Traduttore automatico - Read this site in another language

mercoledì 7 agosto 2019

Sea Turtle

Tra i numerosi attacchi informatici che ogni giorno vengono scoperti, segnalati ma mai ammessi pubblicamente, spesso portati ai danni di grandi aziende private o pubbliche, uno in particolare ha destato attenzione a causa delle metodologie utilizzate per il suo svolgimento.
Il cosiddetto “Sea Turtle”, scoperto dal team di sicurezza informatica “Talos Intelligence” della multinazionale americana Cisco, una delle più importanti nel suo settore.
Talos ci parla di Sea Turtle come del primo attacco mai documentato che abbia compromesso sistemi DNS.
L’attacco aveva come bersaglio organizzazioni di sicurezza nazionale, grandi aziende energetiche e ministeri delgi affari esteri situate in Nord Africa e Medio Oriente ma per riuscire nel suo intento, altri bersagli secondari sono stati presi di mira, come telco e ISP.
Secondo il report di Talos, oltre 40 organizzazione in 13 paesi sono state compromesse tra il Gennaio del 2017 e la prima metà del 2019 ma la vera entità dei danni è ancora da stimare in quanto l’attacco non é ancora concluso..
Cosa rende questa campagna di attacco ai sistemi DNS così spaventosa agli occhi degli esperti della Cisco?
Per rispondere a questa domanda dobbiamo prima definire DNS.
DNS è l’acronimo per Domain Name System, il sistema che viene utilizzato per risolvere i nomi degli host in indirizzi IP, ossia associa ad un indirizzo ip un nome facile da ricordare all’utente. Questa è una delle funzionalità del DNS più importanti e che che possiamo vedere tutti i giorni.
La metodologia dell’attacco consiste nel manomettere i servizi DNS del bersaglio per poi reindirizzare un utente verso un server controllato dall’attaccante, questo porta in seguito all’acquisizione di credenziali e password degli utenti che vengono utilizzate per ottenere accesso ad altre informazioni.
Tutto ciò è stato possibile grazie a tecniche di attacco che prevedono l’utilizzo sia di spear phishing che l’utilizzo di exploit di varie applicazioni.
Sea Turtle ha agito a lungo e in maniera discreta. Chi ha portato questo attacco, dice Talos, ha utilizzato un approccio unico in quanto i servizi DNS non vengono monitorati costantemente.

Come ci dice Talos, vi sono tre possibili modalità attraverso le quali gli attaccanti avrebbero potuto accedere ai servizi DNS delle organizzazioni colpite:
1. Accedendo al DNS registrar (compagnia che fornisce nomi di dominio alle aziende e ne gestisce i record DNS attraverso il registry, ossia un database contenente tutti i nomi di dominio e le compagnie a cui essi sono associati), attraverso l’acquisizione delle credenziali di accesso appartenenti al DNS registrant (l’organizzazione colpita);
2. Attraverso il registrar stesso, entrando nel precedentemente citato registry e manomettendo i record DNS utilizzando l’ Extensible Provisioning Protocol (EPP), il protocollo utilizzato per accedere al registry. Ottenendo le chiavi EPP l’attaccante avrebbe potuto manomettere a proprio piacimento i record DNS del registrar preso di mira;
3. Il terzo metodo si basa sull’attacco diretto ai DNS registries per accedere ai record DNS, i registries sono una parte vitale del servizio DNS, in quanto ogni Top Level Domain si basa su di essi.
Sea Turtle ha agito a lungo e in maniera discreta, chi ha portato questo attacco, dice Talos, ha utilizzato un approccio unico in quanto i servizi DNS non vengono monitorati costantemente.
Talos scriveva questo report ad Aprile di quest’anno, ma ciò non ha fermato né rallentato l’attività del gruppo, tanto che a luglio Talos ha pubblicato un aggiornamento.
Sembra infatti che negli ultimi mesi sia stata utilizzata un'altra tecnica di attacco. Ogni entità attaccata puntava le sue richeste DNS ad un personale server manomesso, differente per ogni utente compromesso il che rende l’attacco ancora più difficile da sventare e tracciare.
Possiamo dire dunque che chiunque si trovi dietro a Sea Turtle è un gruppo senza scrupoli, guidato probabilmente da interessi nazionali e dotato di infrastrutture notevoli.

