Những chàng trai "vàng" trong làng bảo mật

"Ăn, ngủ cùng… lỗ hổng"

2023 là năm thứ 4, đội Viettel tham dự Cuộc thi Pwn2Own và vinh quang mới thực sự đến với họ. Nếu như ở lần thi đầu chỉ mang tính cọ xát, thì ở lần thi thứ 2 (năm 2021) đội đã vào top 5 và ở cuộc thi năm 2022, đội thua sát nút đội vô địch trong tiếc nuối, nhận giải nhì.

Ngô Anh Huy (đội trưởng) chia sẻ: "Pwn2Own là cuộc thi tấn công mạng uy tín và lớn nhất thế giới, là "World Cup" của giới bảo mật với tổng giải thưởng lên đến hàng triệu USD. Các mục tiêu tấn công đều là những thiết bị, phần mềm phổ biến trên thế giới, đến từ những nhà cung cấp hàng đầu như Microsoft, Apple, Google, Samsung, Xiaomi...".

Hà Anh Hoàng (trái) và Nguyễn Xuân Hoàng (phải) đại diện Team Viettel sang Canada nhận cúp và phần thưởng 180.000 USD.

Cuộc thi Pwn2Own diễn ra từ ngày 24 - 27/10/2023 tại Toronto (Canada), 14 chàng trai, người trẻ nhất chỉ mới 20 tuổi đã quyết tâm đạt mục tiêu vô địch. Thay vì tập trung đi tìm nhiều lỗ hổng như các lần thi trước, ở cuộc thi này, nhóm kỹ sư trẻ đã xây dựng chiến thuật bài bản, tìm những lỗi ít người phát hiện và khai thác. Một trong những điều mà đội trưởng Ngô Anh Huy băn khoăn và lo lắng nhất chính là làm sao kết nối các thành viên để làm việc nhóm (teamwork).

Trong 2 tuần cuối cùng trước cuộc thi, cả đội làm việc 20 tiếng/ngày, gần như ăn ngủ tại chỗ, vừa phải chuẩn bị báo cáo gửi ban tổ chức vừa phải kiểm tra cập nhật vá lỗ hổng. "Các lỗ hổng hoàn toàn có thể bị nhà sản xuất tìm thấy và cập nhật bản vá trước thời điểm diễn ra cuộc thi. Vì vậy chúng tôi thường phải tìm ra càng nhiều lỗ hổng càng tốt, đồng thời chuẩn bị các phương án tấn công dự phòng nếu muốn đạt điểm số cao nhất", thành viên Hà Anh Hoàng cho biết thêm.

Mọi khâu đã chuẩn bị kỹ càng, chỉ chờ ngày lên đường sang Canada thi đấu, nhưng điều đáng tiếc nhất là gần đến ngày thi, cả đội vẫn không nhận được visa nhập cảnh. "Thay vì thi đấu trực tiếp, Team Viettel đành ở nhà thi đấu online. Đây cũng là một bất lợi so với thi đấu trực tiếp là chỉ có thể kiểm tra thiết bị từ xa qua camera. Nếu thi đấu trực tiếp, bọn mình có thể hội ý ngay tại chỗ hoặc có thể yêu cầu ban tổ chức kiểm tra ngay những tình huống phát sinh. Ngoài ra, quá trình online có thể xảy ra những trục trặc bất ngờ liên quan đến máy móc, thiết bị…", Hoàng kể lại.

Chiến thắng nghẹt thở, đầy thuyết phục

Sau 3 tháng "ăn, ngủ và đi tìm lỗ hổng", cuối cùng, giờ G cũng điểm, đội Việt Nam phải trình diễn được khả năng tấn công lỗ hổng bảo mật trong thời gian ngắn. Thành viên Nguyễn Xuân Hoàng cho biết: "Ở cuộc thi bảo mật khác thường không bị giới hạn về thời gian, còn cuộc thi này bọn mình phải trình diễn tìm lỗ hổng trong vòng 30 phút. Pwn2Own quy tụ những mục tiêu, thiết bị tiên tiến nhất của các hãng công nghệ lớn và được cài đặt phiên bản phần mềm mới nhất. Nhiệm vụ của các đội thi tìm hướng tấn công và tìm ra các lỗ hổng chưa từng được phát hiện".

