Italienische CyberChallenge: Die Erfahrung des Teams der Universität von Cagliari

(Di Alessandro Rugolo)
05/08/19

In der Vergangenheit haben wir der genannten Aktivität bereits Raum gegeben CyberChallenge.IT, mit einem Artikel, der den Gegenstand der Ausschreibung und die Auswahlverfahren erläutert und die letzte Phase für den 27. Juni ankündigt.
Jetzt, nach ein paar Monaten, können wir ein Resümee ziehen, aber wir haben beschlossen, es gemeinsam mit den Jungs eines der teilnehmenden Teams zu machen: dem Team der Universität Cagliari, das von Professor Giorgio Giacinto (1) und Doktor Davide Maiorca (2) als Trainer koordiniert wird .

Beginnen wir mit dem Kennenlernen der Teilnehmer. Können Sie sich in ein paar Zeilen vorstellen? Wer bist du? Was studierst du?

Ich heiße Lorenzo Pisu, bin 20 Jahre alt und studiere Informatik an der Universität Cagliari.
Ich bin Matteo Cornacchia und bin ebenfalls im Informatikstudiengang der Universität Cagliari eingeschrieben.
Mein Name ist Francesco Meloni, ich habe einen Abschluss in Computertechnik und bin im Masterstudiengang Computertechnik, Cybersicherheit und künstliche Intelligenz an der Universität Cagliari eingeschrieben.
Ich bin Daniele Pusceddu, ich bin 19 und ich muss das letzte Jahr der High School am Scano Industrial Technical Institute in Cagliari, IT-Abteilung, absolvieren.

Herzlichen Glückwunsch Leute, ich weiß, dass es nicht sehr gut gelaufen ist, aber ich bin mir sicher, dass es nächstes Jahr besser wird. Zunächst möchten wir wissen, wie es sich anfühlt, an einem solchen Teamwettbewerb teilzunehmen. Welche Empfindungen haben Sie erlebt? Was hat Sie zur Teilnahme bewogen?

Die Teilnahme am Rennen war eine Erfahrung, die uns auf die Probe gestellt hat. Es gibt sicherlich viel Adrenalin und eine enorme mentale Anstrengung, aber es war eine sehr positive Erfahrung und eine große Weiterentwicklung sowohl in Bezug auf die Fähigkeiten als auch auf persönlicher Ebene. Ich glaube, der Hauptgrund für unsere Teilnahme war, dass wir uns engagieren wollten, also würde ich es wieder tun!

Für mich war die Hauptmotivation sicherlich meine bereits vorhandene Neugier gegenüber dem Bereich Cybersicherheit.
Innerhalb der Kurse, aber vor allem in der Vorbereitungs- und nationalen Wettbewerbsphase hatte ich die Möglichkeit, mich mit Menschen unterschiedlichster Herkunft, aber mit vielen gemeinsamen Leidenschaften zu vergleichen.

Für mich war die Initiative vor allem eine wertvolle Gelegenheit, mein Wissen nicht nur über Informationssicherheit, sondern auch über das Umfeld zu erweitern, sowohl im Hinblick auf den Wettbewerb als auch auf die damit verbundenen institutionellen und privaten Realitäten. Ich kann ohne Zweifel sagen, dass das Programm insgesamt die wertvollste außerschulische Erfahrung ist, an der ich je teilgenommen habe.

Der Aspekt, der mich zur Teilnahme bewogen hat, war zweifellos der Wunsch, mich selbst zu testen und viele technische Aspekte der IT-Sicherheit in einem dynamischen und wettbewerbsorientierten Umfeld kennenzulernen. Die Erfahrung war an sich schon eine Herausforderung, die meine technischen Fähigkeiten und meine Teamfähigkeit auf die Probe stellte. Mittlerweile bin ich für das Altersziel der Initiative erwachsen, aber wenn ich meinen Weg und den meiner Klassenkameraden während der Cyber ​​​​Challenge bewerte, denke ich, dass dies für Kinder, die noch in der High School oder am Anfang des Studiums sind, eine unumgängliche Gelegenheit ist Machen Sie einen großen Wissens- und Kompetenzsprung im Bereich der Informationssicherheit.

Lassen Sie uns nun über den organisatorischen Aspekt sprechen. Wie habt ihr euch organisiert? Haben Sie einen Leiter ernannt? Wie haben Sie Entscheidungen getroffen?

