Un articolo sulla squadra Sarda classificatasi seconda, i Jumpin Jester

Il raccconto della squadra NetMinders

L’articolo uscito su la Gazzetta di Parma (clicca sull’immagine per ingrandirla)

Le immagini di CAT2011 SecSum Edition scattate da Emanuele Balla

Articolo su Mozenda

Intanto linkate cosi’, brutalmente poi provvederemo a fare di meglio!

Addendum:

trasformiamo questo post in un raccoglitore di articoli, foto, post su CAT 2011 SecSum Edition!

Articolo su La Stampa: Gli hacker buoni invadono Milano

La Stampa: Fotogallery

La Repubblica di Parma: Parmigiani alla Cracca al Tesoro

Dalla squadra IT CROUD: qualche foto della giornata

Le foto di Matteo Flora su Facebook (per chi non ha un account, le metteremo anche sul sito)

Foto sparse  http://yfrog.com/h4u2xoqj,  http://yfrog.com/h050avyj, http://yfrog.com/h33c3lyj

Aggiornamento del 14/3/2011

Il commento e racconto di Jumpin Jester su Evilsocket

Articolo pubblicato su Il Giorno (clicca sull’immagine per ingrandire)

Mai tante squadre come in questa edizione. Ben 22 squadre iscritte. Ci pensate? Decine e decine di portatili e antenne a caccia di wireless e sistemi!

Grazie a chi ci ha dato fiducia. Sponsor in primis. In ordine sparso FoolDns, Spin, LinuxPro, Apogeo, Seeweb, Arti Grafiche Turati, Weston Security e tutti quelli che ci hanno dato una mano, chi facendo le riprese, chi facendo  musica in sala (di tutti e due i generi, country e western), chi gestendo le chat, twitter ecc., chi facendo le foto, chi con il supporto legale… Insomma: tutti gli angeli che hanno fatto si che CAT funzionasse e funzionasse bene.

Lo so che se siete arrivati a leggere fino qui è perché volete sapere chi ha vinto.
Ebbene, al quarto tentativo, collezionando ben tre secondi posti nelle prime tre edizioni, (anche con un nome diverso sono sempre loro) hanno vinto i ragazzi di E-QUIPE di Torino!!!
Secondi, dopo un viaggio (udite udite) in nave, da SASSARI (dalla Sardegna, ci pensate?) JUMPIN JESTER.
Terzi da Trento CRACKERS SALATI con un distacco davvero minino dai secondi.

Bravi. Bravi per l’impegno, per la volontà, per il risultato.

Ci sarebbero molte cose da dire, cercheremo di farlo a mente fresca. Ma una cosa voglio dirla subito.
Non esistono solo le classi /24!!!

E per ora, buona notte!

Siamo lieti di comunicare il raggiungimento di 15 squadre iscritte, per un totale di  circa 60 partecipanti.
Curioso notare come oltre alle molte squadre lombarde che naturalmente ci si aspettava, siano presenti squadre da Torino, da Trento, Genova per arrivare fino a Sassari.

Le iscrizioni sono ancora aperte; se cercate compagni per creare una nuova squadra contattateci o mettete un post su facebook o twitter. I link sono qui a fianco.

Organizzare CAT è sempre molto impegnativo, ma a fronte di questi numeri, anche solo per quel che riguarda i giocatori, senza contare i partecipanti che supereranno sicuramente i 200 della scorsa edizione milanese, non possiamo che galvanizzarci e trovare la forza per il rush finale che ci farà arrivare a Sabato già provati, ma soddisfattissimi!

Lo Staff

A questo proposito, ci sono amici che sono alla ricerca di compagni per mettere su una super squadra!

Mettetevi in contatto, tramite Facebook, Twitter o commenti a questo post, o  al limite, anche scrivendo a noi. Penseremo a mettervi in contatto!

Clusit, Associazione Italiana per la Sicurezza Informatica,  crede molto alla sensibilità che il gioco vuole creare. Da sempre è piaciuta l’idea di configurare di proposito degli access-point con gli errori commessi più comunemente, per rendere evidente quanto sia facile sfruttare una rete mal-configurata per accedere all’infrastruttura di una azienda o truffare un privato.

