Vô địch thế giới cuộc thi tấn công mạng: “Quả ngọt” đến từ sự đầu tư dài hạn-Bài 1: Vô địch thế giới với số điểm tuyệt đối
LTS: Lần đầu tiên một công ty an ninh mạng Việt Nam giành chức vô địch tại cuộc thi Pwn2Own-cuộc thi được ví như giải đấu World Cup của giới bảo mật. Đội ngũ chuyên gia của Công ty An ninh mạng Viettel (Viettel Cyber Security-VCS) thuộc Tập đoàn Công nghiệp-Viễn thông Quân đội (Viettel) đã xuất sắc vượt qua hơn 20 đội thi đến từ 17 quốc gia, vùng lãnh thổ để trở thành nhà vô địch thế giới. Để có được thành quả này, không chỉ nhờ tài năng của các thành viên trong đội thi mà còn là kết quả của sự đầu tư dài hạn trong hơn chục năm qua cho lĩnh vực an ninh mạng của Viettel.
Pwn2Own là cuộc thi tấn công mạng uy tín và lớn nhất thế giới, được Zero Day Initiative (chương trình quốc tế được thiết kế để khen thưởng các nhà nghiên cứu tìm ra lỗ hổng bảo mật) tổ chức thường niên từ năm 2007. Năm nay, Viettel đến cuộc thi với đội hình gồm 14 chuyên gia bảo mật có tuổi đời còn rất trẻ, phần lớn ở thế hệ “gen Z”. Trải qua 7 hạng mục thi đấu, đội Viettel đã giành chức vô địch một cách hết sức thuyết phục khi đạt số điểm tuyệt đối là 30 điểm, hơn đội về nhì 12,75 điểm.
Những đối thủ hàng đầu thế giới
Năm 2023 là lần thứ 6 đội Viettel tham dự cuộc thi Pwn2Own, trước đó, thành tích cao nhất mà đội đạt được là vị trí thứ hai toàn đoàn vào năm 2022. Năm nay, đội hình của Viettel gồm 14 người có tuổi đời còn rất trẻ, thành viên lớn tuổi nhất sinh năm 1989, thành viên nhỏ tuổi nhất sinh năm 2003. Tuy tuổi đời còn trẻ nhưng nhiều thành viên của team Viettel đã là những hacker mũ trắng có “số má” trên bản đồ hacker thế giới như Hà Anh Hoàng (sinh năm 1997), top 100 nhà nghiên cứu an ninh mạng có giá trị nhất thế giới do Microsoft bình chọn (MSRC MVR) trong 4 năm liên tiếp (2020-2023), Nguyễn Xuân Hoàng (sinh năm 1999), top 85 MSRC MVR năm 2023...
Các thành viên của đội Viettel đến từ Công ty An ninh mạng Viettel xuất sắc giành chức vô địch cuộc thi Pwn2Own 2023. Ảnh: THỌ NGUYỄN |
Nói về những khó khăn, thách thức tại cuộc thi, Hà Anh Hoàng cho biết: Đối thủ của đội Viettel trong cuộc thi năm nay đều là những đội thi hàng đầu thế giới trong lĩnh vực an ninh mạng như: VUPEN, Synacktiv (Pháp); Keen Team, Team509, Qihoo 360 (Trung Quốc); DevCore (Đài Loan, Trung Quốc-đội vô địch năm 2022); F-Secure Labs (Phần Lan); STAR Labs, Sea Security (Singapore)... Bên cạnh đó, các mục tiêu tấn công đều là những thiết bị, phần mềm phổ biến trên thế giới của các tập đoàn công nghệ hàng đầu như: Microsoft, Apple, Google, Samsung, Canon, HP... Do đó, ngoài việc phải vượt qua những đội thi rất mạnh trên thế giới thì các thành viên của team Viettel còn phải đối đầu với những chuyên gia hàng đầu của các tập đoàn công nghệ trên, bởi không một thương hiệu lớn nào muốn bị tìm ra lỗ hổng trên thiết bị của họ ngay trước mắt công chúng.
