Italienische CyberChallenge: Die Erfahrung des Teams der Universität von Cagliari

(Di Alessandro Rugolo)
05 / 08 / 19

In der Vergangenheit haben wir der genannten Aktivität Raum gegeben CyberChallenge.ITMit einem Artikel, der das Thema der Ausschreibung und die Auswahlverfahren erläuterte und die letzte Phase für die 27 im Juni ankündigte.
Jetzt, nach ein paar Monaten, können wir Schlussfolgerungen ziehen, aber wir haben beschlossen, dies gemeinsam mit den Jungen eines der teilnehmenden Teams zu tun: dem Team der Universität Cagliari, das von Professor Giorgio Giacinto (1) und Doktor Davide Maiorca (2) in Bezug auf Qualität koordiniert wird von Trainer.

Beginnen wir damit, die Teilnehmer kennenzulernen. Können Sie sich in ein paar Zeilen vorstellen? Wer bist du Was studierst du

Mein Name ist Lorenzo Pisu, ich habe 20-Jahre und studiere im Informatikkurs an der Universität von Cagliari.
Ich bin Matteo Cornacchia und ich bin auch in den Informatik-Kurs an der Universität von Cagliari eingeschrieben.
Mein Name ist Francesco Meloni, ich habe einen Abschluss in Computertechnik und einen Master-Abschluss in Computertechnik, Cybersicherheit und Künstliche Intelligenz an der Universität von Cagliari.
Ich bin Daniele Pusceddu, ich habe 19-Jahre und ich muss das letzte Schuljahr am Scano Industrial Technical Institute in Cagliari, IT-Abteilung, absolvieren.

Glückwunsch Jungs, ich weiß, dass es nicht sehr gut gelaufen ist, aber ich bin sicher, dass das nächste Jahr besser wird. Zunächst möchten wir wissen, wie es sich anfühlt, an einem solchen Teamrennen teilzunehmen. Welche Gefühle hast du gefühlt? Was hat Sie zur Teilnahme veranlasst?

Die Teilnahme am Rennen war eine Erfahrung, die uns auf die Probe stellte. Sicherlich gibt es viel Adrenalin und eine enorme geistige Anstrengung, aber es war eine sehr positive Erfahrung und ein großes Wachstum sowohl in Bezug auf die Fähigkeiten als auch auf persönlicher Ebene. Ich denke, der Hauptgrund für unsere Teilnahme ist, dass wir uns engagieren, also würde ich es wieder tun!

Die Hauptmotivation für mich war sicherlich meine Neugier, die ich bereits auf dem Gebiet der Cybersicherheit gesehen habe.
Innerhalb der Kurse, vor allem aber in den Phasen der Vorbereitung und des nationalen Wettbewerbs, hatte ich die Möglichkeit, mich mit Menschen unterschiedlichster Herkunft, aber mit vielen gemeinsamen Leidenschaften auseinanderzusetzen.

Die Initiative war für mich vor allem eine wertvolle Gelegenheit, mein Wissen über Computersicherheit, aber auch über die Umwelt sowohl im Hinblick auf den Wettbewerb als auch auf die institutionelle und private Realität, die sie umgibt, zu erweitern. Ich kann ohne Zweifel sagen, dass das gesamte Programm das wertvollste außerschulische Erlebnis ist, an dem ich je teilgenommen habe.

Der Aspekt, der mich zur Teilnahme veranlasste, war zweifellos der Wunsch, mich selbst zu testen und viele technische Aspekte der Computersicherheit in einem dynamischen und wettbewerbsorientierten Umfeld kennenzulernen. Die Erfahrung wurde als Herausforderung konfiguriert, die meine technischen Fähigkeiten und Teamfähigkeit ausgiebig testete. Ich bin jetzt großartig für das Altersziel der Initiative, aber angesichts meines Weges und des meiner Teamkollegen während der Cyber ​​Challenge denke ich, dass es für Jungen, die noch in der High School sind oder zu Beginn der Universität sind, eine unumgängliche Chance ist einen großen Sprung in Bezug auf Wissen und Fähigkeiten in der Informationssicherheit zu machen.

