Hiện tại cũng đau lòng lắm rồi huhu

Kỹ sư Việt kiếm trăm nghìn USD từ lỗ hổng Microsoft, Oracle

Nhóm năm kỹ sư trẻ Việt Nam, sinh từ năm 1999 đến 2003, giành 115.000 USD vì khai thác thành công lỗ hổng của Microsoft Teams và Oracle VirtualBox.

Theo bảng xếp hạng cuộc thi Pwn2Own Vancouver vừa được công bố, đội thi của nhóm kỹ sư Việt Nam xếp hạng ba với 12 điểm, đứng sau hai đội Synacktiv của Pháp và STAR Labs từ Singapore.

Pwn2Own là một trong những cuộc thi về bảo mật lớn nhất thế giới, do tổ chức Zero-day Initiative tổ chức thường niên. Trong đợt thi này, các nhóm tranh tài ở bảy hạng mục gồm: Ảo hóa, Trình duyệt Web, Ứng dụng doanh nghiệp, Máy chủ, Leo thang đặc quyền, Ứng dụng giao tiếp doanh nghiệp và Hệ thống phần mềm trên ôtô.

Nhóm kỹ sư tham gia Pwn2Own Vancouver từ xa. 

Đây không phải lần đầu các kỹ sư Việt Nam đạt giải tại cuộc thi này. Tuy nhiên, theo Phạm Văn Khánh, một thành viên tham gia đến từ Viettel Cyber Security (VCS), nhóm đều là những kỹ sư trẻ, sinh năm từ 1999 đến 2003. Nhóm chọn Ảo hóa và Ứng dụng doanh nghiệp, thay vì hạng mục Máy chủ vốn là thế mạnh, đồng thời chỉ tập trung vào hai lỗ hổng và khai thác thành công cả hai.

Trong đó, mục tiêu Microsoft Teams được khai thác trong chưa đầy 10 giây, đem về 75.000 USD và 8 điểm xếp hạng. Mục tiêu Oracle VirtualBox do một thành viên sinh năm 2003 khai thác, nhận 40.000 USD và 4 điểm.

Đặc thù của Pwn2Own là các nhóm sẽ tìm sẵn lỗ hổng và các hướng tấn công, sau đó trình diễn trực tiếp tại cuộc thi trong thời gian 5-10 phút. Khánh cho biết nhóm bắt đầu nghiên cứu công nghệ và các hướng tấn công từ đầu tháng 2. Tuy nhiên, một trong số đó là lỗ hổng khó, gần ngày thi mới thử nghiệm thành công. Một thách thức khác là lỗ hổng mà nhóm chuẩn bị có thể được vá lỗi bất cứ lúc nào.

Mạnh Dũng, một trong những kỹ sư trẻ nhất Việt Nam tham gia Pwn2Own, đánh giá thách thức của cuộc thi là việc người chơi cần nhắm vào những lỗ hổng trọng yếu của các nhà cung cấp lớn nhất thế giới trong thời gian ngắn. "Điều này khiến việc khai thác khó hơn và mức độ cạnh tranh cao hơn", Dũng đánh giá.

Theo ông Mai Xuân Cường, Trưởng phòng An ninh hệ thống ứng dụng VCS, Pwn2Own là sân thi đấu công bằng cho giới chuyên gia bảo mật trên thế giới. "Việc các kỹ sư trẻ Việt giành giải thưởng cho thấy kỹ sư Việt đủ năng lực để cạnh tranh với các kỹ sư nước ngoài. Thành tích này thể hiện Việt Nam đang đi đúng hướng trong việc đào tạo và bồi dưỡng nhân lực trong ngành CNTT và ATTT", ông Cường đánh giá.

Pwn2Own được tổ chức thường niên từ năm 2007. Hàng năm, giới hacker mũ trắng đã kiếm được hàng trăm nghìn USD thông qua việc phát hiện và khai thác lỗ hổng, trong khi cũng giúp các công ty cũng nắm bắt sớm vấn đề trên hệ thống của mình. Khoản tiền thưởng cũng chủ yếu được tài trợ bởi những doanh nghiệp này.

Ngoài đội của Việt Nam, Pwn2Own năm nay có hàng chục đội thi từ các nước trên thế giới, tìm ra 27 lỗ hổng trong nhiều hệ thống lớn và trao hơn một triệu USD tiền thường. Nhóm dẫn đầu là Snyactiv với 350.000 USD tiền thưởng và một chiếc xe Tesla sau khi phát hiện lỗi phần mềm liên quan đến xe này. Tesla cũng đã ghi nhận sự tồn tại của lỗ hổng và cho biết một trong hai lỗi đã được vá, lỗi còn lại sẽ được khắc phục qua bản cập nhật OTA sắp tới.