Pwn2Own là cuộc thi tấn công mạng uy tín và lớn nhất thế giới, được Zero Day Initiative - ZDI (chương trình quốc tế được thiết kế để khen thưởng các nhà nghiên cứu tìm ra lỗ hổng bảo mật) tổ chức thường niên từ năm 2007.

pwn2own ireland day 2.jpeg
 Cuộc thi là nơi các chuyên gia bảo mật "phơi bày" lỗ hổng của các gã khổng lồ công nghệ. Ảnh: Security Week

Khác với những cuộc thi bảo mật thông thường, Pwn2Own được thiết kế để khuyến khích việc phát hiện các lỗ hổng bảo mật tiềm ẩn trong các hệ thống phần mềm và phần cứng phổ biến.

Cuộc thi này không chỉ dừng lại ở việc tìm ra lỗ hổng mà còn thúc đẩy các chuyên gia bảo mật, hacker mũ trắng chia sẻ kiến thức, giúp các công ty khắc phục vấn đề và bảo vệ hàng triệu người dùng trước những cuộc tấn công nguy hiểm.

Quy tụ những “ngôi sao” bảo mật thế giới

Giống như Oscar là nơi vinh danh những cá nhân xuất sắc nhất trong ngành điện ảnh, Pwn2Own là cuộc thi quy tụ các chuyên gia bảo mật giỏi nhất từ khắp nơi trên thế giới; chẳng hạn, có thể kể đến những cái tên nổi tiếng trong giới hacker mũ trắng như Richard Zhu, Amat Cama, và Samuel Groß.

Không chỉ “đếm lỗi, lĩnh tiền”, mỗi cuộc thi Pwn2Own đều có giải thưởng “Master of Pwn” dành cho đội hoặc cá nhân có thành tích xuất sắc nhất.

Lên ngôi tại cuộc thi này, người chiến thắng có thể nhận đến hàng triệu USD tiền thưởng, khi mỗi lỗ hổng bảo mật được khai thác thành công có thể mang lại cho người tham gia từ 20.000 USD đến 200.000 USD hoặc hơn nữa.

Điều này biến Pwn2Own trở thành một trong những cuộc thi hack có giá trị giải thưởng lớn nhất thế giới.

Ngoài ra, Pwn2Own còn mang lại giá trị thực tiễn rất lớn cho các nhà nghiên cứu và cả các nhà sản xuất phần mềm. Khi một lỗ hổng được phát hiện, ZDI sẽ làm việc chặt chẽ với các công ty liên quan để phát hành bản vá trước khi thông tin lỗ hổng được công bố công khai.

Điều đó không chỉ giúp tăng cường bảo mật cho sản phẩm mà còn bảo vệ hàng triệu người dùng khỏi nguy cơ bị tấn công.

Một trong những ví dụ điển hình là lỗ hổng bảo mật nghiêm trọng được phát hiện trên trình duyệt Microsoft Edge vào năm 2017. Đội Fluoroacetate đã khai thác thành công lỗ hổng trong vòng chưa đầy một tiếng, buộc Microsoft phải nhanh chóng tung ra bản vá khẩn cấp để.

Sự kiện này không chỉ cho thấy tầm quan trọng của Pwn2Own trong việc bảo vệ an toàn cho người dùng, mà còn khẳng định giá trị của cuộc thi đối với ngành công nghiệp công nghệ.

Nơi những gã khổng lồ công nghệ phải “toát mồ hôi”

Từ những ngày đầu chỉ tập trung vào một số nền tảng phần mềm, Pwn2Own đã không ngừng mở rộng để bao gồm nhiều lĩnh vực khác nhau, từ các trình duyệt web nổi tiếng như Google Chrome, Mozilla Firefox, cho đến các hệ điều hành di động như Apple iOS và Google Android.

Thậm chí, các thiết bị phần cứng và Internet of Things (IoT), chẳng hạn như router, tivi thông minh và cả xe điện Tesla, cũng trở thành mục tiêu của cuộc thi.

Những mục tiêu này thường là các sản phẩm đang được sử dụng rộng rãi, do đó, việc tìm ra lỗ hổng không chỉ đơn giản là giải mã một câu đố kỹ thuật, mà còn có ý nghĩa sâu rộng với an ninh toàn cầu.

Ngay trong năm đầu tiên tổ chức, một chuyên gia bảo mật đã tấn công thành công một chiếc MacBook Pro thông qua lỗ hổng bảo mật của trình duyệt Safari, đánh dấu sự khởi đầu của một truyền thống khiến những nhà phát triển phần cứng lẫn phần mềm công nghệ phải “toát mồ hôi” mỗi năm.

Hay như sự kiện Pwn2Own 2022 tổ chức tại Vancouver, các thí sinh đã khai thác thành công 16 lỗ hổng zero-day trong hàng loạt sản phẩm, gồm cả hệ điều hành Windows 11 và ứng dụng họp trực tuyến Team của Microsoft.

Năm 2019, đội nghiên cứu từ Team Fluoroacetate đã khai thác thành công lỗ hổng trên Tesla Model 3, giành phần thưởng 35.000 USD cùng hiện vật là chính mẫu xe họ hack thành công.

Việc khai thác thành công không chỉ làm dấy lên mối quan tâm về an toàn của các phương tiện tự lái mà còn buộc các nhà sản xuất phải ngay lập tức tìm cách vá lỗ hổng để tránh các cuộc tấn công trong tương lai. 

Một ví dụ điển hình khác là nền tảng Flash - một trong những công nghệ đa phương tiện nổi tiếng được sử dụng rộng rãi trên web. Flash từng là công cụ chính cho các trình duyệt hiển thị video, trò chơi và các nội dung tương tác.

Song, khi liên tục bị các hacker mũ trắng khai thác mỗi dịp Pwn2Own, nhà phát hành Adobe buộc phải “khai tử” Flash vào năm 2020 để nhường chỗ cho những tiêu chuẩn mới hơn, an toàn hơn.

(Tổng hợp)