Cuộc chơi của những gã khổng lồ công nghệ và các “ngôi sao” bảo mật thế giới
Năm 2007, sự kiện Pwn2Own được tổ chức lần đầu tại Vancouver, Canada bởi một trong những nền tảng Bug bounty lớn nhất thế giới ZDI (Trend Micro). Về bản chất, Pwn2Own là một cuộc thi vận hành theo nguyên tắc “săn lỗi, nhận thưởng”. Tại đây, các hãng công nghệ sẽ cung cấp các sản phẩm của mình làm mục tiêu cho người chơi tấn công. Nếu khai thác thành công, người chơi sẽ nhận được tiền mặt và điểm thưởng. Pwn2Own hàng năm trao giải thưởng Master of Pwn dành cho đội hoặc cá nhân có thành tích xuất sắc.
Lý giải cho việc Pwn2Own được ví như “giải Oscar” của ngành bảo mật toàn cầu có thể bắt đầu từ mục tiêu của cuộc thi. Từ những ngày đầu chỉ tập trung vào một số nền tảng phần mềm, Pwn2Own đã không ngừng mở rộng để bao gồm nhiều lĩnh vực khác nhau, từ các trình duyệt web nổi tiếng như Google Chrome, Mozilla Firefox cho đến các hệ điều hành di động như Apple iOS và Google Android. Thậm chí, các thiết bị phần cứng và Internet of Things (IoT), chẳng hạn như router, tivi thông minh và cả xe điện Tesla cũng trở thành mục tiêu của cuộc thi. Điều đáng nói là các mục tiêu này thuộc về các hãng công nghệ sừng sỏ trên toàn thế giới. Với quy mô xây dựng, phát triển, quy trình bảo mật nghiêm ngặt, tưởng chừng miễn nhiễm với các tác nhân tấn công độc hại nhưng vẫn thất bại trước sự tấn công của người chơi - những “ngôi sao” bảo mật.
Pwn2Own quy tụ những chuyên gia bảo mật xuất sắc đến từ khắp nơi trên thế giới. Tại sự kiện, không khó có thể chạm mặt các chuyên gia nổi tiếng trong giới hacker mũ trắng như Richard Zhu, Amat Cama, Samuel Groß... Không những thế, tại sự kiện này, những chuyên gia chưa từng lộ diện sẽ bước ra ánh sáng để chinh phục các mục tiêu “không tưởng”. Việc chiến thắng ở các hạng mục của cuộc thi đồng nghĩa với việc các chuyên gia được vinh danh tại các bảng vàng danh dự. Điều này có ý nghĩa rất lớn trong sự nghiệp của các hacker mũ trắng.
Về mặt học thuật, Pwn2Own còn mang lại giá trị thực tiễn rất lớn cho các nhà nghiên cứu và cả các nhà sản xuất. Những mục tiêu tấn công thường là các sản phẩm đang được sử dụng rộng rãi, do đó, việc tìm ra lỗ hổng không chỉ đơn giản là tìm kiếm những sai sót kỹ thuật mà còn có ý nghĩa sâu rộng hơn thế. Khi một lỗ hổng được phát hiện, ZDI sẽ làm việc chặt chẽ với các công ty liên quan để phát hành bản vá trước khi thông tin lỗ hổng được công bố công khai.
Thoạt nhìn sẽ thấy các hãng công nghệ “thua” trong cuộc chơi Pwn2Own khi bỏ tiền trao thưởng để tìm lỗ hổng yếu kém trên chính sản phẩm của mình. Nhưng qua hoạt động này, các ông lớn công nghệ sẽ có cơ sở để cung cấp các sản phẩm an toàn hơn, sâu xát là nhìn nhận lại cách thức sản xuất, bộ phận chuyên trách bảo mật mà công ty đang sở hữu. Không những thế, người dùng sẽ thấy sự cam kết đầu tư nghiêm túc, khách quan trong các sản phẩm của hãng. Từ đó bảo vệ hàng triệu người dùng khỏi nguy cơ bị tấn công.
Một ví dụ điển hình là nền tảng Flash - một trong những công nghệ đa phương tiện nổi tiếng được sử dụng rộng rãi trên web để hiển thị video, trò chơi và các nội dung tương tác trở thành mục tiêu hấp dẫn với các chuyên gia qua mỗi mùa Pwn2Own. Dẫn đến việc, Adobe buộc phải “khai tử” Flash vào năm 2020 để nhường chỗ cho những tiêu chuẩn mới hơn, an toàn hơn. Nhiều hãng bảo mật như Microsoft đã phải nhanh chóng tung ra bản vá khẩn cấp sau khi lỗ hổng nghiêm trọng được phát hiện thông qua cuộc thi. Sự kiện này không chỉ cho thấy tầm quan trọng của Pwn2Own trong việc bảo vệ an toàn cho người dùng, mà còn khẳng định giá trị của cuộc thi đối với ngành bảo mật toàn cầu.
