Far crescere la consapevolezza collettiva dell’Italia e degli italiani per la cyber security. E’ l’obiettivo che la Cyberchallenge sempre più assolverà nei prossimi anni, come emerge con chiarezza a pochi giorni dalla conclusione dell’edizione 2019.
La finale del 27 giugno si è svolta presso la Scuola Telecomunicazioni delle Forze Armate (STELMILIT) di Chiavari. I ragazzi delle 18 squadre coinvolte si sono affrontati in una gara attacco/difesa per contendersi il titolo. A spuntarla è stata la squadra del Politecnico di Milano che, dopo una lunga rincorsa e un serrato testa a testa, è riuscita negli ultimi minuti a sorpassare la squadra dell’Università di Bologna. Il team di Bologna era andato in fuga quasi subito ed era sembrato a tratti irraggiungibile. Al terzo posto l’Università di Pisa che ha staccato le inseguitrici nella seconda metà della gara.
In questo articolo entreremo nel dettaglio dello svolgimento della Cyberchallenge, sbirciando dietro le quinte della macchina organizzatrice. Lo scopo è quello di allungare lo sguardo verso il futuro prossimo per capire quale possibile sviluppo potrà avere nel tempo la Cyberchallenge e quali ricadute potranno esserci per il sistema paese.
Si è già discusso, infatti, della Cyberchallenge e dell’importanza di formare i nuovi talenti “cyber” della prossima generazione. Le competizioni Capture The Flag (CTF) sono uno strumento estremamente efficace non solo per attirare i ragazzi e stimolarne la curiosità e l’entusiasmo, ma anche per renderli consapevoli e formarli sui possibili “pericoli” che si nascondono dietro la tecnologia. Attraverso il gioco i ragazzi riescono facilmente a capire quanto sono fragili i sistemi informatici ai quali affidiamo i nostri dati personali e molti processi della vita di tutti i giorni.
Organizzazione dell’evento
La Cyberchallenge è iniziata ufficialmente a febbraio con l’iscrizione di circa 3200 candidati da tutta Italia. I ragazzi e le ragazze hanno quindi affrontato una selezione iniziale in due prove presso le sedi accreditate. Da questa prima scrematura sono stati individuati i 360 ragazzi (20 per sede) che hanno potuto accedere al periodo di 3 mesi di formazione gratuita. Al termine della formazione, il 6 giugno, si sono svolte le finali locali da cui sono usciti i 4 finalisti di ogni sede. Durante la finale locale i ragazzi hanno affrontato una CTF di tipo jeopardy. In questo tipo di CTF ai ragazzi sono date delle challenge che sono molto simili a degli enigmi a tema il cui scopo consiste nell’ottenere la flag, un piccolo pezzo di testo che testimonia l’avvenuta risoluzione e permette di guadagnare punti. In questa fase i ragazzi lavorano singolarmente e il loro obbiettivo è quello di fare più punti rispetto ai propri compagni di squadra per entrare tra i 4 finalisti.
La finale nazionale si è svolta presso la scuola STELMILIT di Chiavari, dove è stato allestito uno spazio apposito per ospitare la competizione attacco/difesa. Ad ogni squadra sono stati assegnati dei servizi (inizialmente gli stessi per tutti) ospitati da alcuni server. Questi servizi erano affetti da vulnerabilità per permettere agli avversari di attaccare e “rubare” le flag nascoste nel codice.
Il punteggio di ogni squadra veniva calcolato come la somma fra tre punteggi: attacco, difesa e SLA (service level agreement). I punti per l’attacco venivano assegnati per ogni flag valida individuata dalla squadra. Ogni flag riceveva un valore in punti sempre minore man mano che più squadre scoprivano come ottenerla. I punti per la difesa, invece, venivano erogati costantemente nel tempo. Il punteggio assegnato però diminuiva in caso di flag sottratte. Infine il punteggio per lo SLA misurava l’up time dei servizi, cioè per quanto tempo i servizi erano raggiungibili e funzionanti. Quando le macchine di una squadra diventavano irraggiungibili dal server di controllo, il punteggio di SLA non veniva assegnato.
Non è semplice descrivere lo sviluppo e le fasi di una competizione a chi non la vive in prima persona, ma questo tipo di eventi sono molto simili ad uno sport come il ciclismo: c’è una strategia di squadra che si adatta in base alle proprie capacità, al comportamento degli avversari e agli episodi che avvengono durante la gara. Per chi comprende leggermente il comportamento dei partecipanti, la gara risulta veramente avvincente.
In particolare, tutte le squadre si sono dotate di strumenti per lo sniffing dei pacchetti di rete in modo da intercettare il traffico generato dagli avversari, analizzarlo e carpirne utili informazioni (es. quali servizi vengono attaccati e in quale modo). Il motivo è molto semplice: se scopro come vengo attaccato, posso difendermi e attaccare tutti gli altri! In un caso una squadra si è addirittura dotata di un intrusion detection system (IDS) per bloccare le connessioni degli avversari. Questo compito era particolarmente delicato visto che, in linea di principio, le connessioni erano indistinguibili tra loro e bloccarle tutte significava anche bloccare il server di controllo (e perdere punti di SLA!). Fatto questo ogni squadra ha scelto come bilanciare le proprie forze tra attacco e difesa.
