CyberChallenge italiano: la experiencia del equipo de la Universidad de Cagliari

(Para Alessandro Rugolo)
05/08/19

En el pasado hemos dado espacio a la actividad llamada CyberChallenge.IT, con un artículo que explicaba el tema de la licitación y los procedimientos de selección y anunciaba la fase final para el 27 de junio.
Ahora, después de unos meses podemos hacer balance pero hemos decidido hacerlo junto con los chicos de uno de los equipos participantes: el equipo de la Universidad de Cagliari coordinado por el profesor Giorgio Giacinto (1) y por el doctor Davide Maiorca (2) como como entrenador.

Comencemos por conocer a los participantes. ¿Puedes presentarte en unas pocas líneas? Quien eres Que estudias

Mi nombre es Lorenzo Pisu, tengo 20 años y estoy estudiando en el curso de informática en la Universidad de Cagliari.
Soy Matteo Cornacchia y también estoy matriculado en la carrera de informática en la Universidad de Cagliari.
Mi nombre es Francesco Meloni, tengo un título en ingeniería informática y estoy matriculado en una maestría en Ingeniería Informática, Ciberseguridad e Inteligencia Artificial en la Universidad de Cagliari.
Soy Daniele Pusceddu, tengo 19 años y tengo que hacer el último año de secundaria en el Instituto Técnico Industrial Scano en Cagliari, departamento de TI.

Felicidades chicos, sé que no fue muy bien, pero estoy seguro de que el próximo año será mejor. Para empezar, queremos saber qué se siente al participar en una carrera de equipo tan particular. ¿Qué sentimientos sentiste? ¿Qué te impulsó a participar?

Participar en la carrera fue una experiencia que nos puso a prueba, seguro que hay mucha adrenalina y un esfuerzo mental enorme pero fue una experiencia muy positiva y de gran crecimiento tanto a nivel de habilidades como a nivel personal. Creo que la razón principal por la que participamos es para involucrarnos, así que sí, ¡lo volvería a hacer!

Para mí, la principal motivación fue mi curiosidad ya presente en el campo de la Ciberseguridad.
Dentro de los cursos, pero sobre todo en las fases de preparación y competencia nacional, tuve la oportunidad de confrontarme con personas de los más variados orígenes pero con muchas pasiones comunes.

Para mí, la iniciativa fue sobre todo una valiosa oportunidad para ampliar mi conocimiento no solo de la seguridad informática, sino también del medio ambiente, tanto en términos de competencia como de las realidades institucionales y privadas que lo rodean. Puedo decir sin lugar a dudas que el programa en su conjunto es la experiencia extracurricular más valiosa a la que he asistido.

El aspecto que me impulsó a participar fue sin duda el deseo de ponerme a prueba y aprender muchos aspectos técnicos de la seguridad informática en un entorno dinámico y competitivo. La experiencia se configuró en sí misma como un desafío que puso a prueba de manera exhaustiva mis habilidades técnicas y de trabajo en equipo. Ahora soy grande para la edad objetivo de la iniciativa, pero evaluando mi camino y el de mis compañeros a lo largo del Cyber ​​Challenge, creo que para los chicos que todavía están en el bachillerato o en el inicio de la universidad es una oportunidad imperdible. dar un gran salto en conocimientos y habilidades en el campo de la seguridad de la información.

Ahora hablemos sobre el aspecto organizacional. ¿Cómo te organizaste? ¿Designaste un líder? ¿Cómo tomaste las decisiones?

Desde el punto de vista organizativo, estábamos divididos principalmente en función de los roles.
establecido antes de la carrera gracias a los preciosos consejos de nuestro entrenador Davide,
por lo tanto no hemos identificado un líder entre nosotros, hemos tomado decisiones comunicando
 y de acuerdo con lo establecido antes de la carrera.

Dentro del equipo de cuatro personas, dividimos las tareas individualmente de acuerdo con las habilidades adquiridas y la confianza en el uso del kit de herramientas elaborado durante la breve fase de preparación.

De esta forma, las decisiones fueron presentadas y, en consecuencia, tomadas por la persona que tenía la mayor capacidad para seleccionar la respuesta adecuada.

Tras la creación del equipo nos planteamos tareas para organizar la construcción de un toolkit que automatizaría el envío de ataques a los servicios en el contexto de la licitación y que resultó ser una herramienta de éxito. Durante la competencia nos dividimos en grupos de trabajo de dos personas que analizaron los servicios favoritos de cada pareja. Los ataques que se escribieron se enrutaron automáticamente a través de la red mediante el kit de herramientas que se implementó.