Aus organisatorischer Sicht waren wir hauptsächlich nach Rollen aufgeteilt
vor dem Rennen etabliert, auch dank der unschätzbaren Ratschläge unseres Trainers Davide,
Deshalb haben wir unter uns keinen Anführer identifiziert, wir haben Entscheidungen durch Kommunikation getroffen
 und auch an das festzuhalten, was vor dem Rennen festgelegt wurde.

Innerhalb des Viererteams haben wir die Aufgaben individuell nach den erworbenen Fähigkeiten und der Sicherheit im Umgang mit dem in der kurzen Vorbereitungsphase erstellten Toolkit aufgeteilt.

Auf diese Weise wurden Entscheidungen von der Person präsentiert und getroffen, die am besten in der Lage war, die geeignete Antwort auszuwählen.

Nach der Zusammenstellung des Teams stellten wir die Aufgabe, den Aufbau eines Toolkits zu organisieren, das das Versenden von Angriffen auf Dienste im Rahmen des Wettbewerbs automatisiert und sich als erfolgreiches Tool erwiesen hat. Während des Wettbewerbs teilten wir uns in Arbeitsgruppen zu je zwei Personen auf, die die von jedem Paar bevorzugten Dienstleistungen analysierten. Geschriebene Angriffe wurden durch das implementierte Toolkit automatisch über das Netzwerk weitergeleitet.

Was war der schwierigste Aspekt des Rennens? Ich spreche nicht nur von der letzten Phase, sondern vom gesamten Rennen, beginnend mit dem Beginn der Auswahl.

Der schwierigste Aspekt des Wettbewerbs besteht vielleicht darin, die Willenskraft aufzubringen, niemals aufzugeben. Manchmal stößt man sowohl während der Endrunde als auch während der Auswahl auf enorme Probleme. Nach stundenlangem Versuch, sie zu lösen, ist man frustriert, aber man selbst Man muss es immer weiter versuchen, nur so kann man Ergebnisse erzielen.

Aus meiner persönlichen Sicht war der mit Abstand schwierigste Teil auf dem Weg nicht so sehr die individuelle Technik, sondern vielmehr die Fähigkeit, in der Schlussphase das Beste aus den individuellen Fähigkeiten der Gruppenmitglieder herauszuholen.
Zweifellos war die Erfahrung im Wettbewerbsformat und in der Teamarbeit im Allgemeinen eine entscheidende Rolle im nationalen Finale.

Universitäten, die über keine bereits bestehende CTF-Realität verfügten (nicht unbedingt ausschließlich auf die CyberChallenge beschränkt), hatten weniger als einen Monat Zeit, um ein geeignetes Toolset zu koordinieren und vorzubereiten, und sahen sich mit einem praktisch unüberwindbaren Kompetenzdefizit konfrontiert.
In unserem Fall machte die Einzigartigkeit der Situation die Erfahrung für unsere Ausbildung besonders wertvoll.

Der schwierigste Aspekt des Wettbewerbs war für mich sicherlich die Analyse, die notwendig war, um die Funktionsweise der Programme zu verstehen und Angriffsvektoren zu identifizieren. Aufgrund der Struktur der Dienste haben wir uns oft zwischen den Modulen verirrt und die Schwachstelle nur schwer im Quellcode gesucht, obwohl sie manchmal viel einfacher durch eine funktionale Analyse des Programms und seines Verhaltens identifiziert werden konnte. Sobald der Angriffsvektor gefunden war, war allen Tests gemeinsam, dass der Exploit-Modus nicht auf Standard- oder bekannte Modi zurückging, sondern oft ad hoc für den Dienst erfolgte.

Worum ging es in der Abschlussprüfung?

Der letzte Wettbewerb besteht aus einem Angriffs- und Verteidigungswettbewerb, bei dem die verschiedenen Teams alle dasselbe verwundbare Auto verteidigen müssen, in dem es Flaggen gibt, bei denen es sich um Textzeichenfolgen handelt, die es den Gegnern ermöglichen, Punkte zu sammeln, wenn sie gestohlen werden. Jedes Team greift die anderen an, indem es Schwachstellen ausnutzt, und versucht gleichzeitig, sich gegen die Angriffe der anderen Teams zu verteidigen, indem es die Schwachstellen seiner eigenen Maschine behebt oder „patcht“.

