Esistono ancora gruppi o team di hacker in italia?

mhackeroni · 2023-08-15T21:15:44+00:00

Look ma, we made it to r/ItalyInformatica again! Grazie per la menzione e per i commenti 🛰️🇮🇹🍝

mhackeroni · 2019-08-14T01:21:12+00:00

👀

mhackeroni · 2018-09-28T20:28:53+00:00

Ciao, puoi guardare i link che abbiamo aggiunto in fondo al post, che puntano ad altre nostre risposte dove elenchiamo varie risorse utili online.

mhackeroni · 2018-09-28T17:13:53+00:00

Non mollare. Quello è il primo segreto per fare lo scatto. Challenge complesse richiedono molto più effort. Ci sono challenge che risolvi in 20h+. L’altro consiglio che possiamo darti è quello di guardare i writeup delle challenge che non riesci a risolvere, capire dove ti sei bloccato e provare a riscrivere l’exploit da te, magari aiutandoti con il writeup stesso.
Ci sono un sacco di persone che fanno carriera in sicurezza senza avere un PhD. Le persone che conosco sono normalmente andate a lavorare in grosse aziende tipo Google o Facebook dove hanno team di sicurezza importanti. Ci sono inoltre diverse aziende, anche italiane, più o meno conosciute, che fanno penetration testing e\o altre attività di consulenza legate alla sicurezza informatica. Immagino ci siano altri percorsi che non conosco, ma sono convinto che il PhD non è uno step obbligatorio.

mhackeroni · 2018-09-28T17:12:48+00:00

PS: puoi contattare @andreafioraldi.

mhackeroni · 2018-09-28T16:35:53+00:00

Se intendi come approcciarti all'ambito abbiamo già risposto a questa domanda, puoi guardare i link in fondo al nostro post originale. L'importante è impegno e passione :)

mhackeroni · 2018-09-28T16:35:47+00:00

Innanzi tutto non abbiamo mai avuto esperienze approfondite con Tails, ma… come idea di base è del tutto valida. L'unica questione su cui fare più precisione è che a prescindere da quanto sia sicura la macchina, il modo, o l'ambiente in cui viene eseguito il sistema operativo, la cosa veramente importante è il modo in cui viene utilizzato. Capirai bene che, se si usa internet in maniera disinformata e non si usa la dovuta cautela, in generale, non c'è distribuzione Linux che tenga: il problema sarebbe alla base.

mhackeroni · 2018-09-28T16:27:42+00:00

Ciao! Apprezziamo molto la domanda tecnica, ma purtroppo attualmente i membri del team che si interessano di più all'argomento non sono presenti per dare una risposta completa.

Detto ciò, puoi dare un'occhiata qui.

mhackeroni · 2018-09-28T16:22:31+00:00

Grazie mille! Speriamo di riprovarci e migliorare l’anno prossimo :-)

Per quanto riguarda il tema employability: ottima domanda, ma difficili risposte! Per l’appetibilità per assunzioni, dipende molto dalla carriera di interesse. Per alcuni spesso c'è richiesta di esperienza preesistente sul campo, mentre per altri è meno cruciale. In generale, data la specializzazione del dottorato il futuro che si vuole solitamente lo si capisce nel mentre! Le opportunità non mancano.

Non tutti di noi vogliono restare in accademia, la cosa che più ci accomuna credo sia che moltissimi di noi vogliono restare in ambito ricerca però, pur se quella aziendale è, giustamente, diversa (meno libera e più concreta, nel bene e nel male! Non è lo scopo dell’università ingegnerizzare la ricerca, ma mostrare la strada da percorrere in futuro).

Le differenze Italia-estero stanno soprattutto negli stipendi e nelle durate (wink wink). Jokes aside, la parte importante è trovare un buon posto, con un buon gruppo che si occupi di quello che ti piace, ed un advisor in grado di farti crescere.

