Bảo Ngân (Công ty An ninh mạng Viettel) đã đăng lúc 14:03 - 12.11.2023
Sau hơn 15 năm tổ chức thường niên bởi Zero Day Initiative, Pwn2Own luôn được biết đến là cuộc thi bảo mật uy tín và lớn nhất thế giới, có tính cạnh tranh cao, đòi hỏi các đội tham gia cần phải có kỹ năng tốt và được chuẩn bị kỹ về mọi mặt. Mặc dù có nhiều tháng để tìm lỗi, thế nhưng thách thức lớn nhất của các đội thi chính là việc trình diễn được khả năng tấn công lỗ hổng đó trong thời gian ngắn.
Pwn2Own: Năm sau khó hơn năm trước
Mặt khác, trước khi cuộc thi diễn ra, nhà sản xuất hoàn toàn có thể tìm thấy lỗ hổng trước và cập nhật bản vá. Bởi vậy, các đội thi không chỉ cần tìm ra một mà phải tìm ra càng nhiều lỗ hổng càng tốt, cùng với đó là chuẩn bị các phương án tấn công dự phòng nhằm đạt điểm số cao nhất trong cuộc thi.
Trong bối cảnh thế giới bước vào cuộc cách mạng 4.0 với những sự thay đổi nhanh chóng, ICT được áp dụng ngày càng rộng khắp trong mọi mặt đời sống, kinh tế, xã hội, cũng bởi vậy mỗi năm cuộc thi Pwn2Own lại có sự điều chỉnh ở các hạng mục thi để phản ánh chân thực sự phát triển của công nghệ, tìm ra rõ hổng bảo mật mang tính thực tế, quan trọng. Với độ khó tăng dần sau mỗi năm, đề bài cho các đội thi tham dự Pwn2Own năm nay cũng được nhận định là khó hơn so với những năm trước.
Mục tiêu kiểm thử của cuộc thi là những sản phẩm đến từ các hãng công nghệ hàng đầu thế giới.
Đánh giá về cuộc thi Pwn2Own Toronto 2023, anh Trần Minh Quảng - Giám đốc Trung tâm Phân tích và chia sẻ nguy cơ An ninh mạng của VCS cho biết: "Mục tiêu của các hạng mục năm nay là những thiết bị thông minh mới nhất, được cập nhật tối ưu các cơ chế phòng vệ tiên tiến và bản vá bảo mật từ hãng công nghệ lớn. Vì vậy, độ phức tạp và đa dạng rất cao, tạo ra không ít thử thách cho đội ngũ nhân sự trẻ, nhiệt huyết của VCS. Tuy nhiên, chúng tôi đánh giá việc tấn công xâm nhập trên các thiết bị tại cuộc thi có nhiều điểm tương đồng với các nhiệm vụ mà một chuyên gia bảo mật tại VCS thực hiện hàng ngày. Đội ngũ nhân sự VCS được rèn luyện rất nhiều kỹ năng trong việc phát hiện điểm yếu của hệ thống thông tin, từ đó cập nhật tri thức phòng thủ, xây dựng giải pháp bảo mật; phát hiện sớm, ngăn chặn và phản ứng nhanh trước các cuộc tấn công mạng trong thực tế".
Rút kinh nghiệm từ bài học năm ngoái khi chỉ giành vị trí á quân, tại Pwn2Own Toronto 2023 nhóm đã thực hiện theo chiến thuật cụ thể, thay vì khai thác bất cứ lỗ hổng nào tìm được như trước. Đồng thời, từ đầu năm nay nhóm kỹ sư trẻ đã đặt mục tiêu vô địch tại đấu trường tấn công mạng này, coi đây là nhiệm vụ mang tính chiến lược, không còn là sân chơi mang tính cọ xát. Mỗi thành viên trong đội đều được phân công ở hạng mục nhất định nhưng có sự phối hợp nhuần nhuyễn.
Chiến thuật hợp lý của team VCS
Theo trưởng nhóm Ngô Anh Huy, thách thức của cuộc thi là đội thi trước có thể khai thác lỗ hổng giống mình. Khi đó, nếu thi sau, dù khai thác thành công cũng không được điểm tuyệt đối. Ngoài ra, thách thức còn đến từ chính nhà sản xuất thiết bị.
"Các thiết bị đều ở mức độ hoàn thiện cao. Nhà sản xuất là những công ty hàng đầu thế giới và cũng luôn mong muốn thiết bị của mình không thể bị tấn công trong cuộc thi. Vì vậy, họ cũng sẽ vá phần lớn lỗ hổng ngay trước ngày thi đấu", trưởng nhóm nhận định. Năm ngoái, nhóm cũng từng mất điểm vì chọn đúng lỗ hổng mà nhà sản xuất đã biết.
Chiến thuật được đưa ra là tìm nhiều lỗi, ưu tiên những lỗi ít người phát hiện và khai thác. Với thời gian gần ba tháng "ăn ngủ" cùng thiết bị, nhóm kỹ sư Việt phải lập kế hoạch cụ thể, dự đoán được đâu là hướng tiếp cận dễ và sẽ có người khai thác, đâu là hướng khó mà ít người có thể biết. Sau đó, họ sẽ chọn hướng khó hơn.
Ví dụ trong hạng mục loa thông minh, thành viên Đỗ Mạnh Dũng cho biết anh mất một tuần để tìm ra lỗ hổng đủ khó trên mẫu loa Sonos Era 100, đồng thời mất hai tháng để viết mã khai thác. "Tôi tự tin chiến thắng vì đây là lỗ hổng rất khó tìm", thành viên sinh năm 2003, trẻ nhất đội, cho biết.
Chiến thuật này của đội thi đã phát huy tác dụng. Tại phần thi SOHO Smashup, khi các đội phải tấn công router, từ đó tấn công sang các thiết bị khác, đội trưởng Ngô Anh Huy cho biết có một đội thi trước có cách tiếp cận khá giống với nhóm mình. Do đây cũng là phần thi cuối cùng và có nhiều điểm nhất, đội cho biết đã chuẩn bị sẵn ba lỗ hổng. Đây đều là các lỗ hổng ít người tìm ra và được đánh giá khó khai thác nhất. Nhóm đã thành công, dù suýt thất bại sau hai lần trình diễn hỏng.
Kết quả cũng giúp Team Viettel đạt điểm tối đa ở cả bảy hạng mục đăng ký. Các sản phẩm được tìm ra lỗi gồm Xiaomi 13 Pro, hệ thống lưu trữ QNAP, máy in Canon, HP, Lexmark, loa thông minh Sonos và SOHO Smashup. Nhóm nhận tiền thưởng 180 nghìn USD.
Khoảnh khắc vỡ òa chiến thắng của Team Viettel tại Pwn2Own Toronto 2023.
Theo Hà Anh Hoàng, kỹ sư an toàn thông tin sinh năm 1997, do phải thi trực tuyến, nhóm cũng có thể gặp bất lợi so với những đội trực tiếp là chỉ có thể kiểm tra thiết bị từ xa qua camera. "Quá trình thi không thể kiểm soát được vấn đề phát sinh về kỹ thuật, vì vậy phải tập trung toàn bộ cho lỗ hổng để chắc chắn thành công", Hoàng nói.
Nhóm dự định các cuộc thi sau sẽ chọn mục tiêu được đánh giá khó hơn, như Apple iPhone, Google Pixel. Chặng đường phía trước còn dài, các kỹ sư trẻ sẽ còn tiếp tục viết nên những trang sử mới về ngành An toàn thông tin tại Việt Nam, góp phần đưa thương hiệu Việt vươn tầm thế giới.