Intervista ai vincitori Torninesi del Cyber Readiness Challenge di Symantec

Cyber Readiness Challenge - Politecnico di Torino

Con l’intento di diffondere l’interesse nell’IT Security nel nostro paese abbiamo contatto i ragazzi vincitori della seconda tappa del Cyber Readiness Challenge di Symantec tenutasi ai Torino. La seconda gara svolta nel Politecnico di Torino lo scorso 19 Marzo 2013 ha visto partecipi oltre trenta ragazzi, tra i quali abbiamo avuto il piacere di intervistare Raffale Forte, Enrico Cinquini, Emilio Pinna, Andrea Sanna e Paolo Doz.

Emilio, Andrea e Paolo appartenevano al Team Abinsula ed hanno ottenuto il primo posto della competizione raggiungendo il terzo livello con 13600 punti. Inoltre più volte avrete sentito parlare di Raffaele ed Emilio sul nostro blog per il loro grande sostegno alla distribuzione BackBox Linux.

Il Cyber Readiness Challenge è un’occasione di approfondimento e formazione o una vera e propria competizione in modalità capture-the flag dove premiare i migliori performer.

Come si è svolta la gara e quante prove avete affrontato?

Raffaele: La competizione si è svolta al Politecnico di Torino, nell’aula eravamo circa una 40ina di persone tra studenti ed aziende. Dopo una breve presentazione, siamo passati a configurare i nostri PC per accedere alla VPN. La competizione è durata circa 4 ore durante le quali bisognava superare vari livelli per guadagnare punti. La modalità di gioco era identica a quella di Milano, quindi vari livelli di gioco per un massimo di 40 flags.

Enrico: Mmh devo stare attento a cosa dico, le regole del Challenge erano molto ferree sulla divulgazione dei contenuti! Comunque era una simulazione piuttosto realistica di uno scenario di Cyberwar… organizzato su livelli, dove ad ogni prova superata si guadagnava una flag. Ho partecipato da solo al contest ma sono partito alla grande con le prime bandierine, poi ho visto il sorpasso dei ragazzi che hanno vinto e ho provato a raggiungerli fino alla fine, ma dopo il terzo livello e le prime 2-3 flag ho issato bandiera bianca. 4 ore e passa davanti al PC mantenendo un buon livello di concentrazione è decisamente stancante!

Emilio: La gara era realistica e curata nei dettagli: l’ambiente in cui si è catapultati è una simulazione di rete aziendale da cui estrarre informazioni fino a raggiungere alcuni segreti industriali da sottrarre. Il gioco è di tipo capture the flag e diviso in tre livelli formati da 40 flags totali: il primo riguarda l’information gathering in cui ricavare topologia della rete e utenti, nel secondo si violano i primi servizi e macchine nella rete più esterna, mentre nel terzo si attaccano le vere macchine target nella rete più interna. Le skill necessarie spaziano dalla conoscenza di protocolli di rete, all’exploiting di web application e servizi stand alone, a basi di informatica forense. Con il nostro team aziendale Abinsula abbiamo preso 29 flag e raggiunto 13.600 punti, staccando di circa 4000 punti il secondo classificato e collezionando il massimo punteggio preso in tutte le tappe del contest tra America, Canada, Milano e Torino ^^

Andrea: La gara è stata molto entusiasmante. Inizialmente abbiamo avuto un po di difficoltà, era la prima volta che partecipavamo ad una competizione di questo tipo. Fortunatamente siamo riusciti a recuperare in fretta lo svantaggio accumulato nei primi minuti di gara e abbiamo portato a casa 29 bandierine per un totale di 23.900 13.600 punti. Non nascondo che al termine delle quattro ore di gara eravamo fisicamente sfiniti.

Paolo: La gara era del tipo capture the flag e ognuna di esse aveva associato un punteggio in base alla difficoltà. Lo scenario era molto realistico e rappresentava una tipica rete aziendale, con un set di macchine esposte verso internet e alcune in rete interna. La sfida era suddivisa in tre livelli principali. Si partiva dalla raccolta dati, per poi passare alla compromissione dei primi host e per finire nella raccolta di file e documenti segreti. Purtroppo non ti posso dare altre informazioni, in quanto è espressamente vietato dare dettagli sulla gara, il format viene riproposto anche in altri paesi. In 4 estenuanti ore (non ci siamo mai allontanati dalla postazione), siamo riusciti a conquistare 29 flag (il nuovo record della competizione) senza nemmeno usare gli hint messi a disposizione per ogni flag.

Quali strumenti (Software e Hardware) avete utilizzato durante la competizione?

Raffaele: Avevamo in dotazione un PC per team, io ho utilizzato il mio fidato notebook equipaggiato con BackBox 3.01 a 64bit ed a supporto una macchina virtuale a 32bit per uscire dalla VPN 😉
A livello software Indispensabile Nmap per la scansione delle reti, Metasploit sempre aggiornato all’ultima versione, Fang per il crack delle password e i vari tools da linea di comando tanto amati dai sistemisti…

Enrico: Niente di particolare, il mio pc di lavoro con su la nuova Kali Linux (che non mi ha convinto al 100%) e che ho dovuto sistemare gli ultimi 10 minuti, e come software fondamentalmente solo nmap per la scansione delle reti…il resto strumenti che ho usato sono i classici netcat, dig, smbclient, ecc… ah si, ho usato un paio di desktop per avere un po piu di ordine perchè nel casino lavoro male 🙂

Emilio: E’ bastato il mio Ubuntu con cui lavoro attrezzato con un pò di tool standard come nmap e metasploit. In molti punti della competizione è necessario masticare bene la shell bash per sapere immediatamente il comando da utilizzare per raggiungere lo scopo e conquistare la flag.

