Seeweb Hacking Contest: intervista ai finalisti

HackingContest Vincitori-RecuperatoDavide, Gianfranco e Gabriele sono i nomi dei tre finalisti del Seeweb Hacking Contest Blackout Resurrection, per l’occasione gli abbiamo fatto qualche domanda.

Visto il successo dello scorso Hacking Contest operazione Di4m0nd, qualche settimana fa abbiamo pensato di lanciare una nuova sfida agli hacker italiani. In meno di due settimane abbiamo ricevuto centinaia di email con molte soluzioni brillanti e alcune davvero creative.

Come spiegato da regolamento, abbiamo preso in considerazione solo le email dei primi utenti che ci hanno inviato un’unica soluzione in riferimento ad un unico obiettivo. Davide, Gianfranco e Gabriele sono riusciti a portarsi a casa il Lego Mindstorms, le cuffie Bose e il 3D Cubo Led.

Non abbiamo perso l’occasione di fare qualche domanda per entrare ancor di più nel mondo undergroud degli Hacker.

1) Qual è l’aspetto dell’hacking che ti stimola maggiormente?

Gianfranco: La sfida intellettuale, la creatività.

Davide: L’hacking per me è semplicemente una sfida. Mettermi alla prova e vedere se sono in grado di raggiungere un obiettivo è lo stimolo che mi spinge a studiare nuove tecniche e nuove tecnologie. Una volta compreso come funziona un exploit, per me è sufficientemente gratificante. Gli hacking contest di Seeweb sono l’ideale per testare le mie conoscenze!

Gabriele: Premetto che è solo da poco tempo che sono entrato nell’ambito dell’hacking, lavorando con Shielder, ma l’aspetto che sicuramente mi interessa di più è l’imparare a comprendere pian piano i vari pezzi che compongono il nostro mondo telematico: come funziona un codice, cosa fa, come mai lo fa, se potesse esser fatto meglio e se sì come, dove il ragionamento del programmatore potrebbe essere fallace e cosa ciò possa comportare. Insomma: come un codice si comporti e come mai, piuttosto che “cosa” faccia!

2) In “Black Resurrection”, è bastato cambiare tipologie di vulnerabilità e molti iscritti che avevano affrontato con successo il precedente contest (Operazione D1am0nd), hanno avute serie difficoltà nel superare le nuove sfide. Secondo te, per quale motivo?

Gianfranco: Un motivo potrebbe essere ricercato nel fatto che in “Operazione D1am0nd” le prime vulnerabilità erano da ricercare all’interno di una applicazione Web, dove negli ultimi anni chi si è occupato di sicurezza informatica ha probabilmente speso maggiormente il proprio tempo e approfondito le proprie competenze a scapito di altre.

Davide: Questo mi sorprende. Ho trovato la difficoltà di questo Spring Break simile a quella del “Christmas”. Forse la differenza sta nel fatto che nello Spring si sono testate più le conoscenze di programmazione rispetto a quelle riguardanti le tecniche base di hacking. Io ad esempio ho perso un sacco di tempo nella seconda prova perché non ricordavo che la system call “access” testa i privilegi su un file utilizzando il real user id e non l’effective uid. Stessa cosa vale per la terza prova in cui ho dovuto scrivere del codice in C per mandare uno speciale messaggio al modulo del kernel via Netlink.

Gabriele: Forse proprio aver cambiato ci ha un po’ depistati! Magari ci si aspettava tipologie di vulnerabilità simili alla scorsa edizione, o al contrario si scommetteva con gli amici al bar sulle più recenti HeartBleed, ShellShock, Ghost e simili. Basta partire con un’idea stampata in testa e il tempo prima di rendersi conto che una vulnerabilità non c’è e che ci si debba muovere in altre direzioni aumenta! Inoltre, consideriamo i problemi che ciascuno può avere avuto; nel mio caso, non ho potuto provare ad andare oltre per via di problemi di connessione…

3) In una società che diverge verso un sempre più crescente sviluppo tecnologico, il ruolo del White Hat è divenuto ormai essenziale. Difatti, se le nostre transazioni bancarie sono attualmente sicure, in parte è anche merito loro.

A rigor di logica, gli Hacker di questo tipo dovrebbero essere paragonati a una sorta di “eroe”, ma generalmente vengono visti come criminali il cui unico intento è quello di bloccare sistemi telematici. Cosa ne pensate di questa concezione?

Gianfranco: L’opinione pubblica ha mediamente paura di ciò che non conosce e dato che fino a poco tempo fa l’unica fonte di informazione di massa ha quasi sempre etichettato gli hacker come “criminali informatici” è facile crearne una visione distorta. Banalmente basterebbe fermarsi a riflettere sul fatto che fare hacking è un’attitudine, mentre l'”hacker/cracker” è una persona che decide, individualmente, se e come sfruttare le proprie capacità. Mi sembra, comunque, che ultimamente attraverso libri, film, telefilm e articoli vari, si sia cominciato a fare un distinguo tra le figure “white hat” e “black hat”.

Davide: Dare dell’eroe a un hacker sarebbe come legittimare l’effettiva posizione di “dominio” di una figura, appunto, come l’hacker che ha interessi decisamente diversi dal manager bancario (tanto per citare il vostro esempio). Si sa che la conoscenza é potere e il potere della conoscenza tecnologica e dell’informazione in mano a figure “libere” che non rispondono alle convenzioni ha sempre dato fastidio e sempre lo darà. Quindi etichettare un hacker come criminale e servirsene in outsourcing è piú conveniente che legittimarne l’attività. Nessuno dice apertamente che quando fai un security assessment di una rete la stai letteralmente sottoponendo ai peggiori attacchi per capirne le debolezze e risolverle. “Eroizzare” l’hacker significherebbe demonizzare i manager che nulla sanno di tecnologia e prendono decisioni basate su numeri, quei manager che normalmente tagliano i budget all’innovazione e alla ricerca in una azienda.