L’importanza dei servizi DNS è grande. L’intera struttura di Internet si basa su loro corretto funzionamento, ed insieme ad esso, la totalità dell’economia mondiale e servizi forniti da ogni società e governo.
Per questa ragione Talos si dice fortemente contraria alle metodologie con le quali la campagna Sea Turtle (e l'organizzazione o Stato che vi è dietro) sta mettendo in pratica questa serie di attacchi, 
Questa campagna potrebbe rappresentare l’inizio di una serie di attacchi mirati a manomettere in maniera più vasta e potenzialmente disastrosa il sistema DNS, portando a conseguenze che potrebbero colpire ognuno di noi.

Francesco Rugolo

Per approfondire:

martedì 6 agosto 2019

Quantum Computing e Crittografia

Una nuova frontiera per la Comunicazione


L’Essere Umano, per sua natura, ha necessità di evolversi e comunicare.
La Comunicazione è uno degli aspetti fondamentali nella crescita di un essere umano e questo si riflette in ogni sua attività. Ogni attività umana necessita di relazioni che vengono mantenute tramite il Linguaggio, di qualunque tipo esso sia, con ogni mezzo e forma, a prescindere dall’attività stessa o dal mezzo di comunicazione impiegato. I mezzi di comunicazione utilizzati dall’uomo si sono evoluti nel tempo diventando sempre più complessi, fino ad arrivare ai giorni nostri, permettendo all’uomo di comunicare a grandi distanze e in tempo reale, grazie alla tecnologia. 
La segretezza della comunicazione è sempre stata un fattore fondamentale, necessaria per il buon svolgimento delle attività umane. Per garantire la segretezza nasce la Crittografia, ovvero la Scienza che studia i metodi per garantire che un messaggio possa essere letto esclusivamente dal destinatario autorizzato. Questa esigenza, in realtà, era già sentita ai tempi degli Antichi Romani, quando Giulio Cesare, per comunicare gli ordini alle proprie truppe, utilizzava il proprio cifrario oggi conosciuto come il “Cifrario di Cesare”. 
Un cifrario è uno strumento creato appositamente per “cifrare” e “decifrare” messaggi attraverso l’uso di un semplice algoritmo. Il Cifrario di Cesare, per fare appunto un esempio, si può utilizzare per cifrare un testo “spostando” le lettere da cifrare di tre posizioni a destra, in questo modo:La parola “CIAO”, diventa “FLDR” (di seguito, un’immagine per spiegare lo “spostamento”).


Effettuando lo spostamento a ritroso di tre posizioni, il testo incomprensibile “FLDR” torna ad essere “CIAO”.
Ovviamente questo algoritmo ad oggi risulta essere molto “vulnerabile” e facilmente decifrabile, con un po’ di pazienza anche a mano, da semplici computer.

Ma soffermiamoci un secondo sul concetto di “algoritmo vulnerabile”.
E’ facile intuire come, anche dall’esempio riportato, la Crittografia ha giocato un ruolo importante in varie Campagne Militari, in ogni Epoca.
Ovviamente due Eserciti in guerra cercano di carpire informazioni l’un l’altro, sia per poter prevedere ed annientare le strategie nemiche prima della battaglia, sia per scoprirne i movimenti durante la stessa. Per sopperire a questa esigenza è nata la “crittoanalisi”, ovvero l’insieme dei metodi e gli studi per cercare di decifrare il messaggio senza conoscerne la “chiave”. 
Sempre facendo riferimento al Cifrario di Cesare, la “chiave” utilizzata da Giulio Cesare era tre (unitamente al senso orario o antiorario), ovvero il numero di posizioni per lo “spostamento” delle lettere dell’alfabeto. 
Una chiave diversa restituisce, quindi, come risultato un testo diverso, questo vuol dire che il mittente e il destinatario devono avere la stessa chiave, l’uno per cifrare e spedire il messaggio, l’altro per decifrarlo e leggerlo.
Da ciò deriva uno dei problemi principali nell’uso di questo tipo di algoritmi (crittografia simmetrica): la distribuzione della chiave. 
Forse l’esempio più famoso di crittoanalisi cui possiamo fare riferimento si ebbe durante la seconda guerra mondiale, quando Alan Turing realizzò la macchina “Colossus”, lontanissima parente dei moderni computer, designata a decifrare i messaggi cifrati con la macchina Enigma (in realtà il suo perfezionamento, ovvero la Lorenz SZ40 e SZ42).


