By Martina Santarella Programmazione e cybersicurezza al Viganò, con due ospiti speciali
ll laboratorio pomeridiano “Informatica per Gioco” è un’attività organizzata dalla scuola come percorso di tutoraggio per l’orientamento agli studi e alle carriere STEM; è finanziata dal PNRR e coordinata dal Prof. Codara. Tra febbraio e marzo, in 5 incontri pomeridiani di 2 ore ciascuno, il laboratorio ha riunito studenti e studentesse che mostrano interesse nelle competizioni di ambito informatico.
I primi tre incontri sono stati dedicati alle Olimpiadi di Informatica, competizione di programmazione dove saper programmare non basta, se non c’è la logica: alcuni studenti della nostra scuola ammessi alle prove territoriali di aprile, assieme ad altri studenti interessati, hanno risolto problemi di logica sfruttando Python.
Nelle ultime due lezioni sono venuti a farci visita due ospiti speciali: Rayan e Jacopo. Rayan Yessou è un ex-studente della nostra scuola ricordato da professori e studenti per la sua passione per la cybersicurezza, che in molte occasioni ha messo in mostra, sia nei suoi lavori scolastici, che, soprattutto, partecipando a competizioni come Olicyber e Cyberchallenge. Jacopo di Pumpo è un ragazzo di 17 anni che, come Rayan, ha partecipato a molte competizioni di cybersicurezza, ottenendo per ben due anni consecutivi il primo posto ad Olicyber, le Olimpiadi Italiane di Cybersicurezza. Assieme a loro abbiamo fatto alcune challenge di tipo CTF (Capture The Flag), che consistono nello sfruttare delle falle di sicurezza nell’esercizio proposto per riuscire a ottenere una flag, che la maggior parte delle volte si manifesta come stringa con un testo contenuto all’interno del formato standard flag{testo}. Più flag si riescono ad ottenere e più punti si fanno.
Abbiamo intervistato i nostri ospiti. Ecco cosa ci hanno risposto.
Domanda 1 : Quando hai iniziato a interessarti ai problemi di Cybersicurezza?
Jacopo. Nel 2018, a 11 anni, ho partecipato ad un concorso nazionale d’informatica, portando un app di pagamento creata interamente da me e un mio amico, ed ho vinto. Questa vincita mi ha dato una borsa di viaggio per partecipare all’edizione globale del concorso, a Dublino. Ci siamo classificati al primo posto della categoria Programmazione Avanzata e sono finito nel giornale della mia città. Quest’applicazione era purtroppo piena di grossi problemi di sicurezza di cui mi sono reso conto parlando della sua architettura con i miei amici. È da lì che è partito tutto. Poi, è arrivato il covid e il lockdown e con l’infinito tempo libero a mia disposizione ho iniziato a cercare falle di sicurezza, anche allo scopo di prendere i risultati delle verifiche e cose non troppo etiche. Da lì a poco mi sono convertito nell’essere un white-hat hacker, ovvero un “hacker buono”. Ho cercato falle di sicurezza sui siti di didattica a distanza, ho trovato vulnerabilità sui registri elettronici, Axios, Classeviva, Edmodo, ecc., semplicemente provando cose e accorgendomi che stranamente funzionavano, e ho iniziato a segnalare tutto senza sfruttare nulla. Alcune aziende mi hanno ricompensato con qualche piccola somma di denaro.
Rayan. Ho iniziato a interessarmi alla materia durante il secondo anno di superiori, quando per caso sono venuto a conoscenza di alcune piattaforme che offrivano varie macchine virtuali con determinati servizi esposti. Lo scopo finale era analizzare questi servizi per poi ottenere il controllo completo della macchina e, se questa era parte di una rete specifica, riuscire a prendere il controllo di altre macchine collegate a essa. Il tutto era affascinante, in quanto mi ha insegnato come queste macchine possono essere compromesse, adottando un approccio molto simile alla realtà, oltre a fornirmi alcuni fondamenti delle reti e gran parte delle tecniche. Era anche divertente in quanto oltre a essere un approccio formativo interattivo rappresentava anche una sorta di competizione che mi motivava a imparare di più per scalare la classifica. Il mio interesse verso la materia è aumentato quando ho iniziato a sperimentare queste conoscenze non più su server virtuali esposti con problemi intenzionali, ma su piattaforme o siti utilizzati regolarmente da molte persone, cominciando a trovare falle e segnalarle alle aziende o ai proprietari delle piattaforme.
Domanda 2 : Come hai imparato tutte le tecniche che servono per affrontare problemi difficili come quelli proposti nelle competizioni nazionali?
Jacopo. Come ho già detto le ho imparate grazie alle mie conoscenze pregresse nel campo “mondo reale”; già, è un po’ strano, ma nella realtà non è stato il gioco a insegnarmi come trovare falle nel mondo reale, bensì l’esatto opposto.
