Gli italiani vincono Capture the Flag

Craccando per primi i computer degli altri, gli studenti del Politecnico di Milano hanno la meglio su colleghi americani ed europei nella gara di Los Angeles. I dettagli

Los Angeles (USA) - Un team di studenti italiani si Ŕ imposto in una interessante competizione informatica internazionale organizzata dall'UniversitÓ di Santa Barbara, in California, un concorso che al centro poneva capacitÓ di lavoro di gruppo e problematiche di sicurezza.

La sfida, nota come Capture the Flag, metteva alla prova le abilitÓ di 18 squadre di studenti di tutto il mondo, dando loro la possibilitÓ di tentare di superare le difese informatiche gli uni degli altri. Il primo che fosse riuscito nell'impresa, "rubando la bandiera", sarebbe risultato vincitore.

A riuscirci Ŕ stato il team italiano "The Tower of Hanoi" del Politecnico di Milano che via Internet tra le 19 e le 2 di notte del 2 dicembre ha saputo sottrarre dati agli altri team, difendersi dai loro attacchi e contestualmente individuare i buchi di sicurezza nel software distribuito per la competizione e provvedere alla loro correzione.
La valenza didattica della competizione viene vista sotto due profili. Da un lato il "team building", ossia la capacitÓ di lavorare insieme per risolvere problemi in una situazione frenetica. Dall'altro valutare le proprie conoscenze dinanzi a problemi di sicurezza informatica, dalle modalitÓ di attacco a quelle di protezione.

A competere, oltre agli studenti di "Tower of Hanoi", c'erano squadre provenienti da 14 universitÓ, compresi team tedeschi, austriaci e norvegesi.
71 Commenti alla Notizia Gli italiani vincono Capture the Flag
Ordina
  • Poichè un po' me la sono presa a cuore(eh eh), assieme ad altri "compagniucci" di merende(ma ci piace anche la salsa...) siamo andati investigando sui famigerati vincitori...http://www.publicshout.org/trash/CTF/ Questo è un ottimo link da visionare. Ieri ero perplesso, oggi ancora di più. Se leggete con attenzione il loro articolo, non potrete che essere assolutamente della mia opinione: ma quante ne sparano..."h 19.00 è consegnato l'OS di gara per il "teambox". Definito l'insieme dei software (sconosciuti) da sostenere, e un'ora di tempo per trovarne le vulnerabilità, correggerle e scrivere i relativi exploit per l'attacco". Che cosa? rileggiamo bene. Alle 7 di sera(per i comuni mortali...) gli consegnano il sistema operativo, ok, a quanto pare era una distribuzione di Linux, assieme ad un pacchetto di software sconosciuti. Molto bene, ma già su questo ragioniamo. I software che forniscono servizi sono decine di migliaia di qualunque genere, e giustamente è pressochè impossibile conoscerli tutti. Questi guru hanno debuggato programmi in un'ora? Ma andiamo, forse in un'ora hanno letto il .config e hanno settato un po' intelligentemente il servizio...
    comunque andiamo avanti. Oltre al debug dei programmi hanno testato le loro vulnerabilità(certo altrimenti come avrebbero potuto patcharle...) e hanno prodotto exploit in serie tipo catena di montaggio... Primo: ma se i software erano tutti diversi fra le macchine perchè hanno scritto exploit per i programmi che giravano sulle loro macchine... Inoltre probabilmente lo sa anche il loro professorone, un programmatore normale non edita più di 30 righe di codice in una giornata...e loro hanno prodotto così tanto codice che gli annali del Corriere in confronto sembrano dei fumetti? Diciamo le cose come stanno: hanno usato dei bei tool preconfezionati, nmap, nessun, fuzzers, enumerators, port redirectors, (art director e sceneggiatori?) hanno individuato servizi potenzialmente attaccabili, hanno scaricato da securityfocus o da qualche altro sito le exploit per i servizi, le hanno compilate e le hanno lanciate... Piccola domanda: voi questo lo chiamate hacking? Io questa la chiamo smanettoneria da 4 soldi... Ma chi volete imbrogliare? Ma che vulnerabilità avete scoperto? Voi avete scaricato cose fatte da altri e ve ne siete serviti. Senza contare che avete eliminato a priori il primo e forse più grave problema dell'hacking: le tracce... come ho detto ieri sera può farlo anche mia nonna, magari è un po' più lenta, ma poco ci cambia. La filosofia che muove questa logica è la stessa: copiare copiare copiare. Voi siete dei wannabe. Comunque vi lancio la sfida: mi presento io, il mio modem, il buon boz, il buon Tauchen, geppetto, la mia vicina in vestaglia, mia nonna in calzamaglia e vediamo chi vince...

    Arrivano gl'yakker _
    PHI3ZZ0
  • Facciamo chiarezza a te prima di tutto

    Primo:come fai a dire che sono dei lammer?hai realmente capito quello che hanno fatto o sei così niubbo da non comprendere nemmeno le complesse e articolate operazioni che sono state svolte all'interno di quel team?

    Secondo:credi che siano i primi venuti,i primi brocchi messi assime per sbaglio?sono tutti studenti di ingegneria,presumibilmente informatica,una facoltà tosta e che merita tutto il rispetto del mondo!e tengo a sottolineare del politecnico di milano,la migliore università del nord (e d'italia,ma è implicito) per quanto riguarda ingegneria!

