Già
in passato abbiamo dato spazio alla attività chiamata
CyberChallenge.IT, con un articolo che spiegava l'oggetto della gara
e le procedure di selezione ed annunciava la fase finale per il 27
giugno.
Ora,
a distanza di qualche mese possiamo tirare le somme ma abbiamo deciso
di farlo assieme ai ragazzi di una delle squadre partecipanti: la
squadra dell'Università di Cagliari coordinata dal Professor Giorgio
Giacinto (1) e dal Dottor Davide Maiorca (2) in qualità di allenatore.
Cominciamo
con il conoscere i partecipanti. Potete presentarvi in poche righe?
Chi siete? Cosa studiate?
Sono
Lorenzo Pisu, ho 20 anni e studio nel corso di laurea in informatica dell'Università di Cagliari.
Io
sono Matteo Cornacchia e anche io sono iscritto al corso di laurea in informatica dell'Università di Cagliari.
Mi
chiamo Francesco Meloni, sono laureato in ingegneria informatica e
sono iscritto alla laurea magistrale in Computer Engineering,
Cybersecurity and Artificial Intelligence presso l'Università di
Cagliari.
Io
sono Daniele Pusceddu, ho 19 anni e devo fare l'ultimo anno delle
superiori all'Istituto Tecnico Industriale Scano a Cagliari, sezione
informatica.
Complimenti
ragazzi, so che non è andata benissimo ma sono sicuro che il
prossimo anno andrà meglio. Per cominciare vogliamo sapere cosa si
prova a partecipare ad una gara di squadra cosi particolare. Quali
sensazioni avete provato? Cosa vi ha spinto a partecipare?
Partecipare
alla gara è stata un'esperienza che ci ha messo a dura prova,
sicuramente c'è
tanta
adrenalina e uno sforzo mentale enorme ma è stata un'esperienza
molto positiva e di
grande
crescita sia a livello di competenze sia a livello personale. Penso
che il motivo
principale
per cui abbiamo partecipato sia quello di mettersi in gioco, quindi
si lo rifarei ancora!
Per
me la motivazione principale e stata sicuramente la mia curiosità
già presente verso il campo della Cybersecurity.
All'interno
dei corsi, ma soprattutto nelle fasi di preparazione e competizione
nazionale, ho avuto la possibilità di confrontarmi con persone dai
background più vari ma con tante passioni comuni.
Per
me l'iniziativa è stata soprattutto una preziosa occasione per
espandere la mia conoscenza non solo della sicurezza informatica, ma
anche dell'ambiente, sia in termini di competizione, sia per le
realtà istituzionali e private che la circondano. Posso dire senza
ombra di dubbio che nel totale il programma è l'esperienza
extracurricolare più preziosa a cui abbia mai partecipato.
L'aspetto
che mi ha spinto a partecipare è stata senza dubbio la voglia di
mettermi alla prova e imparare tanti aspetti tecnici della
sicurezza informatica in un ambiente dinamico e competitivo.
L'esperienza si è configurata in sè come una sfida che ha testato
ampiamente le mie abilità tecniche e di lavoro di squadra. Io sono
ormai grande per il target d'età dell'iniziativa, ma valutando il
mio percorso e quello dei miei compagni durante tutta la Cyber
Challenge, penso che per i ragazzi ancora al liceo o all'inizio
dell'università sia un'occasione imperdibile per fare un grosso
salto a livello di conoscenze e competenze nell'ambito della
sicurezza informatica.
Parliamo
ora dell'aspetto organizzativo. Come vi siete organizzati? Avevate
nominato un leader? Come prendevate le decisioni?
Dal
punto di vista organizzativo eravamo divisi principalmente in base a
dei ruoli
stabiliti
prima della gara grazie anche ai preziosissimi consigli del nostro
coach Davide,
quindi
non abbiamo individuato un leader tra di noi, abbiamo preso le
decisioni comunicando
e
tenendo fede anche a quanto stabilito prima della gara.
All'interno
del team di quattro persone, ci siamo divisi i compiti
individualmente secondo le competenze acquisite e la
confidenza nell'utilizzo del toolkit prodotto durante la breve fase
di preparazione.
In
questo modo le decisioni erano presentate, e di conseguenza venivano
prese, dalla persona che più aveva la capacita di selezionare la
risposta adeguata.
Successivamente
alla creazione della squadra abbiamo stabilito dei compiti per
organizzare la costruzione di un toolkit che automatizzasse
l'invio di attacchi ai servizi nel contesto della gara e che si è
rivelato uno strumento di successo. Durante la competizione ci
siamo divisi in gruppi di lavoro da due persone che analizzassero i
servizi preferiti da ciascuna coppia. Gli attacchi che venivano
scritti venivano instradati automaticamente nella rete dal toolkit
che è stato implementato.
