Am 27. Oktober um 1:00 Uhr morgens brach im noch erleuchteten Raum der Viettel Cyber Security Company (VCS) bei 14 Mitgliedern des VCS-Teams die Freude aus: Das Team hat die Meisterschaft des weltweit größten und prestigeträchtigsten Cyberangriffswettbewerbs Pwn2Own 2023 gewonnen.
Es war nicht nur das erwartete Ergebnis dreimonatiger ununterbrochener Arbeit des gesamten Teams Tag und Nacht und eines harten Wettbewerbs gegen die stärksten Gegner aus aller Welt !
Das ist nicht nur die erste süße Frucht für das jüngste Mitglied des Teams, Do Anh Dung, Jahrgang 2003, derzeit Student im dritten Jahr an der University of Technology (VNU)!
Es ist nicht nur der Wunsch, die höchste Position im Wettbewerb zu erreichen, den Mitglieder wie Ngo Anh Huy, Nguyen Xuan Hoang, Nguyen Hong Quang... anstreben, die sich seit mehreren Jahren an diesem Turnier versuchen!
Darüber hinaus ist es eine Ehre, dem Land bei einem der prestigeträchtigsten Wettbewerbe der Welt die höchste Platzierung zu verschaffen und damit die Leistungsfähigkeit der Vietnamesen im Bereich der Informationssicherheit und -sicherheit zu bestätigen.
Und vor allem ist es die „süße Frucht“, die aus den Samen geerntet wurde, die Viettel vor vielen Jahren beharrlich gepflanzt hat. Bis heute kann Viettel mit VCS und einem Team von Informationssicherheitsexperten stolz darauf sein, eines der weltweit führenden Unternehmen im Bereich Informationssicherheit und -schutz zu sein.
Die 14 Mitglieder des VCS-Teams, das die Pwn2Own-Meisterschaft 2023 gewonnen hat, sind alle sehr jung. Die meisten Mitglieder stammen aus der 9x-Generation, das jüngste Mitglied wurde erst 2003 geboren.
Die meisten Teammitglieder sind jedoch seit vielen Jahren im Einsatz und verfügen über umfangreiche Erfahrung und Erfolge im Bereich Informationssicherheit. Selbst das jüngste Teammitglied, Do Anh Dung, hat sich bereits durchgesetzt: Dung ist derjenige, der in diesem Wettbewerb ein Wunder vollbracht und eine Kategorie gewonnen hat, die zum Gesamtergebnis des gesamten Teams beiträgt.
Am Ende der Finalrunde am Abend des 27. Oktober errang das Team von Viettel Cyber Security (VCS) mit 30 Master of Pwn-Punkten offiziell den höchsten Sieg, sodass der Abstand zum zweitplatzierten Team 12,75 Punkte beträgt.
Mit diesem überzeugenden Ergebnis sicherte sich VCS den Meistertitel gegen zahlreiche internationale Gegner, die als starke Kandidaten für den Turniersieg gelten, wie beispielsweise Sea Security (Singapur), Vupen, Synacktiv (Frankreich) und Devcore (Taiwan – letztjähriges Meisterteam)...
VCS-Teammitglied Ha Anh Hoang berichtete über die Herausforderungen bei der Vorbereitung auf den Wettbewerb: „Drei Monate vor dem Wettbewerb gab das Organisationskomitee die zu erobernde Ausrüstung bekannt. Die Vorbereitungszeit betrug daher nur drei Monate, da das Team zu diesem Zeitpunkt gerade die Forschungsausrüstung erworben hatte. Viele Geräte mussten aus dem Ausland importiert werden, und es dauerte einen ganzen Monat, bis sie in Vietnam eintrafen.“
Nguyen Xuan Hoang, ein weiteres Teammitglied, meint dazu: „Die Teilnehmer des Wettbewerbs sind schon seit langer Zeit dabei. Sie verfügen über umfangreiche Erfahrung und sind sowohl in wirtschaftlicher als auch in beruflicher Hinsicht sehr stark. Das VCS-Team ist zu dem Schluss gekommen, dass wir mit größter Sorgfalt, Solidarität und einer geeigneten Wettbewerbsstrategie in den Wettbewerb gehen müssen, um in diesem Jahr den größtmöglichen Erfolg zu erzielen.“
Hoang fügte hinzu, dass das VCS-Team im vergangenen Jahr den zweiten Platz in diesem Wettbewerb belegte und mit einem Ergebnis, das dem des Meisterteams sehr nahe kam, nur 2,5 Punkte hinterherhinkte. Daher ist das Team entschlossen, in diesem Jahr die Meisterschaft anzustreben.