Nel lungo periodo (la gara è durata 8 ore) l’attacco è stata sicuramente la strategia migliore. In particolar modo, i team che hanno scoperto per primi come sfruttare una certa vulnerabilità (first blood) sono quelli che hanno ottenuto risultati migliori. Per esempio, la squadra di Bologna, che ha risolto la prima challenge in assoluto, è stata protagonista di una fuga durata tutta la gara e risoltasi con il sorpasso del Politecnico di Milano solo all’ultimo giro d’orologio (i 30 minuti finali).
Un altro passaggio avvincente ha visto protagonisti i ragazzi dell’Università di Pisa. Nella parte finale della gara, infatti, i pisani hanno risolto l’ultima challenge ancora aperta. Questo ha permesso loro di scalare rapidamente la classifica avvicinandosi pericolosamente alla coppia di testa. Strategicamente, i ragazzi di Pisa hanno evitato di attaccare Bologna e il Politecnico. Questo ha portato loro qualche punto in meno, ma ha impedito agli avversari di capire l’attacco e riprodurlo per un buon lasso di tempo. La rincorsa di Pisa è stata rallentate da alcuni servizi abbattuti che le hanno fatto perdere punti di SLA. E’ abbastanza ragionevole che qualcuno, tra Bologna e il Politecnico, avesse individuato vulnerabilità per colpire i servizi avversari e le avesse tenute in serbo per una situazione del genere: anche questo fa parte del gioco.
Anche nelle altre parti della classifica la gara è stata ricca di eventi, sorpassi e contro-sorpassi. Questo a dimostrazione della grande vivacità di questo tipo di eventi.
L’organizzazione della gara è stata ottima e tutto si è svolto come previsto. Anche i piccoli problemi tecnici (alcune macchine risultavano inizialmente irraggiungibili per tutti i team) sono stati prontamente risolti e non hanno avuto conseguenze sullo svolgimento. Questo tipo di inconvenienti è praticamente inevitabile in contesti come questo che richiedono la preparazione di una infrastruttura di gioco nuova per ogni evento (come se venissero costruite da zero nuove strade ogni volta che si corre il giro d’Italia).
Anche il personale della scuola STELMILIT ha fatto la propria parte. I ragazzi sono stati letteralmente accolti a braccia aperte e il supporto è stato continuo e assolutamente all’altezza. Purtroppo hanno pesato alcuni difetti strutturali come l’assenza dell’aria condizionata e la connettività alla rete. Questi limiti non hanno però compromesso la qualità dell’evento la cui portata e importanza è stata pienamente compresa dal personale militare.
Assenza delle ragazze
Tutto bene insomma? No, a conti fatti la Cyberchallenge può e deve migliorare sotto alcuni punti di vista. In primo luogo, bisogna fare meglio in termini di presenza femminile. Nella finale dello scorso anno tutti e 32 i partecipanti erano maschi. Quest’anno una ragazza ha partecipato alla finale, ma su un totale di 72 persone. In generale esiste un problema a livello di flusso di ingresso: dei 3200 candidati iniziali solo una piccolissima parte erano ragazze. Questo non è solo un problema della Cyberchallenge chiaramente. Molti istruttori, infatti, hanno segnalato la scarsa presenza femminile tra gli iscritti ai corsi di laurea in informatica e ingegneria (cioè quelli da cui arrivano la maggior parte degli studenti universitari che si iscrivono).
La scarsità dei numeri in ingresso però non è il solo fattore. Alcuni istruttori infatti hanno segnalato che diverse ragazze hanno abbandonato ad addestramento in corso. Questo potrebbe essere il segno che, per qualche ragione ancora da comprendere, la Cyberchallenge non è percepita nello stesso modo da entrambi i sessi. E’ possibile che l’attuale struttura della Cyberchallenge, a livello locale e/o nazionale, tenda ad affievolire l’interesse delle ragazze. Possono esserci diversi motivi come l’ambiente di addestramento, le interazioni sociali con i compagni e gli addestratori e anche la tipologia e la modalità con cui vengono erogati i contenuti. Il problema è ben chiaro agli organizzatori che hanno fissato tra gli obiettivi per il futuro quello di comprendere le motivazioni di questo fenomeno e, se possibile, sviluppare percorsi nuovi e maggiormente inclusivi.
A questo proposito sembra promettente l’idea di coinvolgere enti terzi che possano certificare le strategie messe in atto per ridurre il gender gap.
Ruolo delle scuole
Da quest’anno è stato possibile, per le scuole superiori, federarsi con la Cyberchallenge. La federazione è un riconoscimento ufficiale del lavoro svolto dalle scuole superiori per promuovere la Cyberchallenge tra i propri studenti.
