Lezioni con il metodo “hands on”, allenamenti e gara finale per mettere in pratica tutti gli insegnamenti in tema di sicurezza informatica senza dimenticare l’etica insieme alle nozioni di tecnica.
Tutti entusiasti i ragazzi partecipanti alla Cyberchallenge nazionale, la seconda edizione del programma di selezione dei migliori talenti informatici nazionali organizzato per il secondo anno consecutivo dal Laboratorio Nazionale di Cybersecurity del CINI. La premiazione delle squadre finaliste si è svolta a Roma presso il museo di Arte Classica della Sapienza di Roma alla presenza del Rettore dell’Università̀ Sapienza, dei vertici del DIS, Dipartimento delle informazioni per la sicurezza della Repubblica e delle aziende sponsor dell’iniziativa.
La selezione
Dalle otto università aderenti al programma, il Politecnico di Milano, il Politecnico di Torino, la Sapienza Università di Roma, l’Università Statale di Milano, l’Università di Genova, l’Università di Napoli Parthenope, l’Università di Padova, l’Università Ca’ Foscari Venezia, sono stati selezionati 20 studenti su circa 1900 giovani iscritti alla cybershallenge. Il risultato della selezione ha permesso a 160 “cyberdefender” di formare 8 team partecipanti che dopo un periodo di training e formazione si sono affrontati in una gara di tipo “Capture The Flag Attacco/Difesa“(CTF A/D) sotto la guida del coach Marco Squarcina. I più bravi saranno successivamente convocati per la Nazionale Italiana di Cyberdefender nella prossima edizione della European Cybersecurity Challenge che si svolgerà a Londra con il patrocinio del Ministero dello Sviluppo Economico. Nei campionati europei che l’anno scorso sono stati ospitati a Malaga, in Spagna, la squadra italiana si è aggiudicata un lusinghiero terzo posto.
L’importanza dell’hacking etico
Gli insegnamenti e le lezioni, ma anche gli allenamenti a cui hanno partecipato i ragazzi hanno toccato i temi specifici della sicurezza informatica per garantire una preparazione tecnica, ma insieme a queste importanti skill e competenze sono stati trasmessi valori etici di approccio alla materia e in questo senso è molto importante la precisazione sul termine “hacker” fatta da Arturo di Corinto, che, in veste di presentatore ha introdotto Fabio Pietrosanti, hacker etico e cyberdefender professionista. Troppo spesso infatti l’accezione hacker viene enfatizzata come negativa e coniugata ad un attaccante malevolo. Invece questo termine indica una figura che principalmente studia e approfondisce i sistemi informatici per passione della conoscenza e contrariamente a quanto si pensi, per supportare una difesa efficace. Naturalmente come ha ricordato proprio Fabio “Naif” ci saranno sempre persone che inducono in tentazione l’hacker con richieste illecite o apparentemente giustificabili secondo interpretazioni di parte, ma l’etica è la vera linea di confine con cui ci si deve distinguere, il punto di delimitazione del proprio operato, poiché se oggi l’hacker non è più il nerd chiuso in camera, ma una figura smart a cui chiedere consiglio e indirizzo considerando che siamo nella società dell’informazione, ci si deve anche ricordare che questo “potere della conoscenza” porta una certa responsabilità (citando il famoso eroe della Marvel n.d.r.).
Questo bilanciamento continuo deve applicarsi tanto nel day by day in relazione alla scoperta di vulnerabilità del codice, quanto anche alle complessità della ns società, in cui non è sempre lapalissiano e chiaro distinguere buoni e cattivi ed è proprio qui che l’etica deve intervenire guidando come priorità di ogni scelta, anche quando sembra che la richiesta sia lecita sebbene eticamente discutibile. Infine è stata ricordata l’importanza della condivisione, dell’infosharing tecnico unitamente alla cultura stessa dell’hacking che avviene in tanti eventi internazionali ed anche italiani no profit che rappresentano oggigiorno dei veri e propri momenti di ritrovo della community: l’hackmeeting di Genova (svolto dal 6 all’8 luglio), l’Italian Hacker Camp di Padova (Agosto), il RomHack che in prima edizione si svolgerà a settembre ospitato nella sede della Link campus e HackInBo che si svolge due volte l’anno.
Roberto Baldoni vice Direttore del Dipartimento delle informazioni per la sicurezza della Repubblica (DIS), interrogato su quanto sia importante instradare le nuove generazioni su hacking etico per la difesa, ha dichiarato che è cruciale diffondere la cultura della sicurezza di cui l’hacking etico è una componente fondamentale esattamente come in un parallelo con la formula uno, tutti hanno bisogno della patente per guidare, ma poi serve il pilota di F1; infatti, nella sicurezza informatica serve lo specialista che prima degli altri e in presenza di attacchi sia in grado di istruire contromisure di difesa rapidamente, per salvaguardare i nostri patrimoni informativi, dove è codificato il know how nazionale. Quindi è necessario un approccio di diffusione della cultura a tutti i livelli. Molto importante è anche valutare l’adozione di strumenti di AI per la difesa degli asset nazionali; big data e AI infatti, stanno cambiando l’impostazione geopolitica internazionale purtroppo anche dal punto di vista della minaccia, ma noi guardiamo all’AI con attenzione per il supporto attivo alla difesa.