Computer Colossus: il “decodificatore di Lorenz” poteva essere configurato dalla console a sinistra


E’ facile intuire che tramite la Crittoanalisi, se un Esercito riesce a decifrare le comunicazioni del nemico, può ottenere un enorme e fondamentale vantaggio.
In pratica, nei casi estremi, il nemico non può effettuare più nessuna mossa né approntare una strategia in segretezza. Questa possibilità di “rompere” gli algoritmi utilizzati per garantire la segretezza del nemico, ha portato ad una inesorabile rincorsa tra i matematici, con chi ha cercato di creare algoritmi sempre più complessi e chi ha cercato di decifrarli. In quel periodo, infatti, nacque l’unico cifrario perfetto, ovvero l’unico cifrario di cui è stata matematicamente provata la sicurezza e l’inviolabilità, il One Time Pad.

Il Cifrario di Vernam, chiamato anche “One Time Pad” (taccuino monouso), è un particolare algoritmo di cifratura, la cui sicurezza è stata matematicamente provata da Claude Shannon, ingegnere americano considerato il padre della Teoria dell’Informazione, nel 1949.

La sicurezza del One Time Pad si verifica se, e solo se:
- La chiave è lunga almeno quanto il testo da cifrare
- La chiave è “realmente randomica”, ovvero non sono ammessi programmi che generano numeri. Questo perché i software, per generare una sequenza di numeri casuali, utilizzano degli algoritmi che partono da “un punto di partenza”.
Questo punto di partenza (che può essere un numero ad esempio) fa si che la serie di numeri generati non sia realmente casuale. Per un aggressore, potrebbe essere possibile reperire il “punto di partenza” e con lo stesso algoritmo generare nuovamente tutti i numeri “casuali” generati in precedenza. Per questo motivo, i software di generazione di numeri vengono definiti come “pseudo-casuali” o “pseudo-random”.
- La chiave DEVE essere utilizzata una volta sola.
Questo fa scaturire dei problemi, in quanto è molto difficile scambiare messaggi molto lunghi, e una volta terminati i “pad”, deve essere rigenerata una chiave sempre realmente randomica, e scambiata con il destinatario.

Esempio di One Time Pad

Per sopperire a queste limitazioni, è stata ideata la “Crittografia Asimmetrica”, utilizzando dei cifrari “a chiave pubblica”.
Questo particolare tipo di algoritmi, largamente utilizzato per il web e le comunicazioni in tempo reale, come le chat, prevede che ad un individuo siano associate due chiavi, una strettamente personale (privata) ed una da condividere con tutti (pubblica). Un interlocutore può cifrare un messaggio con la chiave pubblica del destinatario, ma solo il destinatario potrà leggere il messaggio, decifrandolo grazie alla propria “chiave privata”. Dal momento che tutti i cifrari a chiave pubblica basano la propria sicurezza su funzioni matematiche complesse, per decifrare un messaggio senza conoscerne la chiave è richiesta una potenza di calcolo enormemente superiore alle macchine attualmente in commercio, rivelandosi praticamente impossibile, seppur teoricamente fattibile grazie ad un attacco brute-force (ovvero provare tutte le combinazioni possibili) oppure utilizzando una rete di computer che insieme cercano di forzare l’algoritmo tramite le vulnerabilità matematiche dello stesso. 

Ad oggi la Crittografia è presente praticamente in ogni momento della nostra vita, basti pensare ad esempio ai siti web che mettono a disposizione il protocollo “HTTPS”, ovvero un sistema di interscambio di dati tra il nostro browser, il programma che usiamo per navigare in Internet, e il sito web visitato.
Un altro esempio è la Cifratura end-to-end (ad esempio la cifratura di WhatsApp), ovvero un sistema di interscambio che permette solo agli interlocutori interessati di leggere il contenuto della comunicazione.Con la crittografia end-to-end neanche il server di Whatsapp stesso può leggere il contenuto dei messaggi scambiati. E’ comunque doveroso ricordare come l’applicazione Whatsapp e altre simili sono a codice chiuso, di conseguenza non è dato sapere al pubblico le effettive operazioni che l’applicazione fa.
E’ bene ricordare infatti, che anche se l’applicazione è pubblicamente riconosciuta come affidabile, non è un mistero che alcuni governi possano chiedere alle aziende interessate l’implementazione di backdoor (letteralmente “porte di servizio” per poter leggere i messaggi) o protocolli come il “ghost protocol” (ovvero un “interlocutore fantasma”, in questo caso il governo, che facendo parte della conversazione, potrebbe leggere i messaggi senza sforzo).

E’ facile constatare che la corsa alle tecnologie non ha freni e ciò può far pensare che andando avanti nel tempo tali cifrari possano essere “rotti” grazie a potenze di calcolo e processori sempre più potenti, ecco perché si corre ai ripari aggiornando gli algoritmi o creandone di nuovi, sempre più resistenti e sicuri.

