«Золотые» мальчики в деревне безопасности

«Ешь, спи с… дырками»

В 2023 году команда Viettel уже в четвёртый раз участвует в соревновании Pwn2Own, и слава действительно пришла к ним. Если первое соревнование было всего лишь тренировкой, то во втором (2021) команда вошла в пятёрку лучших, а в 2022 году с сожалением уступила команде-чемпиону, заняв второе место. Нго Ань Хуэй (капитан команды) поделился: «Pwn2Own — это крупнейшее и самое престижное в мире соревнование по кибератакам, своего рода «чемпионат мира» по безопасности с общим призовым фондом в несколько миллионов долларов США. Целью атак являются популярные устройства и программное обеспечение от ведущих мировых производителей, таких как Microsoft, Apple, Google, Samsung, Xiaomi...».

Соревнование Pwn20wn Соревнование проходило с 24 по 27 октября 2023 года в Торонто (Канада), 14 молодых людей, самому младшему из которых было всего 20 лет, были полны решимости достичь цели чемпионата. Вместо того, чтобы сосредоточиться на поиске множества уязвимостей, как в предыдущих соревнованиях, в этом соревновании группа молодых инженеров выстроила методичную стратегию, находя ошибки, которые мало кто обнаруживал и использовал. Одной из вещей, которая больше всего беспокоила и волновала руководителя команды Нго Ань Хуя, было то, как объединить участников для работы в команде (командная работа). В последние 2 недели перед соревнованием вся команда работала по 20 часов в день, практически ела и спала на месте, приходилось готовить отчеты для отправки в оргкомитет и проверять обновления для устранения уязвимостей. «Производитель может найти и устранить уязвимости ещё до соревнований. Поэтому нам часто приходится выявлять как можно больше уязвимостей и готовить запасные планы атак, если мы хотим добиться наивысшего результата», — добавил участник Ха Ань Хоанг. Всё было тщательно подготовлено, мы ждали только дня отъезда в Канаду на соревнования, но самым прискорбным было то, что незадолго до даты соревнований вся команда так и не получила въездную визу. «Вместо того, чтобы соревноваться напрямую, команде Viettel пришлось остаться дома и соревноваться онлайн. Это также является недостатком по сравнению с прямыми соревнованиями, поскольку мы можем проверить оборудование только удалённо с помощью камеры. Если же мы соревнуемся напрямую, то можем консультироваться на месте или просить организаторов немедленно проверить любые возникающие ситуации. Кроме того, в онлайн-режиме могут возникнуть непредвиденные проблемы, связанные с техникой и оборудованием...» — рассказал Хоанг.

Захватывающая дух, убедительная победа

После трёх месяцев «еды, сна и поиска уязвимостей», наконец, настал час G: вьетнамская команда должна продемонстрировать способность атаковать уязвимости безопасности за короткое время. Участник Нгуен Суан Хоанг сказал: «В других соревнованиях по безопасности обычно нет ограничения по времени, но в этом соревновании мы должны продемонстрировать способность находить уязвимости в течение 30 минут. Pwn2Own объединяет самые передовые цели и устройства от крупных технологических компаний и оснащён последними версиями программного обеспечения. Задача команд — определить направления атак и найти уязвимости, которые ещё не были обнаружены». Каждая команда может взломать каждую цель только один раз. Чем сложнее цель, тем выше балл. В конце соревнования приз получит человек или организация, набравшая наибольшее количество баллов. «Больше всего нас беспокоят повторные ошибки или то, что производитель вовремя обнаружит и исправит их. Члены команды подготовили разные варианты, и чем больше очков нужно подготовить для каждой категории, тем больше ошибок нужно подготовить. В этом этапе команда набрала максимальное количество баллов, не допустив повторных ошибок, как в прошлом году, за которые снимались баллы. Мы были так счастливы, что плакали», — сказал Ха Ань Хоанг. Самым захватывающим стал финальный раунд, SOHO Smashup (комплекс мелкого офисного оборудования). Препятствием для команды стала психологическая проблема, поскольку в прошлом году они не попали на чемпионат, поэтому действовали осторожно. Несколько раз всё шло не по плану. Все были вспотевшими от волнения. Несмотря на то, что они подготовили три варианта, первые два провалились. Только на третий раз им удалось это сделать, участники команды разразились радостью... Соперники тоже были вынуждены восхищаться упорной борьбой вьетнамской команды.

