CyberChallenge italiana: l'esperienza del team dell'Università di Cagliari

(di Alessandro Rugolo)
05/08/19

Già in passato abbiamo dato spazio alla attività chiamata CyberChallenge.IT, con un articolo che spiegava l'oggetto della gara e le procedure di selezione ed annunciava la fase finale per il 27 giugno.
Ora, a distanza di qualche mese possiamo tirare le somme ma abbiamo deciso di farlo assieme ai ragazzi di una delle squadre partecipanti: la squadra dell'Università di Cagliari coordinata dal Professor Giorgio Giacinto (1) e dal Dottor Davide Maiorca (2) in qualità di allenatore.

Cominciamo con il conoscere i partecipanti. Potete presentarvi in poche righe? Chi siete? Cosa studiate?

Sono Lorenzo Pisu, ho 20 anni e studio nel corso di laurea in informatica dell'Università di Cagliari.
Io sono Matteo Cornacchia e anche io sono iscritto al corso di laurea in informatica dell'Università di Cagliari.
Mi chiamo Francesco Meloni, sono laureato in ingegneria informatica e sono iscritto alla laurea magistrale in Computer Engineering, Cybersecurity and Artificial Intelligence presso l'Università di Cagliari.
Io sono Daniele Pusceddu, ho 19 anni e devo fare l'ultimo anno delle superiori all'Istituto Tecnico Industriale Scano a Cagliari, sezione informatica.

Complimenti ragazzi, so che non è andata benissimo ma sono sicuro che il prossimo anno andrà meglio. Per cominciare vogliamo sapere cosa si prova a partecipare ad una gara di squadra cosi particolare. Quali sensazioni avete provato? Cosa vi ha spinto a partecipare?

Partecipare alla gara è stata un'esperienza che ci ha messo a dura prova, sicuramente c'è tanta adrenalina e uno sforzo mentale enorme ma è stata un'esperienza molto positiva e di grande crescita sia a livello di competenze sia a livello personale. Penso che il motivo principale per cui abbiamo partecipato sia quello di mettersi in gioco, quindi si lo rifarei ancora!

Per me la motivazione principale e stata sicuramente la mia curiosità già presente verso il campo della Cybersecurity.
All'interno dei corsi, ma soprattutto nelle fasi di preparazione e competizione nazionale, ho avuto la possibilità di confrontarmi con persone dai background più vari ma con tante passioni comuni.

Per me l'iniziativa è stata soprattutto una preziosa occasione per espandere la mia conoscenza non solo della sicurezza informatica, ma anche dell'ambiente, sia in termini di competizione, sia per le realtà istituzionali e private che la circondano. Posso dire senza ombra di dubbio che nel totale il programma èl'esperienza extracurricolare più preziosa a cui abbia mai partecipato.

L'aspetto che mi ha spinto a partecipare è stata senza dubbio la voglia di mettermi alla prova e imparare tanti aspetti tecnici della sicurezza informatica in un ambiente dinamico e competitivo. L'esperienza si è configurata in sè come una sfida che ha testato ampiamente le mie abilità tecniche e di lavoro di squadra. Io sono ormai grande per il target d'età dell'iniziativa, ma valutando il mio percorso e quello dei miei compagni durante tutta la Cyber Challenge, penso che per i ragazzi ancora al liceo o all'inizio dell'università sia un'occasione imperdibile per fare un grosso salto a livello di conoscenze e competenze nell'ambito della sicurezza informatica.

Parliamo ora dell'aspetto organizzativo. Come vi siete organizzati? Avevate nominato un leader? Come prendevate le decisioni?

Dal punto di vista organizzativo eravamo divisi principalmente in base a dei ruoli
stabiliti prima della gara grazie anche ai preziosissimi consigli del nostro coach Davide,
quindi non abbiamo individuato un leader tra di noi, abbiamo preso le decisioni comunicando
 e tenendo fede anche a quanto stabilito prima della gara.

All'interno del team di quattro persone, ci siamo divisi i compiti individualmentesecondo le competenze acquisite e la confidenza nell'utilizzo del toolkit prodotto durante la breve fase di preparazione.

In questo modo le decisioni erano presentate, e di conseguenza venivano prese, dalla persona che più aveva la capacita di selezionare la risposta adeguata.

