Lo scorso 20 aprile il nostro Domenico Femia, hacklabber da 3+ anni e componente della squadra CTF di HLCS, ha conseguito la laurea in Ingegneria Informatica con la discussione del suo elaborato dal titolo Analisi delle vulnerabilità di un’applicazione per il trasporto pubblico. Il relatore è il Prof. Gianluigi Folino.
Il lavoro di Domenico costituisce una completa vulnerability assessment della piattaforma che gestisce il servizio navetta a disposizione della comunità universitaria. Oltre all’analisi prettamente tecnica delle vulnerabilità scoperte, il lavoro si conclude concentrandosi su come migliorare il processo coordinato di divulgazione (disclosure) e gestione (handling) delle vulnerabilità così come riscontrato durante la realizzazione della tesi.
Quest’elaborato è una tesi Hacklab fin dalla sua genesi. Nelle parole di Domenico:
La scelta di incentrare questo elaborato su un sistema esistente di mobilità locale è stata motivata, in primo luogo, dalla mia personale attitudine generale verso il reverse engineering e dalla volontà di comprendere nel dettaglio i sistemi informatici e il loro operato, sia da un più specifico interesse per l’area Information Security (InfoSec). […]
Un’ulteriore motivazione che ha reso significativa l’analisi dell’app è stata la volontà da parte dell’associazione Hacklab Cosenza, di cui faccio parte, di integrare all’interno della nuova versione del tabellone digitale (digital signage) installato presso le pensiline dell’Università le informazioni sulla posizione in tempo reale dei mezzi in servizio disponibili all’interno dell’app oggetto di analisi.
Non c’è niente da fare: anche se per noi la parola hacking ha il senso esteso di “curiosità infinita nel trovare soluzioni originali a problemi complessi (tecnologici e non)”1, la prima cosa che viene in mente sentendola è la sicurezza informatica.
Proprio per raffinare le nostre skill in questa classica accezione dell’hacking, alla fine del 2025 un gruppo di hacklabbers ha dato vita alla squadra ufficiale di CTF (Capture The Flag) di Hacklab Cosenza, partecipando alla nostra prima competizione.
Un Capture the Flag (abbreviato in CTF) è un gioco di hacking dove team o singoli cercano vulnerabilità in sistemi e software messi a disposizione dagli organizzatori della competizione al fine di sfruttarle e di collezionare le varie flag nascoste sul sistema bersaglio. Oltre a trovare e sfruttare vulnerabilità molte challenge consistono in risolvere puzzle logici o capire come funziona e come abusare un sistema. Il gioco è ispirato e prende il nome da Rubabandiera, che in inglese è chiamato appunto Capture the Flag.
Un gioco competitivo dunque, dove gli hacker usano (e accrescono), anche collaborando sotto forma di squadra, le proprie abilità sulla sicurezza informatica per risolvere le sfide predisposte dagli organizzatori del gioco e accumulare punti.
La Competizione
L’evento scelto per il debutto del team CTF Hacklab è la 4° edizione (2025-2026) della LakeCTF, organizzata dal team polygl0ts. Abbiamo preso parte alla prima fase, quella delle qualifiche, che hanno avuto luogo nell’altro di 24 ore (dalle 18:00 del 28/11 alle 19:00 del 29/11, ora italiana).
Questa CTF segue il formato Jeopardy. Sempre prendendo a prestito la descrizione di capturetheflag.it:
Ci sono vari tipi di Capture the Flag. I più famosi sono Jeopardy, Attack/Defense e Boot2Root. […]
I CTF di tipo Jeopardy sono probabilmente i più popolari, dato che si adattano bene a competizioni online. In questo formato gli organizzatori mettono a disposizione dei giocatori diverse “challenge”, ognuna delle quali offre una singola flag. Quando un giocatore trova la flag, a seconda della difficoltà della challenge, guadagna dei punti. Il giocatore con il numero più alto di punti vince il CTF.
Queto formato è generalmente a squadre. Le challenge vengono divise e assegnate tra i membri della squadra per velocizzare la loro risoluzione e la conquista delle flag, dato che in genere le competizionii hanno un limite di tempo.
Il risultato
Più di tutto, tanta esperienza accumulata sulle dinamiche, sulle tempistiche, sui metodi di collaborazione in squadra, sugli strumenti che entrano in gioco durante una competizione CTF.
Anche la classifica, da cui non ci aspettavamo nulla, ci ha sorpreso in positivo: 102esimi su 498 nella classifica generale, e 19esimi su 188 nella sezione non-academic (gli academic sono le squadre ufficiali composte da ricercatori universitari e/o professionisti). Nice!
Per questa prima CTF la squadra Hacklab era composta dagli hacklabber (in senso orario a partire da in piedi a sinistra):
Manuel Perna
Andrea Farfaglia
Santo Cristian Colosimo
Riccardo Morabito
Domenico Ricci
Domenico Femia
Ora rispolveriamo le tastiere, lucidiamo i monitor, attacchiamo qualche altro sticker ai portatili e pensiamo alla prossima competition. Il team CTF, come tutte le attività e i progetti dell’associazione, è aperti a tutt*. Vuoi unirti o saperne di più?
Happy hacking (security or not)!
Ad essere onesti e sinceri qualche volta capita che la svoltiamo a “capacità infinita di creare problemi originali che avrebbero soluzioni del tutto semplici” :-D ↩︎
