Vượt qua các cao thủ đến từ các tập đoàn công nghệ danh tiếng, những chuyên gia bảo mật hàng đầu, các kỹ sư trẻ của Công ty An ninh mạng Viettel đă lên ngôi vô địch Cuộc thi tấn công mạng uy tín và lớn nhất thế giới Pwn2Own 2023, đưa tên tuổi "hacker mũ trắng" Việt Nam bay xa toàn cầu...
"Ăn, ngủ cùng… lỗ hổng"
2023 là năm thứ 4, đội Viettel tham dự Cuộc thi Pwn2Own và vinh quang mới thực sự đến với họ. Nếu như ở lần thi đầu chỉ mang tính cọ xát, th́ ở lần thi thứ 2 (năm 2021) đội đă vào top 5 và ở cuộc thi năm 2022, đội thua sát nút đội vô địch trong tiếc nuối, nhận giải nh́.
Ngô Anh Huy (đội trưởng) chia sẻ: "Pwn2Own là cuộc thi tấn công mạng uy tín và lớn nhất thế giới, là "World Cup" của giới bảo mật với tổng giải thưởng lên đến hàng triệu USD. Các mục tiêu tấn công đều là những thiết bị, phần mềm phổ biến trên thế giới, đến từ những nhà cung cấp hàng đầu như Microsoft, Apple, Google, Samsung, Xiaomi...".
Hà Anh Hoàng (trái) và Nguyễn Xuân Hoàng (phải) đại diện Team Viettel sang Canada nhận cúp và phần thưởng 180.000 USD
Cuộc thi Pwn2Own diễn ra từ ngày 24 - 27.10.2023 tại Toronto (Canada), 14 chàng trai, người trẻ nhất chỉ mới 20 tuổi đă quyết tâm đạt mục tiêu vô địch. Thay v́ tập trung đi t́m nhiều lỗ hổng như các lần thi trước, ở cuộc thi này, nhóm kỹ sư trẻ đă xây dựng chiến thuật bài bản, t́m những lỗi ít người phát hiện và khai thác. Một trong những điều mà đội trưởng Ngô Anh Huy băn khoăn và lo lắng nhất chính là làm sao kết nối các thành viên để làm việc nhóm (teamwork).
Trong 2 tuần cuối cùng trước cuộc thi, cả đội làm việc 20 tiếng/ngày, gần như ăn ngủ tại chỗ, vừa phải chuẩn bị báo cáo gửi ban tổ chức vừa phải kiểm tra cập nhật vá lỗ hổng. "Các lỗ hổng hoàn toàn có thể bị nhà sản xuất t́m thấy và cập nhật bản vá trước thời điểm diễn ra cuộc thi. V́ vậy chúng tôi thường phải t́m ra càng nhiều lỗ hổng càng tốt, đồng thời chuẩn bị các phương án tấn công dự pḥng nếu muốn đạt điểm số cao nhất", thành viên Hà Anh Hoàng cho biết thêm.
Mọi khâu đă chuẩn bị kỹ càng, chỉ chờ ngày lên đường sang Canada thi đấu, nhưng điều đáng tiếc nhất là gần đến ngày thi, cả đội vẫn không nhận được visa nhập cảnh. "Thay v́ thi đấu trực tiếp, Team Viettel đành ở nhà thi đấu online. Đây cũng là một bất lợi so với thi đấu trực tiếp là chỉ có thể kiểm tra thiết bị từ xa qua camera. Nếu thi đấu trực tiếp, bọn ḿnh có thể hội ư ngay tại chỗ hoặc có thể yêu cầu ban tổ chức kiểm tra ngay những t́nh huống phát sinh. Ngoài ra, quá tŕnh online có thể xảy ra những trục trặc bất ngờ liên quan đến máy móc, thiết bị…", Hoàng kể lại.
Chiến thắng nghẹt thở, đầy thuyết phục
Sau 3 tháng "ăn, ngủ và đi t́m lỗ hổng", cuối cùng, giờ G cũng điểm, đội Việt Nam phải tŕnh diễn được khả năng tấn công lỗ hổng bảo mật trong thời gian ngắn. Thành viên Nguyễn Xuân Hoàng cho biết: "Ở cuộc thi bảo mật khác thường không bị giới hạn về thời gian, c̣n cuộc thi này bọn ḿnh phải tŕnh diễn t́m lỗ hổng trong ṿng 30 phút. Pwn2Own quy tụ những mục tiêu, thiết bị tiên tiến nhất của các hăng công nghệ lớn và được cài đặt phiên bản phần mềm mới nhất. Nhiệm vụ của các đội thi t́m hướng tấn công và t́m ra các lỗ hổng chưa từng được phát hiện".
Mỗi đội chỉ được hack 1 lần đối với mỗi mục tiêu. Mục tiêu càng khó điểm càng cao. Kết thúc cuộc thi, cá nhân, tổ chức nào có điểm cao nhất sẽ đạt giải thưởng. "Lo lắng nhất của bọn ḿnh là bị trùng lỗi hoặc nhà sản xuất đă phát hiện kịp thời vá lỗ hổng. Các bạn trong nhóm đă chuẩn bị các lỗ hổng khác nhau, đối với hạng mục càng nhiều điểm bọn ḿnh phải chuẩn bị càng nhiều lỗi. Phần này đội nhận tổng điểm tối đa, không bị trùng lỗ hổng như năm ngoái bị trừ điểm. Mừng rơi nước mắt", Hà Anh Hoàng nói.
