Tuần này, hai hacker mũ trắng người Hà Lan đã giành chức vô địch Pwn2Own - sân thi đấu cho những hacker hợp pháp được tổ chức thường niên bởi TippingPoint. Đây là chiến thắng thứ tư của họ tại cuộc thi hàng năm ở Miami, Florida. Năm nay là chiến thắng đậm nhất với họ, bỏ túi 90.000 USD cùng chiếc cúp vô địch. Trước đó, họ nâng cúp vào năm 2012, 2018 và 2021. Tuy nhiên, bỏ chiếc cúp hay số tiền thưởng qua một bên, cách họ chiến thắng đã làm dấy lên sự lo lắng.
Daan Keuper và Thijs Alkemade đang nhận giải thưởng Tại Pwn2Own năm nay, nhà nghiên cứu bảo mật Daan Keuper và Thijs Alkemade đã quyết định hack một phần mềm điều khiển công nghiệp có tên "OPC UA". Đây là giao thức phổ biến được dùng để kết nối các hệ thống công nghiệp như lưới điện cũng như nhiều cơ sở hạ tầng quan trọng khác. Thật đáng lo ngại khi biết rằng Keuper và Alkemade có thể đột nhập vào OPC UA, nhưng điều đáng bận tâm hơn là họ làm điều đó một cách rất dễ dàng. Keuper nói với MIT Technology Review: “Trong các hệ thống điều khiển công nghiệp, vẫn còn tiềm ẩn nhiều vấn đề bảo mật. An ninh đang bị tụt hậu một cách tồi tệ”. Bộ đôi này đã tấn công một số hệ thống cơ sở hạ tầng khác, nhưng chỉ mất hai ngày để bẻ khóa OPC UA. Keuper cho biết: “OPC UA được sử dụng ở khắp mọi nơi trong thế giới công nghiệp như một đầu nối giữa các hệ thống. Đó là một thành phần trung tâm của các mạng công nghiệp điển hình, và chúng tôi có thể bỏ qua xác thực thông thường để đọc và thay đổi bất kỳ thứ gì. Chỉ mất vài ngày để khám phá ra điều đó”. Việc hai hacker chỉ mất hai ngày cuối tuần để xâm nhập vào một hệ thống chịu trách nhiệm kiểm soát các hệ thống điện, nước và hạt nhân của Mỹ đặc biệt đáng sợ khi xét đến tình hình hỗn loạn ở Ukraine. Tháng trước, Nhà Trắng cảnh báo các tập đoàn nước này cần tăng cường khả năng phòng thủ mạng trong trường hợp Nga cố gắng trả đũa các lệnh trừng phạt của Mỹ. Technology Review không đề cập liệu các nhà phát triển đã vá lỗ hổng này hay chưa. Tuy nhiên, đơn vị đăng cai tổ chức cuộc thi Pwn2Own, Zero Day Initiative, có chính sách "thưởng cho những hacker đã tiết lộ các lỗ hổng một cách riêng tư” nên rất có thể mạng lưới điện vẫn tạm thời an toàn. Nguồn: Techspot
