Lần thứ 3 được vinh danh tại cuộc thi Pwn2Own
Cuộc thi Pwn2Own với nội dung "tấn công mạng-hack máy tính" tổ chức ở Vancourver, Canada, có sự góp mặt của hơn 20 cao thủ hàng đầu thế giới đến từ những hãng công nghệ nổi tiếng như STAR Labs, Sea Security,… Ở cuộc thi năm nay, hai chuyên gia của Viettel đã giành thắng lợi tại hạng mục Local Elevation of Privilege (Leo thang đặc quyền) với mục tiêu là Microsoft Windows 11. Tại đây còn có sự góp mặt của hơn 20 cao thủ thuộc top hàng đầu thế giới, đến từ những hãng công nghệ nổi tiếng như STAR Labs, Sea Security,…
Hai cao thủ được vinh danh tại cuộc thi năm nay là Đào Trọng Nghĩa (sinh năm 1998) và Trần Hữu Phúc Vinh (sinh năm 2000). Trong đó, Đào Trọng Nghĩa là một trong những chuyên gia an ninh mạng đã từng phát hiện hơn 12 lỗ hổng bảo mật quan trọng của hệ điều hành Windows, đây là năm thứ hai liên tiếp Nghĩa tham gia và được vinh danh tại cuộc thi Pwn2Own. Còn Trần Hữu Phúc Vinh là một trong những chuyên gia trẻ tài năng, lần đầu tiên tham gia cọ sát tại đấu trường thế giới.
Pwn2Own là cuộc thi tấn công mạng uy tín và lớn nhất thế giới được hãng bảo mật TrendMicro tài trợ và Zero Day Initiative tổ chức thường niên từ năm 2007. Tại đây, các hãng công nghệ nổi tiếng sẽ đem sản phẩm của mình làm mục tiêu, các hacker sẽ thể hiện kỹ năng tấn công, khai thác phần mềm hoặc thiết bị, qua đó các nhà sản xuất có thể khắc phục ngay lập tức những sai số, nâng cao tính bảo mật giúp đảm bảo an toàn thông tin cho khách hàng.
Pwn2Own 2022 nhắm mục tiêu tìm ra những lỗ hổng trên các nền tảng hệ điều hành lớn gồm: Windows 11, Microsoft Teams, Ubuntu Desktop, Mozilla Firefox, Apple Safari, Oracle VirtualBox, Tesla... Pwn2Own Vancouver 2022 kết thúc với 17 cuộc khai thác lỗ hổng thành công, trao thưởng 1.155.000 USD cho các hacker mũ trắng và nhà nghiên cứu bảo mật.
Kể về lần đầu tiên tham dự cuộc thi tấn công mạng tầm cỡ thế giới và đạt giải thưởng cao nhất, mặc dù rất vui khi biết mình chiến thắng hạng mục "Leo thang đặc quyền", nhưng trước đó, Trần Hữu Phúc Vinh cho biết, mình đã cảm thấy rất lo lắng vì sợ mã khai thác của mình bị thất bại nhưng nhờ những người anh, người bạn trong team đã cổ vũ nên đã có thể vượt qua được.
"Trong cuộc thi Pwn2Own 2022, do anh Đào Trọng Nghĩa đã thi từ trước nên chia sẻ rất nhiều kinh nghiệm cho em. Tuy nhiên, thách thức lớn nhất là làm thế nào để mã khai thác của mình ổn định trong 3 lượt chạy thành công", Phúc Vinh chia sẻ thêm.
Kể về con đường tham gia trở thành chuyên gia ATTT của mình, Phúc Vinh cho biết, mình bắt đầu tham gia nghiên cứu tháng 4/2021 từ khi vào Viettel Cyber Security, trong quá trình nghiên cứu, điều may may mắn có được là sự hỗ trợ, chia sẻ rất nhiều kinh nghiệm quý báu từ anh Đào Trọng Nghĩa.
Đây là lần thứ 3, chuyên gia bảo mật Viettel được vinh danh tại cuộc thi này. Trước đó, tại Pwn2Own Tokyo 2020, Viettel cũng có 2 cao thủ là Ngô Anh Huy (sinh năm 1989) và Đỗ Quang Thành (sinh năm 1996) đã giành chiến thắng khi chiếm quyền điều khiển SmartTV Samsung và Sony.
Còn tại Pwn2Own Vancouver 2021, 2 chuyên gia của Viettel Cyber Security là Phạm Văn Khánh (sinh năm 1992) và Đào Trọng Nghĩa đã giành chiến thắng tại hai hạng mục "leo thang đặc quyền" và "máy chủ" nhờ khai thác thành công các lỗ hổng trên hệ điều hành Windows 10 và Microsoft Exchange Server.
Thành tích lần này của đội Viettel Cyber Security tại đấu trường Pwn2Own một lần nữa khẳng định vị thế tiên phong, dẫn đầu của công ty trong lĩnh vực nghiên cứu chuyên sâu về ATTT tại Việt Nam, đồng thời góp phần nâng cao uy tín, xếp hạng quốc tế của Việt Nam về ATTT theo đánh giá của Liên minh Viễn thông quốc tế.
