Intervista a Gaspare Ferraro. Il CyberChallenge.IT 2022 visto da vicino

Olivia Terragni : 27 Luglio 2022 07:00

Autore: Massimiliano Brolli, Olivia Terragni

Da sempre, Red Hot Cyber segue il progetto CyberChallenge.IT con estremo interesse, ritenendolo una fucina di nuovi talenti nella cybersecurity, soprattutto quella più tecnica, dove oggi siamo tremendamente carenti.

Mentre da un lato la richiesta è altissima di persone con skill di Red Team, di penetration testing e di Security Operation Center (SOC), dall’altra, l’offerta si limita a pochissime persone richiestissime che generano un turn over altissimo che spesso disorienta le aziende che rimangono inermi a guardare l’ultima risorsa fuoriuscita, appena assunta 5 mesi prima.

Purtroppo in Italia, abbiamo strutturali carenze di ruoli tecnici impegnati nella sicurezza informatica, che poi sono quelle professionalità che occorrono maggiormente per misurarsi nel cyberspazio sullo stesso terreno di gioco con i criminali informatici.

RHC ha sempre detto che occorre iniziare ad attrarre i ragazzi verso questo mondo fin da piccoli, per far scoccare in loro quella scintilla nel superare gli ostacoli, a risolvere enigmi e problemi in modo empirico, a trovare modi non convenzionali di farlo, in sintesi: a fare hacking. Questo perché se non forniamo loro questa direzione molto presto, potremmo perderli a vantaggio di altre discipline, solo perché non gli avevamo mostrato la strada da percorrere.

I progetti CyberChallenge.IT e OliCyber organizzati dal Laboratorio Nazionale di Cybersecurity del Consorzio Interuniversitario Nazionale per l’Informatica (CINI), sono due incubatori di talenti d’eccellenza. Per questo abbiamo contattato Gaspare Ferraro, coordinatore del progetto CyberChallenge.IT per fargli qualche domanda.

Intervista a Gaspare Ferraro

RHC: Grazie Gaspare per averci dato la possibilità di porti qualche domanda e complimenti per l’edizione 2022 di CyberChallenge.IT. se dovessi descrivere con una parola l’edizione 2022 di CyberChallenge.IT, quale sceglieresti?

Gaspare Ferraro: Grazie intanto a voi della redazione di Red Hot Cyber per darci l’opportunità di raccontare questo progetto. La parola che sceglierei è opportunità, quella che vogliamo dare a centinaia di studenti e studentesse con i nostri progetti, di potersi avvicinare a questo mondo con un approccio diverso dal solito. 

RHC: Qual è stato il momento più bello di CyberChallenge.IT 2022? Ce lo vuoi raccontare?

Gaspare Ferraro: Sicuramente questa edizione è stata caratterizzata dal ritorno in presenza, a differenza delle precedenti due edizioni che si sono svolte quasi completamente online. Il momento più bello è stato certamente la gara nazionale svoltasi il 30 Giugno al Campus ITCILO dell’ONU a Torino, dove più di 200 finalisti hanno potuto non solo sfidarsi ma anche conoscersi finalmente di persona. Abbiamo avuto l’occasione di radunare centinaia di appassionati della cybersecurity e dare loro modo di scambiarsi opinioni e confrontarsi su vari temi.

RHC: siamo molto carenti nei ruoli tecnici nel mondo della cybersecurity. 

Il professor Baldoni ha riportato che occorrono 100.000 risorse in ambito. Ovviamente intendeva in tutti i ruoli della cyber, ma limitatamente ai ruoli tecnici, Cosa si potrebbe fare di più per attrarre maggiori ragazzi in queste discipline?

Gaspare Ferraro: Come già sottolineato anche dal professore Paolo Prinetto, Direttore del Laboratorio Nazionale di Cybersecurity, sarebbe necessario investire maggiormente su formazione e consapevolezza, promuovendo programmi di formazione dedicati sia nei percorsi scolastici e universitari, ma anche migliorando la comunicazione: al giorno d’oggi la parola hacker ha ancora un significato negativo associata ad attaccante e criminale, quando in realtà il significato è molto più ampio.

RHC: il professor Demetrescu diceva sempre a Massimiliano Brolli che molti ragazzi, i più bravi, preferiscono andare all’estero e sono solo la minima parte quelli che vogliono rimanere in Italia. A parte il tema dei salari, a tuo avviso, cosa manca alle aziende italiane e alla pubblica amministrazione per trattenere in Italia le menti più brillanti?

Gaspare Ferraro: La maggior parte dei ragazzi che partecipano ai nostri programmi sono mossi dalla passione ma anche dalla volontà di innovazione e dalla ricerca di nuove sfide e di stimoli. Penso siano queste le stesse cose in cui dovrebbero investire aziende e pubbliche amministrazioni che puntano ad avere le menti più brillanti tra le loro fila.

