Percorso CyberChallenge Link Campus University
La cybersecurity sta avendo un ruolo sempre più importante nel panorama internazionale. Ogni giorno si susseguono incessantemente attacchi informatici. Preparare i nuovi studenti a fronteggiare le minacce sembrerebbe, a detta di molti esperti, essere lo strumento migliore poter difendere al meglio il sistema paese. CyberChallenge.it nasce da una iniziativa del Laboratorio Nazionale di Cybersecurity del CINI il Consorzio Interuniversitario Nazionale per l’Informatica con l’obiettivo di addestrare alla cybersecurity i giovani delle scuole superiori e delle università. Quali sono state le fasi iniziali che prevedeva la competizione?
La competizione prevedeva due fasi iniziali che erano propedeutiche all’accesso alle fasi successive. Una prima che comprendeva un test di ingresso iniziale e che rappresentava il primo metodo di selezione composto da più fasi, utili per verificare capacità logiche e di programmazione e per determinare i 20 ragazzi che avrebbero partecipato al corso nei vari atenei. Esso era strutturato in due sotto fasi distinte. Un Pretest Online che consisteva in un quiz in inglese con domande di logica e di programmazione in “C” della durata di 60’. Un altro che invece prevedeva esercizi di problem solving di programmazione di vario genere dalla durata di 3 ore, utilizzando il linguaggio C, obbligatorio per uno degli esercizi assegnati, mentre per gli altri due era possibile scegliere le programmazioni C, C++, Python, Java, Scala etc.
CyberChallenge prevedeva oltre agli esami hands-on di cui ci hai appena parlato anche corsi di formazione. Quali sono stati gli argomenti trattati e qual è stato il valore aggiunto?
Lo scopo del corso CyberChallenge.it è stato formare giovani liceali o universitari nel campo della Cybersecurity, attraverso lezioni teoriche, riguardanti i vari temi della sicurezza, e lezioni pratiche, in cui ci si addestra a risolvere le “Capture The Flag”.
Gli argomenti delle lezioni erano vari: dalla crittografia al reverse engineering, dai vari hacking tools alle infrastrutture di difesa. Ciò mi ha permesso di allargare le mie conoscenze in questo campo.
Durante i giorni del corso ho avuto modo di conoscere gli altri ragazzi che, come me, si trovavano in un ambiente nuovo. Molto velocemente è nata amicizia con chi fosse più simile a me in età ed interessi, ma man mano sono riuscito a conoscere ognuno di loro. Ci sono stati attribuiti dai nostri professori, prof. Corona (KETER) e prof. Gugliuzza (CEFEO), dei nicknames che ci avrebbero caratterizzato durante tutto il percorso.
Il corso era finalizzato a preparare i ragazzi a partecipare alle due gare previste, organizzate da CyberChallenge.it: la prima, di tipo Jeopardy, si è svolta localmente nelle sedi in cui ogni ragazzo ha seguito il corso ed è servita per determinare i quattro più idonei a partecipare alla seconda, di tipo Attacco-Difesa, in rappresentanza del proprio nodo.
In una gara di tipo Jeopardy più partecipanti devono risolvere le stesse sfide separatamente e senza interagire (anche situati in luoghi diversi). Nel nostro caso ogni nodo ospitava i suoi 20 (o meno) partecipanti in un ambiente favorevole a questo tipo di competizione (i.e. un laboratorio informatico) e si manteneva una scoreboard complessiva. Scadute le 7 ore fornite, sono stati definiti, ed in seguito premiati, i primi quattro partecipanti nella scoreboard per ogni nodo locale. Conclusa la fase di formazione e competizione dei vari nodi a livello locale, sono state organizzate le Finali Nazionali congiuntamente dal Laboratorio Nazionale Cybersecurity CINI e dalla Scuola Telecomunicazioni Forze Armate (STELMILIT). Raccontaci come è andata e come si è svolta questa competizione
finale.
Quest’anno la gara nazionale si è svolta nella caserma STELMILIT di Chiavari, dove i militari, gentilmente, ci hanno accolti in modo caloroso. Durante il viaggio ho avuto modo di stringere amicizia con i miei compagni ed i miei professori e di conoscerli meglio.