Quale
è stato l'aspetto più difficile della gara? Non parlo solo della
fase finale ma di tutta la gara, a partire dall'inizio delle
selezioni.
L'aspetto
più difficile della gara è forse trovare la forza di volontà
per non arrendersi mai, a volte capita di trovarsi di fronte a
problemi enormi, sia durante la gara finale che durante le selezioni,
dopo ore di tentativi nel risolverli si prova frustrazione ma bisogna
continuare a provare sempre, solo così si riescono ad ottenere dei
risultati.
Dal
mio punto di vista personale, la parte che di gran lunga si è
presentata come la più difficile lungo il percorso e stata non tanto
quella tecnica individuale, ma la capacità di sfruttare al meglio le
abilità individuali dei componenti del gruppo durante la fase
finale.
Senza
dubbio il campo che ha fatto da determinante lungo la finale
nazionale è stata l'esperienza nel format di competizione e nel
lavoro di squadra più in generale.
Le
università che non avevano una realtà di CTF preesistente (non
necessariamente esclusiva del CyberChallenge), avendo meno di un mese
per coordinarsi e preparare un toolset appropriato, si trovavano a
fronteggiare un deficit di competenza essenzialmente insormontabile.
Nel
nostro caso, proprio l'unicità della situazione ha reso l'esperienza
particolarmente preziosa per la nostra formazione.
Per
me l'aspetto più difficile della gara era sicuramente l'analisi
necessaria per comprendere il funzionamento dei programmi e
l'individuazione dei vettori di attacco. Spesso, vista la struttura
dei servizi, ci si perdeva tra i moduli e si cercava con difficoltà
la vulnerabilità nel codice sorgente, quando talvolta essa era molto
più facilmente individuabile mediante un'analisi funzionale del
programma e del suo comportamento. Una volta trovato il vettore
d'attacco, una caratteristica comune a tutte le prove era il fatto
che la modalità di exploit non si riconducesse a modalità standard
o conosciute, ma era spesso ad hoc per il servizio.
In
cosa consisteva la prova finale?
La
gara finale consiste in un Attack and Defense in cui le varie squadre
hanno tutti la stessa
macchina
vulnerabile da difendere in cui ci sono contenuti dei flag che sono
delle stringhe
di
testo che se rubate permettono agli avversari di guadagnare punti.
Ogni team attacca gli
altri
sfruttando le vulnerabilità e allo stesso tempo cerca di difendersi
dagli attacchi degli
altri
team correggendo o "patchando" le vulnerabilità della
propria macchina.
In
pratica ogni team riceve una macchina virtuale identica. Lo scopo
della CTF è di analizzare i servizi intenzionalmente vulnerabili
presenti sulla macchina, e utilizzare tali informazioni per attaccare
le macchine degli avversari e allo stesso tempo proteggersi dagli
attacchi altrui.
Ogni
team disponeva di un server con gli stessi servizi esposti verso
l'esterno. Tali servizi (che potevano essere siti web come anche
eseguibili), avevano delle vulnerabilità. La prima fase della gara,
quella di difesa, consisteva nel trovare queste vulnerabilità con
l'obbiettivo di aggiustarle per rendere il proprio sistema
inattaccabile e a sua volta capire come sfruttarle durante la fase di
attacco sugli avversari.
Siete
stati chiarissimi. Ma ora ditemi: avete pensato a come migliorare le
performance per l'anno prossimo? Contate di partecipare nuovamente?
Avrete modo, all'Università, di raccontare la vostra esperienza ai
più giovani?
Si,
al termine della gara abbiamo fatto un resoconto di cosa è andato
bene e di cosa invece
si
poteva migliorare, questo era forse l'obbiettivo più importante
della gara, migliorarsi.
Inoltre
questi resoconti ci aiutano a prepararci per altre gare a cui
parteciperemo. Pensiamo e speriamo che avremo modo di raccontare
l'esperienza ai più giovani, è una cosa molto importante, noi
non abbiamo avuto la fortuna di avere qualcuno che avesse già
partecipato alle edizioni passate quindi speriamo che la nostra
esperienza possa essere di aiuto a chi parteciperà dopo di noi.
Questo
era il primo anno un cui l'Università di Cagliari partecipava al
CyberChallenge.
Indubbiamente
l'esperienza di quest'anno avrà un significato ancora più profondo
per chi avrà l'opportunità di cimentarsi nel CyberChallenge
dell'anno prossimo.
In
seguito agli eventi di quest'anno è stato creato un team con il
quale abbiamo intenzione di partecipare a CTF future anche con il
supporto di ragazzi, docenti e staff di supporto della competizione
appena conclusa.