¿Cuál fue el aspecto más difícil de la carrera? No hablo solo de la fase final sino de toda la carrera, empezando por el inicio de las selecciones.

El aspecto más difícil de la carrera es quizás encontrar la fuerza de voluntad para no rendirse nunca, a veces se enfrenta a grandes problemas, tanto durante la carrera final como durante las selecciones, después de horas de intentar solucionarlos sientes frustración tienes que seguir intentándolo, solo así podrás obtener resultados.

Desde mi punto de vista personal, la parte que por mucho se presentó como la más difícil en el camino no fue tanto la técnica individual, sino la capacidad de aprovechar al máximo las habilidades individuales de los miembros del grupo durante la fase final.
Sin lugar a dudas, el campo que jugó un papel decisivo en la final nacional fue la experiencia en el formato de competencia y en el trabajo en equipo en general.

Las universidades que no tenían una realidad CTF preexistente (no necesariamente exclusiva del CyberChallenge), que tenían menos de un mes para coordinar y preparar un conjunto de herramientas apropiado, se enfrentaron a un déficit de competencia esencialmente insuperable.
En nuestro caso, la singularidad de la situación hizo que la experiencia fuera particularmente valiosa para nuestra capacitación.

Para mí, el aspecto más difícil de la carrera fue sin duda el análisis necesario para comprender el funcionamiento de los programas y la identificación de los vectores de ataque. A menudo, dada la estructura de los servicios, los módulos se perdieron y se buscó la vulnerabilidad con dificultad en el código fuente, cuando a veces se identificaba mucho más fácilmente mediante un análisis funcional del programa y su comportamiento. Una vez que se encontró el vector de ataque, una característica común a todas las pruebas fue el hecho de que el modo de explotación no conducía a modos estándar o conocidos, sino que a menudo era ad hoc para el servicio.

¿En qué consistió la prueba final?

La carrera final consiste en un Ataque y Defensa en el que los distintos equipos tienen la misma máquina vulnerable para defender en la que hay contenido de las banderas que son cadenas de texto que, si son robadas, permiten que los oponentes ganen puntos. Cada equipo ataca a otros explotando vulnerabilidades y al mismo tiempo intenta defenderse de los ataques de otros equipos corrigiendo o "patchando" las vulnerabilidades de su propia máquina.

En la práctica, cada equipo recibe una máquina virtual idéntica. El propósito del CTF es analizar los servicios intencionalmente vulnerables presentes en la máquina, y utilizar esta información para atacar las máquinas de los oponentes y al mismo tiempo protegerse de los ataques de otros.

Cada equipo tenía un servidor con los mismos servicios expuestos al exterior. Estos servicios (que podrían ser sitios web y ejecutables) tenían vulnerabilidades. La primera fase de la carrera, la de defensa, consistió en encontrar estas vulnerabilidades con el objetivo de ajustarlas para hacer que el sistema de uno fuera incuestionable y, a su vez, entender cómo explotarlas durante el ataque contra los oponentes.

Estuviste muy claro. Pero ahora dime: ¿has pensado en cómo mejorar las actuaciones para el próximo año? ¿Planeas participar nuevamente? ¿Podrás contarles a tus jóvenes sobre tu experiencia en la Universidad?

Sí, al final de la carrera dimos cuenta de lo que salió bien y qué
podría mejorarse, este fue quizás el objetivo más importante de la carrera, mejorar.
Además, estos informes nos ayudan a prepararnos para otras carreras en las que participaremos. Pensamos y esperamos poder contar la experiencia a los más pequeños, es algo muy importante, no hemos tenido la suerte de contar con alguien que ya haya participado en ediciones pasadas por lo que esperamos que nuestra experiencia sea de ayuda para quienes participen. después de nosotros.
Este fue el primer año que la Universidad de Cagliari participó en el CyberChallenge.
Sin lugar a dudas, la experiencia de este año tendrá un significado aún más profundo para aquellos que tendrán la oportunidad de probar suerte en el CyberChallenge del próximo año.
Después de los eventos de este año, se creó un equipo con el que tenemos la intención de participar en futuros CTF con el apoyo de niños, maestros y personal de apoyo de la competencia que acaba de finalizar.
En cuanto a mí, espero que nuestras experiencias pasadas y presentes puedan servir como trampolín para futuros participantes de iniciativas similares en Cagliari.
Nuestro equipo fue el primero en asumir este desafío. Por lo tanto, el apoyo vino solo de nuestros instructores. Después del Cyber ​​Challenge, el grupo de estudiantes que participaron en el curso se consolidó y se organizaron sesiones de capacitación sobre varios tipos de desafíos. Contamos con estos entrenamientos para mejorar el rendimiento en los próximos años, brindando más apoyo a los nuevos miembros y una base de experiencia cada vez más sólida. Después de haber seguido el camino del desafío cibernético hasta el final, si tengo la oportunidad, estaré feliz de contar mi experiencia para motivar a los futuros participantes a participar en esta experiencia con la misma pasión que he madurado.