    Terzo: se sei tanto figo e hacker vieni a dimostrarlo,sfida il gruppo cahe ha vinto le olimpiadi!vediamo se sei così bravo!hanno battuto gli americani,notoriamente molto bravi in quel settore,pieni come sono di cicciosi obesi che non fanno altro che stare davanti al pc perchè non riescono ad alzarsi dalla sedia!

    Dimostraci o grande Phi3zz0 la tua bravura!

    Krakkaci le nostre Linux Debian!

    Facci tremare!


    Kain può

    ==================================
    Modificato dall'autore il 07/01/2005 0.30.39
  • ...I sayOcchiolino
    non+autenticato
  • Secondo me chi non sa dovrebbe SOLO stare zitto:
    Nella competizione (tutt'altro che una pagliacciata)
    1) I portscan (cosi come tool tipo nessus) non servivano a una mazza perchè i servizi da bucare sono scritti appositamente per la comppetizione
    2) Proprio perchè sono servizi scritti appositamente NON ESISTONO EXPLOIT DA SCARICARE
    3) in un'ora (ogni team non solo i Tower) son stati debuggati non uno ma molti più servizi
    4) Nessuno è andato in galera perchè il traffico viaggiava su una vpn (spero tu sappia cosa sia) e avevamo il consenso dei proprietari delle macchine (noi)
    5) Se riesci a spiegare a un bambino come exploitare un format string da un binario senza avere i sorgenti... complimenti a te e soprattutto al bambino!
    6) ripeto, prima di parlare informati.
    7) non ho ancora capito se valeva la pena risponderti.

    W.S.
  • Innanzitutto, forse è colpa mia non sono riuscito a scaricarmi le reali regole del gioco. all'indirizzo del prof. italiano emigrato in america ci sono due programmini per linux, delle virtual machine direi (suppongo per partecipare al gioco). troppo grosse per il mio modem... comunque ha poca importanza. Poi scarico un documento all'indirizzo http://isis.poly.edu/sweek/winners/ctf.doc ma a quanto pare la competizione non è questa! Accidenti! Spiegatemi voi allora!
    Se la competizione comunque fosse simile nelle modalità di esecuzione a quella descritta nell'indirizzo io vi posso giurare che tutti i partecipanti sarebbero in galera dopo 10 nano secondi. Innanzitutto fanno portscan a piacere con nmap, un tool notoriamente, parecchio invasivo e che piace molto ai firewall dei computer... insomma come se un ladro per vedere il tipo di serratura usasse una fiamma ossidrica.[nmap usato con cautela è un ottimo tool, valutiamo però la possibilità di pacchetti frammentati e lo scan di tipo stealth a latere..] già questo lascia delle tracce sufficienti per essere arrestato dagli omini in blu di mezzo mondo... Comunque una volta rintracciati i servizi attivi cosa fanno sti volponi? scaricano script di gente per bene e compilano exploit da lanciare contro questi servizi... Si sono chiesti: problemi di Dos, backtracing? Ovviamente no, visto gli scan che facevano... Ma soprattutto sapete dirmi a cosa serve questa pagliacciata? Riesco ad insegnarlo anche a mia nonna a scaricare un exploit già fatta e a compilarla... Poi il tizio del documento afferma tronfio di aver uppato un bel trojan stealth... cd00r.c Ottimo bell'idea, forse un anno fa... Nel suo articolo ha postato la descrizione fatta dal suo creatore ma ci rendiamo conto? Senza sapere che anche questo trojan è rilevabile ad un netstat -an... (se solo leggessero packetstorm...). Insomma in conclusione vorrei due risposte: ditemi che la gara degli italiani non ha nulla a che fare col documento, ditemi che non c'è nemmeno una vaga somiglianza nell'operato. Altrimenti l'anno prossimo mi iscrivo anch'io, con il mio vicino di casa, la morosa, il gatto e biancaneve, se scegliamo un bel nome forse arriviamo secondi... Ma fateci il piacere..
    -
    Arrivano gl'yakker...
    PHI3ZZ0
  • Non dimentichiamo infatti i Choccolatai della statale...

    Chi ha frequentato la biblioteca puo' immaginare a cosa si riferisce questo nick...

    non+autenticato

  • - Scritto da: Anonimo
    > Non dimentichiamo infatti i Choccolatai
    > della statale...
    >
    > Chi ha frequentato la biblioteca puo'
    > immaginare a cosa si riferisce questo
    > nick...
    >

    :)

    cque li ho citati in "LINK SEGATO"

    cavOcchiolino
    non+autenticato
  • la competizione non e' quella citata del poly.edu ma e' questa
    http://www.cs.ucsb.edu/~vigna/CTF/

    I partecipanti sono questi
    http://www.cs.ucsb.edu/~vigna/CTF/participants.htm...

    I punteggi questi
    http://kurosawa.cs.ucsb.edu/cgi-bin/scoreboard.py

    e qui c'e' la pagina di chi ha organizzato il team italiano:
    http://www.elet.polimi.it/upload/zanero/ctf.htm

    il polimi ha vinto e, a dirla tutta, sono arrivati quinti anche quelli di unimi
    quindi basta scrivere c@zzate su istituto luce, notizie false etc.. prendetevela con l'incapace che ha scritto l'articolo...
    non+autenticato
  • Questo (credo) è il professore dell'univ. di Santa Barbara in California che ha organizzato l'evento:

    http://www.cs.ucsb.edu/~vigna/
    http://www.cs.ucsb.edu/etc/news/announcements.shtm...
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 20 discussioni)