Lassen Sie uns nun über den organisatorischen Aspekt sprechen. Wie bist du organisiert? Hast du einen Führer ernannt? Wie haben Sie die Entscheidungen getroffen?

Aus organisatorischer Sicht waren wir hauptsächlich nach Rollen gegliedert
vor dem Rennen dank der wertvollen Ratschläge unseres Trainers Davide gegründet,
Also haben wir keinen Führer unter uns gefunden, wir haben die Entscheidungen durch Kommunikation getroffen
und in Übereinstimmung mit dem, was vor dem Rennen festgelegt wurde.

Innerhalb des vierköpfigen Teams haben wir die einzelnen Aufgaben nach den erworbenen Fähigkeiten und dem Vertrauen in die Verwendung des in der kurzen Vorbereitungsphase erstellten Toolkits aufgeteilt.

Auf diese Weise wurden die Entscheidungen von der Person präsentiert und folglich getroffen, die am besten in der Lage war, die geeignete Antwort auszuwählen.

Nach der Gründung des Teams haben wir die Aufgaben zur Organisation eines Toolkits festgelegt, das das Versenden von Angriffen auf Dienste im Rahmen der Ausschreibung automatisiert und sich als erfolgreiches Tool erwiesen hat. Während des Wettbewerbs wurden wir von zwei Personen in Arbeitsgruppen aufgeteilt, die die von jedem Paar bevorzugten Dienstleistungen analysierten. Die Angriffe, die geschrieben wurden, wurden vom implementierten Toolkit automatisch an das Netzwerk weitergeleitet.

Was war der schwierigste Aspekt des Rennens? Ich spreche nicht nur von der Endphase, sondern vom gesamten Rennen, beginnend mit dem Beginn der Auswahl.

Der schwierigste Aspekt des Rennens ist vielleicht, die Stärke des Willens zu finden, niemals aufzugeben. Manchmal treten enorme Probleme auf, sowohl während des letzten Rennens als auch während der Auswahl, nach stundenlangen Versuchen, sie zu lösen, ist man jedoch frustriert Sie müssen es immer wieder versuchen, nur um Ergebnisse zu erzielen.

Aus meiner persönlichen Sicht war der Teil, der sich bei weitem als der schwierigste auf dem Weg herausstellte, nicht so sehr die individuelle Technik, sondern die Fähigkeit, die individuellen Fähigkeiten der Gruppenmitglieder in der Endphase optimal zu nutzen.
Zweifellos war das Feld, das im nationalen Finale eine entscheidende Rolle spielte, die Erfahrung im Wettbewerbsformat und in der Teamarbeit im Allgemeinen.

Universitäten, an denen es keine CTF-Realität gab (nicht unbedingt ausschließlich für die CyberChallenge), die weniger als einen Monat Zeit hatte, ein geeignetes Toolset zu koordinieren und vorzubereiten, waren mit einem im Wesentlichen unüberwindbaren Kompetenzdefizit konfrontiert.
In unserem Fall machte die Einzigartigkeit der Situation die Erfahrung für unser Training besonders wertvoll.

Für mich war der schwierigste Aspekt des Rennens sicherlich die Analyse, die erforderlich war, um die Funktionsweise der Programme zu verstehen und Angriffsvektoren zu identifizieren. Angesichts der Struktur der Dienste gingen die Module oft verloren und es wurde eine Schwachstelle im Quellcode gesucht, die manchmal durch eine Funktionsanalyse des Programms und seines Verhaltens leichter zu identifizieren war. Sobald der Angriffsvektor gefunden wurde, war ein Merkmal, das allen Tests gemeinsam war, die Tatsache, dass der Exploit-Modus nicht zu Standard- oder bekannten Modi zurückführte, sondern häufig für den Dienst ad hoc war.

Woraus bestand der Abschlusstest?

