In bài này
Diễn Đàn Độc Giả
 

 

'Hacker' Viettel ghi danh lên bản đồ thế giới
Tác giả : THANH HÀ - HOÀNG NAM Nguồn: Báo Tuổi Trẻ Ngày đăng: 2023-11-14
Hơn 1h ngày 27-10, trong căn phòng còn sáng đèn của công ty An ninh Mạng Viettel (VCS = Viettel Cyber Security), 14 thành viên của đội VCS bùng nổ trong niềm vui: Đội đã giành ngôi vô địch cuộc thi tấn công mạng uy tín và lớn nhất thế giới Pwn2Own 2023.
Đó không chỉ là kết quả mong đợi của ba tháng cả team liên tục làm việc ngày đêm và kiên cường thi đấu trước những đối thủ mạnh nhất từ khắp thế giới!
Đó không chỉ là trái ngọt đầu tiên dành cho thành viên trẻ nhất team, Đỗ Anh Dũng sinh năm 2003, hiện mới đang là SV năm thứ 3 ĐH Công nghệ (ĐHQGHN)!
Đó không chỉ là khát khao vươn đến vị trí cao nhất của cuộc thi đối với những thành viên như Ngô Anh Huy, Nguyễn Xuân Hoàng, Nguyễn Hồng Quang… đã mấy năm liền thử sức tại giải đấu này!
Đó còn là niềm vinh quang mang về cho đất nước ngôi vị cao nhất ở một trong những cuộc thi uy tín nhất toàn cầu, khẳng định năng lực của người Việt trong lĩnh vực bảo mật, an toàn thông tin.
Và hơn hết, đó là kết quả "trái ngọt" thu hoạch từ những hạt mầm mà Viettel đã kiên định gieo trồng từ nhiều năm trước. Để đến hôm nay, Viettel, với VCS và đội ngũ các chuyên gia an toàn thông tin trong tay, có thể tự hào là một trong những công ty hàng đầu thế giới về năng lực bảo mật và an toàn thông tin.
14 thành viên của team VCS giành ngôi vô địch Pwn2Own 2023 đều có tuổi đời còn rất trẻ. Phần lớn các thành viên ở thế hệ 9x, thành viên nhỏ tuổi nhất mới chỉ sinh năm 2003.
Nhưng hầu hết cả team đều đã nhiều năm "chinh chiến", có một bề dày kinh nghiệm và chiến tích trong lĩnh vực bảo mật, an toàn thông tin. Ngay cả cậu em út của cả team là Đỗ Anh Dũng cũng đã kịp khẳng định bản thân: Dũng chính là người lập nên kỳ tích trong lần thi này, giành chiến thắng ở một hạng mục để góp vào kết quả chung của toàn đội.
Kết thúc hạng mục thi cuối vào tối 27-10, đội tuyển của Công ty An ninh mạng Viettel (Viettel Cyber Security - VCS) đã chính thức giành chiến thắng cao nhất với 30 điểm Master of Pwn, bỏ xa khoảng cách với đội về nhì tới 12,75 điểm.
Với điểm số thuyết phục này, VCS xác lập ngôi vị vô địch trước nhiều đối thủ quốc tế, vốn được coi là những ứng cử viên sáng giá cho chức vô địch của giải đấu như Sea Security (Singgapore), Vupen, Synacktiv (Pháp) và Devcore (Đài Loan - đội vô địch năm ngoái)…
Chia sẻ về những thách thức trong thời gian chuẩn bị cho cuộc thi, thành viên team VCS Hà Anh Hoàng cho biết: Trước cuộc thi ba tháng, Ban tổ chức mới công bố các thiết bị phải chinh phục. Dó đó, thời gian chuẩn bị chỉ có ba tháng vì khi đó, team mới mua được thiết bị để về nghiên cứu. Trong đó, nhiều thiết bị phải nhập từ nước ngoài và cần mất cả tháng trời để chờ về tới Việt Nam.
