Europäische Herausforderung für die Cybersicherheit: Italien Zweiter in der Gesamtwertung

(Di Giorgio Giacinto)
16 / 12 / 19

Interview mit Emilio Coppa, Giovanni Lagorio und Mario Polino, Trainern des italienischen Cyber-Verteidigerteams "TEAM ITALY", das von Studenten des Trainingskurses Cyberchallenge.IT (Link).

Emilio Coppa ist wissenschaftlicher Mitarbeiter am Institut für Computer-, Automatisierungs- und Managementtechnik der Universität Sapienza in Rom. Er promovierte 2015 in Informatik und befasste sich schwerpunktmäßig mit Techniken der statischen und dynamischen Analyse von Software. Seit 2017 ist er Mitglied des Organisationskomitees von CyberChallenge.IT und einer der Manager der Nationalmannschaft für die European Cyber ​​Security Challenge (ECSC).

Giovanni Lagorio ist Forscher am DIBRIS der Universität von Genua. Er interessiert sich für Cybersicherheit und ethisches Hacken und ist einer der Gründer des ZenHack-Teams und Organisator von CyberChallenge.IT für das Büro in Genua. Seit 2019 ist er einer der Manager des nationalen Cyber-Defender-Teams für die European Cyber ​​Security Challenge (ECSC).

Mario Polino ist wissenschaftlicher Mitarbeiter am DEIB des Politecnico di Milano, wo er sich mit Malware und binärer Analyse befasst. Seit 2009 nimmt er am CTF-Wettbewerb mit dem Tower of Hanoi-Team und seit 2018 mit mhackeroni teil. Seit 2019 ist er Trainer des nationalen Cyber-Defender-Teams für die European Cyber ​​Security Challenge (ECSC).

Zunächst eine kurze Übersicht über die Teammitglieder. Was sind die Herkunftsstädte? Was sind die Herkunftsstudiengänge?

Wir erinnern die Leser daran, dass die Teammitglieder aus dem CyberChallenge.IT-Schulungskurs stammen, der vom CINI National Cybersecurity Laboratory organisiert wurde und an dem ursprünglich 20 junge Menschen an jedem der 18 teilnehmenden Universitätsstandorte trainiert haben. Nach dem Training wählte jeder Austragungsort vier Jungen aus, um die lokale Mannschaft zu bilden, die am 27. Juni am nationalen Finale in Chiavari teilnahm.
Dank des nationalen Finales konnte die Nationalmannschaft gebildet werden.
Das Team besteht aus zehn Männern, die aus verschiedenen italienischen Realitäten stammen.

Andrea Biondo (der Kapitän) und Riccardo Bonafede sind zwei Studenten der Universität von Padua. Der erste lebt in Cassier (Treviso) und ist derzeit im Masterstudiengang Informatik eingeschrieben. Der zweite kommt aus Padua und absolviert die Triennale für Computertechnik. Ebenfalls aus Venetien stammt Antonio Groza, der in Mirano (Venedig) lebt und nach seinem Abschluss am ITIS im Jahr 2018 beschloss Levi Ponti, direkt eine berufliche Laufbahn einzuschlagen.

Marco Bonelli, Andrea Laisa und Samuele Turci studieren in Mailand. Marco kommt aus Terni und besucht den dreijährigen Kurs für Computertechnik am Mailänder Polytechnikum. Andrea stammt aus Bergamo und studiert immer an der Polytechnischen Hochschule in Mailand. Sie ist jedoch für den dreijährigen Studiengang Informatik eingeschrieben. Schließlich kommt Samuele aus Gatteo (Forlì-Cesena) und ist für den dreijährigen Studiengang Informatik an der Universität Mailand eingeschrieben.

In Rom studieren drei Teamteilnehmer: Qian Matteo Chen, Dario Petrillo und Michele Lizzit. Matteo lebt in Rom und studiert drei Jahre Informatik an der Universität La Sapienza in Rom. Dario lebt ebenfalls in Rom und studiert an der Sapienza, besucht aber die dreijährliche Fachrichtung Computertechnik. Schließlich lebt Michele in Pasian di Prato (Udine) und besucht die Triennale für Management und Informatik an der Freien Internationalen Universität für Sozialwissenschaften (LUISS) Guido Carli.