Per
quanto mi riguarda, mi auguro che le nostre esperienze passate e
presenti possano fare da trampolino ai futuri partecipanti di
iniziative simili a Cagliari.
La
nostra squadra è stata la prima a cimentarsi in questa sfida. Il
supporto proveniva quindi unicamente dai nostri istruttori. Dopo la Cyber Challenge il gruppo di studenti che ha partecipato al percorso
si è consolidato e periodicamente vengono organizzate delle sessioni
di allenamento su challenge di vario tipo. Contiamo con questi
allenamenti di migliorare la performance per i prossimi anni,
fornendo maggiore supporto ai nuovi iscritti e una base di esperienza
più forte e salda. Avendo seguito il percorso Cyber Challenge sino
alla fine, se ne avrò la possibilità sarò lieto di raccontare la
mia esperienza per motivare i futuri partecipanti a impegnarsi in
questa esperienza con la stessa passione che ho maturato.
Infine
sono curioso di sapere cosa pensate di fare al termine degli studi.
Il mondo cyber in Italia necessita di esperti, come contate di
procedere per prepararvi al lavoro? La partecipazione alla
CyberChallenge.IT vi ha aperto qualche nuova strada?
Sicuramente
una parte importante della preparazione al mondo del lavoro è lo
studio, senza delle
solide basi è difficile crescere in un ambiente lavorativo.
Partecipare a CyberChallenge.IT ci
ha sicuramente aperto nuove strade per il futuro sia dal punto di
vista lavorativo che da quello
scolastico.
All'interno
del CyberChallenge abbiamo avuto la possibilità di confrontarci, sia
localmente che a livello nazionale, con le realtà lavorative e di
ricerca più disparate, accomunate dalla domanda per appassionati del
settore.
Sicuramente
si è trattata di un'esperienza che mi ha aperto gli occhi verso
opportunità di cui non ero a conoscenza, permettendomi anche di
esplorare opzioni con cui ero già familiare. Tuttavia, per ogni
porta che si apre, i criteri di scelta si espandono.
In
breve, non ne ho la minima idea.
Se
doveste dare un consiglio ad una matricola sul percorso di studi da
seguire, cosa gli suggerireste?
Il
nostro consiglio per una matricola è quello di sfruttare le
occasioni che durante il corso
di
studi si possono presentare per cercare di arricchirsi il più
possibile, occasioni come
CyberChallenge.IT
sono da cogliere subito e permettono di scoprire quale strada è più
adatta.
La
cybersecurity è un campo non solo estremamente vasto ma richiedente
un livello di competenza di base più alto di tante discipline
scientifiche nella stessa area di formazione.
Al
di là dalla imprescindibile formazione accademica avanzata nel campo
dell'Informatica o disciplina affine, chiunque sia interessato a
questo percorso di studi deve possedere motivazione costante e
proattività nel proprio sviluppo individuale.
Come
vedete il futuro dell'Italia riguardo la dimensione cyber? Se doveste
dare un suggerimento ai nostri decisori, cosa direste?
Bisogna
investire nei giovani e bisogna offrire loro delle possibilità che
possano far risaltare le
loro capacità fuori dal classico percorso di studi
A
mio parere, iniziative come il CyberChallenge hanno un potenziale
impatto a lungo termine straordinario sull'occupazione e sulla
sicurezza informatica dell'intera nazione.
Mi
auguro di poter assistere a iniziative simili, e al potenziamento di
quelle esistenti, anche negli anni a venire.
Complimenti
ragazzi, lo spirito è quello giusto per cui un in bocca al lupo a
tutta la squadra, ai vostri tutors e a coloro che vi seguiranno.
Però
i complimenti vanno anche agli organizzatori della edizione. Se i
ragazzi sono soddisfatti lo devono a chi ha fatto tanti sforzi per
mettere in piedi la competizione. Naturalmente non finisce qui per
cui vi aspettiamo, l'anno prossimo.
Grazie
ragazzi…
Alessandro
Rugolo
(1) Giorgio Giacinto è professore di ingegneria informatica presso l'Università di Cagliari
(2) Davide Maiorca è ricercatore di ingegneria informatica presso l'Università di Cagliari .
(2) Davide Maiorca è ricercatore di ingegneria informatica presso l'Università di Cagliari .
http://www.difesaonline.it/evidenza/cyber/cyberchallengeit-sfide-la-cybersecurity-nazionale
https://cyberchallenge.it/
https://www.consorzio-cini.it/index.php/it/lab-cyber-security
https://www.unica.it/unica/
https://www.unica.it/unica/