CyberChallenge.it costituisce
una delle tante risposte che l’Italia sta dando (assieme a nuovi
corsi di laurea, programmi di formazione professionali, e alta
formazione nei dottorati di ricerca) per l’individuazione di nuovi,
giovani talenti da educare nel campo della sicurezza informatica. Il
programma, al quale nel 2020 hanno partecipato 27 università
italiane (assieme al Comando per la Formazione e Scuola di
Applicazione dell'Esercito di Torino), è costituito da un corso
della durata di tre mesi destinato ai 20 migliori ragazzi,
provenienti da scuole superiori ed università, che hanno ottenuto i
punteggi migliori al termine di un test di ammissione di logica e
programmazione. Il corso fornisce ai ragazzi gli elementi essenziali
per l’apprendimento della crittografia, della sicurezza web e
delle applicazioni, della sicurezza hardware e delle reti. La
peculiarità del corso è che gli argomenti insegnati preparano i
ragazzi allo svolgimento di competizioni Capture The Flag (CTF), il
cui obiettivo è risolvere un determinato problema di sicurezza (ad
esempio, sfruttare la vulnerabilità di un sito web) per trovare un
“segreto”, detto flag. Il corso si conclude con una competizione
locale (jeopardy) fra i partecipanti al corso e nazionale (attacco e
difesa).
L’iniziativa si è svolta con grande successo anche
all’Università di Cagliari, che partecipa dal 2019,
che ha visto oltre un centinaio di iscritti provenienti da scuole ed
università nel 2020, e per l’edizione 2021 sta avendo il record di
iscritti con oltre 150 studenti.
Rispetto allo scorso anno il corso è
ulteriormente migliorato, con nuovi argomenti e con la partecipazione
dei partecipanti degli anni precedenti come tutor. Inoltre, da un
anno, alcuni fra i partecipanti di CyberChallenge UniCA hanno formato
una squadra, Srdnlen, che partecipa a competizioni internazionali con eccellenti risultati
(quarti nel ranking italiano e top 100 ranking mondiale).
Purtroppo,
la pandemia ha costretto tutti ad un’attività interamente online,
ma questo non ha impedito la notevole partecipazione e coinvolgimento
dei ragazzi (anche dal punto di vista sociale).
Prima
di lasciare spazio ai ragazzi, inizierei da una domanda ai colleghi
Giorgio Giacinto (Dip. Ingegneria Elettrica ed Elettronica) e Massimo
Bartoletti (Dip. di Matematica ed Informatica) che assieme a me hanno
coordinato l’edizione 2020. Chiederei al Prof. Giacinto di
raccontare come è nato il progetto CyberChallenge e al prof.
Bartoletti di dire qualcosa sulla qualità dei partecipanti alla
scorsa edizione.
Giorgio Giacinto. Il
progetto nacque nel 2018 all’interno del neonato Laboratorio
Nazionale di Cybersecurity del CINI. La carenza di esperti in
cybersecurity rispetto alle richieste del mondo del lavoro e la
previsione di una loro crescita, ha spinto il laboratorio a far
nascere la curiosità per questo settore nei più giovani attraverso
il gioco. Infatti è una disciplina che a prima vista può spaventare
per la quantità di conoscenze e competenze necessarie. La metafora
del gioco consente di superare lo scoglio iniziale e di scoprire un
settore affascinante e nello stesso tempo vitale per la sicurezza di
ciascuna nazione. La prima edizione è nata presso l’Università di
Roma La Sapienza per poi estendersi negli anni successivi a tutto il
territorio nazionale. Questo modello sta diventando un esempio per
altre nazioni Europee.
Massimo Bartoletti. Gli
studenti che hanno partecipato all’edizione 2020 del CyberChallenge
meritano un encomio speciale: nonostante tutte le limitazioni imposte
a seguito dell’emergenza COVID, hanno partecipato con entusiasmo
alle lezioni e alle esercitazioni, sacrificando il proprio tempo
libero per risolvere le challenge assegnate - e incastrando tutto
questo con le lezioni scolastiche e universitarie. Lo spirito ludico
di queste challenge - nelle quali i ragazzi impersonano hackers che
tentano di attaccare un sistema informatico - è molto d’aiuto per
stimolare la loro intelligenza e il loro spirito collaborativo. Trovo
che le qualità principali sviluppate dal CyberChallenge siano la
perseveranza,
che è indispensabile quando si deve attaccare un sistema
apparentemente impenetrabile, e la paranoia,
che in genere ha una connotazione negativa, ma per un informatico è
una virtù, perché consente di non dare mai per scontata la
sicurezza di un sistema software.
