Dalla medaglia d’argento dell’Eurochallenge, al day-by-day dedicato alle passioni (informatiche), dalle challenge (CTF), ai progetti personali dei Cyberdefender della Squadra Nazionale Team Italy. Intervista al capitano Andrea Biondo
Nel corso dell’ultima edizione della European Cybersecurity Challenge che si è svolta dal 9 all’11 ottobre a Bucarest, la Nazionale Italiana di Cyberdefender, ha conquistato la medaglia d’argento. Alla gara, promossa dalla Commissione Europea e dall’Agenzia europea per la sicurezza delle reti dell’informazione (Enisa), hanno partecipato venti squadre provenienti da tutta Europa, composte dai maggiori giovani talenti della sicurezza informatica provenienti da altrettanti Paesi.
Ciascun Team formato dai migliori hacker etici di ogni singolo Paese, ha dovuto dare prova delle proprie capacità difensive e offensive nell’ambito dei sistemi informatici. Prima della Euro-Challenge il Team italiano si era allenato in ritiro per una settimana presso la Scuola IMT Alti Studi di Lucca, per rafforzare le proprie competenze e strategie. La formazione e addestramento è stata a cura del Consorzio Interuniversitario Nazionale per l’Informatica (CINI), da anni impegnato nell’organizzazione della CyberChallenge.it e investito di questo ruolo direttamente dal Nucleo nazionale per la Sicurezza Cibernetica. Le attività della Cyberchallenge sono allineate alle strategie nazionali sulla sicurezza informatica, che promuovono le competenze cibernetiche come patrimonio per il sistema Paese auspicando la partecipazione di giovani esperti in un percorso formativo d’eccellenza, unico in Europa, con la prospettiva di una migliore capacità difensiva per aziende e istituzioni.
Per conoscere meglio i ragazzi della Nazionale Cyber abbiamo intervistato Andrea Biondo, il Capitano del Team Italy, che attualmente studia Informatica presso l’Università di Padova.
Qual è l’ultima gara a cui avete partecipato?
Siamo stati ad Abu Dhabi partecipando come team mHACKeroni (un superteam italiano formato da altri 5 team italiani che si sono riuniti come forze e competenze per competere al annualmente DEF CON di Las Vegas n.d.r.), ma di fatto c’erano 5 elementi del team Italy di quest’anno ed uno della passata edizione: Andrea Biondo, Riccardo Bonafede, Matteo Chen, Dario Petrillo e Leonardo Nodari. Abbiamo partecipato su invito al Pro CTF (Capture The Flag n.d.r.) svolto nell’ambito della conferenza “Hack in the Box” con altri 20 team da tutto il mondo selezionati e invitati perché risultati vincenti in altre competizioni a livello mondiale. In palio un montepremi da 100 mila dollari divisi in tre premi da 50, 30 e 20 mila dollari per i primi tre classificati. Noi ci siamo piazzati al terzo posto cosi’ ci siamo finanziati la partecipazione al DEF CON di Las Vegas per il prossimo anno. Primi e secondo sono arrivati due i team russi. La challenge era di tipo Attacck/Defence classica in cui tutti attaccano tutti. Ad ogni team viene data una macchina su cui fare tutto quello che si vuole per difenderla e “armarla” in un lasso temporale di tre giorni per 8 ore al giorno; ma di fatto molti servizi e applicazioni restano attive e quindi la notte si lavora per avere materiale nuovo per il giorno dopo. In pratica si tratta di competere due giorni e mezzo effettivi di fila dormendo circa 3 ore a notte. Però siamo tutti abbastanza gasati dall’adrenalina da competizione e quindi ci si organizza per dormire a turno. Certo fa eccezione la competizione a Las Vegas dove arriviamo in 40 e con i turni riusciamo a dormire più ore, in generale rispettiamo i ritmi di tutti.
Ci racconti invece l’impresa del secondo posto alla Cyberchallenge Europea?
Ci sono vari fattori che hanno contribuito alla nostra impresa: con Team Italy abbiamo fatto un po’ di “attività di intelligence” ancora prima del ritiro a Lucca perché gli autori delle challenge proposte in Europa erano gli stessi di altre challenge internazionali ed abbiamo studiato il loro “stile”. Inoltre, dallo scorso anno sapevamo come funzionavano le cose alla Eurochallenge e infine quest’anno la competizione era più simile a quelle internazionali a cui siamo abituati. In particolare, c’era meno attività forense ma comunque ci eravamo allenati a Lucca, quindi abbiamo eseguito meglio le sfide in quest’ambito. In generale erano presenti molte challenge con assegnazione dinamica del punteggio, che variava e si aggiustava durante la competizione rispecchiando la difficoltà reale delle diverse sfide. Ne avevamo diciassette al giorno, ed abbiamo partecipato con un team da 10 elementi. La squadra è ben affiatata e insieme lavoriamo bene anche perché a Lucca abbiamo lavorato anche per consolidare la squadra. Di fatto abbiamo potuto competere con metà squadra di senior e metà di junior.