Geografisch weiter südlich studiert Davide Palma an der Informatik-Triennale der Universität Bari und lebt in Apricena (Foggia).

Nach welchen Kriterien wurden die Mitglieder der Nationalmannschaft aus den Teilnehmern des Finales ausgewählt?

Der Pool der Wahl setzte sich aus den Teilnehmern von CyberChallenge.IT ab 2019, aber auch aus den Vorjahren zusammen. Die Initiative war sehr effektiv und hat viele fähige junge Leute in diese Art von Wettbewerb eingeführt, die sich im Laufe der Zeit stark verbessert haben, um trotz ihres jungen Alters auf höchstem Niveau zu bestehen. Die Auswahl war nicht einfach, es gibt viele gute Leute, aber einige Einschränkungen bei der Zusammensetzung des Teams in den Wettkampfregeln haben diese Auswahl vereinfacht.
Alle 10 Spieler müssen jünger als 25 Jahre sein und 5 von ihnen müssen jünger als 20 Jahre sein. Es gibt viele gute Leute unter 25 Jahren. Weniger jedoch in Bezug auf die Band bis 20. Diese Regelung unterteilt das Team grundsätzlich in zwei Quoten: Senior (21-25 Jahre) und Junior (unter 20 Jahre). Wir haben daher zwei Ranglisten erstellt, eine für die Senioren und eine für die Junioren, in denen wir die Leistungen der Kandidaten in den vergangenen Veranstaltungen bewertet haben. Insbesondere bewerteten wir den lokalen Test, das ist die individuelle Herausforderung, der sich jeder CyberChallenge.IT-Teilnehmer am Ende des Trainingskurses gegenübersah. Dabei handelt es sich um einen nationalen Wettbewerb, der in Teams zwischen den verschiedenen Austragungsorten stattfindet, aber auch um externe Wettbewerbe, die sich voneinander unterscheiden Die letzten Teammitglieder nahmen teil. Das Ergebnis war ein beeindruckendes Team und die Position auf dem zweiten Platz ist die Bestätigung dafür.

An diesem Punkt gehen wir zur Trainings- und Konstruktionsphase des echten "Teamspiels" über. Wie haben Sie die unterschiedliche geografische Herkunft und Grundausbildung bewältigt?

Der Trainer wählte die Teilnehmer aus, indem er absichtlich ein heterogenes Training auswählte, das unerlässlich ist, um auf jede Art von Herausforderung vorbereitet zu sein. Die unterschiedliche geografische Herkunft wurde dagegen durch die Organisation eines viertägigen Retreats an der IMT High Studies School in Lucca Mitte September gemildert.

Dort lernten sich die Jungs dank verschiedener Gruppenaktivitäten kennen und bildeten ein echtes Team. Darunter auch Aktivitäten, die nicht ausschließlich mit der Informatik zu tun haben, aber nicht weniger wichtig sind, wie zum Beispiel das Filmen und Bearbeiten des Videos, Goliard, Teampräsentation und Abendbier.

Können Sie uns sagen, wie sich das Team in Bezug auf die Aufgabenteilung organisiert hat? Wurde ein Anführer ernannt oder ist ein spontaner Anführer entstanden? Dieser Aspekt hängt sicherlich eng mit der Art des Wettbewerbs zusammen. Können Sie uns eine kurze Beschreibung des Spielmodus geben?

Dank der Lucca-Rallye konnte das Team die Fähigkeiten identifizieren, die jedes Teammitglied für den Wettbewerb zur Verfügung stellen konnte.

Als Mannschaftskapitän sahen wir sofort Andrea Biondo als besten Kandidaten: Teil des Teams, das CyberChallenge.IT 2018 gewann, Mitglied des CTF Spritzers- und mHACKeroni-Teams, Mitglied der Nationalmannschaft für die EGKS im Jahr 2018 und Mitautorin von wissenschaftlichen Artikeln in Schlüsselkonferenzen im Bereich Cybersicherheit.