Ora tocca ai ragazzi: vi
chiederei di presentarvi :
Roberto:
Sono Roberto, ho 21
anni, sono nato a Cagliari e studio informatica qui, all'Università
di Cagliari.
Daniele:
Sono Daniele, ho 18
anni, provengo da Fordongianus, un paese nella provincia di Oristano
e frequento il quinto anno nell’istituto tecnico industriale
statale OTHOCA ad Oristano.
Silvia:
Sono Silvia, ho 23
anni, sono di Sassari e da 5 anni studio all’Università di
Cagliari Ingegneria Informatica, attualmente mi sto specializzando in
Computer Engineering, Cybersecurity e Artificial Intelligence.
Ragazzi, come siete venuti a
conoscenza di CyberChallenge? Cosa ha stimolato la vostra curiosità
verso questo percorso?
Roberto:
Verso la metà del
mio primo semestre (2018-2019) un professore ci ha parlato un po' del
progetto CyberChallenge, consigliando di iscriverci e parlandoci un
po' di cosa si sarebbe fatto. Purtroppo quell'anno non ho potuto
partecipare, ma sono riuscito a iscrivermi e passare il test l'anno
successivo, nel 2020. Mi sono iscritto perché credo che il campo
della sicurezza sia qualcosa che tutti debbano trattare, almeno per
avere un'idea su cosa è o non è sicuro fare, oltre ad essere da
molto tempo incuriosito da argomenti come reverse engineering.
Daniele:
Ho conosciuto il progetto CyberChallenge grazie ad un professore che
lo ha proposto in classe. Ho trovato in CyberChallenge l’occasione
per poter approfondire e conoscere nuove cose nel campo della
sicurezza informatica, ed anche la possibilità di relazionarmi con
altri ragazzi che condividono le mie stesse passioni.
Silvia:
Ho conosciuto il percorso di CyberChallenge nel 2019, primo anno di
partecipazione per l’Università di Cagliari, quando durante alcune
lezioni i professori ci avevano parlato del programma CyberChallenge.
Come ho saputo che successivamente alle selezioni si sarebbe svolto
un corso sulla sicurezza informatica, ho deciso che nel 2019 avrei
partecipato alla selezione per poter avere più conoscenze sulla
sicurezza informatica durante il percorso della magistrale.
Quali sono le competenze
su cui avete potuto lavorare grazie a CyberChallenge? In cosa vi
sentite di essere migliorati?
Roberto:
Durante il corso abbiamo approfondito tematiche come web security,
system security, e crittografia. È abbastanza facile riuscire a
seguire tutti gli argomenti, e imparare molto di ogni categoria,
anche se poi, ovviamente, se uno dovesse voler continuare, è
importante specializzarsi.
Daniele:
Le competenze su cui abbiamo lavorato durante il progetto riguardano
il mondo della cybersecurity in generale. Durante il progetto
CyberChallenge sento di essere migliorato tantissimo in tutte le
tematiche trattate, anche se leggermente di più in system security.
Sono migliorato anche su tematiche distaccate dalla cybersecurity
come il team-working e l’abilità nella programmazione in generale.
Silvia:
Grazie alla preparazione per i test di CyberChallenge sono migliorata
tantissimo nella programmazione, mentre durante il corso ho
affrontato specifiche tematiche sulla sicurezza informatica e
soprattutto andando a testare direttamente certe vulnerabilità che
seppur simulate sono molto vicine a uno scenario reale.
A causa dell’emergenza
COVID-19, il percorso è stato svolto interamente online, incluse le
fasi finali. Come giudicate questa modalità?
Roberto:
Per certi versi sono sicuro che l'esperienza sia migliore dal vivo,
soprattutto per la parte sociale. Allo stesso tempo però credo che
poter fare le lezioni online ci abbia permesso di trattare una più
vasta gamma di argomenti, essendo comunque molto più flessibile come
modalità. L'unica perdita è stata non poter partecipare alle finali
dal vivo. Tutto sommato quindi credo che lati positivi e negativi si
bilancino bene, e non sono dispiaciuto di aver partecipato durante
quest'anno un po' sfortunato.
