Kurz nach 1 Uhr morgens am 27. Oktober brachen in dem hell erleuchteten Raum der Viettel Cyber Security Company (VCS) die 14 Mitglieder des VCS-Teams in Jubel aus: Das Team hatte die Meisterschaft des weltweit größten und prestigeträchtigsten Cyberangriffswettbewerbs, Pwn2Own 2023, gewonnen.
Dies ist nicht nur das erwartete Ergebnis dreimonatiger, ununterbrochener Arbeit des gesamten Teams rund um die Uhr, sondern auch das Ergebnis eines hartnäckigen Wettbewerbs gegen die stärksten Gegner aus aller Welt !
Dies ist nicht nur die erste süße Belohnung für das jüngste Mitglied des Teams, Do Anh Dung, geboren 2003, die derzeit im dritten Studienjahr an der Technischen Universität (VNU Hanoi) ist!
Es ist nicht nur der Wunsch, die Spitze des Wettbewerbs zu erreichen, für Mitglieder wie Ngo Anh Huy, Nguyen Xuan Hoang, Nguyen Hong Quang… die seit mehreren Jahren in Folge ihr Glück bei diesem Turnier versuchen!
Es war auch ein großartiger Erfolg, den ersten Platz für das Land in einem der renommiertesten globalen Wettbewerbe zu erringen und damit die Fähigkeiten der Vietnamesen auf dem Gebiet der Informationssicherheit zu bestätigen.
Und vor allem sind es die „süßen Früchte“, die aus den Samen geerntet wurden, die Viettel über viele Jahre hinweg beharrlich gesät hat. Heute, mit VCS und seinem Team von Informationssicherheitsexperten, kann Viettel mit Stolz behaupten, zu den weltweit führenden Unternehmen im Bereich Informationssicherheit und -schutz zu gehören.
Alle 14 Mitglieder des VCS-Teams, das die Pwn2Own-Meisterschaft 2023 gewann, sind sehr jung. Die meisten von ihnen gehören der Generation der 90er-Jahre an, das jüngste Mitglied wurde 2003 geboren.
Die meisten Teammitglieder verfügen jedoch über jahrelange Erfahrung und zahlreiche Erfolge im Bereich der Informationssicherheit. Selbst das jüngste Mitglied, Do Anh Dung, hat sein Können unter Beweis gestellt: Dung gelang in diesem Wettbewerb ein kleines Wunder, indem er in einer Kategorie gewann und so zum Gesamtergebnis des Teams beitrug.
Im letzten Wettbewerb der Kategorie, der am Abend des 27. Oktober ausgetragen wurde, sicherte sich das Team von Viettel Cyber Security (VCS) mit 30 Master of Pwn-Punkten offiziell den Gesamtsieg und ließ das zweitplatzierte Team mit 12,75 Punkten deutlich hinter sich.
Mit diesem überzeugenden Ergebnis sicherte sich VCS den Meistertitel vor zahlreichen internationalen Konkurrenten, die als starke Anwärter auf den Turniersieg galten, wie beispielsweise Sea Security (Singapur), Vupen, Synacktiv (Frankreich) und Devcore (Taiwan – Vorjahresmeister)...
Ha Anh Hoang, Mitglied des VCS-Teams, berichtete über die Herausforderungen bei der Vorbereitung auf den Wettbewerb: „Drei Monate vor dem Wettbewerb gaben die Organisatoren lediglich die zu beherrschenden Geräte bekannt. Daher hatten wir nur drei Monate Zeit zur Vorbereitung, da das Team die Geräte erst in diesem Zeitraum zum Üben anschaffen konnte. Viele Geräte mussten aus dem Ausland importiert werden und brauchten Monate, um in Vietnam anzukommen.“
Laut Nguyen Xuan Hoang, einem weiteren Teammitglied, „nehmen an diesem Wettbewerb Teilnehmer teil, die schon lange dabei sind. Sie verfügen über viel Erfahrung, und es gibt sowohl wirtschaftlich als auch fachlich sehr starke Konkurrenten. Team VCS ist fest entschlossen, mit der gründlichsten Vorbereitung, Einigkeit und einer geeigneten Strategie in den diesjährigen Wettbewerb zu gehen, um den größtmöglichen Erfolg zu erzielen.“
Hoang teilte außerdem mit, dass das VCS-Team im letzten Jahr bei diesem Wettbewerb den zweiten Platz belegt hatte und nur 2,5 Punkte hinter dem Sieger lag. Daher ist das Team fest entschlossen, in diesem Jahr die Meisterschaft zu gewinnen.
