Pwn2Own 2024, một trong những sự kiện lớn nhất và uy tín nhất trong ngành bảo mật, diễn ra cuối tháng 10 tại Ireland là sự kiện với số tiền thưởng kỷ lục, lần đầu tiên giải thưởng vượt mức 1 triệu USD kể từ khi giải bắt đầu được tổ chức vào năm 2007.

Với mỗi lỗ hổng tìm được, các nhóm nhận được tiền thưởng 20.000 - 50.000 USD và điểm "Master of Pwn" từ nhà tổ chức Zero Day Initiative (ZDI).

Trong đó Viettel Cyber Security mang về hơn 200.000 USD, phần thưởng lớn nhất nhờ phát hiện nhiều lỗ hổng nhất, và danh hiệu vô địch "Master of Pwn".

Nhưng người chiến thắng thực sự tại các sự kiện như Pwn2Own là người dùng, vì các thiết bị điện tử sẽ được bảo vệ, bảo mật dữ liệu tốt hơn sau khi các nhóm hacker chỉ ra lỗ hổng.

Những đối thủ lớn nhất thế giới

Pwn2Own là nơi họp mặt của những nhóm nghiên cứu bảo mật hàng đầu thế giới như Neodyme (Đức), DEVCORE (Đài Loan, Trung Quốc), Cluck (Mỹ)…, là các nhóm nổi tiếng với việc tìm ra các lỗ hổng zero-day và đã từng vô địch nhiều cuộc thi bảo mật thế giới trong đó có Pwn2Own các năm trước.

"Tham gia trực tiếp tại Pwn2Own là cơ hội để đối đầu với những đối thủ danh tiếng, nhiều người có thể gọi là 'idol' trong ngành bảo mật với những lỗ hổng mà họ đã tìm ra trên các hệ thống quan trọng", anh Ngô Anh Huy, trưởng đoàn của VCS tại Ireland, chia sẻ.

Nhưng đây mới chỉ là một phần lý do khiến cho cuộc thi trở nên khó khăn. Các thiết bị được đưa ra làm mục tiêu tại Pwn2Own đều thuộc về các hãng công nghệ lớn Samsung, HP, Canon, Synology, QNAP Systems, v.v… và được kinh doanh trên toàn thế giới.

Nếu dùng bất kỳ thiết bị thông minh nào, bạn có thể thấy những "bản vá" hay bản cập nhật liên tục xuất hiện, dù nhiều khi không có tính năng mới. Đó chính là các bản vá sửa lỗi để thiết bị và phần mềm trở nên "hoàn hảo" hơn về mặt bảo mật.

Vì thế không dễ để tìm được lỗ hổng trên những thiết bị này. Hơn nữa, yêu cầu của Pwn2Own là lỗ hổng mà các nhóm tìm ra phải là duy nhất và chưa được biết đến. Chỉ cần lỗ hổng đã được trình diễn trước đó vài phút bởi một nhóm đối thủ thì gần như đã mất toàn bộ giá trị.

"Với mỗi thiết bị, nhóm phải nghiên cứu để tìm ra lỗ hổng mà các nhóm khác ít có khả năng tìm ra nhất, và phải 'canh' xem lỗ đó liệu có bất chợt bị vá ngay trước ngày thi hay không để chuyển sang phương án thay thế", anh Huy cho biết.

Chiến tích "Master of Pwn"

Khoảng cách địa lý và gián đoạn cung ứng thiết bị do bão Yagi cũng khiến cho VCS gặp bất lợi hơn so với các nhóm ở Mỹ và châu Âu. 

Phải đến thời điểm trước cuộc thi hai tuần nhóm VCS mới sở hữu đầy đủ các thiết bị để tiến hành nghiên cứu (nhiều thiết bị yêu cầu tấn công trên các phiên bản bán ở nước ngoài do đó không thể mua phiên bản trong nước). Dù vậy, tất cả những điều này không ngăn cản việc các kỹ sư VCS đã tìm ra hàng loạt lỗ hổng "độc đáo" và nghiêm trọng.

Trong số 9 lỗ hổng zero-day mà VCS đã phát hiện, "đắt giá" nhất là lỗ hổng xuất hiện trên các thiết bị mạng và lưu trữ được nhiều doanh nghiệp sử dụng, có nguy cơ gây ảnh hưởng nghiêm trọng nếu bị kẻ xấu lợi dụng.

Kết hợp hai cách tấn công, VCS khai thác thành công một hệ thống giả định trong doanh nghiệp, bao gồm ổ cứng kết nối mạng TrueNAS MiniX và bộ định tuyến QNAP QHora-322. QNAP, nhà sản xuất của QNAP QHora-322, là hãng thiết bị Đài Loan hoạt động toàn cầu và cung cấp thiết bị cho hàng chục nghìn doanh nghiệp. Tương tự với iXsystems (Mỹ), nhà sản xuất TrueNAS Mini X.