Daniele:
Anche se il percorso è stato svolto interamente online abbiamo avuto
la possibilità di poter interagire con i nostri compagni di squadra
come se fossimo stati fisicamente presenti, siamo riusciti a creare un rapporto che
spero possa essere incentivato quando l’epidemia finirà. Le
lezioni sono state organizzate usando degli orari flessibili che
permettevano a tutti di poterle seguire. Anche le sessioni di pratica
sono state svolte con puntualità e grande organizzazione, erano
presenti, oltre ai professori, anche i ragazzi che avevano
frequentato il corso lo scorso anno che ci aiutavano come dei tutor.
Silvia:
Nonostante la modalità online non mi abbia permesso di poter
conoscere di persona i miei compagni di squadra, ho potuto interagire
comunque approfonditamente con molti di loro, aiutandoci durante il
percorso nella risoluzione di certe challenge. Siamo riusciti
comunque a creare squadra e non ho trovato molte difficoltà nel
seguire le lezioni, chiedere aiuto ai tutor e comunque anche
divertirci. Alla fine è stato anche bello conoscere le nostre voci,
diventare un gruppo ma scoprire i volti solo quando l’emergenza
COVID-19 si è un po’ attenuata.
Al termine del corso di
formazione, un importante passo è rappresentato dalle finale locali
e nazionali. Roberto, da vincitore dell’edizione 2020 per UniCA,
ci racconti qualcosa su come si sono svolte le prove e su come è
stata la tua esperienza complessiva?
Roberto:
Le finali locali e
nazionali si sono svolte interamente da casa. Da un lato è una cosa
negativa, visto che tutti noi finalisti ci siamo persi, diciamo,
l'esperienza del viaggio in gruppo. Dall'altro, credo che possa
essere molto utile per chi, come me, soffre di ansia, dato che stare
in un ambiente familiare come la casa, e potersi comunque organizzare
a piacimento, di sicuro aiuta a rimanere più tranquilli e performare
meglio. Sono molto soddisfatto del mio percorso, e sento di essere
cresciuto molto nel campo della sicurezza, pur avendo ancora molto da
imparare. Non è infatti raro che durante lo sviluppo di un programma
ora noti qualche difetto, anche molto pericoloso, che prima non avrei
mai notato.
Facciamo un passo indietro
ora e parliamo del test di ammissione. Daniele, hai svolto un
percorso ed un test di ammissione brillante, nonostante provenissi
da una scuola secondaria superiore, dimostrando che l’età non è
necessariamente una discriminante del merito. Cosa ti senti di
consigliare a coloro che parteciperanno alle selezioni? Che consigli
ti senti di dare per prepararsi alla prova?
Daniele:
Consiglio a tutti
di guardare il materiale presente nel sito di cyberchallenge che è
ricco di esercizi da poter svolgere per potersi esercitare in vista
delle selezioni, inoltre invito a tutti di prendere le selezioni con
calma senza farsi prendere dall’ansia visto che le selezioni non
sono nulla di impossibile, quindi consiglio a tutti di provarci,
anche se avete paura di non riuscire a passarle. In entrambi i casi
avrete guadagnato qualcosa.
Un importante problema nel
campo della cybersecurity è, purtroppo, la bassa partecipazione
delle ragazze rispetto ai ragazzi. Quest’anno, le sedi
partecipanti al progetto (oltre che al CINI stesso) stanno avviando
diverse iniziative per incentivare la presenza femminile a
CyberChallenge. Durante la scorsa edizione di CyberChallenge, UniCA
è risultata fra le sedi con più ragazze partecipanti al corso (4
su 20). Silvia, da partecipante alla scorsa edizione di
CyberChallenge, che consigli ti senti di dare alle ragazze che
intendono affrontare le selezioni?
Silvia:
Purtroppo esiste ancora spesso lo stereotipo che certe professioni
siano da maschi e altre da femmine e questo delle volte può bloccare
potenziali ottimi professionisti del settore. E’ il caso
dell’informatica, un lavoro visto da “uomo” e della sicurezza
con la classica immagine dell’hacker maschio. Vista la mia
esperienza sia in una facoltà considerata maschile e nel programma
CyberChallenge, consiglio a tutte le ragazze appassionate di
cybersecurity di lasciare le voci e gli stereotipi da una parte e
mettercela tutta per svolgere un percorso che di per sé non implica
avere qualità che solo gli uomini hanno ma si basa su competenze
logiche acquisibili da tutti.
Da circa un anno, coloro
che partecipano a CyberChallenge.it qui a UniCA hanno la possibilità
di unirsi ad un team di Capture the Flag locale, srdnen, che svolge diverse competizioni a livello internazionale. Potreste
raccontare la vostra esperienza all’interno del team?
