Tại cuộc thi bảo mật Pwn2Own Toronto 2023 cuối tháng 10,ếnthuậtđưanhómkỹsưViệtvôđịchgiảibảomậtthếgiớBaccarat nhóm kỹ sư "Team Viettel" đã giành chức vô địch khi hoàn thành cả bảy hạng mục đăng ký, với số điểm 30, cao hơn 12,75 điểm so với đội về nhì.
Đây là vị trí cao nhất một đội từ Việt Nam đạt được sau nhiều năm tham gia cuộc thi tầm cỡ thế giới. Để giành điểm số cao ở các hạng mục, nhóm cho biết đã đề ra chiến thuật cụ thể, thay vì khai thác bất cứ lỗ hổng nào tìm được như trước.
Cuộc thi Pwn2Own lần này có chủ đề tấn công vào một số thiết bị thông minh như điện thoại, router, hệ thống thiết bị thông minh trong văn phòng do các hãng lớn cung cấp. Các đội sẽ nhận đề bài để biết mình sẽ tấn công thiết bị nào và có khoảng ba tháng để tìm lỗ hổng, viết mã khai thác, trước khi trình diễn tấn công trong 30 phút. Các thiết bị mục tiêu đều được cập nhật phần mềm mới nhất.
Theo trưởng nhóm Ngô Anh Huy, thách thức của cuộc thi là đội thi trước có thể khai thác lỗ hổng giống mình. Khi đó, nếu thi sau, dù khai thác thành công cũng không được điểm tuyệt đối. Ngoài ra, thách thức còn đến từ chính nhà sản xuất thiết bị.
"Các thiết bị đều ở mức độ hoàn thiện cao. Nhà sản xuất là những công ty hàng đầu thế giới và cũng luôn mong muốn thiết bị của mình không thể bị tấn công trong cuộc thi. Vì vậy, họ cũng sẽ vá phần lớn lỗ hổng ngay trước ngày thi đấu", Huy nói. Năm ngoái, nhóm cũng từng mất điểm vì chọn đúng lỗ hổng mà nhà sản xuất đã biết.
Chiến thuật được đưa ra là tìm nhiều lỗi, ưu tiên những lỗi ít người phát hiện và khai thác.Với thời gian gần ba tháng "ăn ngủ" cùng thiết bị, nhóm kỹ sư Việt cho biết họ phải dự đoán được đâu là hướng tiếp cận dễ và sẽ có người khai thác, đâu là hướng khó mà ít người có thể biết. Sau đó, họ sẽ chọn hướng khó hơn.
Ví dụ trong hạng mục loa thông minh, thành viên Đỗ Mạnh Dũng cho biết anh mất một tuần để tìm ra lỗ hổng đủ khó trên mẫu loa Sonos Era 100, đồng thời mất hai tháng để viết mã khai thác. "Tôi tự tin thành công vì đây là lỗ hổng rất khó tìm", thành viên sinh năm 2003, trẻ nhất đội, cho biết.
Chiến thuật này của đội thi đã phát huy tác dụng. Tại phần thi SOHO Smashup, khi các đội phải tấn công router, từ đó tấn công sang các thiết bị khác, Huy cho biết có một đội thi trước có cách tiếp cận khá giống với nhóm mình.
Do đây cũng là phần thi cuối cùng và có nhiều điểm nhất, đội cho biết đã chuẩn bị sẵn ba lỗ hổng. Đây đều là các lỗ hổng ít người tìm ra và được đánh giá khó khai thác nhất. Nhóm đã thành công, dù suýt thất bại sau hai lần trình diễn hỏng.
Kết quả cũng giúp Team Viettel đạt điểm tối đa ở cả bảy hạng mục đăng ký. Các sản phẩm được tìm ra lỗi gồm Xiaomi 13 Pro, hệ thống lưu trữ QNAP, máy in Canon, HP, Lexmark, loa thông minh Sonos và SOHO Smashup. Nhóm nhận tiền thưởng 180 nghìn USD.
Theo Hà Anh Hoàng, kỹ sư an toàn thông tin sinh năm 1997, do phải thi trực tuyến, nhóm cũng có thể gặp bất lợi so với những đội trực tiếp là chỉ có thể kiểm tra thiết bị từ xa qua camera. "Quá trình thi không thể kiểm soát được vấn đề phát sinh về kỹ thuật, vì vậy phải tập trung toàn bộ cho lỗ hổng để chắc chắn thành công", Hoàng nói.
Nhóm dự định các cuộc thi sau sẽ chọn mục tiêu được đánh giá khó hơn, như Apple iPhone, Google Pixel.
Pwn2Own là cuộc thi tấn công mạng uy tín và lớn nhất thế giới được Zero Day Initiative tổ chức thường niên từ năm 2007, được ví như World Cup của giới bảo mật. Sự kiện năm nay có tám hạng mục, gồm Điện thoại di động, Bộ điều khiển nhà thông minh, Loa thông minh, Máy in, Thiết bị giám sát, Thiết bị lưu trữ mạng, Thiết bị Google, Thiết bị văn phòng nhỏ, với hơn một triệu USD tiền thưởng. Sau cuộc thi, các thiết bị được phát hiện lỗ hổng sẽ phải phát hành bản vá trong 90 ngày.
Lưu Quý