Le tre squadre finaliste raccontate dai rispettivi capitani
Per far comprendere le difficoltà ed anche il significato della sfida di una competizione CTF A/D (Capture The Flag Attacco Difesa), i tre capitani sono stati invitati a raccontare la loro esperienza e a descriverne gli elementi peculiari:
Nicolò Mazzucato ha presenta la squadra della CA’ Foscari, terza classificata, descrivendo come per affrontare il problema di doversi difendere efficacemente, il loro approccio fosse stato basato su un tool creato in due settimane, ovvero dalla “mattina alla mattina”, che ha permesso loro in modo decisivo di accorgersi degli attacchi su circa 45GB di traffico, per poi analizzarli, evidenziarne vulnerabilità, esportare gli attacchi e modificarli efficacemente.
Giovanni Schiavon presentando il team del Politecnico di Milano, secondo classificato, ha enfatizzato l’interesse per la sfida, per la competizione e per guadagnarsi il merito insieme alla necessità di conoscere persone e condividere e la conoscenza, e rendersi conto delle competenze da acquisire in termini di team. Durante la sfida il fattore tempo è stato cruciale per non perdere punti e per mantenersi efficaci nell’azione di difesa.
Andrea Biondo per l’Università di Padova, prima classificata, ha spiegato come non tutti fossero alla prima esperienza ma come tutti abbiano visto nella cyberchallenge una opportunità importante. L’attacco, l difesa e la disponibilità erano gli elementi per il punteggio e il team si è impegnato molto nella preparazione senza improvvisare. La loro azione di difesa è stata basata su un tool denominato “cocktail bar” finalizzato all’orchestrazione di attacco e difesa e costituito da una serie di dashboard che informavano della situazione generale dell’ambiente di “gioco”. Organizzandosi in ruoli specifici in anticipo e organizzando la difesa basata sul rischio per la prioritizzazione degli interventi, hanno studiato gli avversari e riapplicato alcune di quelle stesse tecniche per vincere.
Conosciamo i finalisti
Abbiamo voluto conoscere meglio i tre capitani delle tre squadre finaliste rivolgendo loro qualche domanda.
Che tipo di feedback o elementi di interesse avete tratto da questa esperienza?
Giovanni risponde per primo indicando come preferenza la modalità esercitativa “hands on” per mettere in pratica, per misurarsi e per implementare quanto imparato perché gli insegnamenti maggiori si traggono dall’esperienza. Ha apprezzato questo studio non asettico ma basato sulla pratica per migliorare rapidamente. Anche Andrea si dichiara d’accordo: nella cybersecurity la pratica è fondamentale.
Nicolò sottolinea in aggiunta come la partecipazione al programma gli abbia fornito una maggiore consapevolezza sulle falle di sicurezza del codice e sulle problematiche e rischi in agguato. E con grande umiltà’ sente di avere ancora molto da imparare su questa materia.
Un ulteriore elemento di difficoltà che i tre team hanno dovuto affrontare è stato quello di mantenersi flessibili nei ruoli, bilanciando le capacità e le competenze di ciascuno rispetto al singolo percorso scolastico dove la security ancora non c’è (ricordiamo che alcuni partecipanti vengono dalle scuole avendo 16 anni n.d.r.) e forse è anche per questo che molti giovani si avvicinano.
Cosa pensate di fare dopo questa esperienza?
Giovanni all’ultimo anno della triennale, pensa al mondo del lavoro.
Nicolò, 20 anni ingegneria informatica poiché’ già lavora in ambito ICT ha già utilizzato questo percorso formativo correggere i propri bug ma bug e per il futuro pensa di valutare le diverse opportunità che potrebbe avere ma sempre tenendo presente le caratteristiche di security applicate a diversi domini tecnologici in cui potrebbe trovarsi a lavorare.
Andrea al terzo anno della triennale è orientato alla ricerca come dottorando a Padova e punta alla specializzazione in security.
Come si è inserita la cyberchallenge nella vostra vita personale in termini di priorità rispetto ai vostri interessi e hobby di ragazzi giovani?
Nicolò ammette che in passato aveva sottovalutato il tema e le persone che vi si dedicavano, e quando si è trovato a dover affrontare i problemi tecnici di security ha mantenuto tutto in parallelo tagliando dolo il sonno, data la grande passione che ha mosso tutto.
Giovanni era già appassionato di questi temi tanto da passare alcuni dei suoi weekend nei CTF dedicando una fetta del tempo a queste cose oltre agli studi, quindi la cyberchallenge ha sostituito il tempo già dedicato alla sicurezza e il resto della sua vita privata non ne ha risentito.
Per Andrea, come per Giovanni la security era già una passione a cui dedicare tempo ed aveva già imparato a gestirla come un hobby mantenendo gli spazi della vita sociale, quindi la cyberchallenge non ha modificato nulla, a parte il necessario e specifico impegno in occasione della finale.
Infine, una domanda al coach dei ragazzi, Marco Squarcina, ricercatore alla Ca’ Foscari di Venezia: Quale è la difficoltà più grande nel ruolo di allenatore di skill e competenze digitali anche se i ragazzi sono valenti e talentuosi?
MS: il problema che riscontro più frequentemente nei ragazzi è la verticalizzazione sull’aspetto tecnico che spesso va a discapito della capacità di rielaborazione ed astrazione. Ad un’adeguata formazione tecnica, ritengo fondamentale affiancare esperienze che permettano di sviluppare le cosiddette soft skills. Coinvolgere gli studenti nella didattica, per esempio, consente loro di rianalizzare il problema per poterlo spiegare in modo appropriato, astraendo dalla tecnica specifica, per trasferire efficacemente la propria conoscenza ai compagni.