Immagine in evidenza: Team mhackeroni, credits mhackeroni
“Capture the flag”, cattura la bandiera. Anzi, rubabandiera diremmo in italiano. Ma non parliamo esattamente del gioco che si fa da piccoli il cui scopo è quello di afferrare la bandiera e tornare alla base della propria squadra prima che a farlo sia l’avversario. O meglio: il nome è ispirato proprio al gioco, ma in questo caso il riferimento è ad un’altra “flag” – generalmente un’informazione, una stringa, un artefatto – nascosta intenzionalmente in programmi software o siti web che ciascun team che partecipa alle competizioni deve individuare prima degli altri. Le competizioni si chiamano CTF e sono le sfide per antonomasia della cybersicurezza. Team di tutto il mondo composti da informatici, ingegneri e matematici si affrontano per risolvere in un numero definito di ore problemi dalle soluzioni sempre più complicate e vince chi riesce ad arrivarci prima.
Prima di entrare nel dettaglio e spiegare che cosa sono le CTF, una precisazione: all’interno della community non c’è unanimità nell’utilizzo del genere maschile o femminile in riferimento ai o alle CTF. Ed è un problema talmente sentito che Marco Squarcina, ricercatore postdoc e fondatore del team CTF c00kies@venice dell’Università di Venezia, nel 2018 chiamò in causa su Twitter l’Accademia della Crusca che si pronunciò sul dilemma linguistico. Vista la composizione della parola CTF che è al tempo stesso sia una sigla che una parola presa in prestito dall’inglese, non esiste una regola definita. Sarà quindi l’utilizzo che si farà nel tempo a determinarne il genere. Allo stato attuale, si può dire che persiste una sorta di “scontro generazionale” dove la vecchia scuola – chi ha iniziato a fare CTF più o meno una decina di anni fa o anche più – preferisce utilizzare il maschile, mentre le nuove generazioni sembrano prediligere il femminile. Nella scrittura di questo articolo, noi di Guerre di Rete abbiamo deciso di utilizzare il femminile.
https://twitter.com/AccademiaCrusca/status/1005715943253790720?s=20&t=BdbxxbjWrYSoQDffBq5vcQLe tipologie di CTF
Capiamo, quindi, che cosa sono le CTF. Intanto non ne esiste soltanto un tipo, le competizioni riguardano diversi ambiti della cybersicurezza e possono essere sia di difesa che di attacco. Nella tipologia “difesa e attacco” diversi team si attaccano e difendono a vicenda. Ci sono poi le challenge (sfide) che rientrano sotto la macro-categoria jeopardy, come ad esempio quelle di reverse-engineering – letteralmente ingegneria inversa – dove si deve capire come un software è stato scritto attraverso una serie di tentativi che vadano a ricostruire il codice procedendo, appunto, al contrario. Quelle di forensics, nelle quali invece si cercano tracce di attività malevole analizzando un dispositivo o un file proprio come un informatico forense. Ma si potrebbe continuare con le CTF lato web, di crittografia, exploitation, steganografia e altro ancora.
“Fare le CTF è un modo di dimostrare che sai fare qualcosa e lo sai fare bene. Impari tantissimo, perché sono occasioni in cui riesci a capire che cosa è fattibile e cosa non lo è dal punto di vista della [cyber]security, e poi c’è in qualche modo anche la componente oggettività: la flag poteva prenderla chiunque, ma sei stato tu l’unico o uno dei pochi in grado di farlo”, racconta a Guerre di Rete Mario Polino, ricercatore al Politecnico di Milano, membro dei team di Tower of Hanoi e mhackeroni, e allenatore della squadra nazionale italiana TeamItaly.
I team italiani
Tower of Hanoi è il primo team a nascere in Italia al Politecnico di Milano nell’ormai lontano 2004, un’era fa se pensiamo a cosa voleva dire occuparsi di cybersicurezza in quegli anni e in Italia in particolar modo. “Allora le CTF che venivano organizzate in tutto il mondo erano sì e no due in tutto l’anno, oggi basta aprire CTF Time [sito che raccoglie il calendario degli eventi CTF e le classifiche di tutti i team che gareggiano nel mondo, ndr] e sceglierne una tra cinque che si tengono ogni settimana”, continua Polino. Ad aumentare, però, non è stato solo il numero di CTF ma anche il loro livello di difficoltà.