Mỗi đội chỉ được hack 1 lần đối với mỗi mục tiêu. Mục tiêu càng khó điểm càng cao. Kết thúc cuộc thi, cá nhân, tổ chức nào có điểm cao nhất sẽ đạt giải thưởng. "Lo lắng nhất của bọn mình là bị trùng lỗi hoặc nhà sản xuất đã phát hiện kịp thời vá lỗ hổng. Các bạn trong nhóm đã chuẩn bị các lỗ hổng khác nhau, đối với hạng mục càng nhiều điểm bọn mình phải chuẩn bị càng nhiều lỗi. Phần này đội nhận tổng điểm tối đa, không bị trùng lỗ hổng như năm ngoái bị trừ điểm. Mừng rơi nước mắt", Hà Anh Hoàng nói.

Hồi hộp nhất là phần thi cuối cùng SOHO Smashup (thiết bị văn phòng nhỏ). Trở ngại với đội là vấn đề tâm lý, do họ đã bỏ lỡ chức vô địch năm ngoái nên tâm thế hơi thận trọng. Thậm chí, có một vài thời điểm mọi chuyện không đi đúng như dự tính. Ai cũng vã mồ hôi lo lắng. Dù đã chuẩn bị 3 lỗ hổng, nhưng 2 lần đầu đều trình diễn hỏng. Phải đến lần thứ 3 mới thành công, các thành viên mới òa lên sung sướng... Các đối thủ cũng phải thán phục trước sự chiến đấu bền bỉ của đội Việt Nam.

14 chàng trai của Team Viettel.

Lần đầu tham gia cuộc thi, nhưng Đinh Quang Vũ đã có đóng góp quan trọng giúp đội chiến thắng ở hạng mục lỗ hổng trên điện thoại di động. Đây là hạng mục mới xuất hiện trong cuộc thi. Vũ chia sẻ: "Đội mình chọn 2 thiết bị di động của Samsung và Xiaomi. Mặc dù đã nghiên cứu, chuẩn bị khá kỹ và đã vượt qua các bản vá của nhà sản xuất trước ngày thi, nhưng lại thất bại ở lần thử đầu tiên với Samsung. Cảm giác lúc đó nghẹt thở và đau tim, rất may, anh em đã bình tĩnh và vượt qua phần thi chiến thắng ở thiết bị di động Xiaomi".

Sau 4 đêm quyết chiến căng thẳng với các đội mạnh nhất đến từ nhiều nơi trên thế giới, 1 giờ sáng ngày 27.10, Team Viettel đã hoàn thành xuất sắc các phần thi với tổng điểm 30, bỏ xa đội hạng nhì 12,75 điểm. Các kỹ sư trẻ Việt Nam giành chức vô địch Pwn2Own một cách thuyết phục, giành điểm số tuyệt đối ở cả 7 hạng mục thi đã đăng ký, mang về giải thưởng 180.000 USD. Các sản phẩm được tìm ra lỗi gồm Xiaomi 13 Pro, hệ thống lưu trữ QNAP, máy in Canon, HP, Lexmark, loa thông minh Sonos và SOHO Smashup. Chiến thắng này đồng thời đánh dấu sự bứt phá mới cho ngành an toàn thông tin Việt Nam khi lần đầu lên ngôi vô địch tại một giải đấu quốc tế danh giá.

Ngoài các giải thưởng tại Pwn2Own, các kỹ sư trẻ của Công ty VSC còn phát hiện hơn 400 lỗ hổng bảo mật Zero-day của các nền tảng, hệ thống công nghệ thông tin lớn như Microsoft, Oracle, Google, Apache, VMWare...