Anche quest’anno Clusit intende dare un ulteriore contributo alla manifestazione, premiando i partecipanti con un vantaggio concreto: la partecipazione alle attività di Clusit. Questo è sempre stato un contributo apprezzatissimo non solo dagli organizzatori, ma anche dai partecipanti. Quale premio migliore, infatti, per degli esperti di sicurezza informatica che la partecipazione alle attività di una delle associazioni più attive e blasonate in Italia, che ha come focus esclusivamente la sicurezza informatica?

Per questo siamo sicuri che saranno graditissimi i seguenti premi:

• A tutti i componenti della squadra prima classificata Clusit attribuirà l’adesione individuale gratuita per il 2011, con tutto quello che comporta, come ad esempio la possibilità di partecipare a tutti i seminari.

• A tutti i componenti della seconda e terza squadra attribuiremo un invito aperto, valido per tutto il 2011, per partecipare ad uno dei nostri seminari clusit (riservati ai soci), a loro scelta.

Cosa aspettate allora? iscrivetevi, giocate, è una ulteriore possibilità per essere coinvolti in alcune attività di Clusit!

Che premi può offrire un gioco come CAT ai suoi giocatori? Questa è una domanda che si fanno in molti. Qui ne vogliamo anticipare qualcuno.

Clusit crede molto alla sensibilità che il gioco vuole creare. Da sempre è piaciuta l'idea di configurare di proposito degli access-point con gli errori commessi più comunemente, per rendere evidente quanto sia facile sfruttare una rete mal-configurata per accedere all'infrastruttura di una azienda o truffare un privato.

Anche quest'anno Clusit intende dare un ulteriore contributo alla manifestazione, premiando i partecipanti con un vantaggio concreto: la partecipazione alle attività di Clusit. Questo è sempre stato un contributo apprezzatissimo non solo dagli organizzatori, ma anche dai partecipanti. Quale premio migliore, infatti, per degli esperti di sicurezza informatica che la partecipazione alle attività di una delle associazioni più attive e blasonate in Italia, che ha come focus esclusivamente la sicurezza informatica?

Per questo siamo sicuri che saranno graditissimi i seguenti premi:

Cosa aspettate allora? iscrivetevi, giocate, è una ulteriore possibilità per essere coinvolti in alcune attività di Clusit!

Non tutti i ragazzi amano “smanettare” con il pc, c’è chi ha come passione il calcio e chi la musica….e sono sicura che questi ultimi sarebbero entusiasti di partecipare ad una manifestazione, che essa sia una partita di calcio o un concerto, avendo l’opportunità di giocare o cantare con il proprio beniamino o almeno… con grandi campioni nazionali o cantanti famosi…c’è sempre la possibilità che qualcuno ti noti!
CAT offre a tutti gli “appassionati di bit” e a tutti coloro che amano trascorrere le serate “curiosando in RETE”  la possibilità di avere una giornata con GRANDI esperti…con chi le parole Networking e Security le analizza in “profondità”.

E poi, come dicevo prima, CAT è un gioco ma è anche un’esperienza pratica che mette le proprie competenze alla prova e fa “parlare di se”.

CAT è seguita dai MassMedia, di CAT ne scriveranno i giornali. Intorno a CAT ruotano anche grandi aziende… come la società americana SonicWALL ( un Brand leader nel mercato), che mette a disposizione la sua tecnologia per questo gioco e che presenzierà dietro alle quinte con sue persone, la società ALBA, la società @Mediaservice.net ecc…importanti nomi sempre felici di incontrare volti nuovi… validi e capaci!

SonicWALL offre inoltre una grande opportunità alla squadra vincitrice!!!!!
Il team dei vincitori infatti avrà la possibilità di raccontare la propria esperienza in un intervista, organizzata con il team SonicWALL, che verrà poi pubblicata sul sito web della società e ripresa tramite l’agenzia stampa.
Questa vuole essere una bella occasione per raccontare la propria esperienza e far conoscere le proprie capacità!

Quindi…formate velocemente le squadre, armatevi di tutti gli strumenti che potrebbero servirvi, convenzionali o brevettati da voi con astuzia e fantasia (come documentano le foto delle precedenti edizioni)….e partite per Milano!
Noi vi aspettiamo!!!!!