“È un mondo che è cambiato tantissimo, ora è molto più complicato e non si può pensare di iscriversi e fare CTF per conto proprio”, spiega Matteo Rossi, ricercatore in crittografia al Politecnico di Torino e membro del team pwnthemole, oggi primo in classifica in Italia. Delle difficoltà crescenti delle competizioni ne sanno qualcosa i team TheRomanXpl0it dell’Università La Sapienza di Roma, c00kies@venice dell’Università Ca’ Foscari di Venezia, No Pwn Intended anche noti come spritzers dell’Università degli Studi di Padova e i già citati The Tower of Hanoi del Politecnico di Milano che nel 2018 si unirono per affrontare l’ostacolo più duro: qualificarsi a DEF CON, le olimpiadi delle CTF che ogni anno si tengono a Las Vegas in concomitanza con la conferenza di cybersecurity più prestigiosa al mondo. Dalla fusione dei quattro team nascono i mhackeroni che dietro il logo di un maccherone colante di sugo passano quelle qualificazioni che negli anni precedenti, da team singoli, avevano sempre sfiorato per un pelo.
Nei racconti di chi ci è stato o conosce le dinamiche con cui viene organizzato DEF CON c’è sempre un luogo che ritorna: la suite degli hotel. “Quando siamo partiti nel 2018 alla volta di Las Vegas eravamo in trentotto persone. Per molti anni, il numero di partecipanti a DEF CON è stato fissato a 8 persone. La verità è che è una competizione di hacking e il limite non è mai stato rispettato, perché gli altri membri si collegavano dalle suite degli alberghi intorno e partecipavano anche loro alla competizione. Questa cosa era nota, infatti quando poi sono cambiati gli organizzatori si è deciso di eliminare la regola che, di fatto, nessuno rispettava. È rimasto solo il limite di otto per le persone presenti in sala, quante poi se ne colleghino dagli hotel non importa”, ricorda Polino che nel 2018 era proprio in uno di quei hotel. E comunque organizzare un viaggio simile per decine di persone non è impresa da poco sia in termini logistici che economici
Il ruolo delle università
A dare una mano sono spesso le stesse università che sostengono i team affiliati fornendo le proprie aule per gli incontri e, in casi come il DEF CON o altre CTF internazionali, anche economicamente [Guerre di Rete non è in grado di dire se tutte le università italiane sostengano economicamente i team CTF che si sono formati al loro interno, ma è un dato che ha potuto riscontrare con i soli team di cui ha intervistato i referenti, ndr]
“I team che sopravvivono generalmente hanno un’affiliazione con le università”, ci spiega Paolo Montesel, membro del team mhackeroni, “ma per il semplice fatto che arriva un momento in cui subentrano gli impegni lavorativi o di altro tipo e a quel punto all’interno dell’università è più facile che avvenga un passaggio di consegne con le generazioni successive”.
Anche perché la composizione può essere molto eterogenea con i membri dei gruppi che possono essere studenti di triennale come dottorandi.
Carlo Maragno, membro di mhackeroni e software engineer in Olanda, paragona le CTF a delle maratone: “Sono esercizi che richiedono otto, dieci ore di concentrazione che non sono per niente banali. C’è la componente della complessità tecnica che è tra gli aspetti più interessanti, ma il processo da percorrere per arrivare al “traguardo” non è lineare. Per l’80% del tempo ci si ritrova a sbattere la testa per capire quale sia il problema, solo una volta individuato arriva la parte per me più interessante perché si deve capire che cosa è possibile farne. Per fare un esempio: una volta con un collega ci siamo ritrovati in una situazione simile ad una CTF in cui potevamo controllare 3 singoli byte [hanno trovato una vulnerabilità che poteva essere sfruttata utilizzando solo 3 caratteri, ndr]. Cosa ce ne potevamo fare di 3 byte se pensiamo che i dispositivi che maneggiamo ogni giorno hanno a disposizione centinaia di gigabyte? Alla fine, pensando e ripensando a come le componenti interagiscono tra di loro, siamo riusciti a compromettere l’intero sistema con quei 3 byte”.
L’Enisa, l’agenzia europea per la cybersicurezza, nel maggio 2021 ha pubblicato un report in cui analizza una serie di aspetti che caratterizzano le competizioni CTF, dal formato delle competizioni ai requisiti richiesti ai membri dei team, e traccia nelle conclusioni delle raccomandazioni per l’organizzazione delle future competizioni. Rispetto al formato delle competizioni, dove quelle di tipo jeopardy sono prevalenti per questioni legate all’accessibilità, costi e scalabilità, si suggerisce di continuare ad organizzare CTF jeopardy per rendere le competizioni accessibili anche ai non professionisti e, se si desidera, integrare degli elementi delle competizioni di “difesa e attacco” in modo da offrire i vantaggi di entrambe le tipologie.
Rispetto invece ai requisiti richiesti ai team nelle competizioni, Enisa sottolinea come in molti eventi vengano individuate classi di età o categorie specifiche (es. “studenti”) e, in alcuni di questi, si tenti di bilanciare il divario di genere. Tuttavia, è improbabile che tentativi di questo tipo sortiscano un reale impatto in quanto le CTF, in particolare quelle di alto livello, richiedono ai partecipanti una preparazione di lungo periodo che precede la competizione in sé.