Theo một thành viên khác trong team, Nguyễn Xuân Hoàng, "Cuộc thi có những đối thủ đã tham gia thi từ rất lâu. Họ có rất nhiều kinh nghiệm, cũng có những đối thủ rất mạnh cả về kinh tế và chuyên môn. Team VCS xác định phải vào cuộc với sự chuẩn bị kỹ càng nhất, đoàn kết, có chiến lược thi đấu phù hợp để đạt được thành công cao nhất tại cuộc thi năm nay".
Hoàng chia sẻ thêm, năm trước team VCS đã giành giải nhì cuộc thi này với điểm số sát nút đội vô địch, chỉ thua có 2,5 điểm. Vì vậy đội quyết tâm năm nay hướng đến mục tiêu vô địch.
Nhưng con đường đi đến chức vô địch thật không đơn giản: Các mục tiêu tấn công tại cuộc thi này đều là những thiết bị, phần mềm phổ biến trên thế giới, đến từ những nhà sản xuất hàng đầu như Microsoft, Apple, Google, Samsung… - Nguyễn Xuân Hoàng chia sẻ.
Để phù hợp với đầu bài của cuộc thi, thiết bị phải đặt từ Mỹ về, nhưng chỉ trong một phút giây sơ sểnh thiết bị đã "tèo" vì sử dụng nguồn điện 110v phù hợp với thị trường Mỹ, trong khi Việt Nam dùng điện 220v.
Còn theo Ngô Anh Huy, thành viên đã bốn lần tham gia cuộc thi này, nỗi lo sợ lớn nhất của đội là bị trùng lỗi hoặc nhà sản xuất kịp vá lỗi ở những lỗ hổng bảo mật mà team đã đăng ký. Năm ngoái, team Viettel tham gia cuộc thi chỉ giành được ngôi vị Á quân do bị trừ điểm vì có một lỗ hổng bị trùng.
Chưa hết, thách thức đến cả vào phút chót, vì thủ tục visa bị chậm, cả team không thể kịp lên đường đến Toronto (Canada) để thi đấu trực tiếp. Thay vào đó, 14 thành viên của đội VCS phải thi đấu trực tuyến với bao thấp thỏm về những trục trặc có thể xảy ra mà không kịp khắc phục trong quá trình thi đấu…
Nhưng kết quả cuối cùng đã nói lên tất cả… Không chỉ giành vị trí vô địch, mà team VCS còn giành chiến thắng ngoạn mục.
"Khi thắng ở hạng mục 10 điểm cao nhất cuối cùng, toàn đội vỡ oà trong vui sướng, hạnh phúc vì đã chứng minh được ngôi vị vô địch này là chiến thắng thuyết phục, không có một sự nghi ngờ nào"- Nguyễn Xuân Hoàng tự hào nhớ lại giây phút đó

Sau những lần tham gia Pwn2Own liên tục trong bốn năm gần đây, đội tuyển của VCS lần đầu được nâng chiếc cúp vô địch Pwn2Own. Đây là cuộc thi tấn công phần mềm và các thiết bị điện tử tiêu dùng được tổ chức hai lần một năm bởi tổ chức an ninh mạng Zero Day Initiative, một trong những cuộc thi an ninh mạng được đánh giá là "khó nhằn" nhất trên thế giới hiện nay.
Ông Nguyễn Sơn Hải, giám đốc VCS, cho biết năm 2020, Viettel có chiến thắng đầu tiên tại "sân chơi" này với hạng mục SmartTV. Năm 2021 Viettel lọt Top 5. Năm 2022 là vị trí thứ hai. Và năm nay là vươn lên giành ngôi vị vô địch với số điểm áp đảo.
Cạnh tranh tại Pwn2Own không chỉ là các nhóm an ninh mạng nổi tiếng trên thế giới mà còn là các nhà sản xuất, tập đoàn công nghệ lớn trên toàn cầu. Mỗi kỳ thi sẽ đặt ra đề bài là các phần mềm hoặc thiết bị phần cứng phổ biến như hệ điều hành Windows, điện thoại Apple, Xiaomi, Samsung hay máy in Canon, HP…
Các đội thi phải cạnh tranh để tìm ra các lỗ hổng bảo mật chưa được biết đến trên phần mềm, thiết bị và phải trình diễn trực tiếp việc khai thác lỗ hổng đó trong thời gian 30 phút.
