«Ешь, спи с… дырками»

В 2023 году команда Viettel уже в четвертый раз принимает участие в соревновании Pwn2Own, и слава действительно пришла к ним. Если первое соревнование было всего лишь тренировкой, то во втором соревновании (2021) команда вошла в пятерку лучших, а в соревновании 2022 года команда с сожалением проиграла команде-чемпиону, получив второе призовое место. Нго Ань Хуэй (руководитель команды) поделился: «Pwn2Own — это крупнейшее и самое престижное в мире соревнование по кибератакам, «чемпионат мира» по безопасности с общим призовым фондом до миллионов долларов США. Целями атак являются все популярные в мире устройства и программное обеспечение от ведущих поставщиков, таких как Microsoft, Apple, Google, Samsung, Xiaomi...».

Соревнование Pwn20wn, которое пройдет с 24 по 27 октября 2023 года в Торонто (Канада), полны решимости достичь своей цели — выиграть чемпионат. Вместо того чтобы сосредоточиться на поиске множества уязвимостей, как в предыдущих конкурсах, в этом конкурсе группа молодых инженеров выстроила методичную стратегию, ища ошибки, которые мало кто обнаруживал и использовал. Один из вопросов, который больше всего беспокоит руководителя группы Нго Ань Хуэй, — как объединить участников для работы в команде (командная работа). В течение последних 2 недель перед соревнованиями вся команда работала по 20 часов в сутки, практически питаясь и ночуя на месте, готовя отчеты для отправки в оргкомитет, проверяя наличие обновлений и устраняя уязвимости. «Производитель может найти и устранить уязвимости до начала соревнований. Поэтому нам часто приходится находить как можно больше уязвимостей и готовить запасные планы атак, если мы хотим достичь наивысшего результата», — добавил участник Ха Ань Хоанг. Все было тщательно подготовлено, оставалось только дождаться дня отъезда в Канаду на соревнования, но самым прискорбным было то, что незадолго до даты соревнований вся команда так и не получила въездную визу. «Вместо того, чтобы соревноваться лично, команде Viettel пришлось остаться дома и соревноваться онлайн. Это также является недостатком по сравнению с личными соревнованиями, поскольку мы можем проверять оборудование только удаленно с помощью камеры. Если мы соревнуемся лично, мы можем консультироваться на месте или просить организаторов немедленно проверять любые возникающие ситуации. Кроме того, онлайн-процесс может иметь непредвиденные проблемы, связанные с машинами и оборудованием...», - рассказал Хоанг.

Захватывающая, убедительная победа

После 3 месяцев «еды, сна и поиска уязвимостей» наконец настал час G: вьетнамская команда должна продемонстрировать способность атаковать уязвимости безопасности за короткое время. Участник Нгуен Суан Хоанг сказал: «В других соревнованиях по безопасности обычно нет ограничения по времени, но в этом соревновании мы должны продемонстрировать нахождение уязвимостей в течение 30 минут. Pwn2Own объединяет самые передовые цели и устройства от крупных технологических компаний и оснащен последними версиями программного обеспечения. Задача соревнующихся команд — найти направления атак и найти уязвимости, которые никогда не были обнаружены». Каждая команда может взломать одну цель только один раз. Чем сложнее цель, тем выше оценка. По итогам конкурса приз получит человек или организация, набравшие наибольшее количество баллов. «Наше самое большое беспокойство заключается в том, что будут повторяющиеся ошибки или что производитель вовремя обнаружит и залатает дыры. Члены команды подготовили разные дыры. Чем больше у нас очков за категорию, тем больше ошибок нам нужно подготовить. В этом разделе команда получила полные очки, и не было повторяющихся ошибок, как в прошлом году, когда вычитались очки. Мы плакали от радости», — сказал Ха Ань Хоанг. Самым захватывающим этапом стал финальный раунд SOHO Smashup (малое офисное оборудование). Проблема команды носит психологический характер, поскольку в прошлом году они не стали чемпионами, поэтому они немного осторожны. Но даже тогда были времена, когда что-то шло не по плану. Все вспотели от беспокойства. Несмотря на то, что я подготовил 3 лунки, первые 2 раза я провалил. Лишь на третий раз им это удалось, и участники команды разразились радостью... Соперникам также пришлось восхищаться упорной борьбой вьетнамской команды.