Hồi hộp nhất là phần thi cuối cùng SOHO Smashup (thiết bị văn pḥng nhỏ). Trở ngại với đội là vấn đề tâm lư, do họ đă bỏ lỡ chức vô địch năm ngoái nên tâm thế hơi thận trọng. Thậm chí, có một vài thời điểm mọi chuyện không đi đúng như dự tính. Ai cũng vă mồ hôi lo lắng. Dù đă chuẩn bị 3 lỗ hổng, nhưng 2 lần đầu đều tŕnh diễn hỏng. Phải đến lần thứ 3 mới thành công, các thành viên mới ̣a lên sung sướng... Các đối thủ cũng phải thán phục trước sự chiến đấu bền bỉ của đội Việt Nam.
Lần đầu tham gia cuộc thi, nhưng Đinh Quang Vũ đă có đóng góp quan trọng giúp đội chiến thắng ở hạng mục lỗ hổng trên điện thoại di động. Đây là hạng mục mới xuất hiện trong cuộc thi. Vũ chia sẻ: "Đội ḿnh chọn 2 thiết bị di động của Samsung và Xiaomi. Mặc dù đă nghiên cứu, chuẩn bị khá kỹ và đă vượt qua các bản vá của nhà sản xuất trước ngày thi, nhưng lại thất bại ở lần thử đầu tiên với Samsung. Cảm giác lúc đó nghẹt thở và đau tim, rất may, anh em đă b́nh tĩnh và vượt qua phần thi chiến thắng ở thiết bị di động Xiaomi".
Sau 4 đêm quyết chiến căng thẳng với các đội mạnh nhất đến từ nhiều nơi trên thế giới, 1 giờ sáng ngày 27.10, Team Viettel đă hoàn thành xuất sắc các phần thi với tổng điểm 30, bỏ xa đội hạng nh́ 12,75 điểm. Các kỹ sư trẻ Việt Nam giành chức vô địch Pwn2Own một cách thuyết phục, giành điểm số tuyệt đối ở cả 7 hạng mục thi đă đăng kư, mang về giải thưởng 180.000 USD. Các sản phẩm được t́m ra lỗi gồm Xiaomi 13 Pro, hệ thống lưu trữ QNAP, máy in Canon, HP, Lexmark, loa thông minh Sonos và SOHO Smashup. Chiến thắng này đồng thời đánh dấu sự bứt phá mới cho ngành an toàn thông tin Việt Nam khi lần đầu lên ngôi vô địch tại một giải đấu quốc tế danh giá.
Ngoài các giải thưởng tại Pwn2Own, các kỹ sư trẻ của Công ty VSC c̣n phát hiện hơn 400 lỗ hổng bảo mật Zero-day của các nền tảng, hệ thống công nghệ thông tin lớn như Microsoft, Oracle, Google, Apache, VMWare...
Khát vọng chinh phục đỉnh cao mới
Không "ngủ quên trên chiến thắng", sau cuộc thi cả đội lại bắt tay vào chuẩn bị cho cuộc thi tiếp theo dự kiến tổ chức tại Tokyo (Nhật Bản) đầu năm 2024 với những quyết tâm chinh phục các đỉnh cao mới. Hà Anh Hoàng bộc bạch: "Để đi đến chiến thắng ngày hôm nay bọn ḿnh đă chinh phục từng bước một, đi từ dễ đến khó. Chiến thắng của cả đội rất thuyết phục, song không thể bỏ qua các đối thủ của cuộc thi này, bởi xét về chuyên môn, c̣n một số mảng nghiên cứu, một số khả năng đội nước ngoài có, đội Viettel chưa thể làm được. Mục tiêu trước mắt của đội là đi t́m những chủ đề nghiên cứu mới, t́m ra các lỗ hổng bảo mật của các nhà cung cấp khổng lồ như: Apple, Google… Và mục tiêu xa hơn nữa là dẫn đầu trong đấu trường bảo mật thế giới".
Là một trong những chuyên gia bảo mật trẻ của VN được cộng đồng quốc tế công nhận, được rất nhiều công ty công nghệ nổi tiếng mời làm việc với mức lương hàng ngh́n USD, song Ngô Anh Huy vẫn ở lại gắn bó với Team Viettel. "Với ḿnh, chinh phục thử thách không chỉ để khẳng định bản thân, đạt thứ hạng mới về bảo mật, ḿnh muốn ở lại Việt Nam để cùng những người trẻ có cùng đam mê viết tiếp nên những trang sử mới về ngành an toàn thông tin, làm rạng danh Việt Nam ở các đấu trường quốc tế", Huy chia sẻ.
Theo đại tá Tào Đức Thắng, Chủ tịch HĐQT kiêm Tổng giám đốc Viettel, đây không phải là cuộc thi t́m ra lời giải đúng, mà giống như cuộc chơi "đuổi h́nh bắt chữ", các kỹ sư trẻ phải "chiến đấu" với những nhà cung cấp, nhà sản xuất thiết bị công nghệ hàng đầu thế giới. Sau lưng các nhà cung cấp là một tập thể rất lớn như Canon, Xiaomi… Chiến thắng không hề dễ dàng bởi rất có thể ở những phút cuối nhà cung cấp bất ngờ đưa ra những bản vá lỗi, khiến cho các đội thi bị động không kịp trở tay.
Đại tá Tào Đức Thắng cho rằng, thành tích vô địch Pwn2Own 2023 mới chỉ là bước đầu. Chặng đường phía trước của các "hacker mũ trắng" vẫn c̣n dài bởi lĩnh vực an ninh mạng rất rộng lớn, không gian mạng rất là bao la và c̣n nhiều thách thức đang chờ đợi các kỹ sư trẻ ở phía trước. Không chỉ dừng lại lĩnh vực IoT, c̣n có lĩnh vực về công nghiệp, năng lượng, điện, an toàn… các kỹ sư trẻ có cơ hội để khẳng định ḿnh.