Chiến lược đưa nhóm kỹ sư Việt Nam vô địch an ninh thế giới

Tại cuộc thi bảo mật Pwn2Own Toronto 2023 diễn ra cuối tháng 10, đội kỹ thuật “Team Viettel” đã giành chức vô địch khi hoàn thành cả 7 hạng mục đăng ký, với số điểm 30, cao hơn đội nhì bảng 12,75 điểm. .

Đây là vị trí cao nhất mà đội tuyển Việt Nam đạt được sau nhiều năm tham gia các giải đấu tầm cỡ thế giới. Để đạt điểm cao ở từng hạng mục, nhóm cho biết họ đã đưa ra các chiến lược cụ thể, thay vì khai thác bất kỳ lỗ hổng nào được tìm thấy như trước đây.

Cuộc thi Pwn2Own lần này có chủ đề tấn công một số thiết bị thông minh như điện thoại, router, hệ thống thiết bị thông minh trong văn phòng do các công ty lớn cung cấp. Các đội sẽ nhận được nhiệm vụ để biết họ sẽ tấn công thiết bị nào và có khoảng ba tháng để tìm ra lỗ hổng, viết mã khai thác trước khi trình diễn cuộc tấn công trong 30 phút. Các thiết bị mục tiêu đều được cập nhật phần mềm mới nhất.

Theo trưởng nhóm Ngô Anh Huy, thách thức của cuộc thi là các đội đi trước có thể khai thác được lỗ hổng giống mình. Khi đó, nếu làm bài thi muộn hơn, dù có khai thác thành công thì bạn cũng không thể đạt điểm tuyệt đối. Ngoài ra, thách thức còn đến từ chính các nhà sản xuất thiết bị.

“Các thiết bị đều ở mức độ hoàn thiện cao. Các nhà sản xuất đều là những công ty hàng đầu thế giới và cũng luôn mong muốn thiết bị của mình không thể bị hack trong cuộc cạnh tranh. Vì vậy, họ cũng sẽ vá hầu hết chúng.” lỗ ngay trước ngày thi đấu”, Huy nói. Năm ngoái, nhóm cũng bị mất điểm vì chọn đúng lỗ hổng mà nhà sản xuất đã biết.

Chiến lược được đề xuất là tìm nhiều lỗi, ưu tiên các lỗi ít người phát hiện và khai thác. Với gần 3 tháng “ăn ngủ” cùng thiết bị, đội ngũ kỹ sư Việt Nam cho biết họ phải dự đoán phương pháp nào dễ, phương pháp nào sẽ khai thác, phương pháp nào khó mà ít người biết. Khi đó họ sẽ chọn hướng đi khó khăn hơn.

Chẳng hạn, ở hạng mục loa thông minh, thành viên Đỗ Mạnh Dũng cho biết anh phải mất một tuần để tìm ra lỗ hổng đủ khó trên mẫu loa Sonos Era 100 và phải mất hai tháng để viết mã khai thác. “Tôi tự tin sẽ thành công vì đây là lỗ hổng rất khó tìm”, thành viên trẻ nhất của đội sinh năm 2003 cho biết.

Chiến lược này của đội thi đấu đã phát huy hiệu quả. Tại cuộc thi SOHO Smashup, khi các đội phải tấn công router rồi tấn công các thiết bị khác, Huy cho biết trước đây có một đội có cách làm rất giống đội của anh.

Vì đây cũng là bài thi cuối cùng và có nhiều điểm nhất nên đội cho biết đã chuẩn bị sẵn ba hố. Đây đều là những lỗ hổng mà ít người phát hiện ra và được đánh giá là khó khai thác nhất. Nhóm đã thành công dù suýt thất bại sau hai màn trình diễn thất bại.

Kết quả này cũng giúp Team Viettel đạt điểm tối đa ở cả 7 hạng mục đăng ký. Các sản phẩm bị phát hiện lỗi bao gồm Xiaomi 13 Pro, hệ thống lưu trữ QNAP, máy in Canon, HP, Lexmark, loa thông minh Sonos và SOHO Smashup. Nhóm nhận được số tiền thưởng 180 nghìn USD.

Theo Hà Anh Hoàng, kỹ sư an toàn thông tin sinh năm 1997, do phải thi trực tuyến nên nhóm cũng có thể gặp bất lợi so với các nhóm thi trực tiếp ở chỗ chỉ có thể kiểm tra thiết bị từ xa qua camera. “Quá trình thi không thể kiểm soát được các vấn đề kỹ thuật phát sinh nên phải tập trung hoàn toàn vào các lỗ hổng để đảm bảo thành công”, ông Hoàng nói.

Nhóm dự kiến sẽ chọn ra những mục tiêu được đánh giá là khó hơn trong các cuộc thi sau, chẳng hạn như Apple iPhone và Google Pixel.

Pwn2Own là cuộc thi tấn công mạng lớn nhất và uy tín nhất thế giới do Zero Day Initiative tổ chức thường niên kể từ năm 2007 và được coi là World Cup của thế giới bảo mật. Sự kiện năm nay có 8 hạng mục, bao gồm Điện thoại di động, Bộ điều khiển nhà thông minh, Loa thông minh, Máy in, Thiết bị giám sát, Thiết bị lưu trữ mạng, Thiết bị Google, Thiết bị văn phòng nhỏ, với tổng giải thưởng hơn một triệu USD. Sau cuộc thi, các thiết bị bị phát hiện lỗ hổng sẽ phải phát hành bản vá trong vòng 90 ngày.

Lưu Quý