Rayan. Per imparare tutte le tecniche che mi sono servite per le varie competizioni, tra cui le nazionali delle Olimpiadi, ho fatto ricorso a molte delle conoscenze che avevo acquisito negli anni precedenti ma non solo. Durante il camp a cui ho partecipato nell’edizione 2023 delle Olimpiadi ho avuto l’opportunità di essere introdotto a diverse tecniche di cui non ero a conoscenza e ad altre categorie come la crittografia, la sicurezza del software e la sua analisi. La piattaforma delle Olimpiadi offre molti problemi su queste categorie e risolvendo questi quesiti e confrontandomi con altri partecipanti ho maturato una confidenza e acquisito una conoscenza più ampia nelle varie aree, che mi ha permesso poi di esplorare altre risorse e piattaforme esterne spesso più complesse di quelle delle Olimpiadi. Partecipare attivamente a diverse competizioni oltre alle Olimpiadi credo mi abbia aiutato molto nel prepararmi e nell’imparare ad approcciare ogni quesito.
Domanda 3 : Quanto tempo libero hai dedicato allo studio di questi argomenti e alla preparazione alle gare?
Jacopo. Ho fatto tutte le sfide web del portale di training durante le vacanze scolastiche di Natale, perché le trovavo divertenti. Non ci ho messo tanto. Non credo che in questo campo serva mettersi ogni giorno e fare qualcosa, quello che conta è la mentalità con cui affronti queste cose. Devi pensare out of the box. Devi imparare a riconoscere pattern. Devi pensare all’inverso di come le cose funzionano. Ora è un po’ più facile, il mio cervello vedendo la challenge spara milioni di cose da provare a fare e se vedi che una strada funziona la continui altrimenti la cambi, ma prima cercavo tantissime cose su Google e trovavo sempre informazioni utili su siti come hacktricks.
Rayan. Durante i periodi scolastici cercavo di bilanciare lo studio per la scuola, lo studio e la preparazione per le gare e i vari progetti personali. Spesso durante i periodi un po’ più impegnativi, tralasciavo completamente la preparazione e i progetti personali per dedicarmi allo studio, ma ogni volta che avevo del tempo libero cercavo di bilanciare gli ultimi due, dando un peso maggiore alla preparazione. In sostanza, dedicavo tutto il tempo libero che avevo e, quando capitava partecipavo anche a competizioni internazionali online di solito organizzate nel fine settimana.
Domanda 4: Come continuerai a coltivare questa tua passione?
Jacopo. Continuerò a giocare gare, a fare interventi e seguire conferenze riguardo alla Cybersecurity. Onestamente il mio sogno è però di aprire una mia software house, magari sviluppando qualche prodotto riguardante la privacy personale. Stay tuned.
Rayan. Al momento sono istruttore per il progetto CyberChallenge in Bicocca e credo di continuare a coltivare questa passione partecipando attivamente a varie competizioni, sia individualmente che in squadra, approfondendo diversi argomenti e dedicandomi alla ricerca di vulnerabilità in piattaforme e siti. Allo stesso tempo sto sviluppando vari progetti personali che mi stanno insegnando molto. Da quest’anno ho iniziato a partecipare a conferenze in ambito sicurezza informatica, che non hanno fatto altro che aumentare il mio interesse per la materia. Ho intenzione di partecipare a più conferenze, dato che in Italia ce ne sono molte e spesso presentano contenuti molto interessanti e ispiratori.
Domanda 5: Come ti immagini nei prossimi anni? Pensi che la sicurezza informatica possa diventare il tuo lavoro?
Jacopo. Onestamente non ho idea di come mi vedrei tra 10 anni. È un po’ presto per pensarci.
Rayan. Nei prossimi anni punto a completare i miei studi in Bicocca e ad accedere a una laurea magistrale centrata sulla sicurezza informatica, trovando lavoro in questo ambito, poiché credo che possa divertirmi e appassionarmi di più. Inoltre, sto sviluppando alcuni progetti legati alla sicurezza informatica e ad altro, che un giorno credo potrei trasformare in servizi.
Per chi fosse interessato, ecco le competizioni di cybersicurezza a cui aderisce la nostra scuola sono:
Olicyber: gara individuale il cui programma è diviso in selezione scolastica (gare di logica), selezione territoriale e nazionale (CTF). I partecipanti hanno la possibilità di allenarsi nel sito di training, dove vengono proposte molte CTF di ogni genere in vista delle gare. Ogni due anni viene fatto un camp di addestramento, dove i partecipanti hanno l’occasione di essere seguiti da un gruppo di professionisti sul campo. Per maggiori informazioni, visitate il sito ufficiale https://olicyber.it/
Cybertrials: gara a squadre esclusivamente femminile . Ogni settimana viene fatta una lezione della durata di due ore in cui si spiegano le basi della sicurezza informatica. Le partecipanti dovranno risolvere delle CTF e i 20 gruppi che ottengono il punteggio più alto partecipano alle finali nazionali. Per maggiori informazioni, visitate il sito ufficiale https://www.cybertrials.it/
CyberChallenge: rispetto alle prime due richiede una conoscenza pregressa degli argomenti. È una competizione a squadre, dove ciascuna squadra rappresenta un’Università di appartenenza ed è seguita da tutor che istruiscono il gruppo. Alla fine del percorso si svolge una gara in cui ogni squadra deve attaccare il server degli altri team sfruttando falle di sicurezza per ottenere dei punti. https://cyberchallenge.it/
Per ulteriori info potete scrivere a codara.pietro@issvigano.edu.it
[NdR: dopo aver preparato per noi questo artitolo, Martina ha saputo di essere stata ammessa alla finale nazionale delle Olimpiadi Italiane di Cybersicurezza “Olicyber 2025”. Congratulazioni!]
Martina sei la mia giornalista preferita