Gabriele: A parer mio, l’educazione informatica è una delle grandi carenze del panorama culturale italiano, insieme al codice stradale e al BLS del primo soccorso. Personalmente, credo che il problema stia nel fatto che, in molti casi, al manager/responsabile informatico/sviluppatore di turno NON piaccia assolutamente che il proprio lavoro venga messo in discussione, tanto meno se poi a farlo è un esterno, che lo contatta affermando che il suo software sia stato scritto male! Credo sia abbastanza evidente che molti NON siano minimamente disposti ad accettare tali critiche, e preferiscano piuttosto nascondersi dietro alla parola “denuncia”. Ed è un problema di difficile risoluzione: mettere l’amor proprio davanti alla sicurezza informatica non è sempre una buona idea. Ritengo che non concedere un briciolo di fiducia ad una persona affidabile (il WhiteHat di turno) sia come concederla inconsapevolmente al primo malintenzionato che deciderà che sia il caso di exploitare il servizio web. Andare per vie legali perché qualcuno segnala un bug senza averne approfittato è segno di paura e ignoranza, non certo di responsabilità o di grandi capacità, e se un servizio web viene hackerato, la colpa non è solo del cattivo, ma dovrebbe essere spartita con webmaster, sysadmin & co. Ovviamente, parere rigorosamente personale 😉

4) Oggigiorno difficilmente sentiamo parlare di figure come Kevin Mitnick, Adrian Lamo oppure Kevin Poulsen.

Stiamo assistendo a una fase di rivoluzione dell’Hacking?

Gianfranco: L’hacking, per definizione, è cambiamento e rivoluzione. Nel tempo sono cambiati e continueranno a cambiare gli scopi, le metodologie, le “firme” e gli strumenti utilizzati da chi fa hacking. Quello che rimarrà costante è la naturale predisposizione alla ricerca di sempre nuove soluzioni creative di fronte a nuovi (o vecchi) problemi da affrontare.

Davide: Internet e la connettività globale hanno moltiplicato il numero di Hacker e più che di singoli si sente parlare di collettivi, come ad esempio Anonymous. In un certo senso i media tradizionali non fanno più il loro dovere informando e ponendo domande su quello che questo tipo di pratica (l’hacking) è in grado di fare. Qui inizieremmo una discussione infinita su cosa dovrebbe far notizia su scandali come quello della Sony, se sulle condizioni di sicurezza di un colosso dell’elettronica, sulle pratiche interne poco ortodosse o su questi “ragazzacci” che hanno svelato le debolezze di un’azienda che credeva di non averne. Sicuramente da condannare l’uso e l’appropriazione indebita di eventuali informazioni sensibili di utenti aimè ignari.

Gabriele: Credo che la “rivoluzione” dell’hacking contemporaneo (in generale, non necessariamente WhiteHat) sia dovuta al sempre maggior numero di dispositivi interconnessi: chi compromette me potrebbe, in realtà, aver compromesso le persone con cui io sono collegato molto più che me stesso! Per questo oggi la sicurezza informatica sta diventando sempre più importante: non si tratta della sicurezza di un servizio web in sè, quanto degli utenti che ci si affidano, che lo visitano, che ci operano sopra. Inoltre, le vie seguite dagli hacker stanno cambiando: benché la rete si ancora piena di siti vulnerabili a vari tipi di Injections, mi sembra di vedere che i BlackHat operino sempre più tramite la Social Engineering, cambiando obiettivo: non più l’impreparazione del webmaster, ma piuttosto quella del sysadmin o dell’end user di turno. Il WhiteHat oggi deve essere in grado di mettere in atto sistemi di sicurezza orientati alla sicurezza del visitatore in parallelo a quella del servizio web in sè.

5)  Davide, la vulnerabilità di tipo “Netlink Local Privilege Escalation” che hai scoperto in pochi giorni di lavoro, sotto alcuni aspetti possiamo paragonarla a quella che ha coinvolto il software “udevd”, mettendo a rischio per anni la sicurezza di quasi la totalità dei sistemi Linux; eppure, il codice sorgente di “udev”, è stato letto da migliaia di programmatori, tra cui importanti membri del settore IT. Qual è stato il fattore più importante che ti ha permesso questo successo?

Davide: Il mio lavoro è stato facilitato dal fatto di conoscere che, da qualche parte nel server, era stato introdotto volontariamente un bug. E’ bastato curiosare un po’ per il file system per trovare la directory sospetta e il relativo codice sorgente di un modulo kernel vulnerabile di un centinaio di righe. Ben più arduo è trovare vulnerabilità in codice lungo decine se non centinaia di migliaia di righe, non facilmente comprensibile alla maggior parte dei non addetti ai lavori e nel quale non è detto che una vulnerabilità sia presente. Certo che errori madornali come quello che ha portato ad Heartbleed, introdotti nel 2011 e scoperti solo nel 2014, lasciano un po’ perplessi.

Un commento a Seeweb Hacking Contest: intervista ai finalisti

  1. […] Seeweb Hacking Contest. Intervista ai tre finalisti sul ruolo dell'hacker nella società di oggi e sulle vulnerabilità sfruttate all'interno del contest.  […]

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*

Accedi

Registrati | Password dimenticata?