iki mobil cihaz seçti. Yarışma gününden önce oldukça dikkatli bir araştırma yapıp hazırlık yapmış ve üreticinin yamalarını geçmiş olmamıza rağmen, Samsung ile ilk denememizde başarısız olduk. O an kendimi boğulmuş ve kalbim kırılmış hissettim, ancak neyse ki sakin kaldık ve Xiaomi mobil cihaz yarışmasını geçtik." Dünyanın birçok yerinden en güçlü takımların katıldığı 4 gece süren yoğun bir rekabetin ardından, 27 Ekim saat 01:00'de Team Viettel, ikinci sıradaki takımın 12,75 puan önünde toplam 30 puanla yarışmayı başarıyla tamamladı. Genç Vietnamlı mühendisler, kayıtlı 7 kategorinin tamamında mutlak puanlar elde ederek Pwn2Own şampiyonasını ikna edici bir şekilde kazandı ve 180.000 ABD Doları değerindeki ödülü eve götürdü. Hatalı olduğu tespit edilen ürünler arasında Xiaomi 13 Pro, QNAP depolama sistemleri, Canon, HP, Lexmark yazıcılar, Sonos akıllı hoparlörler ve SOHO Smashup yer aldı. Bu zafer, prestijli bir uluslararası turnuvada ilk kez şampiyonluk kazanan Vietnam bilgi güvenliği sektörü için yeni bir dönüm noktası oldu. Pwn2Own'daki ödüllerin yanı sıra, VSC Şirketi'nin genç mühendisleri Microsoft, Oracle, Google, Apache, VMWare gibi önemli bilgi teknolojisi platformları ve sistemlerinde 400'den fazla Sıfır Gün güvenlik açığı keşfetti.

Yeni zirvelere ulaşma arzusu

Yarışmanın ardından "rehavete kapılmayan" ekip, 2024 başlarında Tokyo'da (Japonya) düzenlenmesi planlanan bir sonraki yarışmaya yeni zirvelere ulaşma azmiyle hazırlanmaya başladı. Ha Anh Hoang, "Bugün zafere ulaşmak için adım adım ilerledik, kolaydan zora doğru ilerledik. Ekibin zaferi çok ikna edici, ancak bu yarışmanın rakiplerini göz ardı edemeyiz, çünkü uzmanlık açısından yabancı ekiplerin sahip olduğu ve Viettel ekibinin yapamadığı bazı araştırma alanları ve yetenekler hâlâ mevcut. Ekibin acil hedefi yeni araştırma konuları bulmak, Apple, Google gibi dev tedarikçilerin güvenlik açıklarını tespit etmek... Ve bir sonraki hedef, dünya güvenlik arenasında liderlik etmek." dedi. Uluslararası toplum tarafından tanınan, birçok ünlü teknoloji şirketi tarafından binlerce dolarlık yatırımla çalışmaya davet edilen Vietnam'ın genç güvenlik uzmanlarından biri olan Ngo Anh Huy, hala Viettel Ekibi'nde. Huy, "Benim için bu zorluğun üstesinden gelmek, kendimi kanıtlamak ve güvenlikte yeni bir sıralama elde etmek anlamına gelmiyor. Aynı tutkuyu paylaşan gençlerle bilgi güvenliği sektörü hakkında yeni tarih sayfaları yazmaya devam etmek ve Vietnam'ı uluslararası arenada ünlü kılmak için Vietnam'da kalmak istiyorum," diye paylaştı. Viettel Yönetim Kurulu Başkanı ve Genel Müdürü Albay Tao Duc Thang'a göre, bu doğru cevabı bulmak için bir yarışma değil, "kelimeyi yakala" oyunu gibi, genç mühendislerin dünyanın önde gelen teknoloji ekipmanı tedarikçileri ve üreticileriyle "mücadele etmesi" gerekiyor. Tedarikçilerin arkasında Canon, Xiaomi gibi çok büyük bir grup var... Zafer kolay değil çünkü tedarikçinin son dakikada aniden yamalar yayınlaması ve rakip takımları pasif hale getirip tepki veremez hale getirmesi çok olası. Albay Tao Duc Thang, Pwn2Own 2023 şampiyonluğunun sadece bir başlangıç ​​olduğuna inanıyor. "Beyaz şapkalı hackerlar"ın önündeki yol hâlâ uzun çünkü siber güvenlik alanı çok geniş, siber uzay uçsuz bucaksız ve genç mühendisleri bekleyen birçok zorluk var. Sadece IoT alanında değil, endüstri, enerji, elektrik, güvenlik gibi alanlarda da genç mühendisler kendilerini gösterme fırsatına sahip.