Qual era la difficoltà maggiore quest’anno?
Il “guessing” correlato ad alcune challenge. Mi spiego: una sfida progettata e scritta in modo corretto, non dovrebbe lasciare spazio a interpretazioni. La componente di guessing è quella che comporta di dover indovinare alcuni elementi della challenge e questa indecisione che richiede interpretazione può portare via molto tempo e molte persone. Il punteggio è inizialmente uguale per tutti e viene diminuito in base ai team che riuscivano a risolverla. Quindi quanto maggiormente sono complicate le sfide, minore è il numero di team che la risolvono e di conseguenza maggiore diventa il punteggio finale. Il che determina spostamenti dei team in classifica.
Com’è composto il team in termini di ruoli, caratteristiche specifiche?
Siamo in dieci di cui sei più esperti e quattro junior. Avevamo specialisti per binary exploitation (PWN), reversing, crypto, web, forensics, miscellaneous, hardware (hackerare sistemi fisici n.d.r.). In generale per ogni challenge si attiva lo specialista e gli altri danno una mano, ma in pratica tutti si adattano a fare tutto.
Parlando del team mHACKeroni come selezionate le challenge o i CTF a cui partecipare come ad esempio al CTF di RomHAck?
Sia al RomHack che alla CTF ad AbuDhabi siamo stati invitati. In generale, per capire se partecipare ci informiamo sugli eventi e sulla loro qualità anche per decidere se concorrere come team singoli o come team mHACKeroni. Inoltre, scegliamo eventi che ci permettano di finanziarci per la partecipazione al DEF CON, altrimenti solitamente, si va come team singoli. Chi organizza i CTF se invita, si presta anche al rimborso dei team partecipanti per l’intero soggiorno, mentre l’organizzazione logistica varia da evento ad evento. Tipicamente si concorre giocando in loco, ma è previsto anche il modo remoto. In pratica esiste un sala dove si svolge la competizione e a volte si possono usare giocatori remoti. Sono presenti anche giudici che dovrebbero verificare come si affrontano le challenge e controllare cose non ammesse, ma poi nessuno gira a vedere cosa si fa per lasciare massimo spazio alla creatività e quindi allo spettacolo che ne deriva.
Cosa avete in programma per il futuro del team Italy?
Come team mHACKeroni puntiamo al DEF CON almeno per qualificarci. Invece il Team Italy si riunirà per l’edizione della Cyberchallenge del prossimo anno e forse noi “vecchi” potremmo ri-participare…
Com’è invece il day by day del team italy ?
Spesso ci sentiamo e a volte ci vediamo. Se decidiamo di partecipare alle CTF, ci vediamo anche per le competizioni come nel caso della European Cyber Security Challenge (ECSC), altrimenti giochiamo con CTF nazionali o internazionali a gruppi singoli. Tutti studiano, ma intanto fanno consulenza, e in effetti nessuno ha una occupazione fissa.
Cosa piacerebbe fare entro un anno lavorativamente parlando?
Io fra un anno finisco la magistrale, poi penso ad un dottorato. Un po’ tutti sono orientati ad un lavoro in ambito Security, come le attività di auditing tecnica o legato all’innovazione e quasi tutti vorrebbero “spingere sulla frontiera” (lavorare nel perimetro della sicurezza informatica per la scoperta di 0-day o di minacce di nuova generazione n.d.r.). Purtroppo, troppo spesso questo tipo di lavori si trovano all’estero e non in Italia.
Avete incontrato ragazze nei vari team e che tipo di pregiudizio può impedire alle ragazze di abbracciare questa disciplina?
Stiamo cercando di capirlo anche noi, e scherzi a parte ce lo domandano tutti. Il problema è a monte: se ci sono poche ragazze in generale nelle materie scientifiche, e ancora di meno nel mondo informatico e della Security, cosí quando si selezionano i migliori elementi per filtrare i partecipanti ai team, non si trova praticamente nessuna ragazza. Anche alla cyberchallenge nazionale qualche ragazza in più c’è ma poi alle selezioni nell’hacking in generale la competizione è massima. Su questo tema abbiamo discusso tanto anche nei meeting di cyberchallenge, ma non abbiamo trovato una soluzione per ora. A tutti noi alla fine piace mettersi alla prova, è stimolante e ci divertiamo a farlo. Speriamo che anche le ragazze possano condividere questa passione.