Das letzte Rennen besteht aus einem Angriff und einer Verteidigung, in denen die verschiedenen Teams alle dieselbe anfällige Maschine haben, in der es Inhalte der Flaggen gibt, die Textfolgen sind, die es den Gegnern ermöglichen, Punkte zu verdienen, wenn sie gestohlen werden. Jedes Team greift andere an, indem es Sicherheitslücken ausnutzt, und versucht gleichzeitig, sich gegen die Angriffe anderer Teams zu verteidigen, indem es die Sicherheitslücken seines eigenen Computers korrigiert oder "patchando".

In der Praxis erhält jedes Team eine identische virtuelle Maschine. Der Zweck der CTF besteht darin, die auf der Maschine vorhandenen absichtlich verwundbaren Dienste zu analysieren und diese Informationen zu verwenden, um die Maschinen der Gegner anzugreifen und sich gleichzeitig vor den Angriffen anderer zu schützen.

Jedes Team hatte einen Server mit den gleichen Diensten nach außen. Diese Dienste (bei denen es sich sowohl um Websites als auch um ausführbare Dateien handeln kann) wiesen Sicherheitslücken auf. Die erste Phase des Rennens, die Verteidigung, bestand darin, diese Schwachstellen zu finden, um sie so anzupassen, dass das eigene System nicht mehr angreifbar ist, und um zu verstehen, wie man sie während des Angriffs auf die Gegner ausnutzt.

Sie waren sehr klar. Aber jetzt sag mir: Hast du darüber nachgedacht, wie du die Leistungen für das nächste Jahr verbessern kannst? Planen Sie erneut teilzunehmen? Können Sie Ihren Jugendlichen von Ihren Erfahrungen an der Universität erzählen?

Ja, am Ende des Rennens haben wir berichtet, was gut gelaufen ist und was
könnte verbessert werden, dies war vielleicht das wichtigste ziel des rennens, sich zu verbessern.
Darüber hinaus helfen uns diese Berichte, uns auf andere Wettbewerbe vorzubereiten, an denen wir teilnehmen werden. Wir denken und hoffen, dass wir die Gelegenheit haben werden, die Erfahrung den Jüngsten mitzuteilen. Es ist sehr wichtig, dass wir nicht das Glück hatten, jemanden zu haben, der bereits an den vergangenen Ausgaben teilgenommen hat. Wir hoffen, dass unsere Erfahrung denen helfen kann, die teilnehmen werden nach uns.
Dies war das erste Jahr, in dem die Universität von Cagliari an der CyberChallenge teilnahm.
Die diesjährige Erfahrung wird zweifellos eine noch tiefere Bedeutung für diejenigen haben, die die Möglichkeit haben, sich in der CyberChallenge des nächsten Jahres zu versuchen.
Nach den Ereignissen dieses Jahres wurde ein Team gebildet, mit dem wir an zukünftigen CTFs mit Unterstützung von Kindern, Lehrern und Hilfspersonal des gerade beendeten Wettbewerbs teilnehmen wollen.
Ich hoffe, dass unsere bisherigen und gegenwärtigen Erfahrungen künftigen Teilnehmern ähnlicher Initiativen in Cagliari als Sprungbrett dienen können.
Unser Team hat sich als erstes dieser Herausforderung gestellt. Die Unterstützung kam daher nur von unseren Instruktoren. Nach der Cyber ​​Challenge wurde die Gruppe der Studenten, die an dem Kurs teilgenommen haben, konsolidiert und Schulungen zu verschiedenen Arten von Herausforderungen organisiert. Wir rechnen mit diesen Workouts, um die Leistung in den nächsten Jahren zu verbessern, neuen Mitgliedern mehr Unterstützung zu bieten und eine immer stärkere Erfahrungsbasis zu schaffen. Wenn ich den Weg der Cyber ​​Challenge bis zum Ende eingeschlagen habe, werde ich gerne meine Erfahrungen mitteilen, um die zukünftigen Teilnehmer zu motivieren, sich mit derselben Leidenschaft an dieser Erfahrung zu beteiligen, mit der ich gereift bin.

