Non sono solamente gli sportivi ad avere bisogno di allenarsi. Anche gli hacker sentono la necessità di tenersi in forma e di aggiornarsi continuamente per evitare di finire “fuori corso” e, soprattutto, nelle maglie della polizia di chissà quale nazione.

Ma quali sono le palestre preferite dagli hacker? Sono le cosiddette piattaforme Capture the flag, dove due team di pirati informatici si sfidano in una sorta di rubabandiera virtuale (capture the flag vuol dire, appunto, “cattura la bandiera”). Sino ad oggi queste metodologie di allenamento erano messe in atto soprattutto nel corso dei vari raduni hacker, dove i cybercriminali potevano mettere in bella mostra le loro capacità.

Evoluzione della specie

Prendendo spunto da queste competizioni che si svolgevano dal vivo, l'attivista hacker Marius Corici ha creato una piattaforma web contenente un’arena virtuale dove gruppi di pirati informatici di tutto il mondo possono sfidarsi a suon di righe di codice. La piattaforma, chiamata CTF365 (dove CTF è l'acronimo di capture the flag), permette a due o più team di hacker (ognuna con un numero di componenti variabili tra i 5 e i 10) di mettere alla prova le loro abilità.

Applicando, quindi, i concetti del gamification alle pratiche tipiche dall'hacking si è riusciti a creare una sorta di videogioco – già rinominato MMOHCTF, Massive Multiplayer Online Hacking Capture the Flag – molto simile al celebre, quanto meno nell’ambiente, Metasploit.

Come funzionano i Capture the flag

Il funzionamento base di questa palestra per hacker è tutto sommato semplice e con alcune affinità con giochi “reali”. L'obiettivo, infatti, è creare una fortezza virtuale a protezione di una bandiera (anch'essa virtuale) e riuscire a difenderla dagli attacchi nemici impedendo agli avversari di impossessarsene. Uno schema simile viene adottato, ad esempio, nel corso di gare di softair e paintball, dove i contendenti devono difendere la propria bandiera tentando, al contempo, di impossessarsi della bandiera nemica portandola all’interno del proprio fortino.

 

La mappa con i team di Capture the flag

 

Su CTF 365 le fortezze sono delle macchine virtuali create dalle due squadre sviluppando array di servizi (ovvero una serie di processi e programmi collegati tra loro a formare un unicum), che dovranno poi essere difesi dai tentativi di hacking portati dai membri del “battaglione” avversario. Per questo motivo le fortezze devono essere il più possibile prive di bug e altre falle di sicurezza: più si avvicineranno alla perfezione, più sarà difficile per gli avversari riuscire a rubare la bandiera.

Questa caccia agli exploit, comunque, non è l'unica modalità di gioco prevista da questa palestra riservata agli hacker. In un'altra modalità di gioco, ad esempio, le due squadre dovranno risolvere rompicapi e portare a termine degli obiettivi: solo in questo modo potranno avanzare verso la fortezza avversaria e catturarne la bandiera.

Chi ne può beneficiare

Una piattaforma del genere, comunque, può portare benefici su una scala molto più ampia rispetto al semplice allenamento. Può essere utilizzata da società informatiche alla ricerca di esperti di sicurezza informatica per mettere alla prova i candidati; può tornare utile per testare applicazioni di sicurezza sui server virtuali prima dimetterle in funzione su server reali e molto altro ancora.

CTF365, insomma, ha potenzialità enormi e nonostante sia ancora alle primissime fasi di sviluppo – è stata rilasciata da poco in versione alpha – può portare notevoli vantaggi nell'ambito della sicurezza informatica.

A cura di Cultur-e Costruisci il tuo futuro con la connessione Fastweb