In der Praxis erhält jedes Team eine identische virtuelle Maschine. Der Zweck des CTF besteht darin, die auf der Maschine vorhandenen absichtlich anfälligen Dienste zu analysieren und diese Informationen zu nutzen, um die Maschinen der Gegner anzugreifen und sich gleichzeitig vor Angriffen anderer zu schützen.

Jedes Team verfügte über einen Server mit denselben Diensten, die nach außen zugänglich waren. Diese Dienste (bei denen es sich sowohl um Websites als auch um ausführbare Dateien handeln kann) wiesen Schwachstellen auf. Die erste Phase des Wettbewerbs, die Verteidigungsphase, bestand darin, diese Schwachstellen zu finden mit dem Ziel, sie zu beheben, um das eigene System unangreifbar zu machen, und im Gegenzug zu verstehen, wie man sie während der Angriffsphase auf die Gegner ausnutzen kann.

Sie haben sich sehr klar ausgedrückt. Aber jetzt sagen Sie mir: Haben Sie darüber nachgedacht, wie Sie die Leistung für das nächste Jahr verbessern können? Rechnen Sie mit einer erneuten Teilnahme? Werden Sie an der Universität den Jüngeren von Ihren Erfahrungen erzählen können?

Ja, am Ende des Rennens haben wir berichtet, was gut gelaufen ist und was nicht
Es hätte verbessert werden können, das war vielleicht das wichtigste Ziel des Rennens, sich zu verbessern.
Diese Berichte helfen uns auch bei der Vorbereitung auf andere Rennen, an denen wir teilnehmen werden. Wir glauben und hoffen, dass wir den Jüngsten von dieser Erfahrung erzählen können. Das ist eine sehr wichtige Sache. Wir hatten nicht das Glück, jemanden dabei zu haben, der bereits an früheren Ausgaben teilgenommen hat. Deshalb hoffen wir, dass unsere Erfahrung denjenigen helfen wird, die nach uns teilnehmen werden.
Dies war das erste Jahr, in dem die Universität Cagliari an der CyberChallenge teilnahm.
Zweifellos wird die diesjährige Erfahrung eine noch tiefere Bedeutung für diejenigen haben, die die Gelegenheit haben, sich bei der CyberChallenge im nächsten Jahr zu versuchen.
Im Anschluss an die diesjährigen Veranstaltungen wurde ein Team gebildet, mit dem wir auch in Zukunft an CTFs teilnehmen wollen, auch mit Unterstützung von Schülern, Lehrern und Betreuern des gerade zu Ende gegangenen Wettbewerbs.
Was mich betrifft, hoffe ich, dass unsere vergangenen und gegenwärtigen Erfahrungen als Sprungbrett für zukünftige Teilnehmer an ähnlichen Initiativen in Cagliari dienen können.
Unser Team war das erste, das sich dieser Herausforderung stellte. Die Unterstützung erfolgte daher ausschließlich durch unsere Dozenten. Nach der Cyber ​​Challenge wird die Gruppe der am Kurs teilnehmenden Studierenden konsolidiert und es werden regelmäßig Schulungen zu verschiedenen Arten von Herausforderungen organisiert. Wir hoffen, mit diesen Workouts die Leistung in den nächsten Jahren zu verbessern, neuen Mitgliedern mehr Unterstützung zu bieten und eine stärkere und solidere Erfahrungsbasis zu schaffen. Nachdem ich den Cyber-Challenge-Weg bis zum Ende verfolgt habe, werde ich bei Gelegenheit gerne von meinen Erfahrungen erzählen, um zukünftige Teilnehmer zu motivieren, sich mit der gleichen Leidenschaft, die ich entwickelt habe, an dieser Erfahrung zu beteiligen.

Abschließend bin ich gespannt, was Sie am Ende Ihres Studiums vorhaben. Die Cyberwelt in Italien braucht Experten. Wie wollen Sie vorgehen, um sich auf die Arbeit vorzubereiten? Hat Ihnen die Teilnahme an der CyberChallenge.IT neue Wege eröffnet?

Sicherlich ist das Studium ein wichtiger Teil der Vorbereitung auf die Arbeitswelt, denn ohne solide Grundlagen ist es schwierig, sich in einem Arbeitsumfeld weiterzuentwickeln. Die Teilnahme an der CyberChallenge.IT hat sowohl aus beruflicher als auch aus schulischer Sicht sicherlich neue Wege für die Zukunft eröffnet.
Im Rahmen der CyberChallenge hatten wir die Möglichkeit, uns sowohl lokal als auch überregional mit den unterschiedlichsten Arbeits- und Forschungsrealitäten auseinanderzusetzen, vereint durch die Nachfrage nach Enthusiasten der Branche.