Questo “rincorrersi”, però, potrebbe subìre un grosso mutamento, grazie ad una nuova tecnologia che sta nascendo in questi anni, che potrebbe davvero cambiare il mondo della comunicazione e della crittografia, ovvero il “Quantum Computing”.
Il Computer Quantistico è un nuovo tipo di elaboratore, il quale sfrutta i principi della Meccanica Quantistica per poter effettuare delle operazioni ed elaborare informazioni. Per poter funzionare, infatti, il Computer Quantistico non utilizza il bit ordinario, bensì il “qubit” o “quantum bit”. Il qubit si differenzia dal bit “classico” in quanto non è un semplice “0” o “1”, bensì, codifica l’informazione in base allo stato dell’atomo che si sta osservando. 
Per fare un esempio, il bit ordinario può essere rappresentato dal lancio della moneta nel classico “testa o croce”.
Il risultato del lancio rappresenta “0” o “1”, andando a codificare i bit.
Ora immaginate di prendere la stessa moneta, e di farla ruotare su se stessa, e immaginate che la moneta non si fermi mai. La moneta avrà due stati, che possono essere rappresentati come informazione binaria “0” o “1”. La stessa moneta può trovarsi, però, in “sovrapposizione di stati”, ovvero gli stati “0” e “1” possono combinarsi tra loro per dar vita ad un certo numero di nuovi stati.
Questa combinazione, ovvero il principio di sovrapposizione degli stati, permette di ampliare la codifica delle informazioni, permettendo di ampliare esponenzialmente le possibilità di calcolo. 
Il principio di sovrapposizione è il primo postulato della meccanica quantistica.
Esso afferma che due o più “stati quantici” possono essere sommati (sovrapposti), generando uno stato quantico valido.
Ogni stato, inoltre, è la somma (sovrapposizione) di più stati quantici.
Uno “stato quantistico”, o “stato quantico” è la rappresentazione matematica di un sistema fisico, ovvero una “porzione di universo” o un fenomeno, oggetto di studio.  
Basandosi sui principi della Meccanica Quantistica, sono stati costruiti dei sistemi molto complessi, denominati appunto “Computer Quantistici”.

La prima realizzazione di questo sistema risale al 2001, quando IBM crea il primo computer quantistico a 7 qubit.

Nel 2007, l’azienda “D-Wave Systems” realizza il primo elaboratore quantistico a 16 qubit.

Sempre D-Wave Systems, realizza nel 2011 il “D-Wave One”, ovvero un elaboratore a 128 qubit, il primo elaboratore quantistico ad essere commercializzato.

Nel 2013 viene prodotto il “D-Wave Two”, elaboratore a 512 qubit.

Tra il 2016 e il 2019, IBM mette a disposizione la cosiddetta “Quantum Experience” ovvero una piattaforma in Cloud, che mette a disposizione processori e network quantistici.


D-Wave Computer

Le due piattaforme (D-Wave e IBM) sono molto diverse tra di loro.
In dettaglio, il D-Wave Two è formato da circuiti di superconduttori.
Ogni superconduttore rappresenta un qubit.
Il sistema è mantenuto alla temperatura di -271 gradi centigradi.
All’innalzamento della temperatura, gli elettroni possono ruotare su se stessi, con uguale probabilità, sia in senso orario che antiorario, generando così la sovrapposizione di stati, necessaria al funzionamento del computer quantistico.

Processore a 128 qubits (Dwave Systems)

IBM Quantum Experience, invece, presenta un’infrastruttura connessa in Cloud la quale permette di poter programmare fino a 5 qubit ed eseguire il proprio software quantistico su di un processore quantistico, o su di un simulatore collegato in Cloud. Il Quantum Experience permette la creazione di software quantistici fino a 5 righe di “codice”, una per qubit.


Esempio di Console IBM per la programmazione di Software Quantistici

E’ facile notare come sia iniziata una “corsa al quantistico”, ma perché questo?
Il motivo principale di tale corsa al “quantum bit”, è da ricercarsi nell’ambito bellico, ovvero la “conquista” dell’informazione del nemico. Chiunque abbia un interesse bellico cerca di “rompere” i sistemi crittografici del nemico e , l’enorme potenza di calcolo del computer quantistico sembra promettere miracoli. Come ogni tecnologia, però, ogni strumento può essere utilizzato sia da chi attacca, sia da chi difende.