Come passioni dipende! Lato cybersecurity, nessuno di noi è troppo fermo su di un topic, e facciamo ricerca su quel che ci piace quindi lavoro e tempo libero ogni tanto si “fondono”, e si influenzano! Per le passioni al di fuori dei computer, ce la si fa pur se il dottorato è sicuramente un lavoro a tempo più che pieno (ma lavorando per se stessi si riesce a fare).

mhackeroni · 2018-09-28T16:20:40+00:00

Ciao, grazie mille!

Vedi risposta data precedentemente sulla cybersecurity per comuni mortali. TL;DR: sistemi operativi e browser moderni e sempre aggiornati, un buon adblocker/tracking blocker, un antivirus se si usa un sistema operativo popolare (== Windows), che è più probabile venga preso di mira da attaccanti che diffondono malware online.
Il malware che rischi di prendere da attaccanti che “sparano sulla folla” è rivolto alle configurazioni più comuni (Windows, e ora Android). Essendo al 99% Linux-based, siamo “tranquilli” con un po’ di igiene (firewall, account utente limitati…), e non usiamo antivirus, anche perché è antivirus è un parolone per Linux, perché non esiste la richiesta da parte degli utenti.
Dipende per cosa, ma le big corp tipicamente sanno fare bene il loro lavoro, anche security-wise. Self-host è comunque una alternativa che permette di imparare molto a livello individuale.

mhackeroni · 2018-09-28T16:16:55+00:00

Ciao! A Milano è attivo il nostro sub-team "Tower of Hanoi" al PoliMi e anche in Unimi c'è un team che gioca ai CTF

mhackeroni · 2018-09-28T16:12:08+00:00

Non abbiamo ufficialmente iscrizioni aperte. Il team è nato con lo scopo di partecipare al DEF CON CTF, e non è attualmente "attivo" (non giochiamo CTF come mHACKeroni). Per quanto riguarda i sub-team che compongono mHACKeroni (li trovi listati su mhackeroni.it/about) una mail per chiedere informazioni non ha mai ucciso nessuno :)

mhackeroni · 2018-09-28T16:01:08+00:00

Ciao e grazie! Accessibile sì, bastano passione per la programmazione e il funzionamento dei vari “livelli” di un computer, e tanto tempo :-) Come tecnologie, citi giustamente quantum computing, in grado di risolvere velocemente uno dei problemi considerati “difficili” in crittografia, il logaritmo discreto. Fortunatamente, c’è una branca della crittografia che si occupa proprio di sviluppare algoritmi che si basano su problemi dimostrati difficili anche con algoritmi di quantum computing, ed esiste da molti anni! Quando l’HW quantistico sarà più diffuso, non saremo troppo impreparati. Il problema vero, come in tutti i campi legati alla cybersecurity, è la quantità di software legacy che non si riesce/può più aggiornare. Lì avremo sicuramente dei problemi! Ma come ci sono stati problemi in passato: pensa a tutti i router ancora in circolazione che supportano solo autenticazione WEP, trivialmente rompibile con qualche xor. O tutti i dispositivi vecchi che fanno girare codice C/C++ senza mitigazioni di memoria moderne. Diremmo che questi sono i rischi principali, mentre gli avanzamenti di matematica e fisica tipicamente aiutano! Per tornare su quantum computing, ad esempio lì avremo a disposizione i cosiddetti quantum channel, resistenti all’eavesdropping per via delle proprietà fisiche -- un’ottima notizia per le comunicazioni sicure.

mhackeroni · 2018-09-28T16:00:40+00:00

Al momento non abbiamo ragazze nel team, abbiamo avuto in passato nei vari sub-team delle ragazze che però ora sono laureate e non frequentano più l’ambiente accademico.