Successivamente alla creazione della squadra abbiamo stabilito dei compiti per organizzare la costruzione di un toolkit che automatizzasse l'invio di attacchi ai servizi nel contesto della gara e che si è rivelato uno strumento di successo. Durante la competizione ci siamo divisi in gruppi di lavoro da due persone che analizzassero i servizi preferiti da ciascuna coppia. Gli attacchi che venivano scritti venivano instradati automaticamente nella rete dal toolkit che è stato implementato.

Qual è stato l'aspetto più difficile della gara? Non parlo solo della fase finale ma di tutta la gara, a partire dall'inizio delle selezioni.

L'aspetto più difficile della gara è forse trovare la forza di volontà per non arrendersi mai, a volte capita di trovarsi di fronte a problemi enormi, sia durante la gara finale che durante le selezioni, dopo ore di tentativi nel risolverli si prova frustrazione ma bisogna continuare a provare sempre, solo così si riescono ad ottenere dei risultati.

Dal mio punto di vista personale, la parte che di gran lunga si è presentata come la più difficile lungo il percorso e stata non tanto quella tecnica individuale, ma la capacità di sfruttare al meglio le abilità individuali dei componenti del gruppo durante la fase finale.
Senza dubbio il campo che ha fatto da determinante lungo la finale nazionale è stata l'esperienza nel format di competizione e nel lavoro di squadra più in generale.

Le università che non avevano una realtà di CTF preesistente (non necessariamente esclusiva del CyberChallenge), avendo meno di un mese per coordinarsi e preparare un toolset appropriato, si trovavano a fronteggiare un deficit di competenza essenzialmente insormontabile.
Nel nostro caso, proprio l'unicità della situazione ha reso l'esperienza particolarmente preziosa per la nostra formazione.

Per me l'aspetto più difficile della gara era sicuramente l'analisi necessaria per comprendere il funzionamento dei programmi e l'individuazione dei vettori di attacco. Spesso, vista la struttura dei servizi, ci si perdeva tra i moduli e si cercava con difficoltà la vulnerabilità nel codice sorgente, quando talvolta essa era molto più facilmente individuabile mediante un'analisi funzionale del programma e del suo comportamento. Una volta trovato il vettore d'attacco, una caratteristica comune a tutte le prove era il fatto che la modalità di exploit non si riconducesse a modalità standard o conosciute, ma era spesso ad hoc per il servizio.

In cosa consisteva la prova finale?

La gara finale consiste in un Attack and Defense in cui le varie squadre hanno tutti la stessa macchina vulnerabile da difendere in cui ci sono contenuti dei flag che sono delle stringhe di testo che se rubate permettono agli avversari di guadagnare punti. Ogni team attacca gli altri sfruttando le vulnerabilità e allo stesso tempo cerca di difendersi dagli attacchi degli altri team correggendo o "patchando" le vulnerabilità della propria macchina.

In pratica ogni team riceve una macchina virtuale identica. Lo scopo della CTF è di analizzare i servizi intenzionalmente vulnerabili presenti sulla macchina, e utilizzare tali informazioni per attaccare le macchine degli avversari e allo stesso tempo proteggersi dagli attacchi altrui.

Ogni team disponeva di un server con gli stessi servizi esposti verso l'esterno. Tali servizi (che potevano essere siti web come anche eseguibili), avevano delle vulnerabilità. La prima fase della gara, quella di difesa, consisteva nel trovare queste vulnerabilità con l'obbiettivo di aggiustarle per rendere il proprio sistema inattaccabile e a sua volta capire come sfruttarle durante la fase di attacco sugli avversari.

Siete stati chiarissimi. Ma ora ditemi: avete pensato a come migliorare le performance per l'anno prossimo? Contate di partecipare nuovamente?Avrete modo, all'Università, di raccontare la vostra esperienza ai più giovani?

