CY4Games: alla ricerca disperata di white hat. I giovani che da grandi vogliono fare gli hacker

Di Maria Enrica Rubino

Roma. Sono circa 90 i giovani provenienti da Università e Istituti Statali di Istruzione Superiore che hanno partecipato alla prima edizione dei ‘CY4Games – Capture the Flag on trial’, la competizione tra hacker etici organizzata da CY4Gate nella sede romana di Elettronica, con il patrocinio del Ministero della Difesa.

Gli aspiranti hacker, raggruppati in 17 squadre ciascuna composta da cinque partecipanti, si sono sfidati per identificare e sfruttare le vulnerabilità degli avversari cercando di batterli sul tempo. La prima sessione dei CY4Games ha riguardato un case history di ‘furto di dati sensibili da un’azienda’, che nel gioco consisteva nel sottrarre una linea di codice alle squadre avversarie, ma cercando di difendere le proprie. Nella seconda parte dei giochi è stata percorsa un’analisi giuridico – manageriale dell’intrusione informatica e dell’esfiltrazione dei dati: una sorta di processo, in cui sono state valutate le posizioni dell’azienda e dell’attore del cyber crime.

Ad aggiudicarsi la vittoria in questa prima edizione dei CY4Games è stata la squadra Unipg1 dell’Università di Perugia. I vincitori  rappresenteranno l’Italia al prossimo Cyber Defence Discovery Camp 2019 (CDDC2019) di Singapore, l’appuntamento annuale più importante al mondo tra hacker etici.

Al secondo posto il team Recursion Fairies dell’Università di Trento. Mentre il premio speciale per il primo classificato tra i team degli istituti tecnici va all’ITIS Armellini di Roma.

A seguire lo svolgimento dei giochi erano presenti rappresentanti delle Forza Armate, Forze di Polizia e Agenzie di Intelligence.

“In una recente ricerca condotta insieme ad Ambrosetti sul tema Geopolitica del Digitale abbiamo evidenziato come entro il 2020 i dati disponibili saranno 10 volte quelli attuali, mentre già oggi la data economy vale in Europa 60 miliardi di Euro”  Lo ha spiegato Enzo Benigni, Presidente e CEO di Elettronica, nella conferenza di introduzione dell’evento moderata dal direttore di Cyber Affairs, Michele Pierri, in cui sono intervenuti il CEO di CY4Gate, Eugenio Santagata e il Professore Luiss Antonino Gullo. “Anche le minacce mutano ed evolvono – ha proseguito il Presidente e CEO di Elettronica – e con esse le risposte più efficaci: nel solo 2017 si sono registrati quasi 1.200 attacchi cibernetici considerati gravi”. Di qui, la necessità di essere dotati di figure professionali come ingegneri e professionisti nel campo della sicurezza informatica, come è stato evidenziato più volte dai relatori nel corso della conferenza.

Che l’obiettivo ultimo dell’iniziativa sia la ricerca di tali competenze lo ha ribadito il CEO di CY4Gate, Eugenio Santagata, il quale ha parlato dei CY4Game come di un’iniziativa “volta ad accendere un faro verso la necessità della resilienza della rete che passa attraverso l’utilizzo di prodotti e la costruzione di competenze nazionali su questo tema”.

Santagata ha spiegato anche l’importanza dell’attacco informatico quale fase non secondaria alla difesa. Un aspetto che abbiamo voluto approfondire rivolgendogli qualche domanda.

Antonio

Camilla

Pietro

 

Quando si parla di attacchi informatici emerge anche il tema legato alla normativa, qual è il suo punto di vista?

Ci sono ambiti che hanno bisogno di un frame work normativo solido che, ad oggi, non esiste. Per tale motivo abbiamo voluto inserire all’interno di questo contesto un aspetto tipicamente legale: Elettronica e CY4Gate, in partenrship con la Luiss, hanno istituito una cattedra su questi temi. Relativamente al concetto di attacco, non bisogna intendere questo tipo di competenze come uno strumento al servizio di qualcuno per porre in essere degli atti offensivi. Occorre addestrarsi nella componente attacco per poter meglio difendersi, quindi in funzione di deterrenza. Quest’ultimo è un aspetto fondamentale perché in un contesto in cui gli scenari di confitto sono asimmetrici e, pertanto, in mancanza di identificazione di un opponente, le soluzioni che devono essere dispiegate per poter fronteggiare questo tipo di conflitti devono essere ibride. Deve esserci spazio all’interno per tutto, anche per la componente più tipicamente attiva, ma sempre in funzione difensiva.

‘Desperately seeking white hat’ suona come un appello: è la frase stampata sulle t-shirt dei CY4Games. Ma com’è possibile definire un ‘white hat’ distinguendolo da un ‘black hat’?

White hat è colui che lavora per un’organizzazione ‘white’. Come la CY4Gate che, volendo proporre e vendere le proprie soluzioni, ha bisogno necessariamente di un’organizzazione governativa soprattutto verso l’estero. Il fatto che CY4Gate si proponga alla luce del sole in questo tipo di competizioni e abbia ospiti di una certa caratura è una garanzia del fare ‘hacking’, che sia esclusivamente allineato a fini istituzionali e non di diverso tipo di interesse.

Quindi l’etica è salvaguardata

Assolutamente sì

Le testimonianze dei giovani partecipanti che sognano di diventare hacker

Ha le idee chiare Pietro, 24 anni, studente di ingegneria informatica al Politecnico di Milano “finita l’università, sogno di lavorare nella sicurezza informatica e occuparmi di penetration testing o ricerca di vulnerabilità. Il mio obiettivo è lavorare in Google. Nei CY4Games gli attacchi-difesa sono molto divertenti perché si riesce a scrivere in tempo reale degli attacchi come fossero vere applicazioni, è bello perché si riesce a giocare interattivamente con altri team”. Hanno le idee chiare la gran parte dei giovanissimi che hanno raggiunto Elettronica da diverse città d’Italia per poter partecipare ai giochi. “L’informatica è sempre stata la mia passione” racconta a ‘Report Difesa’ Camilla, 23 anni, studentessa alla Cyber Accademy dell’Università di Modena e Reggio Emilia. “Questa di oggi è la mia prima CTF e sono entusiasta di fare la prima esperienza con il mondo delle challenge di cybersecurity. E poi, il mondo della sicurezza mi ha sempre affascinata”. Sogna, invece, di fare l’analista Antonio, 22 anni, studente di ‘Marketing, Analisi e Misure’ alla Luiss Guido Carli: “la cyber security è sempre stato un mio pallino e le mie competenze sono per l’analisi dei dati e la messa in sicurezza degli stessi”.

©RIPRODUZIONE RISERVATA

Autore