"Tại sao có thể nói đối thủ không chỉ là các nhóm chuyên gia bảo mật khác, mà còn là các nhà sản xuất thiết bị như Apple, Xiaomi, Canon, TP Link… bởi họ rất ghét việc bị mang tiếng là có lỗ hổng trên thiết bị, làm mất đi sự tin tưởng của khách hàng. Các nhà cung cấp thiết bị này luôn sở hữu một đội ngũ bảo mật và sẵn sàng chi trả số tiền lớn để vá các lỗi có trên sản phẩm trước khi cuộc thi diễn ra để sản phẩm không bị bêu xấu trước mắt công chúng", chuyên viên Nguyễn Hồng Quang, thành viên đội VCS chia sẻ với Tuổi Trẻ.
Vì thế, cuộc thi sẽ gay cấn từ khi mở đề đến tận phút chót. Vì hoàn toàn có thể xảy ra tình huống những lỗ hổng được các đội thi phát hiện nhưng nhà sản xuất sẽ bất ngờ vá lỗi ngay trước ngày thi, khiến team nào đó mất trắng công sức và thành tích.
Bởi vậy, "đến gần sát thời điểm trình diễn, chúng tôi phải chia ca ngày đêm để "canh" xem lỗ hổng mà mình phát hiện ra còn tồn tại hay không, theo dõi sát sao nhà sản xuất xem họ có vá các lỗi mà chúng tôi đã phát hiện hay không", Ngô Anh Huy, thành viên dày dạn kinh nghiệm thi đấu Pwn2Own của team VCS cho biết.
Cuộc thi Pwn2Own 2023 Toronto tập trung vào phần cứng, gồm các hạng mục điện thoại di động, loa thông minh, hệ thống giám sát, hệ thống lưu trữ nối mạng, thiết bị điện tử văn phòng. Mỗi hạng mục có giải thưởng từ 30.000 - 100.000 USD và mức điểm đánh giá từ 2 - 10 điểm tuỳ theo độ khó tấn công của thiết bị và mức độ hoàn thành trình diễn tấn công.
Đắt giá nhất cả về giải và điểm là hạng mục cuối cùng, kết hợp (mash-up), yêu cầu các đội thi thực thi mã khai thác trên một trong các bộ định tuyến mạng mà cuộc thi đưa ra và qua đó tấn công một thiết bị trong các hạng mục nói trên, với giải 100.000 USD và 10 điểm.
Sau khi hoàn thành các hạng mục đơn lẻ, tấn công thành công các thiết bị điện thoại Xiaomi 13 Pro, hệ thống lưu trữ QNAP TS 464, máy in Canon imageClass MF753Cdw, loa Sonos Era 100, nhóm VCS đã đạt 20 điểm, gần như nắm chắc chức vô địch vì đối thủ là Sea Security mới đạt 17,25 điểm, sau khi hoàn thành hết các hạng mục đơn lẻ và cả hạng mục kết hợp.
Không còn áp lực cạnh tranh quá lớn, nhưng hạng mục cuối cùng lại ám ảnh các kỹ sư VCS vì thiếu điểm trong phần thi mash-up là lý do nhóm này vuột mất chức vô địch năm ngoái. "Lần này, bước vào hạng mục smash-up, chúng tôi tiếp tục chịu bất lợi khi bốc thăm vào lượt thi sau, nếu trùng lỗ hổng với đội thi trước thì sẽ bị trừ điểm", Ngô Anh Huy chia sẻ. Việc trùng lỗi như vậy đã khiến VCS thiếu 2,5 điểm so với đội về nhất trong kỳ Pwn2Own năm ngoái.