Es war auf jeden Fall eine Erfahrung, die mir die Augen für Möglichkeiten öffnete, die ich nicht kannte, und die es mir gleichzeitig ermöglichte, Optionen zu erkunden, mit denen ich bereits vertraut war. Mit jeder Tür, die sich öffnet, erweitern sich jedoch die Auswahlkriterien.
Kurz gesagt, ich habe keine Ahnung.

Wenn Sie einem Studienanfänger einen Rat geben müssten, welchen Studiengang er einschlagen soll, was würden Sie vorschlagen?

Unser Rat für Studienanfänger ist, die Möglichkeiten zu nutzen, die sich ihnen während des Studiums bieten
von Studien können vorgestellt werden, um zu versuchen, so viel wie möglich reich zu werden, Möglichkeiten wie
CyberChallenge.IT sind sofort zu verstehen und ermöglichen Ihnen herauszufinden, welcher Weg besser geeignet ist.

Cybersicherheit ist nicht nur ein äußerst umfangreiches Feld, sondern erfordert auch ein höheres Maß an Grundkompetenz als viele wissenschaftliche Disziplinen im gleichen Ausbildungsbereich.
Wer sich für diesen Studiengang interessiert, muss über die notwendige weiterführende akademische Ausbildung im Bereich der Informationstechnologie oder einer verwandten Disziplin hinaus eine ständige Motivation und Eigeninitiative bei der individuellen Weiterentwicklung mitbringen.

Wie sehen Sie die Zukunft Italiens in Bezug auf die Cyber-Dimension? Wenn Sie unseren Entscheidungsträgern einen Vorschlag machen müssten, was würden Sie sagen?

Wir müssen in junge Menschen investieren und ihnen Möglichkeiten bieten, die ihre Fähigkeiten vom klassischen Studium abheben
Meiner Meinung nach haben Initiativen wie die CyberChallenge das Potenzial, enorme langfristige Auswirkungen auf Arbeitsplätze und Cybersicherheit im ganzen Land zu haben. 
Ich hoffe, dass es auch in den kommenden Jahren ähnliche Initiativen und eine Stärkung bestehender Initiativen geben wird.

Herzlichen Glückwunsch, Leute, der Geist stimmt, also viel Glück für das gesamte Team, für eure Tutoren und für diejenigen, die euch folgen werden. 
Das Kompliment geht aber auch an die Organisatoren der Ausgabe. Wenn die Jungs zufrieden sind, sind sie es denen zu verdanken, die so viel Mühe in die Organisation des Wettbewerbs gesteckt haben. Natürlich ist es hier noch nicht zu Ende, deshalb freuen wir uns darauf, Sie nächstes Jahr wiederzusehen.
Danke Jungs…

(1) Giorgio Giacinto ist Professor für Computertechnik an der Universität Cagliari 
(2) Davide Maiorca ist Forscher im Bereich Computertechnik an der Universität Cagliari

http://www.difesaonline.it/evidenza/cyber/cyberchallengeit-sfide-la-cybe...
https://cyberchallenge.it/
https://www.consorzio-cini.it/index.php/it/lab-cyber-security
https://www.unica.it/unica/

Events

Klicken Sie auf die rot hervorgehobenen Tage und finden Sie heraus, was belegt ist.
Geschichten des Militärlebens
Schick uns deine Geschichte
Hommage an die 80. „Roma“-Infanterie, die ehrenvoll Abschied nimmt

Nun ja, wir sind mittlerweile daran gewöhnt, die Schließung der Kasernen mitzuerleben und vielleicht sogar ein wenig daran, die lange Geschichte der Abteilungen zu begraben, ein Phänomen, das die Erinnerungen jedoch nicht löscht. Es berührte auch...

Lesen Sie die Geschichte
"Il Signor Parolini" (XNUMX. Teil)

Das gebackene Hühnchen wurde wie erwartet seinem Ruf gerecht und festigte, wo nötig, die unbestrittene kulinarische Meisterschaft von Gastone, Chef ...

Lesen Sie die Geschichte