RHC: a sensazione, quanti ragazzi che hanno partecipato al CyberChallenge.IT 2022, hanno intenzione di andare a lavorare all’estero, oppure da remoto per qualche realtà americana?

Gaspare Ferraro: Non è facile fare una stima sulle migliaia di partecipanti a livello nazionale ma, per fare un esempio, dei 20 membri della nazionale TeamItaly dell’anno scorso, quattro sono già andati all’estero per studio o opportunità lavorative. Come Laboratorio Nazionale di Cybersecurity ci impegniamo ogni anno per creare condizioni favorevoli a far rimanere i talenti nel nostro paese, considerando che ogni persona che decidere di andare all’estero è un un danno e una perdita enorme.

RHC: normalmente, da quanto abbiamo visto, i più bravi continuano a far parte di altri team italiani come ad esempio i mhackeroni che sono andati alla Defcon CTF con Marco Squarcina e Mario Polino oppure il Team Italy, la squadra nazionale Italiana di Cyberdefender. Ci vuoi raccontare tutto questo come funziona?

Gaspare Ferraro: Il progetto CyberChallenge.IT potrebbe un sembrare percorso che si conclude nei mesi del programma di formazione, ma è, invece, per molti l’inizio di una carriera molto più lunga che prosegue poi nel mondo accademico o professionale. Al termine di ogni edizione del progetto, infatti, molti ragazzi decidono di entrare a far parte di team di appassionati, spesso composti da ex-partecipanti a CyberChallenge.IT, dove hanno l’opportunità di collaborare, confrontarsi, partecipare a CTF o conferenze. Ad oggi decine sono i team a livello nazionale, fra cui Team Italy, il team italiano di cybersecurity in cui vengono chiamati ogni anno i migliori partecipanti per rappresentare l’Italia nelle competizioni ufficiali a livello europeo ed internazionale.

RHC: 700 erano i posti previsti per questa edizione. Si è parlato a un certo momento che le iscrizioni avevano superato quota 5000. Quante sono state le reali iscrizioni e come funzionano le selezioni? Pensate che in un futuro la quota dei 700 possa essere ampliata?

Gaspare Ferraro: Quest’anno per la prima volta abbiamo superato i 5000 iscritti, raggiungendo quota 5344 studenti e studentesse in tutta Italia. Se consideriamo anche gli altri progetti della filiera formativa del Laboratorio Nazionale di Cybersecurity, OliCyber e CyberTrials, arriviamo quasi a quota 7500. Al termine delle iscrizioni, si tengono due diverse fasi di selezione, che vanno a valutare competenze di logica, matematica ed informatica, al fine di individuare i partecipanti effettivi al percorso di addestramento, che per questa edizione sono stati 754. Il progetto CyberChallenge.IT si svolge poi parallelamente in diverse sedi universitarie e accademie militari, che per questa edizione sono state 34, ognuna della quali cura la formazione di circa 25 ammessi. Il punto di forza del progetto risiede nel fatto che può essere facilmente replicato in ogni università, aumentando il numero di ammessi. Per questo ogni anno ci impegniamo per coinvolgere nuove sedi e dare l’opportunità a sempre più persone di partecipare al progetto.

RHC: parliamo di una nota dolente. Le quote rosa. Da sempre questo genere di materie non riesce a far breccia nel cuore del gentil sesso. A tuo avviso, quale potrebbe essere il motivo e cosa possiamo fare di più per poter attrarre maggiori ragazze nel mondo tecnico della cybersecurity? Dove sbagliamo?

Gaspare Ferraro: A mio avviso attualmente siamo in un circolo vizioso: date le poche ragazze presenti, ancora meno se ne iscrivono. Il problema è, in realtà, molto più ampio se consideriamo in generale le materie STEM. Da quanto vediamo noi, c’è stato un lieve incremento di iscrizioni partendo da un 8% del primo anno ad un 15% dell’ultima edizione. L’errore principale è non iniziare a parlare diffusamente di queste tematiche prima della scelta universitaria: per tale ragione da quest’anno abbiamo deciso di avviare un nuovo progetto della filiera formativa, CyberTrials, mirato interamente al coinvolgimento delle studentesse delle scuole superiori al mondo cyber, che ha visto la partecipazione attiva di oltre 370 ragazze di tutta Italia.

RHC: Le squadre migliori sanno attaccare e difendere: secondo te è più importante la difesa o l’attacco? Soprattutto in Italia, quando dovremmo attaccare?

Gaspare Ferraro: Le due parti vanno in parallelo: è sicuramente importante la difesa come obiettivo ultimo, ma spesso la difesa nasce dalla comprensione dell’attacco. É necessario quindi studiare le varie metodologie di attacco per sapere come difendersi. Per questo motivo sarebbe determinante ricreare le giuste situazioni di attacco controllato, che siano programmi di bug bounties, simulazioni su cyber range, competizioni di attacco e difesa o i nuovi Laboratori Accreditati di Prova (LAP) previsti dal CVCN dell’Agenzia per la Cybersicurezza Nazionale.

