IrelandĐội ngũ kỹ sư của VCS đã lần thứ hai giành chiến thắng trong cuộc thi bảo mật uy tín Pwn2Own và nhận được giải thưởng trị giá 205.000 USD sau khi khai thác thành công 9 lỗ hổng.
Theo kết quả công bố trên trang web Sáng kiến Zero-Day ngày 25/10, đội An ninh mạng (VCS) của quân đội Viettel đã ghi được 33 điểm sau 4 ngày thi đấu và đứng thứ nhất.
Theo sau top 5 của Việt Nam là một số nhóm nghiên cứu đến từ Châu Âu, Canada và Hoa Kỳ, với đội đứng thứ hai ghi được 17,5 điểm. Các thành viên của nhóm DevCore đã vô địch Pwn2Own vào năm 2021 và 2022, lần này đứng thứ 4.
Năm ngoái, đội kỹ sư VCS cũng đạt giải nhất với số điểm 30 điểm và nhận được tiền thưởng 180.000 USD.
Đội An ninh mạng Viettel giành chức vô địch với 33 điểm và giải thưởng 205.000 USD. hình ảnh: ZDI
Pwn2Own là cuộc thi tấn công mạng được tổ chức thường niên kể từ năm 2007 và được mệnh danh là World Cup của ngành bảo mật. Sự kiện năm nay có 8 hạng mục dành cho các kỹ sư tìm và khai thác các lỗ hổng bảo mật, bao gồm điện thoại di động, ứng dụng nhắn tin, SOHO Smashups (hệ thống mạng gia đình và văn phòng nhỏ), hệ thống giám sát hệ thống, nhà thông minh, máy in, loa thông minh, thiết bị lưu trữ NAS.
Các nhóm có ba tháng để tìm ra lỗ hổng và mã hóa chúng trước khi trình bày tại sự kiện. Đối với mỗi mục tiêu, họ có ba lần tấn công, mỗi lần kéo dài tối đa 10 phút. Thách thức của cuộc cạnh tranh là công ty có thể vá lỗ hổng trước khi cuộc thi bắt đầu hoặc lỗ hổng có thể bị các đối thủ khác khai thác trước. Vì vậy, để đảm bảo điểm, các đội phải chuẩn bị càng nhiều hố càng tốt, đặc biệt là những hố khó khó ít người tìm ra, đồng thời phải tập trung cao độ trong quá trình thực hiện.
Năm nay, nhóm VCS đã chọn 10 mục tiêu, so với 7 mục tiêu năm ngoái, tập trung vào hệ thống giám sát, máy in và NAS từ các thương hiệu như Sonos, Lexmark, Lorex và QNAP. Sau đó, nhóm đã sử dụng thành công mục tiêu 9/10 để đạt được kết quả trên.
Đội kỹ sư Việt Nam nâng cao cúp tại Pwn2Own 2024. ảnh: Nguyễn Nguyễn
Ông Ngô Anh Huy, trưởng đoàn Pwn2Own 2024 VCS, cho biết cuộc thi năm nay có nhiều tính năng, thách thức mới, mục tiêu cũng mở rộng từ thiết bị đến ứng dụng. Đặc biệt, nhiều sản phẩm đã được nâng cấp với các biện pháp an ninh phức tạp hơn và tích hợp AI, như camera giám sát và nhà thông minh. Để vượt qua lớp bảo vệ năng động này, các nhà nghiên cứu không chỉ cần kiến thức bảo mật truyền thống mà còn cần hiểu biết về trí tuệ nhân tạo cũng như cách thức hoạt động của nó trong các thiết bị IoT và hệ thống thông minh.
Ông Huy cho biết: “Với sự phát triển mạnh mẽ của AI trong các thiết bị hiện đại, việc nhắm mục tiêu tích hợp AI không chỉ có thể giúp các đội mở rộng khả năng ứng phó và khai thác các lỗ hổng bảo mật mà còn nâng cao khả năng bảo vệ an ninh của họ”. “Điều này giúp chuẩn bị cho các mối đe dọa và cuộc tấn công ngày càng tinh vi vào các thiết bị AI trong tương lai.”
Ngoài ra, cuộc thi năm nay quy tụ nhiều đội nổi tiếng trong lĩnh vực an ninh mạng toàn cầu. Đại diện VCS cho biết đây là cơ hội để các kỹ sư trẻ Việt Nam chia sẻ kinh nghiệm quý báu trong lĩnh vực an ninh mạng, đặc biệt khi đội đến Ireland biểu diễn trực tiếp thay vì từ xa như những năm trước.
Bốn ngày sau, Zero-Day Project cho biết nhóm đã phát hiện và khai thác hơn 70 lỗ hổng zero-day. Họ cũng trao 1.066.625 USD tiền thưởng cho mỗi đội.
Năm nay, Meta tài trợ và đặt câu hỏi khai thác lỗ hổng trong phần mềm WhatsApp, với giải thưởng cao nhất là 300.000 USD nhưng không có đội nào đăng ký, tương tự như các mục tiêu như iPhone 15 và Pixel 8, mặc dù giải thưởng là 250.000 USD.
Lữ Quế