Già 36 istituiti hanno aderito all’iniziativa, dimostrando il proprio sostegno alla manifestazione. Questo ha inoltre permesso di dare maggiore risalto al lavoro portato avanti dai numerosi professori che si sono spesi attivamente per supportare e motivare i propri studenti. Fino allo scorso anno questo impegno non era riconosciuto ufficialmente. Adesso, tramite il programma di federazione, le scuole possono avere un riconoscimento ufficiale per il lavoro che svolgono. Tra le altre cose, il programma di federazione può assumere un ruolo strategico per l’orientamento dei giovani studenti. In questo modo, infatti, è possibile sapere quali scuole hanno un programma di formazione orientato anche alla cybersecurity.
Non è facile prevedere quali saranno gli sviluppi futuri in questa direzione. Un coinvolgimento diretto delle scuole non sembra una via particolarmente percorribile. Ad ogni modo non è difficile immaginare che in futuro anche le scuole superiori organizzino o promuovano la formazione di team CTF. Le competizioni dedicate solo agli studenti delle scuole superiori già esistono a livello internazionale e il fenomeno potrebbe espandersi anche nel nostro paese, magari anche grazie all’effetto volano della Cyberchallenge.
Interesse delle aziende e sbocchi imprenditoriali
Proprio come in un campionato nazionale, diverse importanti aziende hanno sponsorizzato sia la Cyberchallenge che le singole squadre. Gli sponsor hanno incluso, tra gli altri, Leonardo, Cisco, IBM, Tim, Eni e Generali. Alcuni degli sponsor, inoltre, sono stati invitati a tenere seminari presso le sedi durante la fase di addestramento e hanno potuto vedere il lavoro svolto dai ragazzi e dagli esercitatori. Alla fine della gara finale si è poi svolta una recruitment fair durante la quale i rappresentanti delle aziende hanno potuto incontrare i ragazzi.
Idealmente, lo scopo della recruitment fair è di permettere alle aziende di “corteggiare” i ragazzi migliori presentando le proprie line of business. In pratica però la portata dell’evento è ridotta a causa della giovane età dei ragazzi. Per quanto siano suggestivi i racconti di giovani promesse della cybersecurity reclutati e strapagati da grandi aziende, all’atto pratico questo non avviene. Quasi sempre, le aziende e i ragazzi concordano sul fatto che è prima necessario completare il percorso di studio con una laurea specialistica in informatica o ingegneria. In questo senso, il massimo potenziale della Cyberchallenge deve ancora essere raggiunto. Infatti, visto che la competizione è giunta alla terza edizione, proprio ora cominciano a laurearsi alcuni tra i partecipanti del primo anno.
Coinvolgimento delle istituzioni
La partecipazione delle istituzioni alla Cyberchallenge è stata ulteriormente rafforzata con questa edizione. Già lo scorso anno il Ministero della Difesa aveva patrocinato l’evento e la Ministra Trenta aveva personalmente premiato i vincitori (durante la conferenza nazionale di cyber security, ITASEC). L’evento si è ripetuto anche quest’anno con un maggiore coinvolgimento e una cerimonia di premiazione che ha coinvolto le istituzioni locali e nazionali a vari livelli.
In aggiunta a questo, le forze armate hanno supportato la Cyberchallenge sia formalmente, mettendo a disposizione le strutture di STELMILIT e affiancando gli organizzatori, sia informalmente, tramite l’interesse personale delle persone coinvolte e il loro atteggiamento di grande partecipazione.
Quello che ancora manca è il supporto economico. La Cyberchallenge è interamente finanziata tramite le sponsorizzazioni dei privati e le quote di iscrizione pagate dalle sedi partecipanti. La strategicità di formare esperti in cybersecurity è stata più volte sottolineata, ma la spinta verso obiettivi di questa portata si può raggiungere solo tramite il finanziamento strategico delle iniziative. La Cyberchallenge può sicuramente fare parte delle iniziative strategiche.
Un argomento simile vale anche per altri ministeri che potrebbero essere interessati a sviluppare il potenziale della Cyberchallenge. Tra questi sicuramente il MIUR e il Ministero degli Interni. Se lo sforzo economico richiesto alle singole sedi non verrà in qualche modo ridotto e distribuito la Cyberchallenge potrebbe non raggiungere mai il pieno sviluppo.
Sfide per il futuro
I numeri della Cyberchallenge sono già impressionanti. In soli tre anni, infatti, si è trasformata da un evento locale (svoltosi presso l’Università La Sapienza a Roma) a un fenomeno nazionale con più di 3200 iscritti su tutto il territorio. Guardando gli altri eventi internazionali di questo tipo il futuro sembra abbastanza chiaro: stiamo assistendo alle fasi embrionali dello sviluppo di un nuovo e-sport (come i videogames). La grandissima differenza è che questa attività non è puramente ludica, ma di interesse strategico per la nostra società. Un po’ come se dei ragazzi, giocando a calcio e allenandosi, imparassero anche diventare bravi poliziotti o bravi vigili del fuoco a cui, presto, dovremo affidare la nostra sicurezza.