Doch der Weg zur Meisterschaft ist nicht einfach: Die Angriffsziele in diesem Wettbewerb sind alle gängigen Geräte und Softwareprogramme der Welt, von führenden Herstellern wie Microsoft, Apple, Google, Samsung... – teilte Nguyen Xuan Hoang mit.
Um die Anforderungen des Wettbewerbs zu erfüllen, musste das Gerät in den USA bestellt werden. Doch in einem Moment der Unachtsamkeit ging das Gerät kaputt, weil es eine für den US-Markt geeignete 110-V-Stromquelle verwendete, während in Vietnam 220 V verwendet werden.
Laut Ngo Anh Huy, einem Mitglied, das bereits viermal an diesem Wettbewerb teilgenommen hat, besteht die größte Angst des Teams darin, dass es zu doppelten Fehlern kommt oder dass der Hersteller nicht rechtzeitig die vom Team gemeldeten Sicherheitslücken schließt. Im vergangenen Jahr erreichte Viettels Team nur den zweiten Platz, da ihm für eine doppelte Sicherheitslücke Punkte abgezogen wurden.
Darüber hinaus kam die Herausforderung in letzter Minute: Aufgrund der Verzögerung bei der Visaerteilung konnte das gesamte Team nicht rechtzeitig nach Toronto (Kanada) reisen, um live anzutreten. Stattdessen mussten die 14 Mitglieder des VCS-Teams online antreten und sich große Sorgen über mögliche Probleme machen, die während des Wettbewerbs nicht gelöst werden konnten.
Aber das Endergebnis sagte alles … Das VCS-Team hat nicht nur gewonnen, sondern auch einen spektakulären Sieg errungen.
„Als wir die zehn Finalisten der Kategorie mit der höchsten Punktezahl gewannen, brach im gesamten Team Freude und Glück aus, weil wir bewiesen hatten, dass diese Meisterschaft ohne Zweifel ein überzeugender Sieg war“, erinnerte sich Nguyen Xuan Hoang stolz an diesen Moment.
Nachdem das VCS-Team in den letzten vier Jahren kontinuierlich an Pwn2Own teilgenommen hatte, gewann es nun zum ersten Mal die Pwn2Own-Meisterschaft. Dabei handelt es sich um einen Angriffswettbewerb für Software und Unterhaltungselektronik, der zweimal jährlich von der Cybersicherheitsorganisation Zero Day Initiative veranstaltet wird und zu den „schwierigsten“ Cybersicherheitswettbewerben der Welt zählt.
Herr Nguyen Son Hai, Direktor von VCS, sagte, dass Viettel 2020 in der Kategorie SmartTV seinen ersten Sieg auf diesem „Spielplatz“ errang. 2021 schaffte es Viettel in die Top 5. 2022 belegte das Unternehmen den zweiten Platz. Und in diesem Jahr gewann das Unternehmen mit einem überwältigenden Ergebnis die Meisterschaft.
An Pwn2Own nehmen nicht nur namhafte Cybersicherheitsteams weltweit teil, sondern auch große Hersteller und Technologiekonzerne aus aller Welt. Jede Prüfung enthält Fragen zu gängigen Software- und Hardwaregeräten wie Windows-Betriebssystemen, Apple-, Xiaomi- und Samsung-Smartphones oder Canon- und HP-Druckern.