Khát vọng chinh phục đỉnh cao mới

Không "ngủ quên trên chiến thắng", sau cuộc thi cả đội lại bắt tay vào chuẩn bị cho cuộc thi tiếp theo dự kiến tổ chức tại Tokyo (Nhật Bản) đầu năm 2024 với những quyết tâm chinh phục các đỉnh cao mới. Hà Anh Hoàng bộc bạch: "Để đi đến chiến thắng ngày hôm nay bọn mình đã chinh phục từng bước một, đi từ dễ đến khó. Chiến thắng của cả đội rất thuyết phục, song không thể bỏ qua các đối thủ của cuộc thi này, bởi xét về chuyên môn, còn một số mảng nghiên cứu, một số khả năng đội nước ngoài có, đội Viettel chưa thể làm được. Mục tiêu trước mắt của đội là đi tìm những chủ đề nghiên cứu mới, tìm ra các lỗ hổng bảo mật của các nhà cung cấp khổng lồ như: Apple, Google… Và mục tiêu xa hơn nữa là dẫn đầu trong đấu trường bảo mật thế giới".

Là một trong những chuyên gia bảo mật trẻ của VN được cộng đồng quốc tế công nhận, được rất nhiều công ty công nghệ nổi tiếng mời làm việc với mức lương hàng nghìn USD, song Ngô Anh Huy vẫn ở lại gắn bó với Team Viettel. "Với mình, chinh phục thử thách không chỉ để khẳng định bản thân, đạt thứ hạng mới về bảo mật, mình muốn ở lại Việt Nam để cùng những người trẻ có cùng đam mê viết tiếp nên những trang sử mới về ngành an toàn thông tin, làm rạng danh Việt Nam ở các đấu trường quốc tế", Huy chia sẻ.

Theo đại tá Tào Đức Thắng, Chủ tịch HĐQT kiêm Tổng giám đốc Viettel, đây không phải là cuộc thi tìm ra lời giải đúng, mà giống như cuộc chơi "đuổi hình bắt chữ", các kỹ sư trẻ phải "chiến đấu" với những nhà cung cấp, nhà sản xuất thiết bị công nghệ hàng đầu thế giới. Sau lưng các nhà cung cấp là một tập thể rất lớn như Canon, Xiaomi… Chiến thắng không hề dễ dàng bởi rất có thể ở những phút cuối nhà cung cấp bất ngờ đưa ra những bản vá lỗi, khiến cho các đội thi bị động không kịp trở tay.

Đại tá Tào Đức Thắng cho rằng, thành tích vô địch Pwn2Own 2023 mới chỉ là bước đầu. Chặng đường phía trước của các "hacker mũ trắng" vẫn còn dài bởi lĩnh vực an ninh mạng rất rộng lớn, không gian mạng rất là bao la và còn nhiều thách thức đang chờ đợi các kỹ sư trẻ ở phía trước. Không chỉ dừng lại lĩnh vực IoT, còn có lĩnh vực về công nghiệp, năng lượng, điện, an toàn… các kỹ sư trẻ có cơ hội để khẳng định mình.

Theo ông Nguyễn Sơn Hải, Giám đốc Công ty VSC: "Cuộc thi vẫn chỉ là cuộc chơi, vẫn còn có các mục tiêu khác Team Viettel cần phải chinh phục. Chiến thắng tại Pwn2Own chỉ là khởi đầu, chúng tôi đang hiện thực hóa sứ mệnh trở thành chiếc khiên vững chắc đảm bảo an ninh mạng để người dân sinh sống và làm việc an toàn hơn trên môi trường mạng, đưa ngành bảo mật Việt Nam khẳng định vị trí vững chắc trên bản đồ an ninh mạng thế giới. Nếu chúng ta có tầm nhìn đủ xa, niềm tin đủ lớn, quyết tâm không từ bỏ, hành động đủ thực tế, chúng ta sẽ đạt được mục tiêu".