Doch der Weg zur Meisterschaft ist nicht einfach: Die Angriffsziele in diesem Wettbewerb sind alle weltweit beliebten Geräte und Softwareprodukte führender Hersteller wie Microsoft, Apple, Google, Samsung… - teilte Nguyen Xuan Hoang mit.
Um den Wettbewerbsanforderungen gerecht zu werden, musste das Gerät aus den USA bestellt werden. Ein Moment der Unachtsamkeit führte jedoch zu einer Fehlfunktion, da es mit einem für den US-Markt geeigneten 110-V-Netzteil betrieben wurde, während in Vietnam 220-V-Strom verwendet wird.
Laut Ngo Anh Huy, einem Mitglied, das bereits viermal an diesem Wettbewerb teilgenommen hat, besteht die größte Sorge des Teams darin, dass Sicherheitslücken doppelt auftreten oder dass der Hersteller die vom Team gemeldeten Schwachstellen schnell behebt. Im letzten Jahr belegte das Viettel-Team nur den zweiten Platz, da es wegen einer doppelt aufgetretenen Sicherheitslücke bestraft wurde.
Zudem traten in letzter Minute Schwierigkeiten auf, da sich die Visabestimmungen verzögerten, sodass das gesamte Team nicht rechtzeitig zum Präsenzwettbewerb nach Toronto (Kanada) reisen konnte. Stattdessen mussten die 14 Mitglieder des VCS-Teams online antreten und sich während des Wettkampfs ständig Sorgen über mögliche Probleme machen, die sich möglicherweise nicht rechtzeitig lösen ließen.
Aber das Endergebnis spricht für sich… Das VCS-Team hat nicht nur die Meisterschaft gewonnen, sondern auch einen spektakulären Sieg errungen.
„Als wir in der letzten Top-10-Kategorie gewannen, brach das ganze Team in Freude und Glück aus, weil wir bewiesen hatten, dass diese Meisterschaft ein überzeugender Sieg war, der keinen Raum für Zweifel ließ“, erinnerte sich Nguyen Xuan Hoang stolz an diesen Moment.
Nach vier Jahren Teilnahme an Pwn2Own konnte das VCS-Team endlich zum ersten Mal den Meisterschaftspokal erringen. Dieser zweimal jährlich von der Cybersicherheitsorganisation Zero Day Initiative veranstaltete Wettbewerb im Bereich Software- und Unterhaltungselektronik-Hacking gilt als einer der anspruchsvollsten Cybersicherheitswettbewerbe weltweit.
Herr Nguyen Son Hai, Direktor von VCS, erklärte, dass Viettel 2020 seinen ersten Sieg in diesem Wettbewerb in der Kategorie Smart-TVs errungen habe. 2021 schaffte es Viettel unter die Top 5, 2022 belegte das Unternehmen den zweiten Platz und sicherte sich dieses Jahr mit überwältigender Punktzahl den Meistertitel.
Der Wettbewerb bei Pwn2Own bringt nicht nur renommierte Cybersicherheitsteams aus aller Welt zusammen, sondern auch große globale Hersteller und Technologiekonzerne. Jeder Wettbewerb stellt Herausforderungen im Zusammenhang mit gängigen Software- oder Hardwaregeräten dar, wie beispielsweise dem Windows-Betriebssystem, Smartphones von Apple, Xiaomi und Samsung oder Druckern von Canon und HP.
