HackInBo: l’evento, seguito dal LAB e la competizione Capture The Flag

Lessons learned e “Code of practice” di security per una vera “igiene Cyber” e per condividere le modalità di operare, programmare, analizzare, gestire o garantire la sicurezza di programmi e sistemi, senza vendor, senza marketing e senza vacua teoria. Il tutto in una atmosfera informale finalizzata alla “sostanza” dei messaggi da recepire, alle pratiche da imparare, alle minacce da cui difendersi e gli errori da evitare. È questo il format di HackInBo, fortemente voluto e realizzato da Mario Anglani e dalla sua passione per la sicurezza informatica.

L’evento a FICO

L’evento di Primavera che quest’anno si è svolto l’ultimo weekend di Maggio, nella nuova location di FICO Eataly World (Fabbrica Italiana Contadina), si compone dell’evento vero e proprio di condivisione e formazione, seguito la domenica, dalle esercitazioni pratiche del LAB a cui si accede mediante una selezione svolta in uno dei weekend precedenti e basata su una competizione di Capture The Flag, curata per il secondo anno da Carlo Pelliccioni e Francesco Mormile di Hacktive Security a cui abbiamo rivolto alcune domande di approfondimento.

L’evento

L’avvicendarsi dei vari talk ha permesso di spaziare fra temi di security testing, forensic, malware analysis, drone security, detection, reverse engineering con la chiusura dedicata alla Software Vulnerability Disclosure, l’esigenza tutta europea di definire una serie di raccomandazioni di policy per rendere operativo un processo di Coordinated Vulnerability Disclosure (CVD).

Claudio Criscione nel suo talk “Security @hyperscale” ha portato la sua esperienza in Google, in relazione al cambiamento di mindset della security, necessario all’adattamento in un contesto diverso dal punto di vista tecnico, caratterizzato da un problema di “scala”. Google ha dimensioni monumentali di codice, progetti, release, su cui è necessario garantire la sicurezza con un approccio facilmente “scalabile’.

La soluzione proposta non risiede nell scoperta e individuazione di bug mediante un tool (bug discovery e detection n.d.r.), ma nell’approccio preventivo, che richiede di trasferire la caratteristica di sicurezza fino alla sua granularità essenziale: il dato. Il meccanismo di tipizzazione sicuro, (tipo “safe”) ha portato alla formazione di API nativamente robuste e ad una efficacia comprovata dal fatto che oggi sono solo cinque gli ingegneri che controllano tutto il codice prodotto da Google. Quindi hardening e prevenzione mediante un cambiamento di approccio alla produzione di codice sorgente, per eliminare alla radice la possibilità di creare bug, automatizzando tutto il possibile facilitando i team di controllo, che non ha caratteristiche di scalabilita’ come una soluzione software.

L’intervento seguente, di Andrey Malishev, ha permesso di comprendere le caratteristiche di gestione dei dati in cloud, dalle modalità di sincronizzazione, a quelle di protezione nell’equilibrio verso l’usabilità utente, per evidenziare le possibili alternative di estrazione dei dati necessarie ad una analisi forense.

Il bancomat hackerato e la drone security

Focalizzato sui malware bancari, il talk di Antonio Parata, che ha introdotto la tecnica del ATM jackspotting mediante il malware Plotus.D capace di far emettere banconote da un ATM in modo fraudolento. Il malware è stato mostrato e illustrato in modo comprensibile ma con dettagli tecnici, sulle sue protezioni e sul suo funzionamento perché solo comprendendone il comportamento fin nei minimi dettagli è possibile istruire opportune azioni di contrasto e implementare contromisure di difesa.

La drone security è stata invece il fulcro tematico di Paolo Stagno che ne ha raccontato architettura e vulnerabilità spiegando, sia come effettuare una appropriata remediation, sia le ultime contromisure implementate sul modello descritto, il DJI Phantom 3, per hardenizzarlo (termine tecnico informatico teso a minimizzare l’impatto di possibili attacchi informatici migliorando la sicurezza complessiva n.d.r.). È stato mostrato l’attacco GPS al drone e almeno tre modalità di detection del segnale fake del GPS. Infine, è stato trattato il tema della forensics applicata al drone per le eventuali e necessarie analisi e raccolta dei dati da usare come evidenze di un illecito.

Irena Damsky ha invece raccontato le modalità di detection del phishing da Passive Dns. Partendo dalle iniziali definizioni di phishing, Dns e pDns, passando per  i “sintomi del phishing” proprio come se si trattasse di una malattia anomala e arrivando allo schema di scoring delle potenziali istanze di phishing individuate indicando anche la gestione dei falsi positivi.

