Intervista a Emilio Coppa, Giovanni Lagorio e Mario Polino allenatori della squadra italiana di cyber defender "TEAM ITALY" formata da allievi del percorso formativo Cyberchallenge.IT (https://cyberchallenge.it/team).
Emilio Coppa è un assegnista di ricerca presso il Dipartimento di Ingegneria informatica, automatica e gestionale della Sapienza Università di Roma. Ha ricevuto un dottorato in Informatica nel 2015 e i suoi interessi di ricerca si focalizzano su tecniche di analisi statica e dinamica del software. Dal 2017 fa parte del comitato organizzativo di CyberChallenge.IT ed è uno dei responsabili della squadra nazionale per l'European Cyber Security Challenge (ECSC).
Giovanni Lagorio è ricercatore presso il DIBRIS dell'Università di Genova. Interessato alla sicurezza informatica e ad attività di ethical hacking, è fra i fondatori del team ZenHack e organizzatore di CyberChallenge.IT per la sede di Genova. Dal 2019 è uno dei responsabili della squadra nazionale di cyber-defender per l'European Cyber Security Challenge (ECSC).
Mario Polino è assegnista di ricerca
presso il DEIB del Politecnico di Milano dove si occupa di Malware e
Binary Analysis. Dal 2009 partecipa a competizione CTF con il team
Tower of Hanoi e dal 2018 con mhackeroni. Dal 2019 è l’allenatore
del team nazionale di cyber-defender per l'European Cyber Security
Challenge (ECSC)
Prima
di tutto una breve panoramica sui componenti della squadra. Quali
sono le città di provenienza? Quali i corsi di studio di
provenienza?
Ricordiamo
ai nostri lettori che i componenti della squadra vengono dal percorso
di formazione CyberChallenge.IT, organizzato dal Laboratorio
Nazionale Cybersecurity del CINI, che ha visto inizialmente 20
ragazzi formarsi in ciascuna delle 18 sedi universitarie
partecipanti. Terminato il periodo di formazione, ciascuna sede ha
selezionato quattro ragazzi per formare la squadra locale che ha
partecipato alla finale nazionale a Chiavari, lo scorso 27 Giugno.
Grazie
alla finale nazionale è stato possibile formare il team nazionale.
Il
team è composto da dieci ragazzi che provengono da diverse realtà
italiane.
Andrea
Biondo (il capitano) e Riccardo Bonafede sono due studenti
dell’Università degli studi di Padova. Il primo vive a
Cassier (Treviso) ed è attualmente iscritto alla Magistrale in
Informatica, mentre il secondo viene da Padova e sta completando la
Triennale in Ingegneria Informatica. Sempre dal Veneto arriva Antonio
Groza, che vive a Mirano (Venezia) e dopo essersi diplomato nel 2018
all’ITIS Levi Ponti ha deciso di intraprendere direttamente una
carriera professionale.
Marco Bonelli,
Andrea Laisa e Samuele Turci studiano a Milano. Marco viene da Terni
e frequenta la triennale in Ingegneria Informatica presso il
Politecnico di Milano. Andrea invece viene da Bergamo, studia sempre
al Politecnico di Milano ma è iscritto alla triennale in
Informatica. Infine, Samuele viene da Gatteo (Forlì-Cesena) ed è
iscritto alla triennale in Informatica presso l’Università degli
Studi di Milano.
A Roma studiano
tre partecipanti del team: Qian Matteo Chen, Dario Petrillo e Michele
Lizzit. Matteo vive a Roma ed è uno studente triennale di
Informatica presso l’Università La Sapienza di Roma. Anche Dario
vive a Roma e studia alla Sapienza, ma frequenta la triennale di
Ingegneria Informatica. Infine, Michele vive a Pasian di Prato
(Udine) e frequenta la Triennale in Management and Computer Science
presso la Libera Università Internazionale degli Studi Sociali
(LUISS) Guido Carli.
Scendendo
geograficamente ancora più a sud, Davide Palma studia alla triennale
di Informatica dell’Università degli studi di Bari e vive a
Apricena (Foggia).
Con
quale criterio sono stati selezionati i componenti della squadra
nazionale a partire dai partecipanti alla finale?
Il
pool di scelta era composto dai partecipanti di CyberChallenge.IT del
2019, ma anche degli anni precedenti. L’iniziativa è stata molto
efficace e ha introdotto a questo tipo di competizioni molti giovani
capaci, che nel tempo sono migliorati tanto fino ad arrivare a
competere ai massimi livelli nonostante la loro giovane età.
Scegliere non è stato facile, ci sono molti ragazzi in gamba, ma
alcuni vincoli sulla composizione della squadra presenti nel
regolamento della competizione hanno semplificato questa scelta.