Ma torniamo per un attimo al Cifrario Perfetto, il One Time Pad.
Questo Cifrario non è utilizzato in ambito comune, in quanto la distribuzione della chiave è un problema non facilmente risolvibile in una normale rete informatica. Si è passati, quindi, a studiare tramite gli stessi principi della meccanica quantistica la possibilità di utilizzare il One Time Pad in un modo mai visto prima.
Due ricercatori e docenti universitari (Geraldo A. Barbosa - University of Southern California e Jeroen van de Graaf - Universite de ´Montreal) nel 2015 hanno presentato un sistema di creazione e distribuzione della chiave del One Time Pad, sfruttando il “rumore” presente in un cavo in fibra ottica al passaggio del fotone.
Il rumore è un’interferenza, una lieve alterazione, rispetto al segnale originario.
Il rumore è perfettamente casuale per cui può essere utilizzato per generare un numero illimitato di chiavi e anche per distribuirle facilmente, risolvendo i problemi del One Time Pad finora presentati. 
Sempre per l’utilizzo del One Time Pad è stata ideata la cosiddetta “Quantum Key Distribution” o QKD. Tramite la Quantum Key Distribution, è possibile, tramite i principi della meccanica quantistica, generare chiavi e distribuirle in maniera sicura, questo perché una qualsiasi misurazione su di un sistema quantistico ne altera lo stato (principio di indeterminazione), di conseguenza gli interlocutori scoprirebbero subito che qualcuno sta cercando di captare la chiave distribuita (e ovviamente, essendo la misurazione alterata, la chiave “catturata” non sarebbe quella corretta).

Per quanto riguarda gli utilizzi in ambito militare, gli scenari sono in costante evoluzione.

Se nel 2016 la Cina ha lanciato in orbita il primo satellite, il Micius, per comunicazioni quantistiche, in tutto il mondo si stanno studiando le possibilità di questi nuovi sistemi.
In dettaglio il satellite Micius (nome derivante da un antico filosofo cinese) è il primo satellite sperimentale facente parte di un progetto molto più grande di nome “QUESS” (Quantum Experiments at Space Scale), un progetto internazionale di ricerca nel campo della fisica quantistica. Gli obiettivi del progetto sono quelli di portare entro il 2020 una rete quantistica cifrata tra Asia e Europa, ed entro il 2030 di estendere tale network a livello globale. 
Il progetto QUESS mira a creare una rete non solo “crittograficamente” sicura, bensì anche impossibile da intercettare e ciò è possibile grazie ad un altro principio della fisica quantistica non presente nella fisica classica, detto “entanglement”. 
L’entanglement quantistico è un fenomeno che si verifica in particolari condizioni in cui uno “stato” quantistico non può essere studiato o descritto singolarmente, ma solo come “sovrapposizione di stati”.
Da questo ne consegue che la misurazione di uno stato determina simultaneamente anche il valore degli altri.

Un gruppo di ricercatori di Glasgow è riuscito a fotografare l’entanglement tra due fotoni:

Grazie a questo speciale fenomeno, il progetto QUESS è riuscito ad eseguire grazie al satellite Micius il primo teletrasporto di fotoni. Attualmente il progetto QUESS è in fase di sviluppo, e nonostante i limiti (la rete non può essere utilizzata con la presenza di luce solare), nel 2016 è stata effettuata la prima video-chiamata sulla rete quantistica. Ottenere, quindi, la supremazia in questo ambito potrebbe comportare un vantaggio enorme sui competitor.

Data la potenza di calcolo dei computer quantistici e il rischio effettivo che i cifrari attualmente in uso non possano resistere, i crittografi stanno studiando degli algoritmi, appositamente creati per resistere a questi elaboratori estremamente potenti. Da questo studio, nasce il termine “post-quantum cryptography”.

Ci sono, tuttavia, degli algoritmi che già possono resistere ad un attacco di un computer quantistico, se utilizzati con una chiave sufficentemente lunga.
Uno di questi è l’AES, ovvero l’Advanced Encryption Standard, il quale è utilizzato dal Governo Americano per proteggere i Documenti classificati come “top secret”, utilizzabile da chiunque ed incluso in numerosi Framework, ovvero dei pacchetti, per sviluppatori, per creare software.

Le varie aziende, come Microsoft e IBM, stanno rilasciando al grande pubblico anche dei simulatori del computer quantistico, per poter imparare a programmare su questo tipo di macchine.

Microsoft ha rilasciato anche un linguaggio apposito, chiamato “Q#” (Q-sharp) e degli esercizi, chiamati “Katas”, per imparare ad utilizzare questa nuova tecnologia.

