Articoli

L’esperienza milanese si conclude nel migliore dei modi per i “Jumpin Jester” 4 ragazzi di origine sarda che hanno deciso di partecipare alla quarta edizione dell’ormai noto evento “Cracca al Tesoro”.

Questa edizione ha visto sfidarsi ben 22 squadre per un totale di circa 100 partecipanti provenienti da tutta italia: Trento, Sassari, Varese, Torino, Pistoia, Fidenza e altre città della penisola.

Armati di vistose antenne le squadre hanno dovuto individuare cinque access point apprestati per l’occasione, quindi penetrare nei server ad essi collegati, configurati in modo da poter essere violati in modo più o meno facile. Una sala di controllo riceveva e verificava le avvenute intrusioni, poi stava ai concorrenti reperire indizi per proseguire ed ottenere le istruzioni che facevano guadagnare punti.

I Jumpin Jester equipaggiati appunto con BackBox Linux e sponsorizzati da Akhela hanno ottenuto 36 punti classificandosi cosi secondi alla loro prima partecipazione al CAT (primi i ragazzi di E-Quipe di Torino, terzi i Crackers Salati di Trento). Emilio Pinna, aka norby, studente di ingegneria informatica presso il Politecnico di Torino nonché nostro collaboratore ci ha fatto un breve resoconto della sua esperienza di cui riporto le parti più interessanti.

I 5 access point, sparsi in alcuni negozi della zona di Corso Como, proteggevano due macchine su cui fare breccia con ogni mezzo. La partenza della gara (ore 14.30) è stata abbastanza lenta per tutti… Sia per la difficoltà a trovare gli access point ufficiali, sia per i numerosi burloni che inondavano l’etere di finti beacon al fine di confondere gli avversari. La maggior parte di essi erano protetti con un’inefficace cifratura WEP abbastanza facile da craccare a patto di aver localizzato correttamente la posizione degli access point. Una volta entrati in possesso della password e guadagnati i primi 5 punti, era necessario scoprire velocemente gli IP delle macchine da attaccare. Gli utenti erano separati dalle macchine bersaglio con VLAN proprio per evitare che i partecipanti si attaccassero tra di loro (credendo fossero le macchine target). Motivo di confusione è stato l’uso di netmask /25, al contrario della solita /24, che ha tenuto impegnati i partecipanti meno preparati durante l’host discovery. Altra forma di protezione è stata l’adozione di tecniche per il flood protection che ha complicato e non di poco la mappatura della rete tramite port-scan.

Gli host e le vulnerabilità esposte erano diverse: la prima, con cui tanti si sono confrontati, era un SQL injection sfruttabile in maniera abbastanza banale, ma corredata di un limite di 5 tentativi e di un filtro sul tipo di dato inserito nel form exploitabile. Il filtro era in javascript lato browser e i tentativi venivano contati sul PHP session ID. Lascio a voi immaginare i due semplici passaggi da fare per bypassare queste protezioni. La seconda prova esponeva il codice dei cgi del server per permettere un veloce auditing allo scopo di trovare il giusto punto di attacco. Gli access point successivi al terzo erano protetti da WPA, compito di uno degli organizzatori era il generare il giusto traffico per permettere la cattura dell’handshake su cui fare il bruteforce delle password.

Come al solito la parte più scenografica dell’evento erano le tante squadre corredate di antenne di tutti i tipi, dalle Yagi al lungo tubo omnidirezionale dell’organizzatore Mayhem, dalle alte e pesanti antenne direzionali alle antennine di default incluse nelle schede wireless usb esterne Alpha (usate dalla gran parte dei partecipanti). Le squadre più attrezzate avevano dietro un carrello della spesa che conteneva gruppi di continuità o come nel caso dei Jumpin Jester, una batteria di macchina e un inverter, che hanno permesso di tenere accesi i pc con meno autonomia per tutto il tempo della gara.

Domani 12 Marzo dalle ore 10:30 inizierà la diretta della fantastica sfida Italiana tra Hacker denominata Cracca al Tesoro, la gara si svolgerà a Milano per tutta la giornata.

Per chi non riuscisse a partecipare è possibile visualizzare la diretta online ed anche chattare con gli altri utenti online, alternativamente è possibile seguire l’evento sui seguenti canali:

  • FaceBook
  • IRC: canale #craccaaltesoro su irc.freenode.net, porta 6667
  • Twitter

Dopo il salto trovate lo streaming video (funzionante dalle 10:30 del 12 Marzo) ed anche il box per chattare:

Continua a leggere

Dal 14 al 16 marzo si terrà a Milano la terza edizione del Security Summit, presso l’Atahotel Executive, Viale don Luigi Sturzo 45.

Progettato e costruito per rispondere alle esigenze dei professionals di oggi, Security Summit offre anche momenti di divulgazione, di approfondimento, di formazione e di confronto. Ci saranno 3/4 sale che lavoreranno in contemporanea per tre giorni, con tanta formazione specialistica differenziata secondo le esigenze ed il profilo di ciascuno. Circa 90 i docenti e relatori coinvolti nell’edizione milanese del Summit e più di 30 le associazioni e community che hanno collaborato.

La partecipazione al Security Summit e a tutti gli eventi che lo compongono è libera e gratuita, con il solo obbligo di iscriversi online su https://www.securitysummit.it/ dove è ancora possibile consultare il programma delle tre giornate.

Come vi avevamo anticipato Sabato 12 Febbraio Marzo si terrà il CAT Game a Milano l’evento sarà patrocinato dal CLUSIT, Associazione per la sicurezza informatica, da AIP, Associazione Informatici Professionisti ed OPSI, l’Osservatorio Privacy e Sicurezza delle Informazioni, che organizzano al mattino di sabato un convegno – tavola rotonda con nomi importanti del panorama hacker e security.

Si sono aperte le iscrizioni, sarà possibile giocare singolarmente oppure a squadre con un massimo di quattro componenti; l’evento che si terrà per l’intera giornata di Sabato 12 prevede il seguente programma:

  • 11.30: Accoglienza, presso la hall di  Atahotel Executive
  • 14.30: Briefing con le squadre
  • 15.00: Partenze del gioco Cracca Al Tesoro
  • 18.30: Punto della situazione, calcolo dei punteggi, definizione short list vincitori
  • 19,00: Comunicazione classifica delle squadre, Cerimonia di premiazione e consegna targhe e Aperitivo conclusivo

E’ possibile procedere all’iscrizione direttamente sul sito ufficiale dell’evento: http://www.wardriving.it/iscrizioni/ infine vi ricordiamo che provvederemo a pubblicare la Diretta Live Sabato 12 Marzo per chi non fosse riuscito a partecipare.

Sabato 12 Marzo 2011 prenderà il via la prima edizione del CAT (Cracca al Tesoro) 2011 direttamente da Milano, il Team sta lavorando sodo per perfezionare il programma e renderlo ancora più affascinante e ricco di contenuti.

Non ci resta quindi che aspettare il programma definitivo…intanto iniziate a tenervi liberi per quel Week End!