Т. То

Динь Куанг Ву впервые участвовал в соревновании, но он внёс важный вклад в победу своей команды в категории «Уязвимости мобильных телефонов». Это новая категория в конкурсе. Ву поделился: «Наша команда выбрала два мобильных устройства от Samsung и Xiaomi. Несмотря на то, что мы тщательно изучили вопрос, подготовились и установили патчи производителя до дня соревнований, первая попытка с Samsung провалилась. Мы чувствовали себя ужасно и душераздирающе, но, к счастью, мы не потеряли самообладания и успешно прошли соревнование, победив с мобильным устройством Xiaomi». После четырёх ночей напряжённой борьбы с сильнейшими командами из разных уголков мира, в 1:00 ночи 27 октября команда Viettel успешно завершила соревнование, набрав в общей сложности 30 очков, опередив команду, занявшую второе место, на 12,75 очка. Молодые вьетнамские инженеры уверенно выиграли чемпионат Pwn2Own, набрав абсолютное количество очков во всех 7 заявленных категориях и получив приз в размере 180 000 долларов США. Среди продуктов, в которых были обнаружены ошибки, были Xiaomi 13 Pro, системы хранения данных QNAP, принтеры Canon, HP, Lexmark, умные колонки Sonos и SOHO Smashup. Эта победа также ознаменовала новый прорыв для вьетнамской индустрии информационной безопасности, поскольку страна впервые выиграла чемпионат на престижном международном турнире. Помимо наград на Pwn2Own, молодые инженеры компании VSC также обнаружили более 400 уязвимостей нулевого дня в основных платформах и системах информационных технологий, таких как Microsoft, Oracle, Google, Apache, VMWare и др.

Стремление покорить новые высоты

Не останавливаясь на достигнутом, после соревнований вся команда начала подготовку к следующим соревнованиям, которые пройдут в Токио (Япония) в начале 2024 года, с решимостью покорить новые вершины. Ха Ань Хоанг признался: «Чтобы добиться сегодняшней победы, мы побеждали шаг за шагом, двигаясь от простого к сложному. Победа команды очень убедительна, но мы не можем игнорировать соперников, ведь с точки зрения экспертизы, есть области исследований, некоторые возможности, которые иностранные команды не могут реализовать. Ближайшая цель команды — поиск новых тем для исследований, выявление уязвимостей в системах безопасности таких гигантов, как Apple, Google... А дальнейшая цель — лидерство на мировой арене безопасности». Нго Ань Хюй, один из молодых экспертов по безопасности во Вьетнаме, признанный международным сообществом, приглашенный на работу во многие известные технологические компании с зарплатой в тысячи долларов США, по-прежнему остаётся в команде Viettel. «Для меня преодоление этого испытания — это не только самоутверждение и достижение нового рейтинга безопасности. Я хочу остаться во Вьетнаме, чтобы вместе с молодыми людьми, разделяющими мою страсть, продолжать писать новые страницы истории индустрии информационной безопасности, прославляя Вьетнам на международной арене», — поделился Хёй. По словам полковника Тао Дык Тханга, председателя совета директоров и генерального директора Viettel, это не соревнование в поиске правильного ответа, а, подобно игре «поймай картинку и поймай слово», молодым инженерам предстоит «сразиться» с ведущими мировыми поставщиками и производителями технологического оборудования. За поставщиками стоит очень большая группа компаний, таких как Canon, Xiaomi... Победа дается нелегко, поскольку вполне вероятно, что в последний момент поставщик внезапно выпустит патчи, из-за чего команды-соперники будут пассивны и не смогут отреагировать. Полковник Тао Дык Тхан считает, что чемпионский титул Pwn2Own 2023 — это только начало. Путь, который предстоит «белым хакерам», ещё долог, поскольку сфера кибербезопасности очень обширна, киберпространство огромно, и молодых инженеров ждёт множество вызовов. Сфера не ограничивается только Интернетом вещей, но и промышленностью, энергетикой, электроснабжением, безопасностью... У молодых инженеров есть возможность проявить себя.