E voi, siete pronti per il futuro? 

… perché, in fondo in fondo, è già qui!

Alessandro Fiori

Per approfondire:

giovedì 25 luglio 2019

CyberChallenge italiana: l'esperienza del team dell'Università di Cagliari

Già in passato abbiamo dato spazio alla attività chiamata CyberChallenge.IT, con un articolo che spiegava l'oggetto della gara e le procedure di selezione ed annunciava la fase finale per il 27 giugno.

Ora, a distanza di qualche mese possiamo tirare le somme ma abbiamo deciso di farlo assieme ai ragazzi di una delle squadre partecipanti: la squadra dell'Università di Cagliari coordinata dal Professor Giorgio Giacinto (1) e dal Dottor Davide Maiorca (2) in qualità di allenatore.


Cominciamo con il conoscere i partecipanti. Potete presentarvi in poche righe? Chi siete? Cosa studiate?

Sono Lorenzo Pisu, ho 20 anni e studio nel corso di laurea in informatica dell'Università di Cagliari.

Io sono Matteo Cornacchia e anche io sono iscritto al corso di laurea in informatica dell'Università di Cagliari.

Mi chiamo Francesco Meloni, sono laureato in ingegneria informatica e sono iscritto alla laurea magistrale in Computer Engineering, Cybersecurity and Artificial Intelligence presso l'Università di Cagliari.

Io sono Daniele Pusceddu, ho 19 anni e devo fare l'ultimo anno delle superiori all'Istituto Tecnico Industriale Scano a Cagliari, sezione informatica.

Complimenti ragazzi, so che non è andata benissimo ma sono sicuro che il prossimo anno andrà meglio. Per cominciare vogliamo sapere cosa si prova a partecipare ad una gara di squadra cosi particolare. Quali sensazioni avete provato? Cosa vi ha spinto a partecipare?

Partecipare alla gara è stata un'esperienza che ci ha messo a dura prova, sicuramente c'è
tanta adrenalina e uno sforzo mentale enorme ma è stata un'esperienza molto positiva e di
grande crescita sia a livello di competenze sia a livello personale. Penso che il motivo
principale per cui abbiamo partecipato sia quello di mettersi in gioco, quindi si lo rifarei ancora!

Per me la motivazione principale e stata sicuramente la mia curiosità già presente verso il campo della Cybersecurity.
All'interno dei corsi, ma soprattutto nelle fasi di preparazione e competizione nazionale, ho avuto la possibilità di confrontarmi con persone dai background più vari ma con tante passioni comuni.
Per me l'iniziativa è stata soprattutto una preziosa occasione per espandere la mia conoscenza non solo della sicurezza informatica, ma anche dell'ambiente, sia in termini di competizione, sia per le realtà istituzionali e private che la circondano. Posso dire senza ombra di dubbio che nel totale il programma è l'esperienza extracurricolare più preziosa a cui abbia mai partecipato.

L'aspetto che mi ha spinto a partecipare è stata senza dubbio la voglia di mettermi alla prova e imparare tanti aspetti tecnici della sicurezza informatica in un ambiente dinamico e competitivo. L'esperienza si è configurata in sè come una sfida che ha testato ampiamente le mie abilità tecniche e di lavoro di squadra. Io sono ormai grande per il target d'età dell'iniziativa, ma valutando il mio percorso e quello dei miei compagni durante tutta la Cyber Challenge, penso che per i ragazzi ancora al liceo o all'inizio dell'università sia un'occasione imperdibile per fare un grosso salto a livello di conoscenze e competenze nell'ambito della sicurezza informatica.


Parliamo ora dell'aspetto organizzativo. Come vi siete organizzati? Avevate nominato un leader? Come prendevate le decisioni?

Dal punto di vista organizzativo eravamo divisi principalmente in base a dei ruoli
stabiliti prima della gara grazie anche ai preziosissimi consigli del nostro coach Davide,
quindi non abbiamo individuato un leader tra di noi, abbiamo preso le decisioni comunicando
 e tenendo fede anche a quanto stabilito prima della gara.

All'interno del team di quattro persone, ci siamo divisi i compiti individualmente secondo le competenze acquisite e la confidenza nell'utilizzo del toolkit prodotto durante la breve fase di preparazione.
In questo modo le decisioni erano presentate, e di conseguenza venivano prese, dalla persona che più aveva la capacita di selezionare la risposta adeguata.