Nelle gare di tipo Attacco-Difesa, ai vari team vengono assegnate macchine identiche, le quali vulnerabilità possono essere sfruttate per attaccare quelle dei team avversari, ma possono anche essere corrette per difendere la propria. Nel nostro caso, per fare ciò, abbiamo potuto portare un raspberry PI e diversi tools sviluppati da noi per l’occasione.
Proprio in merito ai tool allora abbiamo utilizzato un automatizzatore per la sottomissione delle Flag quindi una volta che la squadra catturava una FLAG grazie ad uno specifico script utilizzavamo questo tool che ci consentiva di catturare più Flag insieme così da poter velocizzare tutti i processi essendo questa una gara a tempo. Poi abbiamo creato uno sniffer proxy che rappresenta un tool molto utile nel momento in cui qualcuno ci si trova sotto attacco e che consente di poter rovesciare l’attacco verso chi lo ha sferrato o per risolvere le nostre vulnerabilità o addirittura rivolgerlo anche ad altre squadre. L’importanza di analizzare il traffico è stata fondamentale. Per questa attività abbiamo utilizzato Wireshark, uno sniffer che consente di catturare pacchetti di rete e analizzarli di volta in volta ma lo strumento fondamentale durante la competizione è stato il gioco di squadra.
Risolvere le CTF infatti è una vera e propria collaborazione del team, proprio come abbiamo fatto durante l’anno (di lezioni n.d.r.) e essendo una squadra diversificata siamo riusciti a sfruttare le nostre capacità elemento fondamentale magari rispetto
ai tool. Eravamo un gruppo versatile e questo ci ha aiutato ad affrontare le diverse CTF consentendoci di poter ragionare sulle modalità con le quali affrontarle.
La competizione ha avuto una durata di 7 ore e ciò è bastato a malapena per risolvere tutte le CTF che ci erano state proposte.
Cosa hai appreso e quale valore aggiunto ha avuto per te il CyberChallenge?
Questo percorso è stato fondamentale per lo sviluppo delle mie capacità e delle mie conoscenze nel campo della cybersecurity e senza dubbio è stata un’esperienza che mi ha arricchito e mi ha fatto crescere. Consiglio ai giovani di partecipare e di provare con tutte le forze a superare ogni prova che questa competizione possa presentare loro. Inoltre spero di essere utile ai prossimi partecipanti, fornendo consigli e conoscenze per la loro preparazione ed in vista delle gare.
Che consigli puoi dare ai tuoi coetanei per affrontare al meglio le prossime competizioni Cyber?
In primo luogo è necessario avere un corpo docente che possa prepararti ad affrontare questo tipo di sfide. Conoscere ciò che si andrà ad affrontare è sicuramente fondamentale quanto il background e la preparazione. Un consiglio che posso dare ai giovani che parteciperanno a queste competizioni è applicarsi come se non ci fosse un domani e allargare i propri orizzonti.
Credi che queste competizioni possano dare un valore aggiunto agli studenti che stanno terminando gli studi per una futura posizione lavorativa? Personalmente hai una tua vocazione specialistica in questo universo Cyber?
Il CyberChallenge.it rappresenta una base pratica molto importante quindi chiunque partecipi a questa competizione Challenge si trova un passo avanti agli altri. Personalmente qualche azienda mi ha già chiamato. Per ora sto ancora completando il mio percorso di laurea ma al termine sicuramente ne accetterò una. Ho infatti intenzione di seguire un’azienda che si occupa di Penetration Testing e Malware Analysis, che tra l’altro riguarda il Reversing che era una delle categorie di CTF
Svelaci un’ultima curiosità. Da dove nasce la tua passione per la Cybersecuity?
Prima di tutto è nata una passione per l’informatica. È stato più che altro un caso. Teoricamente non avrei dovuto neanche prendere l’indirizzò informatico, avrei voluto studiare Medicina. Solo all’ultimo ho scelto di cambiare strada proprio per poter coltivare in pieno la mia passione nascosta e in particolare l’argomento che mi piaceva di più in informatica era la Sicurezza durante la navigazione sul web dei giochi, le CTF. Questi giochi sono presi molto sul serio nel settore della Cybersecurity perché rappresentano simulazioni di vulnerabilità che potrebbero interessare un qualsiasi servizio online. Per questo motivo, proprio allora mi sono chiesto: se queste CTF per me sono dei giochi e questi giochi per molti rappresentano un vero e proprio lavoro, perché non trasformare questa passione in lavoro?