Il reverse engineering e il debugging come passione e divertimento di Giovanni Rocca e della sua crew, attraverso il racconto di come queste pratiche possano essere applicate mediante approcci corretti e una opportuna dedizione. Applicate all’ambito dei giochi su mobile, il revese engineering permette al gruppo di ottenere un client in grado di accedere e servire dati.

In chiusura Gianluca Varisco del team per la trasformazione Digitale della PCM (Presidenza del Consiglio dei Ministri) che è intervenuto sul tema della Responsible Disclosure tradotta come la politica della divulgazione coordinata, ovvero la modalità di riportare le vulnerabilità per ogni livello di harware e software, garantendo a ricevente e segnalante appropriate tutele: il ricevente ha il tempo di implementare le patch, il segnalante non si vede perseguito come se avesse favorito azioni criminose con la sua scoperta. Il lavoro della taskforce dopo aver parlato con ognuno dei 28 stati membri, ha reso evidente il gap esistente su questo argomento e i temi da indirizzare per risolverlo.

Anche in questa occasione è stato sottolineato il supporto all’associazione “non basta un sorriso” onlus che si concretizza nella donazione volontaria dei partecipanti, e che quest’anno andrà a sostenere il progetto di costruzione di un pronto soccorso, dal terreno da spianare, alla muratura, dalle dotazioni infrastrutturali a quelle mediche, in una regione, quella del Congo, dove tutto è a pagamento, perfino i guanti in lattice del medico.

La selezione del Capture The Flag (CTF)

Abbiamo intervistato Francesco Mormile e Carlo Pelliccioni per comprendere meglio che cosa sia un Capture The Flag e quali siano le maggiori difficoltà organizzative e di controllo durante l’esercitazione.

In cosa consiste un CTF e cosa è richiesto ai partecipanti?

Un Capture The Flag è una competizione pensata per mettere alla prova le capacità tecnico-pratiche in ambito IT security attraverso la risoluzione di un numero variabile di prove (challenge). Queste possono richiedere elevate competenze in diverse aree del settore (binary exploitation, reverse engineering, cryptography, web e mobile security). Ai partecipanti viene richiesto di risolvere il maggior numero di challenge per acquisire punti che consentiranno un piazzamento nella classifica finale.

Perchè si organizza su più giorni e mediamente i partecipanti in quanto tempo riescono a raggiungere l’obiettivo?

La complessità di una competizione di questo tipo è a completa discrezione degli organizzatori e in alcuni casi la risoluzione delle challenge può richiedere molto tempo. Generalmente i team che si cimentano regolarmente in CTF tendono a essere composti da persone con competenze eterogenee in modo da poter essere competitivi nelle diverse tipologie di challenge. Il Capture the Flag organizzato per HackInBo (questa è la nostra seconda edizione in termini di collaborazione all’evento) consiste in una riproduzione di un’infrastruttura di rete, composta da sette server contenenti vulnerabilità di software noti e non. Premesso che in questa edizione non tutte le flag sono state individuate entro il limite di tempo massimo, abbiamo potuto osservare chi generalmente si cimenta in questo tipo di competizioni, inserire le prime flag già a distanza di poche ore dall’inizio dell’evento mantenendo una costanza nella risoluzione delle successive. I risultati di chi regolarmente misura le proprie competenze in eventi simili evidenziano l’importanza della gamification come mezzo di apprendimento e come una costante formazione pratica possa giocare un ruolo chiave nella formazione di nuovi talenti in un settore che troppo spesso abbiamo percepito in deficit di professionalità altamente qualificate.

Che difficoltà avevate inserito in questa occasione?

Il Capture The Flag di quest’anno, sviluppato per selezionare i 36 partecipanti all’evento di “HackInBo Spring Edition 2018 – Lab”, è stato realizzato con una difficoltà crescente, in modo da consentire nelle prime fasi, una maggiore partecipazione, soprattutto da parte di chi generalmente non è solito cimentarsi in questo tipo di competizioni. I numeri di questa edizione parlano di 166 iscritti, di cui solo 58 in grado di risolvere almeno una delle challenge e 221 flag individuate nei due giorni a disposizione.

Per gli organizzatori oltre alla preparazione dello scenario, che tipo di impegno è richiesto durante la competizione? Cosa dovete verificare e controllare?

La preparazione di un Capture The Flag in questa modalità richiede tempo per l’ideazione e l’implementazione dell’infrastruttura, dei servizi vulnerabili e per la gestione dei sistemi durante l’intera durata dell’evento. Il team di Hacktive Security si è alternato nell’arco delle 48 ore per garantire l’operatività dell’infrastruttura. Non sono rari i tentativi di manomissione delle componenti del CTF, che per natura stessa della competizione, sono state pensate per essere vulnerabili, pertanto è stato spesso necessario ripristinare parti dell’infrastruttura realizzata per l’evento. Dopotutto, fa parte del gioco.