Giovanni Mellini responsabile della sicurezza delle informazioni e delle reti in ENAV e presidente di Cyber Saiyan ci racconta perchè è nata l’associazione
Imparare da ricercatori ed esperti tecniche, strumenti e modalità di attacco per aumentare skill e competenze sulla difesa ma anche per esercitarsi durante le challenges di una CTF ed ampliare le capacità e la prontezza di intervento in situazioni critiche.
Cyber Saiyan
Tutto questo è parte degli obiettivi che si prefigge l’associazione di sicurezza Cyber Saiyan che nasce con lo scopo di promuovere iniziative sociali volte a divulgare cyber security ed ethical hacking. I quattro soci fondatori di Cyber Saiyan rispettivamente Giovanni Mellini Presidente, Federico Scalco Vice Presidente, Alberto Caponi Segretario e Davide Pala il Tesoriere, fra le iniziative periodiche come i meeting di incontro per la formazione e la pianificazione organizzativa con la community, progettano, preparano e allestiscono da due anni l’evento Romhack, una giornata interamente dedicata alla presentazione di talk molto tecnici da parte di esperti nazionali e internazionali della community di sicurezza informatica, capaci di trasmettere agli astanti dettagli implementativi, tecniche e strumenti per l’attacco e per la difesa secondo le tecnologie open source e gli strumenti utilizzabili liberamente, in cui la differenza la fa la configurazione o la tecnica di utilizzo in ambito operativo. Indipendentemente dal fatto che si trattino anche tecniche di puro attacco è implicito come in queste sessioni, si impari anche la difesa, soprattutto quella preventiva mediante analisi delle vulnerabilità e loro successiva chiusura a livello software o si apprenda la verifica delle configurazioni hardware per effettuare azioni di hardening fisico delle infrastrutture.
Parliamo delle finalità formative dell’associazione e della esigenza di innalzare la conoscenza delle tecniche di attacco difesa con Giovanni Mellini responsabile della sicurezza delle informazioni e delle reti in ENAV e presidente della associazione Cyber Saiyan.
Che cos’è l’associazione Cyber Sayan?
È una associazione creata lo scorso anno per divulgare prassi di sicurezza informatica ed hacking etico, mediante l’organizzazione di iniziative sociali. Oggi siamo circa 40 soci ma la community è presente su internet e telegram con circa 600 persone. La presenza è partecipata online ma l’associazione rappresenta un punto di aggregazione per tutta l’Italia. A parte le occasioni periodiche di incontro per organizzazione interna, ci dedichiamo a sessioni di formazione utilizzando l’orario dell’aperitivo serale, i cosiddetti “Aperitech” e poi organizziamo una volta l’anno il Romhack.
Come mai anche quest’anno il focus tematico di Romhack2019 è stato sull’attacco/Difesa come per la scorsa edizione?
Secondo noi è ancora necessario concentrarsi sugli scenari di attacco/difesa, ma abbiamo lasciato più spazio alle proposte dei relatori estendendo i talk a tematiche anche di ricerca come il talk di Luca Massarelli (SAFE: Self Attentive Function Embedding for Binary Similarity)dedicato a comprendere come usare l’intelligenza Artificiale per aumentare la security. Partito da un approccio di ricerca si è rivelato un prodotto per i task di Vulnerability Detection, Library Function Identification e Malware Hunting. Lo stesso si può dire anche per il talk dei ragazzi di Taiwan Orange Tsai & Meh Chang che hanno presentato un talk sul tema della VPN: “Infiltrating Corporate Intranet Like NSA Pre-auth RCE on Leading SSL VPNs”. Il tema attacco/difesa voleva essere il filo conduttore dell’evento. Questo significa che ogni volta uno speaker presenta tecniche di attacco gli viene chiesto di fornire osservazioni e suggerimenti sulle capacità e mezzi per la difesa e viceversa chi interviene sul tema della difesa deve apportare qualche osservazione sull’attacco, perché necessario dare una vista su entrambe i fronti. Nell’ultima edizione di Romhack abbiamo avuto quattro talk focalizzati sull’ attacco e due sulla difesa suddivisi fra mattina e pomeriggio con la scelta di trattare i temi più “impegnativi” la mattina a “mente fresca” ed i più’“leggeri” il pomeriggio
Quante proposte di talk avete ricevuto e come avete scelto i talk per l’evento?