Tutti e 10 i giocatori devono avere meno di 25 anni, e 5 di loro devono essere sotto i 20 anni. Ci sono tantissimi ragazzi bravi con meno di 25 anni. Meno, invece, per quanto riguarda la fascia fino ai 20. Questo regolamento divide fondamentalmente la squadra in due quote: Senior (21-25) e Junior (minori di 20 anni). Abbiamo quindi realizzato due classifiche, una per i Senior e una per i Junior, in cui abbiamo valutato le prestazioni dei candidati negli eventi passati. In particolare, abbiamo valutato la prova locale, cioè la sfida individuale che ogni partecipante di CyberChallenge.IT ha affrontato alla fine del percorso di formazione, la competizione nazionale, che si svolge a squadre fra le varie sedi, ma anche competizioni esterne a cui diversi membri del team finali hanno preso parte. Il risultato è stato un team formidabile e il posizionamento al secondo posto ne è la conferma.
Tutti e 10 i giocatori devono avere meno di 25 anni, e 5 di loro devono essere sotto i 20 anni. Ci sono tantissimi ragazzi bravi con meno di 25 anni. Meno, invece, per quanto riguarda la fascia fino ai 20. Questo regolamento divide fondamentalmente la squadra in due quote: Senior (21-25) e Junior (minori di 20 anni). Abbiamo quindi realizzato due classifiche, una per i Senior e una per i Junior, in cui abbiamo valutato le prestazioni dei candidati negli eventi passati. In particolare, abbiamo valutato la prova locale, cioè la sfida individuale che ogni partecipante di CyberChallenge.IT ha affrontato alla fine del percorso di formazione, la competizione nazionale, che si svolge a squadre fra le varie sedi, ma anche competizioni esterne a cui diversi membri del team finali hanno preso parte. Il risultato è stato un team formidabile e il posizionamento al secondo posto ne è la conferma.
A
questo punto passiamo alla fase di allenamento e di costruzione del
vero e proprio "gioco di squadra". Come avete gestito la
diversa provenienza geografica e di formazione di base?
L’allenatore
ha selezionato i partecipanti scegliendo, di proposito, una
formazione eterogenea, essenziale per essere pronti ad affrontare
ogni tipo di sfida. La diversa provenienza geografica, invece, è
stata mitigata organizzando, a metà settembre, un ritiro di quattro
giorni presso la Scuola IMT Alti Studi di Lucca. Lì i ragazzi hanno
avuto modo di conoscersi, formando una squadra vera e propria, grazie
a varie attività di gruppo. Fra queste, anche attività non
strettamente legate all’informatica, ma non meno importanti, quali,
per esempio, ripresa e montaggio del video, goliardico, di
presentazione della squadra e birrate serali.
Potete
raccontarci come si è organizzata la squadra in termini di divisione
dei compiti? E’ stato nominato un capo o è emerso un leader
spontaneo? Sicuramente questo aspetto è strettamente legato al tipo
di competizione. Potete darci una breve descrizione della modalità
di gioco?
Grazie al raduno
di Lucca, il team è stato in grado di identificare le competenze che
ogni membro del team poteva mettere a disposizione ai fini della
competizione.
Come capitano
della squadra, abbiamo immediatamente visto in Andrea Biondo il
migliore candidato: parte del team che ha vinto CyberChallenge.IT
2018, membro dei team CTF Spritzers e mHACKeroni, membro della
nazionale per ECSC nel 2018 e anche co-autore di articoli scientifici
in conferenze di rilievo nell’ambito della cybersecurity.
La
competizione si è svolta in due giornate seguendo un format
jeopardy,
in cui i team devono risolvere delle challenge
per ottenere dei punti. Ogni
challenge può essere vista come una sfida informatica, sia software
che hardware, che replica uno scenario reale ma in un contesto
isolato, permettendo ai ragazzi di divertirsi senza fare danni nel
mondo reale. Esempi concreti di queste sfide possono essere dei
portali web in cui occorre ottenere accesso amministrativo oppure dei
sistemi embedded su cui identificare delle falle per far eseguire
azioni non autorizzate.
Le
36 challenge preparate dagli organizzatori rumeni sono state
egualmente divise fra i due giorni di gara, non permettendo ai
ragazzi di risolvere challenge del primo giorno durante la seconda
giornata. Il punteggio di ogni challenge è stato ottenuto in modo
dinamico: tale meccanismo evita di dover assegnare un punteggio a
priori in base alla difficoltà stimata (sempre molto difficile da
valutare).
Oltre
alle challenge hardware e software, gli organizzatori hanno assegnato
ulteriori punti in base alla capacità dei vari team di: (a) superare
una escape room
caratterizzata da sfide hardware entro un tempo massimo di 30 minuti,
(b) presentare in 5 minuti la soluzione di una delle challenge
risolte ad una giuria composta da non esperti.
Durante
le ultime due ore di gara, la scoreboard con i punteggi è stata
oscurata, in attesa della premiazione avvenuta la sera del giorno
dopo.
E
ora veniamo ai momenti di gara, divisa in tre giornate. Potete
descriverci quali sono state le emozioni provate dalla squadra
durante le giornate? L'Italia già dalla seconda parte della prima
giornata faceva parte del gruppo di testa, conquistando anche il
primo posto in diverse fasi della gara. Come sono stati vissuti
questi momenti?
