Với quyết định của Trung Quốc hạn chế các nhà nghiên cứu bảo mật tham gia vào các cuộc thi toàn cầu, đây là điều sẽ tiềm ẩn rất nhiều nguy cơ.
Trong hơn một thập niên, sự kiện Pwn2Own – diễn ra vào tuần này – tập hợp các tài năng an ninh từ khắp nơi trên thế giới trong một cuộc thi hacking thân thiện, đây được xem là cơ sở nghiên cứu và tiến bộ ngang tầm với Black Hat và Def Con.
Các hacker Trung Quốc thường xuyên giành chiến thắng và càn quét bảng xếp hạng, đáng chú ý là các đội Tencent và Keen. Pwn2Own là cuộc thi có bản chất tốt. Tại đây, các nhà nghiên cứu đã phát hiện được nhiều lỗi lớn, thu hút nhiều sự quan tâm về các lỗ hổng bảo mật và lỗ hổng zero-days (những lỗ hổng chưa được công bố hay chưa được khắc phục) cần được khắc phục.
Nhưng năm nay, theo ông Brian Gorenc – quản lý cuộc thi Pwn2Onn, Trung Quốc không cho phép các nhà nghiên cứu của quốc gia họ tham gia thi nữa. Trước khi bắt đầu Pwn2Own vào tuần này, ông Gorenc chia sẻ với báo chí: “Một số quốc gia đã có những thay đổi chính sách, không còn phép công dân tham gia các cuộc thi toàn cầu, như cuộc thi Pwn2Own và Capture the Flag”.
Có một điều chắc chắn là các nhà vô địch hàng năm của Tencent Keen Labs và đội 360Vulcan của Qihoo 360 không còn xuất hiện. Trend Micro, nhà tổ chức cuộc thi đã xác nhận với Engadget rằng không có đối thủ người Trung Quốc nào tham gia cuộc thi năm nay.
“Kẹt lại” phía sau Vạn Lý Trường Thành
Một phát ngôn viên từ Trend Micro cho hay: “Nếu thay đổi những quy định nhằm ngăn chặn sự tham gia của một số quốc gia, chúng tôi mong chờ nó sẽ diễn ra trên nhiều sự kiện khác chứ không chỉ là Pwn2Own. Những thay đổi về quy định có khả năng áp dụng đối với các thể loại khác của cuộc thi.”
Đây là một sự phát triển đáng lo ngại theo hướng cô lập và xa lánh những lợi ích của cạnh tranh trên tinh thần cải thiện tính an ninh cho tất cả các nước. Đi kèm với thời điểm mối quan hệ giữa Hoa Kỳ và Trung Quốc đang căng thẳng dưới sức nặng về vấn đề an ninh của Huawei, mà chúng không phải vấn đề mới mẻ gì, nhưng chắc chắn sẽ đến lúc các công ty đứng đầu của Mỹ cắt đứt quan hệ kinh doanh với tập đoàn Trung Quốc này.
Họ chắc chắn đặt sự quan sát vào Def Con, hiện đang thực hiện hội nghị Trung Quốc đầu tiên vào đầu tháng 5. Khi đưa ra bình luận, tổ chức này vẫn quan sát diễn biến.
The wider infosec community was just plain disappointed. Microsoft Edge Security hacker Jonathan Norman said in a tweet that the decision to keep China’s hackers out of Pwn2Own was “depressing” because he “Worked really hard preparing for this year and wanted to see the results.” Others said it just wasn’t going to be the same without Keen participating, and they’re not wrong.
Cộng đồng INFOSEC (an toàn thông tin) cho biết họ thất vọng. Jonathan Norman, tin tặc của Microsoft Edge Security đã chia sẻ trên Twitter rằng quyết định loại các tin tặc Trung Quốc khỏi Pwn2Own là “đáng thất vọng” vì anh đã “Làm việc chăm chỉ để chuẩn bị cho năm nay và muốn thấy kết quả.” Những người khác cho rằng nó sẽ không giống các năm trước nếu không có Keen tham gia, và họ không sai.
