IrelandNhóm kỹ sư VCS lần thứ hai vô địch tại cuộc thi bảo mật nổi tiếng Pwn2Own sau khi khai thác thành công 9 lỗ hổng, giành giải 205.000 USD.
Theo kết quả công bố trên website của tổ chức Zero Day Initiative ngày 25/10, đội thi của Viettel Cyber Security (VCS) giành 33 điểm sau bốn ngày thi đấu, đứng vị trí đầu bảng.
Xếp dưới đội Việt Nam trong top 5 là một số nhóm nghiên cứu từ châu Âu, Canada, Mỹ, trong đó đội về nhì giành 17,5 điểm. Nhóm DevCore, từng có các thành viên vô địch Pwn2Own năm 2021 và 2022, lần này đứng thứ tư.
Năm ngoái, nhóm kỹ sư VCS cũng giành giải nhất với 30 điểm và nhận 180.000 USD.
Đội thi của Viettel Cyber Security đứng đầu cuộc thi với 33 điểm và phần thưởng 205.000 USD. Ảnh: ZDI
Pwn2Own là cuộc thi tấn công mạng được tổ chức thường niên từ năm 2007, được ví như World Cup của giới bảo mật. Sự kiện năm nay có tám hạng mục để các kỹ sư có thể tìm và khai thác lỗ hổng bảo mật, gồm Điện thoại di động, Ứng dụng nhắn tin, SOHO Smashup (Hệ thống mạng trong văn phòng nhỏ và gia đình), Hệ thống giám sát, Nhà thông minh, Máy in, Loa thông minh, Thiết bị lưu trữ NAS.
Các đội có ba tháng để tìm lỗ hổng, viết mã khai thác trước khi mang đến trình diễn tại sự kiện. Với mỗi mục tiêu, họ có ba lần tấn công thử, mỗi lần tối đa 10 phút. Thách thức của cuộc thi là các hãng có thể vá lỗ hổng ngay trước thềm sự kiện, hoặc các lỗ hổng có thể bị đối thủ khác khai thác trước. Vì vậy để đảm bảo giành điểm, các nhóm phải chuẩn bị nhiều lỗ hổng nhất có thể, đặc biệt là lỗ hổng khó, ít người tìm ra, đồng thời tập trung cao độ trong quá trình thực hiện.
Năm nay, đội VCS lựa chọn 10 mục tiêu, tăng so với bảy mục tiêu năm ngoái, tập trung vào các nhóm hệ thống giám sát, máy in, NAS của các hãng như Sonos, Lexmark, Lorex, và QNAP. Nhóm sau đó khai thác thành công 9/10 mục tiêu để đạt kết quả trên.
Nhóm kỹ sư Việt Nam nâng cúp tại Pwn2Own 2024. Ảnh: Uyên Nguyễn
Theo ông Ngô Anh Huy, trưởng đoàn VCS tại Pwn2Own 2024, năm nay cuộc thi có nhiều điểm mới và thách thức hơn, khi các mục tiêu được mở rộng từ thiết bị đến các ứng dụng. Đặc biệt, nhiều sản phẩm đã được nâng cấp với biện pháp bảo mật phức tạp hơn, tích hợp AI, như trong camera giám sát, nhà thông minh. Để vượt qua lớp bảo vệ động này, các nhà nghiên cứu không chỉ cần kiến thức về bảo mật truyền thống mà còn am hiểu về AI và cách chúng vận hành trong thiết bị IoT và hệ thống thông minh.
"Với sự phát triển mạnh của AI trong thiết bị hiện đại, việc nhắm đến các mục tiêu tích hợp AI không chỉ giúp đội mở rộng khả năng ứng phó và khai thác lỗ hổng bảo mật, mà còn củng cố năng lực bảo vệ an ninh mạng" ông Huy nói. "Điều này giúp chuẩn bị trước nguy cơ và cuộc tấn công ngày càng phức tạp vào thiết bị AI trong tương lai".
Ngoài ra, cuộc thi năm nay quy tụ nhiều đội ngũ nổi tiếng trong lĩnh vực an ninh mạng trên thế giới. Theo đại diện VCS, đây là cơ hội chia sẻ kinh nghiệm quý trong lĩnh vực an ninh mạng cho các kỹ sư trẻ của Việt Nam, đặc biệt khi nhóm đã đến Ireland trình diễn trực tiếp thay vì thực hiện từ xa như các năm trước.
Sau bốn ngày, Zero Day Initiative cho biết có hơn 70 lỗ hổng Zero-day được các đội phát hiện và khai thác. Họ cũng trao 1.066.625 USD tiền thưởng cho các đội.
Năm nay, Meta tham gia tài trợ và đưa ra đề bài khai thác lỗ hổng trên phần mềm WhatsApp, tiền thưởng cao nhất 300.000 USD, nhưng không đội thi nào đăng ký, tương tự các mục tiêu như iPhone 15, Pixel 8 dù giải thưởng 250.000 USD.
Lưu Quý