Die Teams müssen im Wettbewerb bisher unbekannte Sicherheitslücken in Software und Geräten aufspüren und anschließend innerhalb von 30 Minuten live demonstrieren, wie diese Schwachstellen ausgenutzt werden können.
„Warum können wir sagen, dass die Konkurrenten nicht nur andere Sicherheitsexpertengruppen sind, sondern auch Gerätehersteller wie Apple, Xiaomi, Canon, TP-Link usw.? Weil sie es hassen, beschuldigt zu werden, Sicherheitslücken in ihren Geräten zu haben, was das Vertrauen der Kunden untergraben würde. Diese Gerätehersteller verfügen stets über ein Sicherheitsteam und sind bereit, hohe Summen auszugeben, um Fehler in ihren Produkten vor dem Wettbewerb zu beheben, damit ihre Produkte in der Öffentlichkeit nicht in Verruf geraten“, erklärte Nguyen Hong Quang, ein Mitglied des VCS-Teams, gegenüber der Zeitung Tuoi Tre .
Daher wird der Wettbewerb vom Zeitpunkt der Veröffentlichung der Fragen bis zur letzten Minute intensiv sein. Es ist durchaus möglich, dass Teams Fehler entdecken, die die Entwickler jedoch kurz vor dem Wettbewerbstag unerwartet beheben, wodurch ein Team all seine harte Arbeit und seine Erfolge verlieren könnte.
„Deshalb mussten wir, als der Performance-Termin näher rückte, in Tag- und Nachtschichten einteilen, um zu überwachen, ob die von uns entdeckten Schwachstellen noch bestanden, und um die Produzenten genau zu beobachten, um zu sehen, ob sie die von uns gefundenen Fehler behoben hatten“, sagte Ngo Anh Huy, ein erfahrener Pwn2Own-Spieler aus dem VCS-Team.
Der Pwn2Own-Wettbewerb in Toronto 2023 konzentriert sich auf Hardware, darunter Kategorien wie Mobiltelefone, Smart Speaker, Überwachungssysteme, Netzwerkspeichersysteme und Büroelektronik. In jeder Kategorie gibt es Preise zwischen 30.000 und 100.000 Dollar sowie 2 bis 10 Punkte, abhängig vom Schwierigkeitsgrad des Hacking-Vorführungsversuchs.
Der wertvollste Preis, sowohl in Bezug auf die Belohnung als auch auf die Punkte, ist die letzte Kategorie, ein Mash-up. Hierbei müssen die Teams Exploit-Code auf einem der im Wettbewerb bereitgestellten Netzwerkrouter ausführen und dadurch ein Gerät in den zuvor genannten Kategorien angreifen. Der Preis beträgt 100.000 US-Dollar und 10 Punkte.
Nachdem das VCS-Team die Einzelaufgaben erfolgreich abgeschlossen und Xiaomi 13 Pro-Telefone, QNAP TS 464-Speichersysteme, Canon imageClass MF753Cdw-Drucker und Sonos Era 100-Lautsprecher angegriffen hatte, erreichte es 20 Punkte und sicherte sich damit beinahe die Meisterschaft, da der Gegner Sea Security nach Abschluss der Einzel- und Kombinationsaufgaben nur 17,25 Punkte erzielte.
Obwohl der hohe Wettbewerbsdruck nachgelassen hat, bereitet die letzte Kategorie den VCS-Ingenieuren weiterhin Kopfzerbrechen, da ihnen im letzten Jahr aufgrund fehlender Punkte in der Mashup-Challenge der Titel gefehlt hatte. „Dieses Mal waren wir in der Mashup-Kategorie erneut im Nachteil, da wir erst später antreten mussten. Hätten wir denselben Fehler wie das vorherige Team gemacht, hätten wir Punkte verloren“, erklärte Ngo Anh Huy. Dieser Fehler führte dazu, dass VCS im letztjährigen Pwn2Own-Turnier 2,5 Punkte hinter dem Siegerteam lag.