Der Wettbewerb fand über zwei Tage nach einem Gefährdungsformat statt, bei dem Teams Herausforderungen lösen müssen, um Punkte zu erzielen. Jede Herausforderung kann als eine IT-Herausforderung angesehen werden, sowohl Software als auch Hardware, die ein reales Szenario nachbildet, jedoch in einem isolierten Kontext, sodass Kinder Spaß haben können, ohne in der realen Welt Schaden zu nehmen. Konkrete Beispiele für diese Herausforderungen können Webportale sein, in denen Administratorzugriff erforderlich ist, oder eingebettete Systeme, in denen Lücken zum Ausführen nicht autorisierter Aktionen identifiziert werden.

Die 36 Herausforderungen, die von den rumänischen Organisatoren vorbereitet wurden, waren gleichmäßig auf die beiden Wettkampftage verteilt, sodass die Jungen die Herausforderungen des ersten Tages nicht am zweiten Tag lösen konnten. Die Punktzahl jeder Herausforderung wurde dynamisch ermittelt: Durch diesen Mechanismus muss keine A-priori-Punktzahl vergeben werden, die auf der geschätzten Schwierigkeit basiert (die immer sehr schwer zu bewerten ist).

Zusätzlich zu den Hardware- und Software-Herausforderungen haben die Organisatoren basierend auf der Fähigkeit der verschiedenen Teams zusätzliche Punkte vergeben, um: (a) einen durch Hardware-Herausforderungen gekennzeichneten Fluchtraum innerhalb von maximal 30 Minuten zu überwinden, (b) die Lösung in 5 Minuten vorzustellen einer der Herausforderungen, die von einer Jury aus Nicht-Experten gelöst wurden.

Während der letzten zwei Stunden des Rennens war die Anzeigetafel mit den Ergebnissen bis zur Siegerehrung am Abend des folgenden Tages verdeckt.

Und jetzt kommen wir zu den zarten Momenten, aufgeteilt in drei Tage. Können Sie beschreiben, welche Emotionen das Team an den Tagen erlebt hat? Italien gehörte bereits ab dem zweiten Teil des ersten Tages zur Spitzengruppe und belegte in verschiedenen Phasen des Rennens den ersten Platz. Wie wurden diese Momente gelebt?

Was war der schwierigste Aspekt des Rennens? Welcher hat dich am meisten befriedigt?
Am Anfang waren wir alle sehr aufgeregt, aber als wir uns den verschiedenen Herausforderungen stellten, war die Konzentration so groß, dass wir nicht viel über etwas anderes nachdachten.
Einige Herausforderungen dauerten mehrere Stunden und die gemeinsame Arbeit verschiedener Mitglieder, teilweise aufgrund technischer Schwierigkeiten, teilweise weil nicht klar war, was zu tun war und die Kommunikation mit den Organisatoren manchmal schwierig war. Es ist klar, dass es sehr frustrierend sein kann, stundenlang an einer Herausforderung festzuhalten, aber wie sie sagen, gewinnt derjenige, der sie gewinnt, und am Ende haben wir es geschafft, viele von ihnen zu lösen. Die sofortige Teilnahme an der Spitzengruppe hat uns ein wenig unter Druck gesetzt, aber jede bewältigte Herausforderung hat uns viel Energie und Selbstvertrauen eingebracht, was uns geholfen hat, die Entschlossenheit für all diese Stunden aufrechtzuerhalten.
Das Team hat sehr gut gearbeitet und dieser Aspekt hat sich ausgezahlt und uns an die Spitze der Gesamtwertung geführt. Dies ist wahrscheinlich der Aspekt, der uns am meisten befriedigt hat.

Nachdem das Rennen auf dem zweiten Platz beendet ist, was sind die Reflexionen dieser Erfahrung, die sich sicherlich auf Ihre zukünftigen Lehr- und Forschungstätigkeiten auswirken werden? Hat einer der Jungs daran gedacht, einen Job mit einem Start-up zu beginnen? Wann denken sie über ihre Zukunft nach, sehen sie sich in Italien oder im Ausland?

