Nhóm kỹ sư của Công ty An ninh mạng Viettel (Viettel Cyber Security) vừa giành chức vô địch tại cuộc thi bảo mật nổi tiếng Pwn2Own, sau khi khai thác thành công chín lỗ hổng.
Theo kết quả
công bố trên website của tổ chức Zero Day Initiative ngày 25/10, đội Viettel Cyber Security đã giành 33 điểm sau bốn ngày thi đấu, đứng đầu bảng, cách xa đội thứ hai (17,5 điểm). Các đội còn lại trong Top 5 là những nhóm nghiên cứu đến từ châu Âu, Canada và Mỹ.
Năm ngoái, nhóm kỹ sư của Viettel Cyber Security cũng giành giải nhất với 30 điểm. Đây là lần thứ bảy Viettel Cyber Security tham gia Pwn2Own và lần thứ hai giành ngôi vô địch.
Cuộc thi an ninh mạng thường niên Pwn2Own được ví như World Cup của giới bảo mật, thu hút sự tham gia của nhiều tập đoàn công nghệ, chuyên gia bảo mật toàn cầu.
Pwn2Own 2024 diễn ra tại Ireland từ 22-25/10, với hơn 25 đội đua tài để tìm các lỗ hổng bảo mật ở tám hạng mục cho trước gồm: điện thoại di động; ứng dụng nhắn tin; bộ điều khiển nhà thông minh, loa thông minh, máy in, bộ lưu trữ nối mạng, thiết bị giám sát/camera, thiết bị văn phòng nhỏ.
Mỗi hạng mục sẽ liệt kê tên các dòng thiết bị/ứng dụng, số điểm và số tiền đạt được nếu tìm ra lỗ hổng trong sản phẩm đó. Các đội có ba tháng để tìm lỗ hổng, viết mã khai thác trước khi mang đến trình diễn tại sự kiện. Với mỗi mục tiêu, họ có ba lần tấn công thử, mỗi lần tối đa 10 phút.
Thách thức của Cuộc thi là các hãng có thể kịp thời vá các lỗ hổng ngay trước sự kiện, hoặc các đội đối thủ khác có thể phát hiện và khai thác lỗ hổng trước. Do đó, để chắc chắn ghi điểm, các nhóm cần tìm ra càng nhiều lỗ hổng càng tốt, chuẩn bị nhiều phương án tấn công, đặc biệt là những lỗ hổng khó và ít người biết đến.
Năm nay, đội Viettel Cyber Security nhắm tới tìm lỗ hổng ở
10 đối tượng, tăng so với bảy đối tượng của đội mình năm ngoái, gồm: ba dòng thiết bị giám sát/camera thông minh (Lorex 2K Indoor Wi-Fi, Synology TC500, Ubiquiti AI Bullet), ba bộ lưu trữ nối mạng dành cho doanh nghiệp (QNAP QHora-322, QNAP TS-464, TrueNAS Mini X), một dòng loa thông minh (Sonos Era 300), và ba dòng máy in (HP Color LaserJet Pro MFP 3301fdw, Lexmark CX331adwe, Canon imageCLASS MF656Cdw).
Ông Ngô Anh Huy, trưởng đoàn, cho biết, Pwn2Own 2024 có nhiều điểm mới và thách thức bởi các mục tiêu đã được mở rộng từ thiết bị đến ứng dụng. Đặc biệt, nhiều sản phẩm có sự tích hợp AI, chẳng hạn như camera giám sát và hệ thống nhà thông minh. Để vượt qua lớp bảo vệ này, các kỹ sư không chỉ cần kiến thức về bảo mật như truyền thống mà còn phải hiểu biết về AI và cách cách công nghệ này vận hành trong thiết bị IoT và các hệ thống thông minh.
Sau bốn ngày, Ban tổ chức cho biết có hơn 70 lỗ hổng đã được các đội phát hiện và khai thác.
Cuộc thi Pwn2Own tiếp theo dự kiến sẽ tổ chức vào ngày 22/1/2025 tại Tokyo, Nhật Bản, với trọng tâm đặt vào ngành công nghiệp ô tô. Bốn hạng mục hoàn toàn mới sẽ được mở ra để tìm kiếm lỗ hổng là: Xe điện Tesla, Hệ thống thông tin giải trí trên xe, Bộ sạc xe điện và Hệ điều hành cho xe điện.
Công ty An ninh mạng Viettel (Viettel Cyber Security) trực thuộc Tập đoàn Công nghiệp - Viễn thông Quân đội Viettel, chuyên thực hiện nhiệm vụ nghiên cứu chuyên sâu, phát triển, tư vấn các giải pháp về an ninh mạng.
Đây là một trong những doanh nghiệp nổi bật trong việc đảm bảo an toàn thông tin cho các cơ sở hạ tầng trọng yếu của quốc gia và các tổ chức, doanh nghiệp thuộc nhóm ngành ngân hàng, năng lượng, điện lực, dầu khí.
Hằng quý hoặc hằng năm, Viettel Cyber Security sẽ phát hành các báo cáo truy cập mở về tình hình nguy cơ mất an toàn thông tin tại Việt Nam.
|
Đăng số 1316 (số 44/2024) KH&PT