„Dieses Jahr haben wir nicht nur versucht, neue Sicherheitslücken auszunutzen, sondern auch gezielt solche ausgewählt, die sehr schwer zu finden und von anderen Teams wahrscheinlich nicht reproduzierbar sind, oder die zwar leicht zu finden, aber schwer auszunutzen sind und zudem viele Backup-Optionen bieten. Dies ist das Ergebnis dreimonatiger, konzentrierter Forschung des gesamten Teams“, sagte Huy.
Als Ergebnis erzielte das VCS-Team in der Gesamtwertung die Höchstpunktzahl von 10/10 und gewann die Meisterschaft mit insgesamt 30 Punkten. Damit distanzierte es den Zweitplatzierten um 12,5 Punkte und sicherte sich einen spektakulären und vollständigen Sieg.
„Wir haben uns für Pwn2Own entschieden, um unsere Fähigkeiten unter Beweis zu stellen, da es sich um einen Wettbewerb mit den weltweit beliebtesten Geräten führender Hersteller handelt, der strengen Testverfahren unterliegt“, sagte Nguyen Son Hai, Direktor von VCS. „Die Investition in ein spezialisiertes Forschungsteam und die Erprobung unserer Fähigkeiten auf internationaler Ebene sind Teil der Bemühungen von VCS, die personellen Ressourcen weiterzuentwickeln.“
Der Weg des VCS-Teams zur Pwn2Own-Meisterschaft 2023 ist der Höhepunkt eines langen, gipfelnden Unterfangens und ein eindrucksvoller Beweis für die langjährige Vision der Viettel-Gruppe, eine führende Rolle im Bereich der Informationssicherheit einzunehmen.
Vor mehr als einem Jahrzehnt, als VCS-Direktor Nguyen Son Hai im selben Alter war wie die Mitglieder des Pwn2Own 2023-Meisterschaftsteams jetzt, war die Führungsriege der Viettel-Gruppe fest entschlossen, in den Bereich der Informationssicherheit zu investieren.
Die ersten Samen für ein entstehendes Feld wurden frühzeitig von Viettel gesät und erhielten systematische und strategische Investitionen und Pflege.
Die intensive Forschungsarbeit von VCS begann bereits in den Anfangsjahren mit nur sechs Mitarbeitern im Bereich Informationssicherheit. Seit 2011 führt das VCS-Team simulierte Angriffe mit Einheiten innerhalb der Viettel-Gruppe durch, um Sicherheitslücken aufzudecken.
„Da wir kritische Infrastrukturen betreiben, ist die Cybersicherheitsforschung ein zentraler Bestandteil von Viettels Vision“, sagte Herr Son Hai. „Bei der Cybersicherheit sind die Menschen der wichtigste Faktor. Selbst bei Verwendung der weltweit besten Produkte bleibt das Angriffsrisiko für Endnutzer sehr hoch, während kritische Infrastrukturen wie Viettels Mobilfunk- und Internetdienste Ziele von Angriffen der größten Gruppen der Welt sind.“
Um ein Expertenteam zum Schutz kritischer Infrastrukturen aufzubauen, bildet VCS Cybersicherheitsexperten mit Fähigkeiten aus, die internationalen Standards entsprechen. Laut Herrn Hai haben Viettel und VCS seit 2015 450 Studierende ausgebildet, von denen 5 % der geeignetsten Kandidaten für eine Weiterbeschäftigung eingestellt wurden.
„Nachdem wir ein Expertenteam aufgebaut und systematisch in tiefgreifende Forschung investiert haben, suchen wir weiterhin nach Möglichkeiten, die offensiven Fähigkeiten des VCS-Expertenteams zu verbessern. Die Teilnahme an Weltklasse-Wettbewerben dient ebenfalls diesem Ziel“, sagte Herr Nguyen Son Hai.