"Năm nay chúng tôi không chỉ tìm cách khai thác các lỗ hổng mới, mà còn cố tình chọn những lỗ hổng rất khó tìm ra và khó trùng với đội khác, hoặc có thể dễ tìm ra nhưng khó khai thác, cũng như có nhiều phương án dự phòng. Đây là kết quả của ba tháng cả nhóm tập trung nghiên cứu", Huy cho biết.
Kết quả, nhóm VCS đạt 10/10 điểm ở hạng mục kết hợp và đoạt ngôi vô địch chung cuộc với tổng điểm 30, vượt xa 12,5 điểm so với á quân, giành chiến thắng một cách ngoạn mục và trọn vẹn.

"Chúng tôi lựa chọn Pwn2Own để thử sức vì đây là cuộc thi trên những thiết bị phổ biến nhất trên thế giới, đến từ những nhà sản xuất hàng đầu với quy trình kiểm thử chặt chẽ"- ông Nguyễn Sơn Hải, giám đốc VCS, cho biết - "Đầu tư cho nhóm nghiên cứu chuyên sâu và thử sức trên đấu trường quốc tế là một phần trong nỗ lực phát triển nguồn nhân lực của VCS".
Chặng đường đến ngôi vô địch Pwn2Own 2023 của team VCS là thành quả của một hành trình dài, mang tính kế thừa, là minh chứng sinh động cho tầm nhìn từ nhiều năm trước của lãnh đạo Tập đoàn Viettel với lĩnh vực an toàn thông tin.
Từ cách đây hơn chục năm, khi chính Giám đốc VCS Nguyễn Sơn Hải còn ở độ tuổi của các thành viên team vô địch Pwn2Own 2023 bây giờ, lãnh đạo tập đoàn Viettel đã quyết tâm đầu tư vào lĩnh vực an toàn thông tin.
Những hạt mầm đầu tiên cho một lĩnh vực non trẻ đã sớm được Viettel gieo trồng và quan tâm đầu tư chăm sóc một cách bài bản, chiến lược.
Hành trình nghiên cứu chuyên sâu của VCS bắt đầu ngay từ những năm đầu tiên, với vỏn vẹn ban đầu có sáu người làm về an toàn thông tin. Từ năm 2011, đội ngũ VCS đã thực hiện các cuộc tấn công diễn tập với các đơn vị trong Tập đoàn Viettel để chỉ ra vấn đề an ninh.
"Vì vận hành các hạ tầng trọng yếu, Viettel đặt tầm nhìn nghiên cứu coi an ninh mạng là trụ cột", ông Sơn Hải nói. "Trong an ninh mạng, con người là yếu tố quan trọng nhất. Ngay cả khi sử dụng các sản phẩm tốt nhất thế giới nhưng chỉ sử dụng như một người dùng cuối thì nguy cơ bị tấn công vẫn rất cao, trong khi các hạ tầng trọng yếu như di động, Internet của Viettel là mục tiêu tấn công của các nhóm lớn nhất trên thế giới".
Để có đội ngũ chuyên gia bảo vệ hạ tầng trọng yếu, VCS có định hướng đào tạo nhân lực an ninh mạng với năng lực tương đương với thế giới. Từ năm 2015 đến nay, Viettel và VCS đã đào tạo 450 sinh viên, trong đó tuyển dụng được 5% nhân lực phù hợp nhất tiếp tục làm việc, ông Hải cho hay.
"Sau khi đã xây dựng được đội ngũ chuyên gia, đầu tư bài bản cho nghiên cứu chuyên sâu, chúng tôi tiếp tục tìm cách đầu tư để tăng cường kỹ năng tấn công cho đội ngũ chuyên gia của VCS. Tham gia các cuộc thi tầm cỡ thế giới cũng để nhằm mục đích này", ông Nguyễn Sơn Hải nói.
Năm 2013 VCS bắt đầu hướng nghiên cứu về lỗ hổng zero-day, những lỗ hổng chưa được biết đến và chưa được khắc phục và do đó là đắt giá nhất, trong đó Anh Huy và Hồng Quang cũng là hai trong số những chuyên viên đầu tiên. Đến năm 2015, nhóm VCS tìm được những lỗ hổng đầu tiên và đến nay số lỗ hổng do VCS tìm được lên đến 400.