Roberto:
Entrare nel team è
un'occasione per continuare il percorso svolto a CyberChallenge, e
continuare quindi a imparare e migliorarsi nel campo della sicurezza.
Oltre ad essere un'occasione per imparare, è anche un'occasione per
divertirsi: ogni mese facciamo almeno una gara, dove ognuno di noi
collabora per risolvere delle challenge, occasione in cui si parla
tra compagni di squadra, sia delle challenge, che di qualsiasi altro
argomento. Attualmente faccio parte del team di Crypto.
Daniele:
Essere entrato nel
team srdnlen mi ha permesso di tenermi sempre allenato e continuare a
migliorarmi, visto che ogni settimana abbiamo degli allenamenti ed
ogni mese facciamo svariate CTF. All’interno della squadra sono
stato accolto benissimo da tutti i membri, inoltre ci scambiamo
continuamente delle informazioni, ci aiutiamo a vicenda e tutto
questo permette di migliorare le nostre capacità. Attualmente faccio
parte del team dei reverser e pwners.
Silvia:
Far parte del team
di srdnlen è un’occasione per continuare a migliorare sulla
sicurezza informatica. Ogni settimana abbiamo degli allenamenti per
poter affrontare al meglio le CTF a cui partecipiamo. Anche questi
sono online per l’emergenza COVID-19 ma stiamo riuscendo comunque a
creare un bel gruppo e ottenere discreti risultati durante le
competizioni. All’interno del team, insieme ad altri ragazzi e
ragazze, io mi occupo delle categorie “Forensics, Misc e Web
Exploitation”.
Come ultima domanda, cosa
vi sentite di consigliare alle nuove leve? Questo percorso può
davvero aiutare i ragazzi a sviluppare competenze nel campo della
cybersecurity e, perché no, anche a trovare lavoro?
Roberto:
Credo che molta più
gente dovrebbe provare a iscriversi al corso. Un consiglio che mi
sento di dare è di provare il test di ammissione, anche se chiunque,
vedendo solo 20 posti disponibili, potrebbe pensare di non riuscire a
entrare. Credo che quasi tutti i partecipanti abbiano avuto questa
paura, pur essendo alla fine entrati, e magari anche arrivati in
finale.
Spessissimo
si vedono notizie di attacchi a infrastrutture molto importanti, che
probabilmente si sarebbero potuti evitare dando più importanza
nell'insegnamento al fattore sicurezza. Penso che questo percorso sia
un'ottima occasione per tappare questi buchi, e magari scoprire di
voler continuare nel settore, grande opportunità lavorativa
essendoci molto bisogno di esperti.
Daniele:
Consiglio a
chiunque sia interessato di provare a partecipare al programma,
perché vedo in CyberChallenge una grandissima opportunità per noi
giovani. Si, questo percorso aiuta i ragazzi a sviluppare competenze
sulla cybersecurity che un domani potrebbero servire anche in un
ambito lavorativo. Il progetto CyberChallenge è inoltre finanziato
da grandi aziende che sono interessate nell’investire sui giovani.
Inoltre aver frequentato il progetto mi ha permesso di poter
partecipare al BlackHat Europe 2020.
Silvia:
Consiglio a
chiunque sia interessato di partecipare al programma, allenarsi molto
con i vecchi test presenti nel sito e mettercela tutta per entrare
tra i 20 perché è un’esperienza fortissima sotto tanti punti di
vista. Soprattutto consiglio di affrontare il test con tranquillità
lasciando l’ansia fuori dalla porta. Sì, CyberChallenge ti aiuta a
sviluppare e migliorare le competenze nella sicurezza informatica e
fortunatamente anche trovare un lavoro. Qualche mese fa sono stata
contattata da un’azienda e una delle prime cose emerse durante il
colloquio è stato l’apprezzamento per aver partecipato al
programma di CyberChallenge. Non solo, a fine percorso si ha
l’occasione di conoscere tutte le aziende sponsor del programma e
quindi riuscire a trovare anche un’ambizione lavorativa nei diversi
settori della cybersecurity.
Grazie ragazzi, e in bocca al lupo ai partecipanti a CyberChallenge 2021!
Davide Maiorca, Ph.D.
Assistant Professor
Pattern Recognition and Applications Lab
Department of Electrical and Electronic Engineering
University of Cagliari
