«Золоті» хлопці з охоронного містечка

«Їсти, спати з… дірками»

2023 рік – це вже четвертий рік участі команди Viettel у змаганнях Pwn2Own, і слава справді прийшла до них. Якщо перші змагання були просто тренувальними, то у других змаганнях (2021) команда увійшла до п'ятірки найкращих, а у змаганнях 2022 року команда з жалем програла команді-чемпіону, отримавши другий приз. Нго Ань Хюй (капітан команди) поділився: «Pwn2Own – це найбільші та найпрестижніші у світі змагання з кібератаки, «Кубок світу» у світі безпеки із загальним призом до мільйонів доларів США. Цілями атак є всі популярні пристрої та програмне забезпечення у світі від провідних постачальників, таких як Microsoft, Apple, Google, Samsung, Xiaomi...».

Змагання Pwn20wn Змагання проходили з 24 по 27 жовтня 2023 року в Торонто (Канада), 14 юнаків, наймолодшому з яких було лише 20 років, були сповнені рішучості досягти чемпіонської мети. Замість того, щоб зосереджуватися на пошуку багатьох вразливостей, як у попередніх змаганнях, у цих змаганнях група молодих інженерів розробила методичну стратегію, шукаючи помилки, які мало хто виявляв та використовував. Однією з речей, яка найбільше хвилювала та турбувала керівника команди Нго Ань Хюя, було те, як об'єднати учасників для роботи в команді (командна робота). Протягом останніх 2 тижнів перед змаганнями вся команда працювала по 20 годин на день, майже їла та спала на місці, готувала звіти для надсилання до оргкомітету, перевіряла наявність оновлень та виправляла вразливості. «Вразливості може знайти та виправити виробник до початку змагань. Тому нам часто доводиться знаходити якомога більше вразливостей та готувати резервні плани атак, якщо ми хочемо досягти найвищого балу», – додав учасник Ха Ань Хоанг. Все було ретельно підготовлено, чекали лише дня від'їзду до Канади на змагання, але найприкро було те, що ближче до дня змагань вся команда так і не отримала в'їзної візи. «Замість того, щоб змагатися особисто, команда Viettel була змушена залишатися вдома та змагатися онлайн. Це також є недоліком порівняно з особистими змаганнями, а саме те, що ми можемо перевірити пристрій лише дистанційно через камеру. Якщо ми змагаємося особисто, ми можемо проконсультуватися на місці або попросити організаторів негайно перевірити будь-які виниклі ситуації. Крім того, в онлайн-процесі можуть виникнути непередбачені проблеми, пов'язані з машинами та обладнанням...», – розповів Хоанг.

Захоплива, переконлива перемога

Після 3 місяців «їжі, сну та пошуку вразливостей», нарешті, настав час, і в'єтнамська команда повинна продемонструвати здатність атакувати вразливості безпеки за короткий час. Учасник Нгуєн Суан Хоанг сказав: «В інших змаганнях з безпеки зазвичай немає обмежень за часом, але в цих змаганнях ми повинні продемонструвати пошук вразливостей протягом 30 хвилин. Pwn2Own об'єднує найсучасніші цілі та пристрої від провідних технологічних компаній та встановлені з найновішими версіями програмного забезпечення. Завдання команд — знайти напрямки атаки та знайти вразливості, які ніколи не були виявлені». Кожна команда може зламати систему лише один раз для кожної цілі. Чим складніша ціль, тим вищий бал. В кінці змагань приз отримає особа або організація з найвищим балом. «Найбільше нас турбувало, що будуть помилки-дублікати або що виробник вчасно виявив і залатав дірки. Члени команди підготували різні лунки, і чим більше балів нам доводилося підготувати для цієї категорії, тим більше помилок нам доводилося підготувати. У цій частині команда отримала максимальний загальний бал, і не було жодних помилок-дублікатів, як минулого року, що призвело до відрахування балів. Ми були так щасливі, що плакали», – сказав Ха Ань Хоанг. Найцікавішою частиною був фінальний раунд SOHO Smashup (мале офісне обладнання). Перешкодою для команди був психологічний характер, оскільки вони пропустили чемпіонат минулого року, тому були трохи обережними. Було навіть кілька разів, коли все йшло не за планом. Усі пітніли від хвилювання. Хоча вони підготували 3 лунки, перші 2 рази їм це вдалося. Лише на третій раз їм це вдалося, члени команди розплакалися від радості... Суперники також мали захоплюватися наполегливою боротьбою в'єтнамської команди.