Ne abbiamo ricevute 53 di cui circa 39 straniere e 14 italiane. L’idea era di dare all’evento una caratura internazionale. Per questo motivo abbiamo fatto scelte precise per pubblicizzare la call for paper nei tre mesi antecedenti alla giornata di approfondimento. L’approccio è stato completamente “community based”, ossia, tutti hanno avuto la possibilità’ di essere selezionati perché hanno potuto sottomettere la loro proposta nei tempi e modi corretti su siti stranieri da noi selezionati. Si tratta di siti dove solitamente si possono pubblicare call for paper o piattaforme di pubblicazione delle CTF, o di divulgazione di eventi con l’evidenza dei criteri e delle modalità di selezione. Questo meccanismo ha fatto in modo che il 100% dei talk presentati sia arrivato ad una commissione specializzata di selezione che secondo i criteri di pertinenza e aderenza al tema dell’evento, novità argomento presentato, componente pratica durante la presentazione (presenza della demo), giudizio generale e impressione del relatore, ha valutato con un voto singolo e ha successivamente ridiscusso la classifica ottenuta fra i responsabili della commissione. Molti esperti anche famosi non erano abbastanza in linea alla line-up del filo conduttore. A chi è stato scartato sono stati inviati ringraziamenti specificando i motivi delle scelte effettuate, nella più completa trasparenza.
Quante presenze avete avuto e che tipo di partecipanti avete in mente?
Quest’anno ci sono state circa 400 persone e se pensiamo che lo scorso anno avevamo circa 230 persone possiamo dire di aver praticamente raddoppiato le presenze. Ma non guardiamo troppo ai numeri. Infatti, solitamente a fine novembre si fa il debriefing dell’evento e si pianifica la modalità più appropriata per coinvolgere partecipanti che siano però qualitativamente interessanti e con una presenza pressoché certa: parliamo di addetti ai lavori, tecnici, operativi dei SOC, dei CERT, ricercatori, certamente anche appassionati e professionisti che siano interessati ad imparare. Ovviamente vorremmo coinvolgere più persone possibili nell’ottica di un aumento della cultura della sicurezza, ma dobbiamo anche fare i conti con il taglio “tecnico” e approfondito che abbiamo deciso.
Per il Capture the Flag (CTF) successivo ai talk, come sono stati selezionati i partecipanti?
Ancora una volta abbiamo scelto di effettuare una “call for team” aperta a inizio giugno registrando 16 team per un totale di circa 80 persone. Sebbene due team per motivi di forza maggiore abbiano dovuto disattendere la CTF, proprio durante la competition, altri due team si sono formati ed hanno giocato 15 challenges sulla piattaforma CTF di Hack The Box. Hanno vinto TRX17 con i Donkeys in seconda posizione e JBZ in terza. Nella pagina dedicata alla CTF si trova la classifica completa. È interessante notare che in questi team è forte la presenza di ragazzi del team Mhackeroni un gruppo di oltre 40 ragazzi italiani, che si sono distinti in competizioni CTF anche internazionali la più famosa delle quali il DEF CON dove hanno chiuso con la 7ma posizione.
Come si svolge la simulazione del CTF?
È stata usata una piattaforma di Hack the box dove sono state sviluppate le diverse challgence di livello medio alto, corredate dalla assegnazione di punteggi. Le challenge sono state scelte di tipo misto fra tutte le tipologie di CTF solitamente giocate (tipologie: Fullpwn, Web, Pwn, Reversing, Crypto, Forensic n.d.r.) per dare modo a tutti di giocare e coinvolgere un numero sempre maggiore di team.
Cosa si propone l’associazione per il futuro?
Dobbiamo deciderlo tutti insieme nella prossima riunione prevista a Novembre durante la quale effettueremo il debriefing dell’anno trascorso e ci daremo i nuovi obiettivi per il prossimo anno.