RHC: Quanto l’istruzione serve per superare gli avversari in astuzia?

Gaspare Ferraro: Avere buone conoscenze teoriche e comprendere al meglio il funzionamento dietro a software ed infrastrutture sicuramente aiuta, ma spesso è necessaria soprattutto molta creatività, come vediamo dalle vulnerabilità che vengono scoperte tutti i giorni.

RHC: Esistono criminali informatici che sanno hackerare una blockchain (per dire un argomento dove al momento pochissime aziende hanno capacità di effettuare controlli di sicurezza) che non hanno mai aperto un libro. Qual è il giusto compromesso tra studio e pratica empirica?

Gaspare Ferraro: Penso sia necessario distinguere tra l’istruzione classica universitaria e formazione sul campo: parliamo, in ogni caso, di persone con elevate competenze apprese se non sui libri, su documentazioni o approfondite analisi dei sistemi.

RHC: Passiamo ad un tema più tecnico. In Italia sono pochissime le realtà che fanno ricerca di vulnerabilità non documentate, per intendere i preziosi 0day e da poco è stato avviato il CVCN. In un panorama geopolitico di guerre senza confini geografici, quanto è importante oggi disporre di armi cibernetiche per contrastare un ipotetico aggressore? Qual è a tuo avviso il bilanciamento tra etica e sicurezza nazionale in questo specifico ambito?

Gaspare Ferraro: Dovremmo iniziare a considerare il mondo cyber al pari di quello fisico, tenendo anche conto che nel mondo digitale non esistono confini. Così come nell’ambito della Difesa, vengono regolamentate la ricerca, la detenzione e l’uso di armi fisiche, sarebbe necessario replicare lo stesso sistema anche per le armi cyber, mentre a livello normativo siamo ad oggi ancora indietro.

RHC: RHC ha sempre detto che l’hacking è un percorso e non una destinazione. Infatti l’hacking è esplorazione, è scoperta, è superare un ostacolo in modo empirico e innovativo. I migliori hacker hanno iniziato a capire le cose come sono fatte dentro fin dalla loro giovane età ed è da lì che hanno avviato il loro percorso. In paesi come Cina, Russia e Corea del Nord, si inizia a parlare di queste materie fin dalle scuole primarie. Sarebbe utile procedere in questo senso anche in Italia per poter attrarre più giovani e avviarli in questo percorso? Sarebbe possibile oggi in Italia?

Gaspare Ferraro: Assolutamente si, non solo per la cybersecurity ma più in generale per quanto riguarda l’informatica, che al giorno d’oggi viene affrontata nel nostro paese solamente negli ultimi anni delle scuole superiori. Sarebbe necessario iniziare a presentare queste materie fin dai primi anni di scuola, in modo da introdurre tematiche, problematiche e guidare in un giusto percorso formativo, ma anche per facilitare la comprensione e il corretto uso delle tecnologie sempre più presenti quotidianamente.

RHC: Quanto è importante fare gruppo in un’operazione informatica? I ragazzi sono team player o preferiscono agire da soli per avere più libertà di azione?

Gaspare Ferraro: Al giorno d’oggi i sistemi sono così complessi e multisettoriali che non sono sufficienti le competenze di un singolo individuo. Per questo motivo, mentre nelle prime fasi di CyberChallenge.IT si partecipa individualmente, nella fase finale del progetto gli ammessi sono chiamati ad allenarsi e partecipare come squadra della sede locale cercando di raggruppare tutte le competenze necessarie in un team.

RHC: Cosa pensi dei cyber games della NATO? Trovarsi ad affrontare vari scenari di gioco che mai si sarebbero immaginati nella vita reale aiuta ad essere più proattivi nelle scelte con una mentalità più aperta? 

Gaspare Ferraro: Eventi della portata dei cyber games della NATO sono sicuramente da incentivare ad ogni livello e da replicare anche in altri contesti, che siano istituzionali, universitari o aziendali. Il punto di forza maggiore di queste iniziative è quello di mettere professionisti davanti a situazioni non ordinarie per testare ed esercitare prontezza, reattività e resilienza delle infrastrutture.

RHC: Grazie Gaspare per il tempo che hai dedicato a Red Hot Cyber e come già ti avevamo anticipato, le nostre pagine sono a vostra disposizione per pubblicizzare le iniziative di CyberChallenge.IT e OliCyber. Ci salutiamo con questa ultima domanda. C’è qualche altra cosa che vorresti portare all’attenzione dei nostri lettori?
Gaspare Ferraro: Grazie a voi della redazione di Red Hot Cyber per il costante supporto, per l’intervista e per l’ottimo lavoro che svolgete quotidianamente. Concludo dicendo che ognuno può contribuire alle iniziative del Laboratorio Nazionale di Cybersecurity, dal partecipare direttamente, al diffondere i progetti o supportare la formazione.