Một thách thức khác là trước cuộc thi 3 tháng, ban tổ chức mới công bố các thiết bị phải chinh phục. Do đó, thời gian chuẩn bị cho cuộc thi của đội không được dài, bên cạnh đó, các thiết bị nghiên cứu theo yêu cầu của ban tổ chức phải đặt mua từ Mỹ chứ không được sử dụng sản phẩm mua tại Việt Nam hay các nước khác nên có những thiết bị phải đợi vài tuần mới được vận chuyển từ Mỹ về Việt Nam để đội nghiên cứu. Ngoài ra, thách thức đến cả vào phút chót khi thủ tục đi nước ngoài bị chậm khiến cả đội không kịp lên đường đến Canada để thi đấu trực tiếp. Thay vào đó, 14 thành viên của đội phải thi đấu tại Việt Nam qua hình thức trực tuyến với bao lo lắng về những trục trặc có thể xảy ra bất cứ lúc nào trong quá trình thi đấu.
Thức trắng đêm nghiên cứu tìm ra lỗ hổng
Ngô Anh Huy (sinh năm 1989), thành viên kỳ cựu nhất của team đã 4 lần tham gia cuộc thi này, chia sẻ: “Đội Viettel đến với cuộc thi năm nay đặt mục tiêu là giành ngôi vô địch. Rút kinh nghiệm cuộc thi năm ngoái khi team đánh rơi chức vô địch hết sức đáng tiếc về tay DevCore (Đài Loan, Trung Quốc) và chỉ về nhì do bị trừ điểm vì có một lỗ hổng trùng với đội khác. Do đó, năm nay, đội Viettel lựa chọn chiến thuật là mỗi thiết bị phải tìm ra 2-3 lỗ hổng, nếu trùng lỗ hổng nào thì sẵn sàng có lỗ hổng khác thay thế. Ngoài ra, đội còn chọn các lỗ hổng rất khó tìm ra và khó trùng với đội khác, hoặc có thể tìm ra nhưng rất khó khai thác. Để tìm ra được các lỗ hổng đó, các thành viên trong đội đã nhiều đêm thức trắng mày mò nghiên cứu các thiết bị. Nghiên cứu tìm ra lỗ hổng rồi, có thể xảy ra tình huống những lỗ hổng đó được nhà sản xuất vá lỗi ngay trước ngày thi, khi đó, công sức của cả đội sẽ trở thành vô nghĩa. Do đó, đến gần sát thời điểm thi đấu, chúng tôi phải phân công nhau cả ngày lẫn đêm canh xem lỗ hổng mà mình phát hiện ra còn tồn tại không hay đã được nhà sản xuất vá lỗi”.
Pwn2Own 2023 có 7 hạng mục thi đấu khác nhau dành cho các thí sinh. Trong đó, phần thi Small Office/Home Office (SOHO) của đội Viettel được thực hiện bởi Đỗ Mạnh Dũng (sinh năm 2003)-thành viên trẻ tuổi nhất của đội. Dũng đã một mình chinh phục phần thi này, trong khi các đội khác phải cần 2-3 thành viên thi đấu. Để đạt được số điểm tối đa 6 điểm ở phần thi SOHO, Dũng đã ròng rã hai tháng trời nghiên cứu để tìm ra lỗ hổng mà Dũng tự tin cho rằng lỗ hổng đó rất khó trùng với đội khác. Và quả thật, Dũng đã chiến thắng phần thi một cách thuyết phục. Đặc biệt hơn, Dũng hiện là sinh viên thực tập tại VCS, điều này mang đến niềm hy vọng lớn vào thế hệ trẻ đầy tài năng và bản lĩnh...
Sau nhiều phần thi căng thẳng, hơn 1 giờ ngày 27-10-2023, 14 thành viên của đội Viettel đã vỡ òa cảm xúc khi nhận được kết quả trở thành đội vô địch cuộc thi tấn công mạng uy tín nhất thế giới Pwn2Own 2023. Đó không chỉ là kết quả mong đợi của 3 tháng cả đội liên tục làm việc ngày đêm và kiên cường thi đấu trước những đối thủ mạnh nhất từ khắp thế giới mà còn là niềm vinh quang khi làm rạng danh đất nước trên trường quốc tế, khẳng định năng lực của người Việt trong lĩnh vực an ninh mạng. Và hơn hết, đó là “quả ngọt” thu hoạch từ những hạt mầm mà Viettel đã gieo trồng từ nhiều năm trước.
(còn nữa)