Tra le raccomandazioni c’è anche quella di definire il ruolo dell’allenatore/mentore del team perché, se presente, con i suoi suggerimenti potrebbe rappresentare un vantaggio rispetto ai team che ne sono privi. Gli altri punti affrontati dal report riguardano le dimensioni dei team, le regole da seguire per i meccanismi di punteggio, l’organizzazione di competizioni in parallelo a quelle principali rivolte ad un pubblico più ampio o maggiormente settoriali. E poi ancora le tipologie di competizioni meno frequenti, i canali di comunicazione (social network o app di messaggistica) utilizzati prima e durante l’evento e, infine, la pubblicazione a posteriori delle sfide con le rispettive soluzioni che, potenzialmente, potranno essere utilizzate sia come materia di insegnamento che di ricerca.
La sfida tecnica e il mondo “reale”
Si potrebbe dire che le CTF presentano delle situazioni che non sempre sono plausibili nel mondo reale se, ad esempio, ci si occupa della sicurezza all’interno di un’azienda – ovviamente facendo i necessari distinguo tra una PMI o un grande gruppo internazionale – ma facendo un paragone improprio con gli esercizi che si fanno a scuola per imparare il pensiero logico, così le CTF danno gli strumenti per gestire problemi complessi in situazioni di stress e un arco di tempo limitato. “Alcune challenge a volte sono dei veri e propri esercizi di stile estremamente complessi, mentre i problemi nelle aziende dal punto di vista tecnico possono essere tendenzialmente più semplici. È altrettanto vero che alcuni di questi “esercizi di stile” sono diventati poi delle classi di vulnerabilità”, spiega sempre Polino a Guerre di Rete.
Non si hanno a disposizione dati che mostrino statisticamente se esistono correlazioni tra le persone che fanno CTF e l’accesso al mondo del lavoro, ed è bene precisare che le CTF non sono l’unico modo di imparare cybersecurity, ma di certo esiste un interesse da parte delle aziende che in certi casi fanno recruiting durante gli eventi internazionali, per non dire che aziende come Google e Meta organizzano CTF loro stesse. In Italia, allo stesso modo, non si può dire se si è avvantaggiati o meno nella candidatura ad una posizione di lavoro se tra le voci del curriculum si ha anche quella di “giocatore di CTF”, ma è plausibile supporre che se all’interno delle aziende, banche o altro c’è una cultura della cybersicurezza allora il candidato o la candidata potrebbero essere visti con un occhio di riguardo. Ad accrescere la notorietà delle CTF in Italia ci ha pensato anche Cyberchallenge, un programma di formazione nato nel 2018 per ragazzi e ragazze tra i 16 e i 24 anni che si conclude con una gara nazionale che è, appunto, una CTF. L’organizzatore dell’iniziativa, il Cybersecurity National Lab, ha poi il compito di formare una squadra nazionale italiana di cyberdefender (cyber difensori) che rappresenti l’Italia nelle competizioni internazionali, in primis quella europea svolta ogni anno dall’ENISA, l’agenzia europea per la cybersicurezza.
Una dimensione internazionale
Altra CTF degna di nota è la International Capture the Flag Competition (iCTF), tra le più vecchie, nata nel 2003 per iniziativa di Giovanni Vigna, professore al dipartimento di informatica all’Università della California di Santa Barbara. Nel suo primo anno coinvolse quattordici team sparsi per gli Stati Uniti, ma già nel 2004 si aprì ad un pubblico internazionale che includeva team dall’Austria, dalla Germania, dall’Italia e dalla Norvegia. E a vincere proprio le due prime edizioni internazionali dell’iCTF (2004 e 2005) furono i neonati Tower of Hanoi del Politecnico di Milano.
Se c’è un aspetto che viene sottolineato da tutti gli intervistati di Guerre di Rete è proprio il carattere internazionale delle CTF e la sua comunità transfrontaliera: “Oltre a Las Vegas, come mhackeroni, siamo stati in Germania, Abu Dhabi e Russia per dire i primi posti che mi vengono in mente, dove incontri persone da tutto il mondo che sai essere la prossima generazione di professionisti del settore. Non è facile quantificare il ritorno che si ha a livello personale e quanto questo valga la pena. E poi è come se si venisse a creare una comunità all’interno della comunità dove ci si conosce tutti e sai che ci saranno quelle occasioni durante l’anno in cui ci si ritrova e si condivideranno argomenti ed esperienze che ci legano”, racconta Montesel dei mhackeroni, che dà anche un’altra lettura non banale delle CTF: “è un ottimo modo per imparare senza compiere illeciti”. Le CTF sono un luogo sicuro dove poter non solo testare le proprie abilità, ma dove la tecnica si può spingere ben oltre i confini di ciò che è noto nella cybersicurezza, “dove la ricerca raggiunge le sue vette” – come ci dice Matteo Rossi di pwnthem0le e dove – “si trovano le idee migliori”.