Die Teams konkurrieren darum, unbekannte Sicherheitslücken in Software und Geräten zu finden und müssen innerhalb von 30 Minuten die Live-Ausnutzung dieser Lücken demonstrieren.
„Warum können wir sagen, dass die Gegner nicht nur andere Sicherheitsexpertengruppen sind, sondern auch Gerätehersteller wie Apple, Xiaomi, Canon, TP Link …? Weil sie es hassen, wenn bekannt wird, dass ihre Geräte Schwachstellen haben, und dadurch das Vertrauen der Kunden verlieren. Diese Gerätehersteller haben immer ein Sicherheitsteam und sind bereit, große Summen zu zahlen, um die Fehler in ihren Produkten zu beheben, bevor der Wettbewerb stattfindet, damit die Produkte nicht vor der Öffentlichkeit bloßgestellt werden“, erklärte Experte Nguyen Hong Quang, ein Mitglied des VCS-Teams, gegenüber Tuoi Tre .
Daher wird der Wettbewerb von Anfang bis Ende intensiv sein. Denn es ist durchaus möglich, dass die von den Teams entdeckten Schwachstellen kurz vor dem Wettkampftag vom Hersteller unerwartet behoben werden, wodurch ein Team seine gesamten Bemühungen und Erfolge zunichte macht.
Daher mussten wir „kurz vor der Aufführung Tag und Nacht arbeiten, um zu „wachen“, ob die von uns entdeckten Schwachstellen noch immer existierten, und den Hersteller genau beobachten, um zu sehen, ob er die von uns entdeckten Fehler behoben hatte“, sagte Ngo Anh Huy, ein erfahrener Pwn2Own-Spieler des VCS-Teams.
Der Pwn2Own 2023 Toronto-Wettbewerb konzentriert sich auf Hardware, darunter Mobiltelefone, Smart Speaker, Überwachungssysteme, vernetzte Speichersysteme und Büroelektronik. In jeder Kategorie gibt es Preise zwischen 30.000 und 100.000 US-Dollar und eine Punktzahl von 2 bis 10 Punkten, abhängig vom Schwierigkeitsgrad des Geräts und dem Grad der Vollständigkeit der Angriffsdemonstration.
Die wertvollste Kategorie hinsichtlich Preis und Punkten ist die letzte Kategorie, Mash-up. Hier müssen die Teams Exploit-Code auf einem der Netzwerkrouter des Wettbewerbs ausführen und so ein Gerät in den zuvor genannten Kategorien angreifen. Der Preis ist mit 100.000 US-Dollar und 10 Punkten dotiert.
Nach dem Absolvieren der einzelnen Kategorien und dem erfolgreichen Angriff auf das Xiaomi 13 Pro-Telefon, das QNAP TS 464-Speichersystem, den Canon imageClass MF753Cdw-Drucker und den Sonos Era 100-Lautsprecher erzielte das VCS-Team 20 Punkte und war sich damit fast sicher, die Meisterschaft zu gewinnen, da der Gegner Sea Security nach Absolvieren aller Einzelkategorien und der kombinierten Kategorie nur 17,25 Punkte erzielte.
Der Wettbewerbsdruck ist zwar nicht mehr so groß, doch die letzte Kategorie beschäftigt die VCS-Ingenieure immer noch, denn die fehlenden Punkte im Mash-up-Wettbewerb sind der Grund dafür, dass das Team im letzten Jahr die Meisterschaft verpasst hat. „Da wir dieses Mal in der Smash-up-Kategorie antreten, sind wir bei der Auslosung für die nächste Runde weiterhin im Nachteil. Wenn wir die gleiche Lücke wie das vorherige Team haben, werden uns Punkte abgezogen“, erklärte Ngo Anh Huy. Ein solcher doppelter Fehler führte dazu, dass VCS im letztjährigen Pwn2Own 2,5 Punkte hinter dem erstplatzierten Team lag.