Т. Тхо

Хоча Дінь Куанг Ву вперше брав участь у змаганнях, він зробив важливий внесок, допомігши своїй команді перемогти в категорії вразливостей мобільних телефонів. Це нова категорія в змаганнях. Ву поділився: «Наша команда обрала два мобільні пристрої від Samsung та Xiaomi. Хоча ми ретельно досліджували та готувалися, а також пройшли оновлення виробника до дня змагань, ми не змогли пройти першу спробу з Samsung. У той час я відчував себе задушеним і розбитим серцем, але, на щастя, ми заспокоїлися та пройшли змагання з мобільних пристроїв Xiaomi». Після 4 ночей напруженої конкуренції з найсильнішими командами з багатьох куточків світу, о 1 годині ночі 27 жовтня команда Viettel успішно завершила змагання із загальним балом 30, на 12,75 бала випередивши команду, яка посіла друге місце. Молоді в'єтнамські інженери переконливо виграли чемпіонат Pwn2Own, досягнувши абсолютних балів у всіх 7 зареєстрованих категоріях, принісши додому приз у розмірі 180 000 доларів США. Серед продуктів, у яких були виявлені помилки, були Xiaomi 13 Pro, системи зберігання даних QNAP, принтери Canon, HP, Lexmark, розумні колонки Sonos та SOHO Smashup. Ця перемога також ознаменувала новий прорив для в'єтнамської індустрії інформаційної безпеки, оскільки вона вперше виграла чемпіонат на престижному міжнародному турнірі. Окрім нагород на Pwn2Own, молоді інженери компанії VSC також виявили понад 400 вразливостей безпеки Zero-day в основних інформаційно-технологічних платформах та системах, таких як Microsoft, Oracle, Google, Apache, VMWare...

Прагнення підкорювати нові вершини

Не «спочиваючи на лаврах», після змагань вся команда почала готуватися до наступних змагань, запланованих на початок 2024 року в Токіо (Японія), з рішучістю підкорити нові вершини. Ха Ань Хоанг зізнався: «Щоб досягти перемоги сьогодні, ми йшли крок за кроком, переходячи від легкого до складного. Перемога команди дуже переконлива, але ми не можемо ігнорувати суперників у цих змаганнях, тому що з точки зору експертизи, все ще є деякі напрямки досліджень, деякі можливості, які мають іноземні команди, але які команда Viettel не може реалізувати. Найближча мета команди — знайти нові теми досліджень, знайти вразливості безпеки гігантських постачальників, таких як Apple, Google... А подальша мета — стати лідером на світовій арені безпеки». Як один із молодих експертів з безпеки В'єтнаму, визнаний міжнародною спільнотою, запрошений до співпраці з тисячами доларів США багатьма відомими технологічними компаніями, Нго Ань Хюй досі залишається в команді Viettel. «Для мене подолання виклику — це не лише самоствердження та досягнення нового рейтингу в безпеці. Я хочу залишитися у В'єтнамі, щоб продовжувати писати нові сторінки історії індустрії інформаційної безпеки з молодими людьми, які поділяють ту саму пристрасть, роблячи В'єтнам відомим на міжнародній арені», — поділився Хюй. За словами полковника Тао Дик Тханга, голови ради директорів та генерального директора Viettel, це не змагання у пошуку правильної відповіді, а як гра «спіймай слово», молоді інженери повинні «боротися» з провідними світовими постачальниками та виробниками технологічного обладнання. За постачальниками стоїть дуже велика група, така як Canon, Xiaomi... Перемога нелегка, тому що цілком можливо, що в останню хвилину постачальник раптово випустить патчі, що зробить команди-конкуренти пасивними та нездатними реагувати. Полковник Тао Дик Тханг вважає, що чемпіонське досягнення Pwn2Own 2023 — це лише початок. Шлях попереду для «білих хакерів» ще довгий, тому що сфера кібербезпеки дуже велика, кіберпростір величезний, і попереду на молодих інженерів чекає багато викликів. Не лише в галузі Інтернету речей, а й у промисловості, енергетиці, електроенергетиці, безпеці... молоді інженери мають можливість заявити про себе.