Quale è stato l'aspetto più difficile della gara? Quale
quello che vi ha dato più soddisfazione?
All’inizio
eravamo tutti molto emozionati ma, una volta che abbiamo iniziato ad
affrontare le varie sfide, la concentrazione era tale da non farci
pensare molto ad altro.
Alcune challenge
hanno richiesto diverse ore e il lavoro congiunto di vari membri, un
po’ per difficoltà tecniche, un po’ perché non era chiarissimo
cosa si doveva fare e la comunicazione con gli organizzatori era a
volte difficoltosa. Chiaramente, rimanere bloccati per ore su una
sfida può essere estremamente frustrante ma, come si dice, chi la
dura la vince, e alla fine siamo riusciti a risolverne molte. Far
parte del gruppo di testa fin da subito ci ha creato un po’ di
tensione, ma ogni sfida risolta ci ha dato una grande carica e
fiducia in noi stessi, che ci hanno aiutato a mantenere la grinta per
tutte quelle ore.
Il team ha
funzionato molto bene e questo aspetto ha dato i suoi frutti,
portandoci in alto in classifica. È questo, probabilmente, l’aspetto
che ci ha dato più soddisfazione.
Ora
che la gara è terminata portando a casa il secondo posto, quali sono
i riflessi di questa esperienza che avranno sicuramente un effetto
nelle vostre attività future nel campo della didattica e della
ricerca? Qualcuno dei ragazzi ha pensato di lanciarsi nel lavoro con
una start-up? Quando pensano al loro futuro si vedono in Italia o
all'estero?
Faremo sicuramente
tesoro di questa esperienza; alcuni ragazzi hanno già esperienze
lavorative e stanno considerando anche la possibilità di lanciarsi
in qualche startup. Altri puntano invece ad attività di ricerca: c’è
chi pensa a un dottorato e chi invece vorrebbe entrare a far parte
del settore ricerca e sviluppo di qualche grossa industria.
Fortunatamente per il nostro paese, quando pensano al futuro alcuni
si vedono in Italia, anche se non manca chi considera la possibilità
di andare a lavorare per qualche colosso informatico dall’altra
parte dell’oceano.
Per
quanto riguarda la squadra, continuerà a partecipare ad altre competizioni? Cosa intendete fare
per condividere la vostra esperienza coi più giovani?
Sicuramente la squadra parteciperà
anche il prossimo anno a ECSC, alcuni membri supereranno il limite di
età e quindi il team dovrà per forza cambiare un po’. Ma queste
sono valutazioni da fare a valle della prossima edizione di
CyberChallenge.IT dove ci aspettiamo, come è successo in passato,
che i membri attuali del team aiutino a formare le nuove leve.
Nel frattempo, subito dopo la
competizione in Romania, una grossa fetta del team è volato ad Abu
Dhabi per la Hack in The Box CyberWeek, dove hanno preso parte
in due competizioni diverse:
- Una parte di loro ha partecipato e vinto la “Cyber Battle of The Emirates” una competizione pensata per giovani che si affacciano al mondo dei Capture the Flag e della security più in generale.
- Un'altra parte ha invece preso parte al ProCTF come “mhackeroni”. Il ProCTF è una competizione senza restrizioni di età, e pensata per professionisti. Il Team mhackeroni è arrivato al terzo posto.
Molti dei giocatori del Team Italy, ma
anche gli altri partecipanti di CyberChallenge.IT, dopo questa
esperienza continuano a giocare nei team locali delle varie sedi
universitarie. Queste squadre sono formate non solo da novizi, ma
anche da giocatori di lunga data, che durante l’anno si sfidano in
varie competizioni. Esiste una lista pubblica dei Team Italiani che
hanno assorbito partecipanti di CyberChallenge.IT o che sono nati
proprio dai ragazzi che hanno partecipato a questa iniziativa:
https://cyberchallenge.it/ctf-teams
Uno di questi team è il team
“mahckeroni” (https://mhackeroni.it/)
che oramai da diversi anni partecipa al DEF CON CTF, una delle
competizioni più difficili di questa categoria. Per partecipare a
questa competizione bisogna qualificarsi vincendo uno degli eventi
selezionati. Non ci sono restrizioni di età, numero, o professione,
e a questo tipo di competizioni prendono parte anche molti
professionisti del settore. E solo le migliori 16 squadre al mondo
riesco a vincere un posto per la finale di Las Vegas. Diversi membri
del “Team Italy” fanno parte della squadra “mhackeroni” che
lo scorso Agosto si è piazzata al 5° posto di questa competizione.
Grazie per il vostro impegno,
teneteci informati sulle vostre attività. Difesaonline e i suoi
lettori vi sostengono. In bocca al lupo a tutti!
Giorgio Giacinto
https://europeancybersecuritychallenge.eu/