„In diesem Jahr haben wir nicht nur versucht, neue Schwachstellen auszunutzen, sondern auch bewusst Schwachstellen ausgewählt, die sehr schwer zu finden und schwer mit anderen Teams zu überlappen waren, oder die leicht zu finden, aber schwer auszunutzen waren, und wir hatten viele Backup-Pläne. Dies ist das Ergebnis dreimonatiger konzentrierter Forschung des gesamten Teams“, sagte Huy.
Infolgedessen erreichte das VCS-Team 10/10 Punkte in der kombinierten Kategorie und gewann die Gesamtmeisterschaft mit einer Gesamtpunktzahl von 30, wobei es den Zweitplatzierten um 12,5 Punkte übertraf und einen spektakulären und vollständigen Sieg errang.
„Wir haben uns für Pwn2Own entschieden, weil es sich um einen Wettbewerb mit den beliebtesten Geräten der Welt führender Hersteller mit strengen Testverfahren handelt“, sagte Nguyen Son Hai, Direktor von VCS. „Die Investition in ein spezialisiertes Forschungsteam und der internationale Wettbewerb sind Teil der Personalentwicklungsbemühungen von VCS.“
Der Weg des VCS-Teams zur Pwn2Own-Meisterschaft 2023 ist das Ergebnis einer langen Reise, ein Vermächtnis, eine lebendige Demonstration der Vision der führenden Köpfe der Viettel Group im Bereich Informationssicherheit vor vielen Jahren.
Vor über einem Jahrzehnt, als VCS-Direktor Nguyen Son Hai noch im gleichen Alter war wie die Mitglieder des Pwn2Own 2023-Meisterschaftsteams, waren die Führungskräfte der Viettel Group entschlossen, in den Bereich Informationssicherheit zu investieren.
Die ersten Samen für ein junges Feld wurden bald gepflanzt und von Viettel systematisch und strategisch gepflegt.
Die intensive Forschungsarbeit von VCS begann bereits in den Anfangsjahren, als zunächst nur sechs Mitarbeiter an der Informationssicherheit arbeiteten. Seit 2011 führt das VCS-Team simulierte Angriffe auf Einheiten der Viettel-Gruppe durch, um Sicherheitslücken aufzuzeigen.
„Viettel betreibt kritische Infrastrukturen und verfolgt eine Forschungsvision, die Netzwerksicherheit als einen Eckpfeiler betrachtet“, so Son Hai. „Bei der Netzwerksicherheit ist der Mensch der wichtigste Faktor. Selbst wenn man die weltweit besten Produkte nutzt, aber nur als Endnutzer, ist das Angriffsrisiko sehr hoch. Gleichzeitig sind Viettels kritische Infrastrukturen wie Mobilfunk und Internet das Ziel von Angriffen der größten Konzerne der Welt.“
Um ein Expertenteam zum Schutz kritischer Infrastrukturen aufzubauen, strebt VCS die Ausbildung von Cybersicherheitspersonal mit einer Kapazität an, die der weltweiten entspricht. Von 2015 bis heute haben Viettel und VCS 450 Studenten ausgebildet, von denen 5 % der am besten geeigneten Mitarbeiter eingestellt wurden, um weiter zu arbeiten, sagte Herr Hai.
„Nachdem wir ein Expertenteam aufgebaut und in umfassende Forschung investiert haben, suchen wir weiterhin nach Möglichkeiten, die Angriffsfähigkeiten des VCS-Expertenteams zu verbessern. Auch die Teilnahme an Weltklasse-Wettbewerben dient diesem Zweck“, sagte Herr Nguyen Son Hai.
