Entrevista a Emilio Coppa, Giovanni Lagorio y Mario Polino, entrenadores del equipo italiano de ciberdefensores "TEAM ITALY" formado por alumnos del curso de formación Cyberchallenge.IT (liga).
Emilio Coppa es investigador del Departamento de Ingeniería Informática, Automática y de Gestión de la Universidad Sapienza de Roma. Recibió un doctorado en Informática en 2015 y sus intereses de investigación se centran en técnicas de análisis de software estático y dinámico. Desde 2017 forma parte del comité organizador de CyberChallenge.IT y es uno de los líderes del equipo nacional para el European Cyber Security Challenge (CECA).
Giovanni Lagorio es investigador en el DIBRIS de la Universidad de Génova. Interesado en la seguridad de la información y la piratería ética, es uno de los fundadores del equipo ZenHack y organizador de CyberChallenge.IT para la oficina de Génova. Desde 2019 es uno de los líderes del equipo nacional de defensa cibernética para el European Cyber Security Challenge (CECA).
Mario Polino es investigador en el DEIB del Politecnico di Milano, donde se ocupa de Malware y Análisis Binario. Desde 2009 ha participado en la competencia CTF con el equipo de la Torre de Hanoi y desde 2018 con mhackeroni. Desde 2019 es el entrenador del equipo nacional de defensa cibernética para el European Cyber Security Challenge (CECA)
En primer lugar, una breve descripción de los miembros del equipo. ¿Cuáles son las ciudades de origen? ¿Cuáles son los cursos de estudio de origen?
Recordamos a los lectores que los miembros del equipo provienen del curso de capacitación CyberChallenge.IT, organizado por el Laboratorio Nacional de Ciberseguridad de CINI, que inicialmente vio formar a 20 estudiantes en cada una de las 18 ubicaciones universitarias participantes. Al final del período de entrenamiento, cada sitio seleccionó a cuatro niños para formar el equipo local que participó en la final nacional en Chiavari, el pasado 27 de junio.
Gracias a la final nacional fue posible formar el equipo nacional.
El equipo está compuesto por diez niños que provienen de diferentes realidades italianas.
Andrea Biondo (el capitán) y Riccardo Bonafede son dos estudiantes de la Universidad de Padua. El primero vive en Cassier (Treviso) y actualmente está matriculado en el Máster en Informática, mientras que el segundo proviene de Padua y está completando la Trienal en Ingeniería Informática. También de la región del Véneto llega Antonio Groza, que vive en Mirano (Venecia) y después de graduarse del ITIS Levi Ponti en 2018, decidió comenzar una carrera profesional directamente.
Marco Bonelli, Andrea Laisa y Samuele Turci estudian en Milán. Marco proviene de Terni y cursa el título de tres años en Ingeniería Informática en el Politecnico di Milano. Andrea, en cambio, proviene de Bérgamo, él siempre estudia en el Politécnico de Milán, pero está matriculado en el título de tres años en Informática. Finalmente, Samuele proviene de Gatteo (Forlì-Cesena) y está matriculada en el título de tres años en Ciencias de la Computación en la Universidad de Milán.
Tres participantes del equipo estudian en Roma: Qian Matteo Chen, Dario Petrillo y Michele Lizzit. Matteo vive en Roma y es estudiante de informática de tres años en la Universidad La Sapienza de Roma. Dario también vive en Roma y estudia en La Sapienza, pero está asistiendo al curso de tres años de Ingeniería Informática. Finalmente, Michele vive en Pasian di Prato (Udine) y asiste a la Trienal de Administración y Ciencias de la Computación en la Universidad Internacional Libre de Estudios Sociales (LUISS) Guido Carli.
Yendo geográficamente más al sur, Davide Palma estudia en la Universidad de Ciencias de la Computación de Bari y vive en Apricena (Foggia).
¿Con qué criterio se seleccionaron los miembros del equipo nacional a partir de los participantes en la final?
El grupo de elección estaba compuesto por los participantes de CyberChallenge.IT de 2019, pero también de los años anteriores. La iniciativa fue muy efectiva e introdujo en este tipo de competencia a muchos jóvenes capaces, que con el tiempo han mejorado mucho hasta el punto de competir en los niveles más altos a pesar de su corta edad. Elegir no fue fácil, hay muchos buenos, pero algunas restricciones en la composición del equipo en las reglas de la competencia han simplificado esta elección.