Si, al termine della gara abbiamo fatto un resoconto di cosa è andato bene e di cosa invece
si poteva migliorare, questo era forse l'obbiettivo più importante della gara,migliorarsi.
Inoltre questi resoconti ci aiutano a prepararci per altre gare a cui parteciperemo. Pensiamo e speriamo che avremo modo di raccontare l'esperienza ai più giovani, è una cosa molto importante, noi non abbiamo avuto la fortuna di avere qualcuno che avesse già partecipato alle edizioni passate quindi speriamo che la nostra esperienza possa essere di aiuto a chi parteciperà dopo di noi.
Questo era il primo anno un cui l'Università di Cagliari partecipava al CyberChallenge.
Indubbiamente l'esperienza di quest'anno avrà un significato ancora più profondo per chi avrà l'opportunità di cimentarsi nel CyberChallenge dell'anno prossimo.
In seguito agli eventi di quest'anno è stato creato un team con il quale abbiamo intenzione di partecipare a CTF future anche con il supporto di ragazzi, docenti e staff di supporto della competizione appena conclusa.
Per quanto mi riguarda, mi auguro che le nostre esperienze passate e presenti possano fare da trampolino ai futuri partecipanti di iniziative simili a Cagliari.
La nostra squadra è stata la prima a cimentarsi in questa sfida. Il supporto proveniva quindi unicamente dai nostri istruttori. Dopo la Cyber Challenge il gruppo di studenti che ha partecipato al percorso si è consolidato e periodicamente vengono organizzate delle sessioni di allenamento su challenge di vario tipo. Contiamo con questi allenamenti di migliorare la performance per i prossimi anni, fornendo maggiore supporto ai nuovi iscritti e una base di esperienza più forte e salda. Avendo seguito il percorso Cyber Challenge sino alla fine, se ne avrò la possibilità sarò lieto di raccontare la mia esperienza per motivare i futuri partecipanti a impegnarsi in questa esperienza con la stessa passione che ho maturato.

Infine sono curioso di sapere cosa pensate di fare al termine degli studi. Il mondo cyber in Italia necessita di esperti, come contate di procedere per prepararvi al lavoro? La partecipazione alla CyberChallenge.IT vi ha aperto qualche nuova strada?

Sicuramente una parte importante della preparazione al mondo del lavoro è lo studio, senza delle solide basi è difficile crescere in un ambiente lavorativo. Partecipare a CyberChallenge.IT ci ha sicuramente aperto nuove strade per il futuro sia dal punto di vista lavorativo che da quello scolastico.
All'interno del CyberChallenge abbiamo avuto la possibilità di confrontarci, sia localmente che a livello nazionale, con le realtà lavorative e di ricerca più disparate, accomunate dalla domanda per appassionati del settore.

Sicuramente si è trattata di un'esperienza che mi ha aperto gli occhi verso opportunità di cui non ero a conoscenza, permettendomi anche di esplorare opzioni con cui ero già familiare. Tuttavia, per ogni porta che si apre, i criteri di scelta si espandono.
In breve, non ne ho la minima idea.

Se doveste dare un consiglio ad una matricola sul percorso di studi da seguire, cosa gli suggerireste?

Il nostro consiglio per una matricola è quello di sfruttare le occasioni che durante il corso
di studi si possono presentare per cercare di arricchirsi il più possibile, occasioni come
CyberChallenge.IT sono da cogliere subito e permettono di scoprire quale strada è più adatta.

La cybersecurity è un campo non solo estremamente vasto ma richiedente un livello di competenza di base più alto di tante discipline scientifiche nella stessa area di formazione.
Al di là dalla imprescindibile formazione accademica avanzata nel campo dell'Informatica o disciplina affine, chiunque sia interessato a questo percorso di studi deve possedere motivazione costante e proattività nel proprio sviluppo individuale.

Come vedete il futuro dell'Italia riguardo la dimensione cyber? Se doveste dare un suggerimento ai nostri decisori, cosa direste?

Bisogna investire nei giovani e bisogna offrire loro delle possibilità che possano far risaltare le loro capacità fuori dal classico percorso di studi
A mio parere, iniziative come il CyberChallenge hanno un potenziale impatto a lungo termine straordinario sull'occupazione e sulla sicurezza informatica dell'intera nazione. 
Mi auguro di poter assistere a iniziative simili, e al potenziamento di quelle esistenti, anche negli anni a venire.

Complimenti ragazzi, lo spirito è quello giusto per cui un in bocca al lupo a tutta la squadra, ai vostri tutors e a coloro che vi seguiranno. 
Però i complimenti vanno anche agli organizzatori della edizione. Se i ragazzi sono soddisfatti lo devono a chi ha fatto tanti sforzi per mettere in piedi la competizione. Naturalmente non finisce qui per cui vi aspettiamo, l'anno prossimo.
Grazie ragazzi…

(1) Giorgio Giacinto è professore di ingegneria informatica presso l'Università di Cagliari 
(2) Davide Maiorca è ricercatore di ingegneria informatica presso l'Università di Cagliari

http://www.difesaonline.it/evidenza/cyber/cyberchallengeit-sfide-la-cybe...
https://cyberchallenge.it/
https://www.consorzio-cini.it/index.php/it/lab-cyber-security
https://www.unica.it/unica/