Finalisti ai “mondiali per Hacker”, ma senza soldi per il viaggio

E’ la seconda volta che si ritrovano in finale del Campionato mondiale per Hacker, in mezzo ai cervelloni americani considerati universalmente i migliori “addetti alla sicurezza” di Internet. L’anno scorso, li hanno additittura battuti tutti, qualificandosi primi in classifica per la Finale mondiale. Quest’anno sono terzi al mondo, tutti li attendono a Las Vegas per la finale: ma i ragazzi del laboratorio LaSer dell’Università Statale di Milano rischiano, per la seconda volta, di “passare”. Perchè? Perchè non hanno i soldi per andarci: in università non ci sono fondi sufficienti per mandare la squadra – 10 persone in tutto – dall’altra parte del mondo.
Come si suol dire, usando un eufemismo, “un vero peccato”. A cui però stavolta i ragazzi di LaSer hanno provato a rimediare, mettendo on line il loro appello, in inglese e in italiano, nel sito del laboratorio alla ricerca di sponsor e finanziatori.

Un appello che anche dalle nostre parti potremmo raccogliere, non foss’altro per campanilismo. Anche perchè la banda di “Hacker buoni” è fatta da gente delle nostre parti: molti dalla cintura milanese, un paio da Cerro Maggiore e uno di loro da Casale Litta. Proprio dal rappresentante varesino, Matteo Tamborini, abbiamo provato a farci spiegare cos’è successo: cominciando a farci raccontare come è strutturato il gruppo che è andato in finale, e come lui ci è entrato.
“Io sono entrato a fare parte del gruppo del laboratorio LaSer lo scorso dicembre, più o meno quando ho incominciato a lavorare per la tesi. Nel laboratorio ci sono 4 ragazzi che stanno facendo il dottorato di ricerca, poi ci sono ragazzi che dopo la tesi triennele hanno deciso di stare in laboratorio a collaborare. Inutile dire quindi che è un gruppo giovane e ci sono un paio di ragazzi che la sa davvero lunga: uno di loro fa parte del laboratorio anche l’ideatore di Skebby.. non so se ne hai sentito parlare.. “

A dire il vero no, ma a spiegarlo ci pensa Wikipedia: si tratta di una applicazione java per i cellulari che permette di inviare SMS sfruttando la rete, e attuando un bel risparmio. Cose che i ragazzini, dunque, conoscono bene.

Ma come funziona un concorso per hacker?
“In sostanza è una sfida fra team e università di tutto il mondo. Dal sabato mattina alle 4 al lunedì mattina alle 4 sono disponibili in rete le sfide da affrontare. Sfide divise in 5 sezioni per 5 livelli di difficoltà ciascuna. ad ogni livello era associato un punteggio (da 100 a 500 punti) . Ogni volta che il livello veniva superato si incameravano i punti.. “

Un vero e proprio campionato, con gare tra squadre. Del resto i ragazzi dell’università di Milano il nome ce l’hanno pure: è Guard@MyLAN0 . Ma di che sfide si tratta?
“Si tratta di scovare vulerabilità e sfruttarle in modo da ottenere la chiave che permetta di passare al livello successivo. Un esempio: per una sfida al livello piu facile veniva inviato un link ad un gioco on line. Questo gioco aveva una falla di sicurezza (format string) che permetteva di scovare la password di un utente.. (appositamente creato dagli ideatori della sfida), una volta scovata la password si poteva passare al livello successivi”

Allora è davvero un campionato per hacker! Ma voi avete partecipato come università?
“Si abbiamo partecipato come università, piu precisamente come laboratorio LaSer che è un laboratorio di ricerca sulla sicurezza del dipartimento di informatica”

E la finale dove la giochereste?
“I primi 7 classificati possono partecipare al Defcon a Las Vegas”.

Cos’è il Defcon?
“il Defcon è il piu grande punto di incontro al mondo di esperti in informatica: li ci si trova gente che fa quello di mestiere, giorno e notte. E’ alla 16esima edizione. Chi ha partecipato al “Capture the Flag” si trova a Las Vegas dove tutto è preparato a puntino per il CTF. Ogni squadra studia i sistemi che hanno messo a disposizione gli organizzatori, cerca le problematiche di sicurezza sui propri sistemi e in quelli degli avversari e a questo punto deve cercare di proteggere il proprio sistema da attacchi e allo stesso tempo deve cercare di attaccare gli avversari. Nel momento in cui si riesce ad attaccare un sistema avversario si "piazza una banderina" all’interno del sistema. Ogni bandierina fornisce un punteggio.. alla fine delle 48 ore di gara chi ha il punteggio più alto vince. L’edizione dell’anno scorso di CTF (Catch The Flag), organizzata dall’università americana della California di Santa Barbara, i ragazzi del Laser la avevano già vinta: ma in America, per la finale, non ci sono potuti andare perchè, come quest’anno, non c’erano fondi”.

Vuol dire che siete arrivati in finale 2 volte di seguito, e che alla prima non siete andati causa mancanza fondi e alla seconda rischiate la stessa fine?
“Esatto”

Entro quando avete bisogno dei fondi?
“Il prima possibile. Per ora abbiamo avuto l’adesione – anche curiosa, peraltro, visto che cerchiamo tra i loro bachi – di Microsoft Italia, che dopo i primi appelli ci ha messo a disposizione 5 mila euro.L’università sta vagliando se darci qualche soldo, ma per partire ne servono circa 20mila… Ce ne vuole per arrivare alla cifra”

Quand’è il Defcon?
“Dall’8 al10 agosto. Possono partecipare per un team al massimo 8 persone contemporaneamente, il che significa, per poter permettere qualche cambio, andare là almeno in 10. Per questo abbiamo calcolato 20mila: per il viaggio aereo e un minimo di alloggio moltiplicato per 10”.

Chi, dopo avere letto la loro storia, abbia voglia di far qualcosa per contribuire può mettersi direttamente in contatto con loro: scrivendo a defcon08@security.dico.unimi.it