VCS begann 2013 mit der Erforschung von Zero-Day-Schwachstellen. Diese Schwachstellen waren unbekannt, ungepatcht und daher besonders kostspielig. Anh Huy und Hong Quang waren zwei der ersten Experten. Bereits 2015 entdeckte das VCS-Team die ersten Schwachstellen. Bis heute hat VCS 400 gefunden.
„Kein vietnamesisches Unternehmen hat eine solche Zahl erreicht, und nicht viele auf der Welt“, erklärte Herr Hai.
Die Möglichkeit, sich durch die Teilnahme an intensiver Forschung weiterzubilden, macht VCS zu einem attraktiven Arbeitgeber für Cybersicherheitsexperten, die gerade den ersten Platz bei Pwn2Own belegt haben. Auf die Frage, warum er sich für Viettel entschieden habe, antwortete Anh Huy: „Meiner Erfahrung nach sind nicht viele Unternehmen bereit, langfristig in Cybersicherheitsforschung und Forschungsteams zu investieren.“
„Gerade im Bereich der Cybersicherheit ist der menschliche Faktor von größter Bedeutung. Daher ist VCS stets darauf bedacht, das Team zu schulen, zu verbessern und die nächste Generation hochqualifizierter Mitarbeiter aufzubauen, die stets für internationale Herausforderungen bereit sind“, betonte VCS-Direktor Nguyen Son Hai.
Bei der Zeremonie zur Ehrung und Gratulation der am Wettbewerb teilnehmenden Teammitglieder brachte Tao Duc Thang, Vorsitzender und Generaldirektor der Viettel Group, seinen Stolz auf die „White Hat Hacker“ von Viettel zum Ausdruck. Er bekräftigte: „Viettel ist stolz darauf, dass das VCS-Team den prestigeträchtigen Preis im Bereich der globalen Netzwerksicherheit gewonnen hat und sich dabei mit den weltweit führenden Geräteherstellern mit großen Forschungs- und Entwicklungsabteilungen messen konnte.“
Der Leiter der Viettel Group bewertete: „Pwn2Own ist ein prestigeträchtiger Wettbewerb mit einem sehr hohen Schwierigkeitsgrad für jeden Hacker. Der Wettbewerb ist vergleichbar mit einem ‚Kampf‘ mit Herstellern, die über die weltweit besten Teams für Informationssicherheit verfügen, die bis zur letzten Minute bereit sind, auf Hackerangriffe zu reagieren. Ein Spiel ohne Altersbeschränkung, das sogar multinationale Zusammenarbeit beinhalten kann …“ Daher sagte Herr Tao Duc Thang: „Die Pwn2Own-Meisterschaft 2023 hat Viettel und Vietnam auf internationaler Ebene berühmt gemacht“, sagte der Vorsitzende der Gruppe stolz.
Der Vorsitzende Tao Duc Thang räumte auch ein, dass das Feld der Cybersicherheit riesig sei, ein langer Weg für die Experten von Viettel bevorstehe und viele Herausforderungen bevorstünden.
„Es ist nicht einfach, die Top-1-Position zu halten. Deshalb müssen wir weiterhin härter arbeiten und große Träume haben. Wir müssen ständig danach streben, Träume in die Realität umzusetzen, um Vietnam der Welt näherzubringen“, betonte Herr Tao Duc Thang.
Der Vorsitzende der Viettel Group teilte außerdem mit, dass die Gruppe in der kommenden Zeit spezifische Strategien zur Ausbildung hochqualifizierter Mitarbeiter verfolgen werde, damit diese sich weiterhin voller Selbstvertrauen ihrer Arbeit widmen könnten.
Als er VCS die Aufgabe übertrug, betonte Herr Tao Duc Thang, dass VCS weiterhin mehr Sicherheitsexperten ausbilden müsse und entschlossen sei, die nächste Generation mit den besten Grundlagen auszubilden, damit sie nicht nur dem Unternehmen, sondern auch dem Land dienen und die Nation im Cyberspace schützen könne.
Kommentar (0)