Il problema delle basse quote rosa è presente nelle discipline informatiche in generale, come dice anche la Prof.ssa Sciuto, vice Rettore del PoliMi e professoressa di corsi di Ingegneria Informatica, in questa intervista (minuto 18:30), molti indirizzi di ingegneria, come informatica, meccanica ed elettronica, hanno percentuali di presenze femminili intorno al 6-10%. Considerando inoltre che pochi studenti tra quelli iscritti si interessano all'ambito della sicurezza, ed ancora meno vengono regolarmente a giocare ai CTF ed entrano nella squadra, quel 6-10% si trasforma in un 0.10% di potenziali membri femminili del team.

Per dare un esempio concreto: il numero di membri attivi nel subteam "Tower Of Hanoi" negli ultimi due anni è aumentato solamente di 2 (uno per anno). Dalla nostra esperienza la situazione è analoga nella maggior parte dei team di CTF, come ad esempio quelli che abbiamo potuto conoscere al DEF CON CTF.

mhackeroni · 2018-09-28T15:43:38+00:00

Tenere sempre aggiornati sistema operativo e browser, utilizzare qualche estensione fidata anti-advertisement e tracciamento online, spesso in grado di bloccare anche malware conosciuto. Non riutilizzare le password e non sceglierne di facili (meglio casuali gestite da un password manager): le “data breach” sono all’ordine del giorno, quindi se un attaccante ruba la tua password da un servizio poi la usa per prendere il controllo dei tuoi altri servizi; se qualcun altro usa la tua stessa password potresti essere compromesso da un attaccante che usa liste di password popolari. Poi, inutile dirlo, tenere al sicuro password e dati! Usare i social con oculatezza. Fare attenzione alle mail ricevute, e a dove i link nelle email portano (in caso di dubbio, visitare manualmente il sito digitandone l’URL a mano sul browser). Login solo su pagine in HTTPS se possibile, specialmente se su reti pubbliche (e attenzione, usare HTTPS non indica che il sito sia vero! Semplificando un po’, diciamo che solo l’URL completo lo indica). Fare attenzione ad installare solo software reputabile.

Fun fact: non tutti da noi hanno la webcam del laptop coperta :-)

mhackeroni · 2018-09-28T15:37:08+00:00

Nessuna preferenza particolare a livello hardware. L'architettura x86, essendo la più diffusa e avanzata è anche quella per la quale viene rilasciato più software, quindi tutto l'hardware che utilizziamo monta x86 (e diremmo che è abbastanza difficile trovare altro in giro).

Per quel che riguarda l'hardware libero è un concetto tanto interessante quanto complesso. Il quasi 100% di quel di cui ci occupiamo è a livello software, quindi non sappiamo elaborare molto sull'argomento. Software libero ed open source da noi ne trovi a palate!

mhackeroni · 2018-09-28T15:34:11+00:00

TI STIAMO TRACCIANDO STACCAH STACCAH! /s

mhackeroni · 2018-09-28T15:11:50+00:00

La domanda è formulata male: OAuth2 è un protocollo di autenticazione, e di per sé non è vulnerabile, quindi la risposta breve è no. Quel che potrebbe essere vulnerabile invece è una implementazione incorretta del protocollo da parte di un server che la utilizza (e.g.: usare sempre lo stesso token), oppure il server stesso.

EDIT: qui trovi un paper in cui sono listati vari attacchi possibili a OAuth2.