Cần cải thiện ở khả năng khai thác lỗ hổng trên nhiều nền tảng
Ông Trần Minh Quảng – Giám đốc Trung tâm phân tích và chia sẻ nguy cơ An ninh mạng, Công ty An ninh mạng Viettel – nơi mà Đào Trọng Nghĩa và Trần Hữu Phúc Vinh đang làm việc, cho biết, trong các cuộc thi Pwn2Own vài năm trở lại đây có khá nhiều các chuyên gia Việt Nam dự thi ở nhiều hạng mục khác nhau. Các chuyên gia Việt Nam đều thể hiện được khả năng của mình và chiến thắng ở nhiều phần thi.
"Tôi đánh giá các chuyên gia của chúng ta hoàn toàn không thua kém các quốc gia khác trên thế giới về năng lực của các nhân sự ATTT nghiên cứu chuyên sâu", ông Quảng khẳng định.
Mặc dù chưa có cơ hội làm việc nhiều cùng tất cả các chuyên gia Việt Nam đã từng tham gia các cuộc thi Pwn2Own nhưng theo đánh giá cá nhân về các nhân sự của Viettel tham gia cuộc thi, ông Quảng cho rằng, ưu điểm của các kỹ sư ATTT Việt đó là khả năng tự tìm tòi, tự nghiên cứu, sáng tạo trong công việc. Tuy nhiên, cũng cần cải thiện nhiều ở khả năng tấn công, khai thác lỗ hổng trên đa dạng các nền tảng, đặc biệt là các nền tảng mới như các phần mềm làm việc trực tuyến, phần mềm ảo hóa…
Cũng theo ông Quảng, chất lượng đào tạo nhân sự ATTT hiện nay ở các trường đại học, cao đẳng đang ngày càng được nâng cao. Khi mà ngày càng nhiều sinh viên ra trường được nhận vào làm tại các cơ quan, tổ chức, doanh nghiệp và dần khẳng định được năng lực của mình. Tuy nhiên, trong bối cảnh công nghiệp 4.0, thời đại chuyển đổi số hiện nay đã tạo nên nhiều thách thức mới với các cơ sở đào tạo. "Các trường đại học, cao đẳng đào tạo ATTT cần có sự thay đổi linh hoạt chương trình đào tạo, bổ sung các chương trình thực hành, thực tập để sinh viên có khả năng đáp ứng tốt nhất với những sự biến đổi liên tục trong ngành ATTT hiện nay", ông Quảng nhấn mạnh.
Về lời khuyên cho những bạn sinh viên, học sinh muốn trở thành các chuyên gia ATTT, theo ông Quảng, hiện nay, các bạn trẻ sở hữu một lợi thế rất lớn trong mảng nghiên cứu chuyên sâu ATTT, đó là sự đam mê, nhiệt huyết, tinh thần dám nghĩ dám làm. Vì vậy, ông Quảng cho rằng, các bạn trẻ nên xác định sớm định hướng chuyên môn, tự đặt ra cho mình những thử thách, tham gia tích cực vào cộng đồng ATTT Việt Nam và thế giới, nếu được hãy tìm kiếm kinh nghiệm từ các chuyên gia trong ngành, thực tập tại các công ty công nghệ. "Những điều này sẽ giúp các bạn trẻ đi nhanh hơn, xa hơn trên con đường trở thành chuyên gia ATTT", ông Quảng bày tỏ.
Cuối cùng, ông Quảng cho rằng, mặc dù ATTT là một mảng mới và khó, đổi lại nó cũng có nhiều điểm thú vị, hấp dẫn để các chuyên gia có thể đào sâu nghiên cứu, duy trì ngọn lửa đam mê của mình. Đó là sự thích thú khi khám phá các chương trình do người khác xây dựng, cảm giác vượt qua chính mình khi chinh phục các thử thách để sánh vai cùng các chuyên gia trên thế giới, sự tự hào khi được góp sức mình bảo vệ chủ quyền quốc gia trên không gian mạng…
Hiện nay, Viettel Cyber Security sở hữu hơn 400 trăm nhân sự có trình độ cao, trong đó có 30 chuyên gia an ninh mạng người Việt trình độ chuyên môn cao, được công nhận tại các bảng xếp hạng quốc tế và những tổ chức uy tín trên thế giới như Microsoft, Bugcrowd, Google… Không chỉ xuất sắc trong việc nghiên cứu và tìm kiếm các lỗ hổng, các chuyên gia Viettel Cyber Security cũng nhiều lần được mời tham dự, thuyết trình, chia sẻ tại những hội thảo bảo mật uy tín, nổi tiếng thế giới như: Black Hat USA, Black Hat Europe, các hội thảo dành riêng cho các chuyên gia được tổ chức bởi Microsoft hay Google...
Trong tương lai gần, Viettel Cyber Security tiến tới sẵn sàng cung cấp dịch vụ cho các tổ chức, doanh nghiệp trên thế giới với các sản phẩm mũi nhọn được các hãng phân tích thị trường đánh giá cao và đưa vào bản xếp hạng các sản phẩm an toàn thông tin tiêu biểu toàn cầu; khẳng định vị thế tiên phong, dẫn đầu của Viettel Cyber Security trong lĩnh vực ATTT và chủ lực kiến tạo xã hội số tại Việt Nam./.