Successivamente alla creazione della squadra abbiamo stabilito dei compiti per organizzare la costruzione di un toolkit che automatizzasse l'invio di attacchi ai servizi nel contesto della gara e che si è rivelato uno strumento di successo. Durante la competizione ci siamo divisi in gruppi di lavoro da due persone che analizzassero i servizi preferiti da ciascuna coppia. Gli attacchi che venivano scritti venivano instradati automaticamente nella rete dal toolkit che è stato implementato.

Quale è stato l'aspetto più difficile della gara? Non parlo solo della fase finale ma di tutta la gara, a partire dall'inizio delle selezioni.

L'aspetto più difficile della gara è forse trovare la forza di volontà per non arrendersi mai, a volte capita di trovarsi di fronte a problemi enormi, sia durante la gara finale che durante le selezioni, dopo ore di tentativi nel risolverli si prova frustrazione ma bisogna continuare a provare sempre, solo così si riescono ad ottenere dei risultati.

Dal mio punto di vista personale, la parte che di gran lunga si è presentata come la più difficile lungo il percorso e stata non tanto quella tecnica individuale, ma la capacità di sfruttare al meglio le abilità individuali dei componenti del gruppo durante la fase finale.
Senza dubbio il campo che ha fatto da determinante lungo la finale nazionale è stata l'esperienza nel format di competizione e nel lavoro di squadra più in generale. 
Le università che non avevano una realtà di CTF preesistente (non necessariamente esclusiva del CyberChallenge), avendo meno di un mese per coordinarsi e preparare un toolset appropriato, si trovavano a fronteggiare un deficit di competenza essenzialmente insormontabile.
Nel nostro caso, proprio l'unicità della situazione ha reso l'esperienza particolarmente preziosa per la nostra formazione.

Per me l'aspetto più difficile della gara era sicuramente l'analisi necessaria per comprendere il funzionamento dei programmi e l'individuazione dei vettori di attacco. Spesso, vista la struttura dei servizi, ci si perdeva tra i moduli e si cercava con difficoltà la vulnerabilità nel codice sorgente, quando talvolta essa era molto più facilmente individuabile mediante un'analisi funzionale del programma e del suo comportamento. Una volta trovato il vettore d'attacco, una caratteristica comune a tutte le prove era il fatto che la modalità di exploit non si riconducesse a modalità standard o conosciute, ma era spesso ad hoc per il servizio.  

In cosa consisteva la prova finale?   

La gara finale consiste in un Attack and Defense in cui le varie squadre hanno tutti la stessa
macchina vulnerabile da difendere in cui ci sono contenuti dei flag che sono delle stringhe
di testo che se rubate permettono agli avversari di guadagnare punti. Ogni team attacca gli
altri sfruttando le vulnerabilità e allo stesso tempo cerca di difendersi dagli attacchi degli
altri team correggendo o "patchando" le vulnerabilità della propria macchina.

In pratica ogni team riceve una macchina virtuale identica. Lo scopo della CTF è di analizzare i servizi intenzionalmente vulnerabili presenti sulla macchina, e utilizzare tali informazioni per attaccare le macchine degli avversari e allo stesso tempo proteggersi dagli attacchi altrui. 

Ogni team disponeva di un server con gli stessi servizi esposti verso l'esterno. Tali servizi (che potevano essere siti web come anche eseguibili), avevano delle vulnerabilità. La prima fase della gara, quella di difesa, consisteva nel trovare queste vulnerabilità con l'obbiettivo di aggiustarle per rendere il proprio sistema inattaccabile e a sua volta capire come sfruttarle durante la fase di attacco sugli avversari.

Siete stati chiarissimi. Ma ora ditemi: avete pensato a come migliorare le performance per l'anno prossimo? Contate di partecipare nuovamente? Avrete modo, all'Università, di raccontare la vostra esperienza ai più giovani?

Si, al termine della gara abbiamo fatto un resoconto di cosa è andato bene e di cosa invece
si poteva migliorare, questo era forse l'obbiettivo più importante della gara, migliorarsi.
Inoltre questi resoconti ci aiutano a prepararci per altre gare a cui parteciperemo. Pensiamo e speriamo che avremo modo di raccontare l'esperienza ai più giovani, è una cosa molto importante, noi non abbiamo avuto la fortuna di avere qualcuno che avesse già partecipato alle edizioni passate quindi speriamo che la nostra esperienza possa essere di aiuto a chi parteciperà dopo di noi.