Finalmente, tengo curiosidad por saber qué piensas hacer al final de tus estudios. El mundo cibernético en Italia necesita expertos, ¿cómo planea proceder para prepararse para el trabajo? ¿La participación en CyberChallenge.IT te ha abierto nuevos caminos?

Seguro que una parte importante de la preparación para el mundo laboral es estudiar, sin bases sólidas es difícil crecer en un entorno laboral. La participación en CyberChallenge.IT sin duda ha abierto nuevos caminos para el futuro tanto desde el punto de vista laboral como escolar.
Dentro de CyberChallenge hemos tenido la oportunidad de confrontarnos, tanto a nivel local como nacional, con las realidades laborales y de investigación más dispares, unidas por la demanda de fanáticos del sector.

Seguramente fue una experiencia que me abrió los ojos a oportunidades que no conocía, permitiéndome también explorar opciones con las que ya estaba familiarizado. Sin embargo, para cada puerta que se abre, los criterios de selección se expanden.
En resumen, no tengo idea.

Si fuera a aconsejar a un estudiante de primer año sobre el curso de estudio a seguir, ¿qué sugeriría?

Nuestro consejo para un estudiante de primer año es aprovechar las oportunidades durante el curso
de los estudios se pueden presentar para tratar de enriquecerse tanto como sea posible, ocasiones como
CyberChallenge.IT debe incautarse de inmediato y permitirle saber cuál es la forma más adecuada.

La ciberseguridad es un campo que no solo es extremadamente vasto, sino que requiere un mayor nivel de competencia básica que muchas disciplinas científicas en la misma área de capacitación.
Más allá de la capacitación académica indispensable avanzada en el campo de la Tecnología de la Información o disciplina relacionada, cualquier persona interesada en este curso de estudio debe tener una motivación constante y proactividad en su desarrollo individual.

¿Cómo ve el futuro de Italia con respecto a la dimensión cibernética? Si tuviera que hacer una sugerencia a nuestros tomadores de decisiones, ¿qué diría?

Debemos invertir en los jóvenes y debemos ofrecerles oportunidades que puedan sacar a relucir sus habilidades fuera del curso clásico de estudio.
En mi opinión, iniciativas como CyberChallenge tienen un impacto potencial a largo plazo extraordinario en el empleo y la seguridad cibernética en toda la nación. 
Espero poder asistir a iniciativas similares y fortalecer las existentes, incluso en los años venideros.

Felicitaciones chicos, el espíritu es el correcto, así que buena suerte a todo el equipo, a sus tutores y a los que los seguirán. 
Pero los cumplidos también van a los organizadores de la edición. Si los niños están satisfechos, se lo deben a quienes han hecho tanto esfuerzo para organizar la competencia. Por supuesto, no termina aquí, así que esperamos verte el año que viene.
Gracias chicos ...

(1) Giorgio Giacinto es profesor de ingeniería informática en la Universidad de Cagliari. 
(2) Davide Maiorca es investigador en ingeniería informática en la Universidad de Cagliari

http://www.difesaonline.it/evidenza/cyber/cyberchallengeit-sfide-la-cybe...
https://cyberchallenge.it/
https://www.consorzio-cini.it/index.php/it/lab-cyber-security
https://www.unica.it/unica/

Eventos

Haga clic en los días resaltados en rojo y descubra qué hay en evidencia.
Historias de vida militar
Envíenos su historia
Homenaje (debido) al 80º de infantería "Roma" que se despide con honores

Bueno, sí, ya estamos acostumbrados a asistir al cierre de los cuarteles y quizás incluso un poco a enterrar la larga historia de los departamentos, un fenómeno que sin embargo no borra los recuerdos. También tocó...

Lea la historia
"Il Signor Parolini" (novena parte)

El pollo al horno, como era de esperar, había estado a la altura de su reputación, consolidando, donde era necesario, la maestría culinaria indiscutible de Gastone, jefe ...

Lea la historia