Andrea: Avevamo il Laptop Linux di Emilio sufficientemente attrezzato anche se per la maggior parte dei quesiti ci siamo serviti di semplici scriptini bash scritti ad-hoc.

Paolo: Anche se abbiamo partecipato in tre potevamo usare un solo computer per attaccare la rete. Abbiamo usato il laptop di Emilio equipaggiato con una classica Ubuntu corredata da un set di tool che ogni esperto in sicurezza dovrebbe avere sul proprio pc.

Quotidianamente lavori nel campo del IT Security? Le esperienze lavorative sono state utili per raggiungere la vetta?

Raffaele: Attualmente lavoro nel mondo automotive come esperto di sicurezza, onestamente le “problematiche” affrontante durante la competizione sono molto distanti da quelle che affronto ogni giorno… In ogni caso un appassionato di informatica può tranquillamente partecipare senza per forza avere particolari nozioni di sicurezza, basta solo un po di fantasia ed una discreta esperienza come sistemista (almeno nella prima fase di gioco). Una volta comprese le modalità di gioco, penso che chiunque può raggiungere la vetta con un po di impegno.

Enrico: Si, lavoro nella service line IT Security di una società di consulenza di Torino (aizoOn) e mi trovo a gestire penetration test molto di frequente… quindi direi che l’esperienza lavorativa è stata decisamente utile!

Emilio: In Abinsula, l’azienda dove lavoro, ci occupiamo anche e non solo di sicurezza, specialmente declinata nel campo embedded e automotive, e io e altri colleghi partecipiamo attivamente alla scena internazionale di information security con passione da molti anni. Sta di fatto che in una gara come questa è più importante un buon know how riguardo reti e Linux a basso livello per superare altri concorrenti che magari fanno i pentester di professione.

Andrea: Il campo del IT Security mi affascina molto ma non mi ritengo certamente un esperto. In Abinsula mi occupo, tra le varie cose, di Linux nei sistemi embedded (dallo sviluppo di BSP e device driver alla realizzazione di distribuzioni ad-hoc con basso footprint). Sicuramente questo background per più di una domanda c’è tornato molto utile specie nella prima trance del gioco.

Paolo: In Abinsula non mi occupo nello specifico di Security, ma comunque vivo a pane e Linux. In particolare mi occupo di due settori diametralmente opposti: basso livello in sistemi emdedded (device driver, kernel) e sviluppo di applicazioni web con le ultime tecnologie disponibili (html5, javascript, nosql). Il background lavorativo mi ha aiutato sicuramente per risolvere alcune flag, ma anche le nozioni di teoria acquisite durante gli studi al Politecnico si sono rivelate molto utili.

IT Secuirty è un ramo dell’informatica in piena espansione, le prove svolte possono rispecchiare episodi quotidiani?

Raffaele: Il gioco è stato pensato per affrontare tematiche molto vicine a situazioni reali ma un pentester di professione si accorge subito di come molte cose siano solo una simulazione, dal bug del noto CMS che in realtà non esiste alla sqlinjection non reale che stampa a video user e password ordinate in righe e tabelle con tanto di tabulazione 😀
In ogni caso l’evento organizzato da Symantec ha l’obiettivo di sensibilizzare su tematiche relative la sicurezza informatica. In questo senso un attacco da parte di Cracker alla rete aziendale può tranquillamente rispecchiare la realtà.

Enrico: Sono d’accordo.. l’IT Security è in piena ascesa, purtroppo in Italia è ancora considerata come un costo, e quindi si tendeono ad evitare investimenti sull’argomento…. per quanto riguarda la prova, sono state prove molto realistiche, ma ad un livello un po “elevato”… difficilmente nelle attività lavorative di tutti i giorni capitano prove del genere, al limite tra cyberwar e spionaggio… ma bisogna sempre farsi trovare pronti!

Emilio: Il filo conduttore della gara è quello di seguire un cracker che si è già intrufolato nella rete, ripetendo gli attacchi già sferrati dall’attaccante. A mio parere l’ambientazione è molto ben fatta e richiama il lavoro di un security analist che cerca di ricostruire le azioni di un criminale che ha fatto breccia in una rete corporate per rubare informazioni.

Andrea: Veramente complimenti agli organizzatori dell’evento. Le prove erano abbastanza realistiche. Per alcune abbiamo perso la testa. Ci siamo divertiti molto.

Paolo: Forse un gran merito a questa competizione è proprio il livello di realismo riprodotto. Molte delle situazioni sono sicuramente riscontrabili nella vita di tutti giorni, specie nelle aziende dove manca ancora la cultura informatica e molte volte non ci si rende conto dei rischi a cui si è esposti.

Concludendo, rifaresti questa esperienza?

Raffaele: Certo! Mi sono divertito molto, il gioco era ben strutturato ed i ragazzi della Symantec simpatici. Peccato che di hacking vero e proprio c’era ben poco ma in ogni caso le sfide erano davvero ben pensate e non ti nascondo che più volte ho avuto difficoltà a capire come superarle, sarà la vecchiaia! 😛

Enrico: Assolutamente si, e a prescindere dal successo o sconfitta nel Challenge… ho conosciuto persone simpatiche e interessate come me all’argomento con cui sto tenendo i contatti. Fare un risultato positivo aiuta poi dando una botta di autostima che male non fa 🙂

Emilio: Mille volte, è stata una esperienza divertentissima 🙂

Andrea: Certamente.

Paolo: Assolutamente sì. Amo le sfide e questa è stata proprio divertente! E poi ci mancano ancora 11 flag da risolvere.

  • Gianpaolo Macario

    Complimenti a tutti!