"Không có doanh nghiệp Việt nào đạt đến con số như vậy, và trên thế giới cũng không quá nhiều", ông Hải bày tỏ.
Cơ hội được đào tạo thông qua tham gia nghiên cứu chuyên sâu chính là lý do khiến cho VCS trở thành nơi làm việc hấp dẫn với những chuyên gia an ninh mạng vừa đoạt giải nhất tại Pwn2Own. Khi được hỏi vì sao chọn Viettel, Anh Huy nói: "Từ kinh nghiệm của tôi, không nhiều công ty sẵn sàng đầu tư dài hạn cho nghiên cứu an ninh mạng và các nhóm nghiên cứu".
"Đặc biệt, trong lĩnh vực an ninh mạng, con người yếu tố là quan trọng nhất. Vì vậy, VCS luôn ý thức việc rèn luyện, nâng tầm đội ngũ và xây dựng các lứa lớp cán bộ nhân viên kế cận có trình độ chuyên môn cao, luôn sẵn sàng cho những bài toán mang tầm quốc tế" - Giám đốc VCS Nguyễn Sơn Hải nhấn mạnh.
Tại buổi lễ vinh danh, chúc mừng các thành viên của team tham gia cuộc thi, Chủ tịch kiêm Tổng giám đốc Tập đoàn Viettel Tào Đức Thắng bày tỏ niềm tự hào với các "hacker mũ trắng" Viettel. Ông khẳng định: "Viettel tự hào khi nhóm VCS thắng giải thưởng danh giá trong lĩnh vực an ninh mạng toàn cầu, ‘thi đấu’ với những nhà sản xuất thiết bị hàng đầu thế giới với các đơn vị R&D lớn".
Người đứng đầu Tập đoàn Viettel đánh giá "Pwn2Own là cuộc thi danh giá, độ khó rất cao với bất cứ hacker nào. Cuộc thi được ví như cuộc ‘chiến đấu’ với các nhà sản xuất sở hữu đội ngũ an toàn thông tin top đầu trên thế giới, sẵn sàng đáp trả lại các hacker đến phút cuối. Một cuộc chơi không giới hạn độ tuổi, thậm chí có thể liên kết đa quốc gia…". Vì thế ông Tào Đức Thắng cho rằng: "Ngôi vô địch Pwn2Own 2023 đã làm rạng danh Viettel và Việt Nam trên trường quốc tế", chủ tịch tập đoàn tự hào.
Chủ tịch Tào Đức Thắng cũng nhìn nhận lĩnh vực an ninh mạng rất lớn, là chặng đường dài đối với các chuyên gia của Viettel và còn nhiều thách thức phía trước.
"Để giữ vị trí Top 1 không hề dễ dàng, nên chúng ta cần tiếp rùi mài hơn nữa và phải có giấc mơ lớn, không ngừng khao khát biến giấc mơ thành hiện thực để đưa Việt Nam ra toàn cầu", ông Tào Đức Thắng nhấn mạnh.
Chủ tịch Tập đoàn Viettel cũng chia sẻ, thời gian tới Tập đoàn sẽ có những chính sách đặc thù để đào tạo nguồn nhân lực chất lượng cao, để họ tiếp tục yên tâm cống hiến cho công việc.
Giao nhiệm vụ cho VCS, ông Tào Đức Thắng nhấn mạnh, VCS cần phải tiếp tục đào tạo nhiều hơn nữa chuyên gia bảo mật, xác định đào tạo các thế hệ kế tiếp với nền tảng tốt nhất để phục vụ không chỉ cho tập đoàn mà còn để phục vụ đất nước, bảo vệ quốc gia trên không gian mạng.
Nội dung: THANH HÀ - HOÀNG NAM
Hình ảnh: VIETTEL
Thiết kế: HẢI PHI
----------