Schließlich bin ich gespannt, was Sie am Ende Ihres Studiums vorhaben. Die Cyberwelt in Italien braucht Experten. Wie wollen Sie sich auf die Arbeit vorbereiten? Hat die Teilnahme an CyberChallenge.IT für Sie neue Wege eröffnet?

Sicherlich ist das Lernen ein wichtiger Teil der Vorbereitung auf die Arbeitswelt. Ohne eine solide Grundlage ist es schwierig, in einem Arbeitsumfeld zu wachsen. Die Teilnahme an CyberChallenge.IT hat sicherlich neue Wege für die Zukunft eröffnet, sowohl aus geschäftlicher als auch aus schulischer Sicht.
Im Rahmen der CyberChallenge hatten wir die Gelegenheit, uns auf lokaler und nationaler Ebene mit den unterschiedlichsten Arbeits- und Forschungsrealitäten zu konfrontieren, die durch die Nachfrage nach Fans der Branche verbunden sind.

Sicherlich war es eine Erfahrung, die mir die Augen für Möglichkeiten öffnete, die ich nicht kannte, und die es mir ermöglichte, auch Optionen zu erkunden, die ich bereits kannte. Für jede Tür, die sich öffnet, werden die Auswahlkriterien jedoch erweitert.
Kurz gesagt, ich habe keine Ahnung.

Wenn Sie einen Studienanfänger über den Verlauf des Studiums beraten würden, was würden Sie vorschlagen?

Unser Rat für einen Neuling ist, die Möglichkeiten während des Kurses zu nutzen
Studien können vorgelegt werden, um zu versuchen, so reich wie möglich zu werden, Anlässe wie
CyberChallenge.IT sollte sofort genutzt werden, damit Sie herausfinden können, welcher Weg am besten geeignet ist.

Cybersicherheit ist ein Bereich, der nicht nur extrem weitläufig ist, sondern ein höheres Maß an Grundkompetenz erfordert als viele wissenschaftliche Disziplinen im selben Ausbildungsbereich.
Abgesehen von der unverzichtbaren akademischen Ausbildung auf dem Gebiet der Informationstechnologie oder verwandten Disziplinen muss jeder, der an diesem Studiengang interessiert ist, eine konstante Motivation und Eigeninitiative in seiner individuellen Entwicklung aufweisen.

Wie sehen Sie die Zukunft Italiens in Bezug auf die Cyberdimension? Wenn Sie unseren Entscheidungsträgern einen Vorschlag machen müssten, was würden Sie sagen?

Wir müssen in junge Menschen investieren und ihnen Möglichkeiten bieten, mit denen sie sich vom klassischen Studium abheben können
Meiner Meinung nach haben Initiativen wie die CyberChallenge eine außerordentliche langfristige Auswirkung auf Beschäftigung und Cybersicherheit im gesamten Land.
Ich hoffe, auch in den kommenden Jahren an ähnlichen Initiativen teilnehmen und bestehende Initiativen stärken zu können.

Herzlichen Glückwunsch Jungs, der Geist ist der Richtige, also viel Glück für das gesamte Team, für Ihre Tutoren und für diejenigen, die Ihnen folgen werden.
Das Kompliment geht aber auch an die Organisatoren der Ausgabe. Wenn die Kinder zufrieden sind, sind sie es denen schuldig, die sich so viel Mühe gegeben haben, den Wettbewerb zusammenzustellen. Natürlich hört es hier nicht auf, also freuen wir uns auf ein Wiedersehen im nächsten Jahr.
Danke Jungs ...

(1) Giorgio Giacinto ist Professor für Computertechnik an der Universität von Cagliari
(2) Davide Maiorca ist ein Forscher für Computertechnik an der Universität von Cagliari

http://www.difesaonline.it/evidenza/cyber/cyberchallengeit-sfide-la-cybe...
https://cyberchallenge.it/
https://www.consorzio-cini.it/index.php/it/lab-cyber-security
https://www.unica.it/unica/