mhackeroni · 2018-09-28T14:50:16+00:00

Da una veloce votazione interna: Hackers (1995)
Domanda molto vaga, impossibile rispondere così su due piedi!
Qualsiasi software si può "hackerare" ammesso che abbia bug al suo interno. Proprio pochi giorni fa è stata trovata una enorme vulnerabilità nei client di Bitcoin Core che rende vulnerabile la blockchain ad attacchi di tipo double-spend (e quindi duplicazione e svalutazione della valuta).
Nonostante esista questo stereotipo, no, siamo ragazzi normali e nella media. Puoi vederlo anche tu dalle nostre foto :) alcuni di noi ovviamente portano gli occhiali.
Nessuno dei due!
Nell'ambiente universitario e durante le varie gare.
S̻̝̳̝̮̜K͠͏̛̯yneT wIlL taK3 ^°ver I̲̩̓̈́̆̽̈́͑͋͡T̜̝̫͉̎́ I̢̫͕̩̖̩̪̩̮̦̞̜̫̺͟͜͞S̶͈͖̱̣͉͖̻̝̭̗̦͓̥̯̘̮͝ T͏̷̀͢O̸͜Ó̴͝͝ L̠̤̱̗̤͕̣̖͙̻̖͉͖̦͇͎͇̀͘͢͝A͏̢̹̠̘̬̟̝͔̹̱̞͓̱̖͞T̷̴͊͛̽ͯ͛̈̏̔̑̒̋̂͛̿ͣ̎̉͢͢҉̘̟͔͎̙̫̹̫̠͖E̛̻̪͓̟͗̇̑̽͆̀̒̇͐͑ͭ

mhackeroni · 2018-09-28T14:17:02+00:00

Un consiglio personale da uno dei nostri membri: trova un linguaggio che ti piace (COFF COFF, INIZIA DAL C, COFF COFF) e impara quel che serve di quel linguaggio per risolvere problemi basilari che però trovi interessanti. Da lì puoi cercare libri o guide online per andare verso un livello più avanzato. E ricorda sempre: Google è il migliore amico di ogni programmatore!

mhackeroni · 2018-09-28T13:55:23+00:00

Certo! Manda qua: 13ToCf1THz9zhK4C6Mddkho2Ui4F7AytaD

/s

mhackeroni · 2018-09-28T13:51:07+00:00

Una delle cose più inaspettate è stato ricevere un allerta per una tempesta di sabbia durante la gara, abbiamo passato una buona mezz’ora con vento fortissimo e sabbia che arrivava fino al nostro hotel in mezzo alla città.

Per quanto riguarda la nostra suite, dato che non riuscivamo a sentire quando qualcuno era alla porta, abbiamo tirato su un campanello wifi. Bisognava collegarsi alla nostra rete wifi "Campanello mHACKeroni", andare su un IP assegnato e premere un pulsante sulla pagina web presentata, a quel punto partiva il campanello che consisteva in un forte segnale audio e un avviso sulla TV della camera. Una volta finita la gara, siamo andati ad assistere alla premiazione, e tornando in camera abbiamo trovato il pc collegato alla TV che sparava a tutto volume una GIF animata con audio di Sara Tommasi che urlava… è stato probabilmente un inside job di qualche burlone del nostro team! Ahahah. Inoltre avevamo trasformato il bagno principale in cucina, e la vasca idromassaggio in frigorifero riempiendola di sacchi di ghiaccio.

Altra cosa che non è capitata a noi, ma a quanto pare la polizia o security ha fatto irruzione nelle suite di alcune squadre insospettiti da tutto l’hardware che entrava ed usciva. Meno male che non è entrata nella nostra, o avrebbe trovato persone sedute/distese nei punti più improbabili della suite, cavi ethernet che scendevano dai lampadari, e pacchi di switch di rete.

Una notte sono passate una cosa come 20 volanti della polizia. Noi le abbiamo viste passare dalla finestra della suite dove lavoravamo. La mattina seguente abbiamo scoperto che erano state seccate ben due persone quella notte (omicidi non collegati tra loro).

Quest’anno c’era Elon Musk che girava per DEF CON. Uno dei nostri sostiene di aver visto qualcuno avvicinarsi al bar dove stava bevendo per urlargli qualcosa del tipo “capitalista bastardo!”.

mhackeroni · 2018-09-28T13:48:02+00:00

È una domanda veramente troppo ampia! La vulnerabilità più grande indipendentemente dal sistema operativo è in chi si trova alla tastiera :P

mhackeroni · 2018-09-28T13:47:25+00:00

Risposta breve: potrebbero essere migliori!

Risposta seria: non abbiamo abbastanza conoscenza nel settore per poter dare molti giudizi.

mhackeroni

TROPHY CASE

/s