Wir werden diese Erfahrung mit Sicherheit schätzen. Einige Leute haben bereits Berufserfahrung und erwägen auch die Möglichkeit, ein Startup zu gründen. Andere verweisen auf Forschungsaktivitäten: Es gibt jene, die an eine Promotion denken und Teil des Forschungs- und Entwicklungssektors einer großen Industrie werden möchten. Zum Glück für unser Land, wenn sie an die Zukunft denken, sehen sich einige in Italien, auch wenn es nicht an denen mangelt, die die Möglichkeit in Betracht ziehen, für einen Computergiganten auf der anderen Seite des Ozeans zu arbeiten.

Wirst du auch weiterhin an anderen Wettbewerben teilnehmen? Was haben Sie vor, um Ihre Erfahrungen mit den Jüngeren zu teilen?

Sicherlich wird das Team auch nächstes Jahr an der EGKS teilnehmen, einige Mitglieder werden die Altersgrenze überschreiten und daher wird sich das Team ein wenig ändern müssen. Dies sind jedoch Einschätzungen, die im Anschluss an die nächste Ausgabe von CyberChallenge.IT vorgenommen werden müssen. Wie in der Vergangenheit gehen wir davon aus, dass die derzeitigen Teammitglieder dabei helfen werden, die neuen Hebel zu trainieren.
In der Zwischenzeit, unmittelbar nach dem Wettbewerb in Rumänien, flog ein großer Teil des Teams nach Abu Dhabi zum Hack in The Box CyberWeek, wo sie an zwei verschiedenen Wettbewerben teilnahmen:

  • Ein Teil von ihnen nahm teil und gewann den "Cyber ​​Battle of The Emirates" -Wettbewerb, der für junge Menschen konzipiert wurde, die sich mit der Welt der Flaggenjagd und der Sicherheit im Allgemeinen auseinandersetzen.
  • Ein anderer Teil nahm stattdessen als "mhackeroni" an ProCTF teil. Der ProCTF ist ein Wettbewerb ohne Altersbeschränkung und für Profis konzipiert. Team mhackeroni wurde Dritter.

Viele der Spieler von Team Italy, aber auch die anderen Teilnehmer von CyberChallenge.IT, spielen nach dieser Erfahrung weiterhin in den lokalen Teams der verschiedenen Universitätsstandorte. Diese Teams bestehen nicht nur aus Anfängern, sondern auch aus langjährigen Spielern, die das ganze Jahr über an verschiedenen Wettbewerben teilnehmen. Es gibt eine öffentliche Liste der italienischen Teams, die CyberChallenge.IT-Teilnehmer aufgenommen haben oder die genau von den Jungen geboren wurden, die an dieser Initiative teilgenommen haben: https://cyberchallenge.it/ctf-teams.

Eines dieser Teams ist das "Mahckeroni" -Team (https://mhackeroni.it/), die seit einigen Jahren am DEF CON CTF teilnimmt, einem der schwierigsten Wettbewerbe in dieser Kategorie. Um an diesem Wettbewerb teilzunehmen, müssen Sie sich qualifizieren, indem Sie eines der ausgewählten Events gewinnen. Es gibt keine Einschränkungen in Bezug auf Alter, Anzahl oder Beruf, und viele Fachleute der Branche nehmen an dieser Art von Wettbewerb teil. Und nur die besten 16 Teams der Welt können einen Platz für das Finale in Las Vegas gewinnen. Mehrere Mitglieder des "Team Italy" sind Teil des "mhackeroni" -Teams, das im vergangenen August den 5. Platz in diesem Wettbewerb belegte.

Vielen Dank für Ihre Bemühungen, halten Sie uns über Ihre Aktivitäten auf dem Laufenden. Difesa Online und seine Leser unterstützen Sie. Viel Glück an alle!

https://europeancybersecuritychallenge.eu/