Los 10 jugadores deben tener menos de 25 años y 5 de ellos deben tener menos de 20 años. Hay tantos buenos con menos de 25 años. Sin embargo, menos en lo que respecta al rango hasta 20. Esta regulación básicamente divide al equipo en dos partes: Senior (21-25) y Junior (menores de 20). Luego creamos dos clasificaciones, una para Senior y otra para Junior, en la que evaluamos el desempeño de los candidatos en eventos pasados. En particular, evaluamos la prueba local, que es el desafío individual que cada participante de CyberChallenge.IT enfrentó al final del curso de capacitación, la competencia nacional, que se lleva a cabo en equipos entre los diversos lugares, pero también competencias externas a las que varios Participaron los miembros finales del equipo. El resultado fue un equipo formidable y la segunda colocación lo confirma.
En este punto pasamos a la fase de entrenamiento y construcción del verdadero "juego de equipo". ¿Cómo manejaste los diferentes orígenes geográficos y la capacitación básica?
El entrenador ha seleccionado a los participantes, eligiendo, a propósito, una formación heterogénea, esencial para estar listo para enfrentar cualquier tipo de desafío. El origen geográfico diferente, por otro lado, se mitigó organizando, a mediados de septiembre, un retiro de cuatro días en la escuela IMT Alti Studi di Lucca.
Allí los niños se conocieron, formando un verdadero equipo, gracias a varias actividades grupales. Entre estas, también actividades no estrictamente relacionadas con la tecnología de la información, pero no menos importantes, como, por ejemplo, filmación y edición del video, goliardic, presentación del equipo y cervezas nocturnas.
¿Puede decirnos cómo se organizó el equipo en términos de división de tareas? ¿Se ha designado un líder o ha surgido un líder espontáneo? Seguramente este aspecto está estrechamente relacionado con el tipo de competencia. ¿Puedes darnos una breve descripción del modo de juego?
Gracias a la reunión de Lucca, el equipo pudo identificar las habilidades que cada miembro del equipo podía poner a disposición para la competencia.
Como capitán del equipo, de inmediato vimos a Andrea Biondo como el mejor candidato: parte del equipo que ganó CyberChallenge.IT 2018, miembro de los equipos CTF Spritzers y mHACKeroni, miembro del equipo nacional de CECA en 2018 y también coautor de artículos científicos en Grandes conferencias en el campo de la ciberseguridad.
La competencia se desarrolló durante dos días siguiendo un formato de peligro, en el que los equipos deben resolver desafíos para conseguir puntos. Cada desafío puede verse como un desafío de TI, tanto de software como de hardware, que replica un escenario real pero en un contexto aislado, permitiendo que los niños se diviertan sin hacer daño en el mundo real. Ejemplos concretos de estos desafíos pueden ser los portales web donde se debe obtener acceso administrativo o los sistemas empotrados en los que identificar fallas para realizar acciones no autorizadas.
Los 36 desafíos preparados por los organizadores rumanos se dividieron en partes iguales entre los dos días de la competencia, lo que no permitió que los niños resolvieran el desafío del primer día del segundo día. La puntuación de cada desafío se obtuvo dinámicamente: este mecanismo evita tener que asignar una puntuación a priori en función de la dificultad estimada (siempre muy difícil de evaluar).
Además de los desafíos de hardware y software, los organizadores otorgaron puntos adicionales basados en la capacidad de los distintos equipos para: (a) superar una sala de escape caracterizada por desafíos de hardware en un tiempo máximo de 30 minutos, (b) presentar la solución en 5 minutos de una de las impugnaciones resuelta a un jurado compuesto por no expertos.
Durante las últimas dos horas de la competencia, el marcador con los puntajes se oscureció, a la espera de la adjudicación de la tarde del día siguiente.
Y ahora llegamos a los momentos de competencia, divididos en tres días. ¿Puedes describir cuáles fueron las emociones experimentadas por el equipo durante los días? Italia desde la segunda parte del primer día formó parte del grupo líder, que también ocupó el primer lugar en diferentes etapas de la carrera. ¿Cómo se vivieron estos momentos?
¿Cuál fue el aspecto más difícil de la carrera? ¿Cuál te dio la mayor satisfacción?