Questo era il primo anno un cui l'Università di Cagliari partecipava al CyberChallenge.
Indubbiamente l'esperienza di quest'anno avrà un significato ancora più profondo per chi avrà l'opportunità di cimentarsi nel CyberChallenge dell'anno prossimo.
In seguito agli eventi di quest'anno è stato creato un team con il quale abbiamo intenzione di partecipare a CTF future anche con il supporto di ragazzi, docenti e staff di supporto della competizione appena conclusa.
Per quanto mi riguarda, mi auguro che le nostre esperienze passate e presenti possano fare da trampolino ai futuri partecipanti di iniziative simili a Cagliari.

La nostra squadra è stata la prima a cimentarsi in questa sfida. Il supporto proveniva quindi unicamente dai nostri istruttori. Dopo la Cyber Challenge il gruppo di studenti che ha partecipato al percorso si è consolidato e periodicamente vengono organizzate delle sessioni di allenamento su challenge di vario tipo. Contiamo con questi allenamenti di migliorare la performance per i prossimi anni, fornendo maggiore supporto ai nuovi iscritti e una base di esperienza più forte e salda. Avendo seguito il percorso Cyber Challenge sino alla fine, se ne avrò la possibilità sarò lieto di raccontare la mia esperienza per motivare i futuri partecipanti a impegnarsi in questa esperienza con la stessa passione che ho maturato.

Infine sono curioso di sapere cosa pensate di fare al termine degli studi. Il mondo cyber in Italia necessita di esperti, come contate di procedere per prepararvi al lavoro? La partecipazione alla CyberChallenge.IT vi ha aperto qualche nuova strada?

Sicuramente una parte importante della preparazione al mondo del lavoro è lo studio, senza delle solide basi è difficile crescere in un ambiente lavorativo. Partecipare a CyberChallenge.IT ci ha sicuramente aperto nuove strade per il futuro sia dal punto di vista lavorativo che da quello scolastico.

All'interno del CyberChallenge abbiamo avuto la possibilità di confrontarci, sia localmente che a livello nazionale, con le realtà lavorative e di ricerca più disparate, accomunate dalla domanda per appassionati del settore.
Sicuramente si è trattata di un'esperienza che mi ha aperto gli occhi verso opportunità di cui non ero a conoscenza, permettendomi anche di esplorare opzioni con cui ero già familiare. Tuttavia, per ogni porta che si apre, i criteri di scelta si espandono.
In breve, non ne ho la minima idea.


Se doveste dare un consiglio ad una matricola sul percorso di studi da seguire, cosa gli suggerireste?

Il nostro consiglio per una matricola è quello di sfruttare le occasioni che durante il corso
di studi si possono presentare per cercare di arricchirsi il più possibile, occasioni come
CyberChallenge.IT sono da cogliere subito e permettono di scoprire quale strada è più adatta.

La cybersecurity è un campo non solo estremamente vasto ma richiedente un livello di competenza di base più alto di tante discipline scientifiche nella stessa area di formazione.
Al di là dalla imprescindibile formazione accademica avanzata nel campo dell'Informatica o disciplina affine, chiunque sia interessato a questo percorso di studi deve possedere motivazione costante e proattività nel proprio sviluppo individuale.

Come vedete il futuro dell'Italia riguardo la dimensione cyber? Se doveste dare un suggerimento ai nostri decisori, cosa direste?  

Bisogna investire nei giovani e bisogna offrire loro delle possibilità che possano far risaltare le loro capacità fuori dal classico percorso di studi

A mio parere, iniziative come il CyberChallenge hanno un potenziale impatto a lungo termine straordinario sull'occupazione e sulla sicurezza informatica dell'intera nazione. 
Mi auguro di poter assistere a iniziative simili, e al potenziamento di quelle esistenti, anche negli anni a venire.

Complimenti ragazzi, lo spirito è quello giusto per cui un in bocca al lupo a tutta la squadra, ai vostri tutors e a coloro che vi seguiranno. 
Però i complimenti vanno anche agli organizzatori della edizione. Se i ragazzi sono soddisfatti lo devono a chi ha fatto tanti sforzi per mettere in piedi la competizione. Naturalmente non finisce qui per cui vi aspettiamo, l'anno prossimo.

Grazie ragazzi…

Alessandro Rugolo

(1) Giorgio Giacinto è professore di ingegneria informatica presso l'Università di Cagliari 
(2) Davide Maiorca è ricercatore di ingegneria informatica presso l'Università di Cagliari .

http://www.difesaonline.it/evidenza/cyber/cyberchallengeit-sfide-la-cybersecurity-nazionale
https://cyberchallenge.it/
https://www.consorzio-cini.it/index.php/it/lab-cyber-security
https://www.unica.it/unica/