Т. То

Несмотря на то, что Дин Куанг Ву впервые участвовал в этом конкурсе, он внес важный вклад, помогая своей команде победить в категории уязвимости мобильных телефонов. Это новая категория, появившаяся в конкурсе. Ву поделился: «Наша команда выбрала 2 мобильных устройства от Samsung и Xiaomi. Хотя мы провели исследование, тщательно подготовились и прошли патчи производителя до дня соревнований, мы провалили первую попытку с Samsung. Ощущение в тот момент было удушающим и душераздирающим, к счастью, мы были спокойны и прошли соревнование, чтобы победить с мобильными устройствами Xiaomi». После 4 ночей напряженной борьбы с сильнейшими командами из многих уголков мира, в 1:00 ночи 27 октября команда Viettel успешно завершила соревнование с общим счетом 30, опередив команду, занявшую второе место, на 12,75 очков. Молодые вьетнамские инженеры убедительно выиграли чемпионат Pwn2Own, набрав максимальные баллы во всех 7 зарегистрированных категориях соревнований и получив приз в размере 180 000 долларов США. К уязвимым продуктам относятся Xiaomi 13 Pro, системы хранения данных QNAP, принтеры Canon, HP, Lexmark, а также интеллектуальные колонки Sonos и SOHO Smashup. Эта победа также знаменует собой новый прорыв для вьетнамской индустрии информационной безопасности, поскольку она впервые выиграла чемпионат на престижном международном турнире. Помимо наград на Pwn2Own, молодые инженеры компании VSC также обнаружили более 400 уязвимостей безопасности нулевого дня основных платформ и систем информационных технологий, таких как Microsoft, Oracle, Google, Apache, VMWare...

Стремление покорить новые вершины

Не останавливаясь на достигнутом, после соревнований команда начала подготовку к следующим соревнованиям, которые должны состояться в Токио (Япония) в начале 2024 года, с решимостью покорить новые вершины. Ха Ань Хоанг признался: «Чтобы достичь сегодняшней победы, мы одерживали победу шаг за шагом, переходя от простого к сложному. Победа всей команды очень убедительна, но мы не можем игнорировать противников этого соревнования, потому что с точки зрения экспертизы, есть некоторые области исследований, некоторые возможности, которые есть у иностранных команд, команда Viettel сделать не может. Ближайшая цель команды — найти новые темы для исследований, найти уязвимости безопасности таких гигантов-поставщиков, как: Apple, Google... А дальнейшая цель — лидировать на мировой арене безопасности». Будучи одним из молодых экспертов по безопасности во Вьетнаме, получивших признание международного сообщества и приглашенных на работу во многие известные технологические компании с зарплатой в тысячи долларов США, Нго Ань Хюй по-прежнему остается в команде Viettel. «Для меня преодоление трудностей — это не только способ самоутвердиться и получить новый рейтинг в сфере безопасности. Я хочу остаться во Вьетнаме, чтобы продолжить писать новые страницы истории в сфере информационной безопасности вместе с молодыми людьми, разделяющими мою страсть, и прославить Вьетнам на международной арене», — поделился Хай. По словам полковника Тао Дык Тханга, председателя совета директоров и генерального директора Viettel, это не соревнование по поиску правильного ответа, а скорее игра «поймай слово», где молодым инженерам предстоит «сразиться» с ведущими мировыми поставщиками и производителями технологического оборудования. За поставщиками стоит очень большая группа, такая как Canon, Xiaomi... Победить нелегко, поскольку в последнюю минуту поставщики могут внезапно выпустить исправления, сделав конкурирующие команды пассивными и неспособными отреагировать. Полковник Тао Дук Тханг сказал, что победа на Pwn2Own 2023 — это только начало. Путь, который предстоит пройти «белым хакерам», еще долог, поскольку сфера кибербезопасности очень обширна, киберпространство огромно, и молодых инженеров ждет множество испытаний. Не останавливаясь только на сфере Интернета вещей, есть также отрасли промышленности, энергетики, электротехники, безопасности... у молодых инженеров есть возможность заявить о себе.