"Chúng tôi đánh giá đây là lỗ hổng khá nghiêm trọng. Một thiết bị kết nối mạng khá phổ biến tại các doanh nghiệp có thể trở thành cửa ngõ để hacker xâm nhập vào mạng nội bộ, kéo theo nhiều nguy cơ về mất an toàn hệ thống, lộ lọt dữ liệu", Nguyễn Mạnh Dũng, thành viên trẻ tuổi nhất của nhóm VCS sinh năm 2003 và tham gia Pwn2Own lần đầu tiên, cũng là người trực tiếp nghiên cứu và khai thác các lỗ hổng, cho biết.

ZDI đánh giá đây là một lỗ hổng khó và nghiêm trọng vì bề mặt tấn công được sử dụng không cần nhiều điều kiện đặc biệt, dễ tấn công diện rộng và mức độ nghiêm trọng do đó cũng cao hơn.
Lỗ hổng cụ thể đang trong thời hạn 30 ngày "niêm phong", được chuyển đến các nhà sản xuất thiết bị để xây dựng bản vá, trước khi được công khai. Quy trình này tương tự với tất cả các lỗ hổng mà ZDI ghi nhận qua Pwn2Own.

Một lỗ hổng nghiêm trọng khác và khó khai thác khác mà nhóm phát hiện ra là lỗ hổng trong camera an ninh TC-500 của Synology, nhóm kỹ sư VCS cho biết. Thiết bị này được bán phổ biến trên các sàn thương mại điện tử ở nhiều nước trong đó có Việt Nam, khiến cho hacker có thể chiếm quyền hệ thống và lén theo dõi thông qua camera.

Hướng tới những chiến thắng lớn hơn

Toàn bộ các lỗ hổng zero-day đem về cho nhóm VCS chiến thắng chung cuộc tại Pwn2Own 2024 với 33 điểm, cách biệt lớn với đội đứng thứ hai đạt 17,25 điểm. Một năm trước, tại Pwn2Own 2023 diễn ra tại Vancouver, VCS cũng đạt kết quả tương tự khi chiến thắng với cách biệt điểm số gần gấp hai lần. Dù vậy, danh hiệu không phải mục đích của nhóm nghiên cứu.

"Những lỗ hổng VCS tìm ra sẽ đóng góp vào sự hoàn thiện hơn của các sản phẩm, thiết bị, giúp cho các thiết bị mới sẽ không chỉ cải tiến về mặt tính năng, mà còn hoàn thiện về mặt bảo mật để người dùng có thể yên tâm rằng mọi hoạt động, dữ liệu của họ đang được xử lý một cách an toàn", anh Nguyễn Xuân Hoàng, thành viên nhiều năm của nhóm VCS đã từng thi đấu trực tuyến giành ngôi vô địch 2023 và là người xây dựng kế hoạch tham gia thi đấu năm nay, cho biết.

"Chúng tôi nhìn nhận chiến thắng Pwn2Own không phải là đích đến, mà là một trong những kết quả của việc Viettel đầu tư cho một thế hệ trẻ có nền tảng và kỹ năng tốt, nhờ có điều kiện để nghiên cứu bảo mật. Có lẽ là không nhiều, hay có thể nói Viettel là công ty duy nhất ở Việt Nam đầu tư cho một nhóm toàn tâm toàn ý để nghiên cứu chuyên sâu", anh Anh Huy chia sẻ.

"Nghiên cứu bảo mật bắt đầu từ việc xác định và tìm hiểu về mục tiêu, sau đó tìm kiếm các lỗ hổng - đây cũng là phần mà nhóm đang làm để thi đấu P2O, và bước cuối cùng là tạo ra những sản phẩm dịch vụ từ lỗ hổng tìm được. 

Để tiếp tục phát triển, chúng tôi có dự định nghiên cứu sâu hơn ở bước thứ nhất và thứ ba, từ những việc như thiết bị được cấu thành như thế nào và những công nghệ mới nhất trong sản xuất thiết kế, đến việc đưa tri thức vào các sản phẩm, giải pháp bảo mật" - Ngô Anh Huy cho biết.

Thủ tướng Chính phủ biểu dương đội ngũ an ninh mạng Viettel

Ngày 1-11, Thủ tướng Chính phủ Phạm Minh Chính gửi thư biểu dương các kỹ sư an ninh mạng của Viettel đã có thành tích giành ngôi vô địch hai năm liên tiếp tại Pwn2Own, một trong những cuộc thi an ninh mạng lớn nhất và uy tín nhất thế giới.