Claudia Parodi

Io definirei CAT un'esperienza!!!
CAT: è un gioco divertente, è la possibilità di trascorrere un
pomeriggio diverso dal solito, è l'opportunità per tirar fuori un pò di
fantasia....ma è anche l'occasione per mettere alla prova le proprie
competenze e per incontrare e confrontarsi con persone diverse   

Non tutti i ragazzi amano "smanettare" con il pc, c'è chi ha come
passione il calcio e chi la musica....e sono sicura che questi ultimi
sarebbero entusiasti di partecipare ad una manifestazione, che essa sia
una partita di calcio o un concerto, avendo l'opportunità di giocare o
cantare con il proprio beniamino o almeno... con grandi campioni
nazionali o cantanti famosi...c'è sempre la possibilità che qualcuno ti
noti!

CAT offre a tutti gli "appassionati di bit" e a tutti coloro che amano
trascorrere le serate "curiosando in RETE"  la possibilità di avere una
giornata con GRANDI esperti...con chi le parole Networking e Security le
analizza in "profondità".

E poi, come dicevo prima, CAT è un gioco ma è anche un'esperienza
pratica che mette le proprie competenze alla prova e fa "parlare di se".
CAT è seguita dai MassMedia, di CAT ne scriveranno i giornali. Intorno a
CAT ruotano anche grandi aziende... come la società americana SonicWALL
( un Brand leader nel mercato), che mette a disposizione la sua
tecnologia per questo gioco e che presenzierà dietro alle quinte con sue
persone, la società ALBA, la società @Mediaservice ecc...importanti nomi
sempre felici di incontrare volti nuovi.. validi e capaci!

SonicWALL offre inoltre una grande opportunità alla squadra vincitrice!!!!!
Il team dei vincitori infatti avrà la possibilità di raccontare la
propria esperienza in un intervista, organizzata con il team SonicWALL,
che verrà poi pubblicata sul sito web della società e ripresa tramte
l'agenzia stampa.
Questa vuole essere una bella occasione per raccontare la propria
esperienza e far conoscere le proprie capacità!

Quindi...formate velocemente le squadre, armatevi di tutti gli strumenti
che potrebbero servirvi, convenzionali o brevettati da voi con astuzia e
fantasia (come documentano le foto delle precedenti edizioni)....e
partite per Milano!
Noi vi aspettiamo!!!!!

Appena aperta la pagina con il form sono cominciate ad arrivare le prime iscrizioni. Certamente l’evento è di quelli che fanno notizia, e le squadre cominciano a formarsi.
A proposito: vorreste partecipare ma non avete una squadra? Contattateci e vi metteremo in contatto con altri che cercano compagni d’avventura.
Volete esserci ma non vi sentite “così hacker”?
Beh, è anche bello fare da spettatori e seguire le squadre durante il gioco, che come sapete,  si svolgerà all’interno della zona di Corso Como a Milano, dove verranno nascosti degli access point wireless e i partecipanti, a squadre, dovranno, partendo da un indizio iniziale, individuare il primo, violarlo, “bucare” l’eventuale sistema collegato per trovare l’indizio che porta al successivo access point, fino al bersaglio finale.
In pratica il meccanismo della caccia al tesoro è contaminata con il wardriving e con l’hacking puro.
Ma CAT non è solo gioco e divertimento, perché, in fondo, essere hacker significa anche volersi mettere alla prova e  parlare dei temi caldi della sicurezza informatica. L’evento è infatti patrocinato dal CLUSIT, Associazione per la sicurezza informatica, da AIP, Associazione Informatici Professionisti ed OPSI, l’Osservatorio Privacy e Sicurezza delle Informazioni, che organizzano al mattino di sabato un convegno – tavola rotonda con nomi importanti del panorama hacker e security.
Ricorsd che l’iscrizione è gratuita e sono previsti omaggi per tutti i partecipanti.
C’è di che passare un bel sabato, no?

Vi attendiamo numerosi e…con una “scommessa”: quest’anno vorremmo vedere ancora più squadre rispetto alla passata edizione. Pensate di riuscirci?? Spargete la voceeeeeeeeeeee!!!

Raoul “Nobody” Chiesa

Scherzi a parte, a brevissimo verrà postata l’agenda ufficiale, ma possiamo anticiparvi che, il 12 Marzo 2011, CAT aprirà i battenti alle 10.00 (Registrazione dei partecipanti: non fate quindi troppa bisboccia venerdì sera ragazzi…;) per iniziare alle 10.30 con il benvenuto da parte dello staff ed un veloce riepilogo delle regole del gioco e dell’agenda della (impegnativa) giornata che ci si prospetterà davanti.