2013 begann VCS mit der Erforschung von Zero-Day-Schwachstellen – unbekannten und ungepatchten Sicherheitslücken, deren Ausnutzung daher besonders kostspielig ist. Anh Huy und Hong Quang gehörten zu den ersten Spezialisten auf diesem Gebiet. Bis 2015 hatte das VCS-Team seine ersten Schwachstellen entdeckt, und bis heute hat VCS 400 Schwachstellen aufgedeckt.
„Kein vietnamesisches Unternehmen hat bisher eine solche Zahl erreicht, und auch weltweit gibt es nicht viele“, erklärte Herr Hai.
Die Möglichkeit zur Weiterbildung durch intensive Forschungsteilnahme ist der Grund, warum VCS ein attraktiver Arbeitgeber für Cybersicherheitsexperten ist, die gerade den ersten Preis bei Pwn2Own gewonnen haben. Auf die Frage, warum er sich für Viettel entschieden hat, sagte Anh Huy: „Meiner Erfahrung nach sind nicht viele Unternehmen bereit, langfristig in Cybersicherheitsforschung und Forschungsteams zu investieren.“
„Gerade im Bereich der Cybersicherheit ist der Mensch der wichtigste Faktor. Deshalb legt VCS großen Wert auf die Aus- und Weiterbildung seines Teams und den Aufbau nachfolgender Generationen hochqualifizierter Mitarbeiter, die stets bereit sind, internationale Herausforderungen zu meistern“, betonte VCS-Direktor Nguyen Son Hai.
Bei der Preisverleihung gratulierte Tao Duc Thang, Vorstandsvorsitzender der Viettel-Gruppe, den Teammitgliedern zu ihrer Teilnahme am Wettbewerb und äußerte seinen Stolz auf die „White-Hat-Hacker“ von Viettel. Er bekräftigte: „Viettel ist stolz darauf, dass das VCS-Team eine prestigeträchtige Auszeichnung im Bereich der globalen Cybersicherheit gewonnen hat und sich dabei gegen führende globale Gerätehersteller mit großen Forschungs- und Entwicklungsabteilungen durchgesetzt hat.“
Der Chef der Viettel-Gruppe erklärte: „Pwn2Own ist ein prestigeträchtiger Wettbewerb mit einem extrem hohen Schwierigkeitsgrad für jeden Hacker. Er gleicht einem Kampf gegen Hersteller mit erstklassigen IT-Sicherheitsteams, die bis zur letzten Minute bereit sind, Hackerangriffe abzuwehren. Es gibt keine Altersbeschränkung, und sogar multinationale Kooperationen sind möglich.“ Herr Tao Duc Thang fügte daher stolz hinzu: „Der Gewinn der Pwn2Own-Meisterschaft 2023 hat Viettel und Vietnam international große Ehre eingebracht.“
Der Vorsitzende Cao Duc Thang räumte außerdem ein, dass das Gebiet der Cybersicherheit sehr weitläufig sei, ein langer Weg für die Experten von Viettel und dass noch viele Herausforderungen vor ihnen lägen.
„Die Spitzenposition zu halten ist nicht einfach, deshalb müssen wir unsere Fähigkeiten ständig verbessern und große Träume haben, um diese Träume in die Realität umzusetzen und Vietnam der Welt zu präsentieren“, betonte Herr Tao Duc Thang.
Der Vorsitzende der Viettel-Gruppe teilte außerdem mit, dass die Gruppe künftig gezielte Maßnahmen ergreifen werde, um hochqualifizierte Fachkräfte auszubilden, damit diese sich weiterhin unbesorgt ihrer Arbeit widmen können.
Bei der Aufgabenverteilung an VCS betonte Herr Tao Duc Thang, dass VCS weiterhin mehr Sicherheitsexperten ausbilden müsse, wobei der Schwerpunkt darauf liege, die nächste Generation mit der besten Grundlage auszustatten, um nicht nur dem Unternehmen, sondern auch dem Land zu dienen und die Nation im Cyberspace zu schützen.
Kommentar (0)