Người ta có thể tranh cãi rằng cuộc thi Pwn2Own làm cho mọi người cảm thấy an toàn hơn. Đây là cuộc thi truyền lửa giữa các “ông lớn” như Microsoft, Google, Apple, VMware, Mozilla và những công ty thường xuyên phát hành các bản vá bảo mật lớn ngay trước sự kiện. Ngoài ra, những công ty đứng sau Pwn2Own lưu ý rằng “Đã có trường hợp các đội nộp báo cáo lỗi cho các nhà cung cấp trước khi cuộc thi diễn ra với hy vọng loại các đối thủ cạnh tranh.”
Pwn2Own được thành lập bởi Trend Micro Zero Day Initiative, một tổ chức chịu trách nhiệm “khuyến khích việc báo cáo lỗ hổng zero-day với các nhà cung cấp bị ảnh hưởng.”
Một ấn bản đặc biệt của “Những kẻ dự trữ”
Có vẻ như chính phủ Trung Quốc muốn giữ những khám phá lỗ hổng của công dân trong phạm vi biên giới của nước này, theo một chia sẻ của những nhà quản lý hàng đầu của đất nước. CEO Zhou Hongyi, công ty an ninh hàng đầu của Trung Quốc Qihoo 360 là đối thủ đại diện các đội Trung Quốc ra nước ngoài để cạnh tranh trong các sự kiện như Pwn2Own.
Trong cuộc thi năm ngoái, năm chiến thắng đầu đều đến từ Trung Quốc, với ba trong số đó đến từ Tencent. Phản ứng với điều này, Hongyi nói với Sina Technology rằng bất kỳ phát hiện lỗ hổng nào từ các nhà nghiên cứu Trung Quốc “nên giữ lại ở Trung Quốc.” Điều này có nghĩa rằng trong khi các nhóm tin tặc của Trung Quốc thích cạnh tranh và chia sẻ kỹ năng, nhưng các nhà điều hành và quản lý của đất nước này sẽ không muốn công bố những lỗ hổng zero days và lỗi.
Năm ngoái, trong lễ kỷ niệm 10 năm, Zero Day Initiative đã trao 833.000 USD cho các hacker mũ trắng khi đã tìm ra 51 lỗi khác nhau trong ngày. Hầu hết trong số họ là các nhà nghiên cứu người Trung Quốc.
Các nhà nghiên cứu Trung Quốc nổi lên như một lực lượng mạnh tại cuộc thi Mobile Pwn2Own năm 2013 ở Nhật Bản và đội Keen của Tencent đã tấn công và điều khiển từ xa những chiếc xe hơi Tesla, đưa ra một bài thuyết trình và trình diễn các cuộc tấn công tại Black Hat USA vào năm 2017.
Các đội Trung Quốc có hồ sơ xuất sắc tại Pwn2Own, nhưng nhiệm vụ của họ trong cuộc thi năm 2016 có lẽ là ví dụ tốt nhất cho thấy sự cạnh tranh toàn cầu góp phần bảo đảm an toàn an ninh thông tin cho mọi người.
Năm 2016, đối thủ của Tencent là Qihoo 360 đã bỏ túi 520.000 USD tiền thưởng từ sự kiện PwnFest; nhờ đó chiếc Google Pixel mới đã bị hạ gục chỉ trong vòng 60 giây. Cùng năm đó, Nexus 6p đã bị hack trong dưới 5 phút tại Moblie Pwn2Own do nhóm tin tặc mũ trắng “Keen team” của Tencent.
“Google cho biết lỗi mà đội Keen phát hiện trên Chrome đã được vá trong vòng 24 giờ sau khi sự kiện diễn ra, và những thay đổi đã được phát hành ở phiên bản ổn định”, The Register viết.
Theo: Engadget