Al principio, todos estábamos muy emocionados, pero una vez que comenzamos a enfrentar los diversos desafíos, la concentración fue tal que no pensamos mucho en nada más.
Algunos desafíos tomaron varias horas y el trabajo conjunto de varios miembros, en parte debido a dificultades técnicas, en parte porque no estaba claro qué hacer y la comunicación con los organizadores a veces era difícil. Claramente, quedarse atrapado durante horas en un desafío puede ser extremadamente frustrante, pero, como dicen, el que gana gana, y al final logramos resolver muchos. Ser parte del grupo líder de inmediato creó un poco de tensión, pero cada desafío resuelto nos dio un gran impulso y confianza en sí mismos, lo que nos ayudó a mantener el valor durante todas esas horas.
El equipo trabajó muy bien y este aspecto ha dado sus frutos, lo que nos ha llevado a la clasificación. Este es probablemente el aspecto que nos dio la mayor satisfacción.
Ahora que la carrera ha terminado llevándose a casa el segundo lugar, ¿cuáles son los reflejos de esta experiencia que seguramente tendrán un efecto en sus futuras actividades en el campo de la enseñanza y la investigación? ¿Alguno de los chicos pensó en comenzar un trabajo con una nueva empresa? ¿Cuándo piensan en su futuro se ven en Italia o en el extranjero?
Ciertamente atesoraremos esta experiencia; algunos chicos ya tienen experiencia laboral y también están considerando la posibilidad de lanzarse en algunas startups. Otros señalan actividades de investigación: hay quienes piensan en un doctorado y quienes desean formar parte del sector de investigación y desarrollo de alguna gran industria. Afortunadamente para nuestro país, cuando piensan en el futuro, algunos se ven a sí mismos en Italia, incluso si no echan de menos a aquellos que consideran la posibilidad de ir a trabajar para algún gigante informático al otro lado del océano.
En cuanto al equipo, ¿continuarás participando en otras competiciones? ¿Qué piensa hacer para compartir su experiencia con los jóvenes?
Seguramente el equipo también participará en la CECA el próximo año, algunos miembros superarán el límite de edad y, por lo tanto, el equipo tendrá que cambiar un poco. Pero estas son evaluaciones que se realizarán después de la próxima edición de CyberChallenge.IT donde esperamos, como ha sucedido en el pasado, que los miembros actuales del equipo ayuden a formar nuevos reclutas.
Mientras tanto, inmediatamente después de la competencia en Rumania, una gran parte del equipo voló a Abu Dhabi para Hack in The Box CyberWeek, donde participaron en dos competencias diferentes:
- Una parte de ellos participó y ganó la "Ciber Batalla de los Emiratos", una competencia diseñada para jóvenes que ingresan al mundo de Capture the Flag y la seguridad en general.
- En cambio, otra parte participó en el ProCTF como "mhackeroni". El ProCTF es una competencia sin restricciones de edad, y está diseñado para profesionales. El equipo mhackeroni quedó en tercer lugar.
Muchos de los jugadores del Equipo Italia, pero también los otros participantes de CyberChallenge.IT, después de esta experiencia, continúan jugando en los equipos locales de las distintas universidades. Estos equipos están formados no solo por principiantes, sino también por jugadores veteranos, que se desafían entre sí en varias competiciones durante el año. Hay una lista pública de equipos italianos que han absorbido a los participantes de CyberChallenge.IT o que nacieron de los muchachos que participaron en esta iniciativa: https://cyberchallenge.it/ctf-teams.
Uno de estos equipos es el equipo "mahckeroni" (https://mhackeroni.it/) que desde hace varios años participa en DEF CON CTF, una de las competiciones más difíciles en esta categoría. Para participar en esta competencia debes calificar ganando uno de los eventos seleccionados. No hay restricciones de edad, número o profesión, y muchos profesionales del sector también participan en este tipo de competencia. Y solo los 16 mejores equipos del mundo pueden ganar un asiento en la final de Las Vegas. Varios miembros del "Equipo de Italia" son parte del equipo "mhackeroni" que en agosto pasado ocupó el quinto lugar en esta competencia.
Gracias por sus esfuerzos, manténganos informados sobre sus actividades. Online Defense y sus lectores lo apoyan. ¡Buena suerte a todos!