Qui iniziano le sorprese. Insieme ai “soliti” speaker del CAT (oltre al sottoscritto, Alessio “mayhem” L.R. Pennasilico, Paolo Giardini, la nostra mitica PR Stefania Coltro e l’insostituibile Cristiano Cafferata), quest’anno amici “lontani” hanno deciso di venire a trovarci!
Jon Orbeton, responsabile antifrodi elettroniche di PayPal USA, sarà infatti dei nostri e terrà un intervento di apertura, una sorta di “anticipo” del Key Note che porterà Lunedì 14 Marzo 2011 all’apertura del Security Summit. Ho conosciuto Jon oramai 3 anni fa e vi posso assicurare che è un tecnico davvero preparato, ne ha viste di tutti i colori, ama l’Italia ed è una persona molto alla mano.

Proseguiremo con una tavola rotonda, verso le 12.00, per fare il punto della situazione e degli interventi, ed un po’ prima delle 13.00 ci sarà il lunch break (se avremo abbastanza sponsor vi offriremo il pranzo, diversamente “sacchetto da casa” o bar nella zona di C.so Como).

Alle 14.30 il gatto miagolerà ed inizieremo il CAT-game, per finire verso le 18.30 (quest’anno stiamo preparando dei bersagli ancora più difficili delle passate 3 edizioni

Alle 19.30 – cosicchè le squadre possano riposarsi, rinfrescarsi e confrontrarsi tra di loro, mentre la giuria analizza i dati ed assegna i punteggi – ci sarà la premiazione finale, con ricchi premi offerti dagli sponsor, tra i quali il CLUSIT ha già confermato (iscrizione gratuita
per un anno ad ogni membro delle squadre vincitrici), così come Apogeo Editore (libri e manuali tecnici per le prime 3 squadre classificate).

Infine, un bell’aperitivo milanese, con location ancora da decidere (anche qui, dipende dalla bontà dagli sponsor).

Per adesso è tutto, ci riaggiorniamo tra qualche giorno con l’agenda definitiva, gli sponsor che man mano stanno arrivando (spargete la voce, aiutateci: STT/SUPPORT THE CAT!!!) e tante altre novità.
..per esempio……lo sapevate che quest’anno, tra i volontari che aiuteranno lo staff a “smazzarsi tutto l’evento”, ci saranno i ragazzi di un Politecnico molto famoso in Italia? Quale? Eh….un pezzetto alla volta, no ?
Così…il topo è più buono

Un abbraccio,
Raoul “Nobody” Chiesa

Prima di svelare la vulnerabilità lasciate che spenda due parole sulla difficoltà dei bersagli. Alcuni infatti hanno chiesto come mai si sia quasi sempre trattato di vulnerabilità semplici e ben conosciute, quasi come se per qualcuno non valesse la pena di iscriversi a CAT, “tanto sono bersagli troppo facili!”.

In realtà forse, almeno in parte, questo è vero. Sono vulnerabilità conosciute e facili da exploitare, ma vi invito a fare  due considerazioni.

1) il tempo a disposizione per le squadre è poco. Se le vulnerabilità configurate sui bersagli fossero un pelo più difficili, non basterebbe il tempo per completare il percorso.

2) anche così, finora, nessuno è riuscito a completare il percorso bucando tutti i bersagli a disposizione (quindi non mai abbiamo svelato in cosa consistesse l’ultimo bersaglio…)

Volete tentare la sfida?

Eccoci adesso al bersaglio 2, basato su una macchina Windows 2000, sulla quale era installato un IIS5 con la nota vulnerabilità legata alla codifica unicode.  Microsoft ha pubblicato ormai 10 anni fa un bollettino e non starò qui a ripetere informazioni che  è molto facile trovare in Internet , ad esempio qui o qui. Per tornare a noi, una volta scoperta la vulnerabilità, l’attaccante doveva individuare il file degli indizi contenuto nella cartella C:\inetpub\scripts, nel quale, oltre alla parola chiave da comunicare alla Situation Room per acquisire il punteggio, si richiedeva come “azione speciale” da compiere per guadagnare ulteriori punti bonus di presentarsi alla Situation Room per fare un Karaoke. Nella foto, la squadra vincitrice mentre si esibisce per lo staff sotto le finestre della Situation Room.