Một lý do khác khiến cho Pwn2Own trở nên danh giá một phần đến từ việc giải thưởng mà cuộc thi này đem lại. Nếu chiến thắng, người chơi có thể nhận đến hàng triệu USD tiền thưởng. Với mỗi lỗ hổng khai thác thành công tại các hạng mục, người chơi có thể có từ 20.000 USD đến 250.000 USD (theo thông tin công bố về giải thưởng Pwn2Own năm 2025). Điều này khiến Pwn2Own trở thành cuộc thi hack có giá trị cao nhất thế giới.
Có lẽ Địa vị - Danh vọng - Tiền bạc là tất cả những gì Pwn2Own đem lại cho cả những gã khổng lồ công nghệ và các “ngôi sao” bảo mật thế giới.
Những “ngôi sao” Việt Nam tỏa sáng tại giải Oscar danh giá của giới bảo mật
Trong vài năm trở lại đây, trí tuệ Việt Nam ngày càng khẳng định vị thế trên trường bảo mật thế giới. Một minh chứng rõ nhất là các chuyên gia của Công ty An ninh mạng Viettel (Viettel Cyber Security - VCS) đã giành ngôi vô địch tại Pwn2Own Vancouver 2024. Đội thi đến từ Việt Nam đã khai thác thành công 9 lỗ hổng zero-day trên các sản phẩm của HP, Canon, Synology, QNAP Systems… đạt tổng 33 điểm và phần thưởng hơn 200.000 USD. Đây là năm thứ hai liên tiếp Viettel vô địch Pwn2Own, khai thác được nhiều lỗ hổng nhất và cách biệt lớn so với đội xếp thứ hai.
Trước đó cũng ghi nhận, các cá nhân là chuyên gia người Việt Nam giành chiến thắng tại các hạng mục của Pwn2Own. Không thể không kể đến: Năm 2020, Ngô Anh Huy và Đỗ Quang Thành đến từ VCS đã khai thác thành công SmartTV thông qua trình duyệt cài dặt mặc định trên tivi Samsung và Sony. Lần thứ hai mang chuông đi đánh xứ người, hai chuyên gia của VCS là Phạm Văn Khánh và Đào Trọng Nghĩa đã chinh phục hai hạng mục với ba phần thi. Tại hạng mục leo thang đặc quyền, đội VCS đã thực hiện tấn công tràn số nguyên trên hệ điều hành Window 10. Từ đó, nâng quyền từ người dùng thông thường lên đặc quyền hệ thống. Chiến thắng này đã mang về cho đội thi VCS 40.000 USD và 4 điểm trong bảng xếp hạng. Hạng mục thứ hai mà đội thi VCS chiến thắng là máy chủ. VCS đã xuất sắc khai thác thành công lỗ hổng trên Microsoft Exchange Server.
Xét trên bình diện thì VCS đang là công ty duy nhất tại Việt Nam tập trung nguồn lực vào "Giải Oscar danh giá" của giới bảo mật để khẳng định vị thế. Tuy nhiên trên thực tế, có nhiều cá nhân người Việt từ lâu đã tham gia sân chơi này nhưng hoạt động dưới các tổ chức nước ngoài. Đáng kể như công ty STAR Labs (Singapore) nhiều năm liền đạt giải cao tại Pwn2Own. Điều thú vị là STAR Labs sở hữu nhiều nhân sự là các chuyên gia người Việt. Thậm chí, nhiều sinh viên còn đang ngồi trên ghế nhà trường (như sinh viên Học viện Kỹ thuật mật mã; Trường Đại học Công nghệ, Đại học Quốc gia Hà Nội; Đại học Bách khoa Hà Nội…) cũng tham gia cuộc thi này dưới danh nghĩa các công ty bảo mật quốc tế như ECQ, SEA.
Những điều trên khẳng định việc người Việt Nam có những nhân lực và trí tuệ vươn tầm thế giới, được cộng đồng bảo mật thế giới công nhận. Nhưng điều này cũng đặt ra câu hỏi về việc các công ty bảo mật của Việt Nam cần có những chiến lược trong việc phát triển nguồn nhân lực an toàn thông tin hay các chính sách hỗ trợ để các chuyên gia tham gia các sân chơi này một cách bài bản. Và sâu xa hơn nữa là bài toán quy tụ nguồn nhân lực an toàn thông tin chất lượng cao của nước ta, cần sẵn sàng đối mặt với thách thức chảy máu chất xám trong lĩnh vực bảo mật, an toàn thông tin.