[MontelLUG] Andammo, vedemmo, bucammo

[Samuele]

Esimi, ore 0.33, di ritorno da CAT 2011, prima di posare la testa sul 
cuscino, mi accingo a scrivervi due parole di resoconto della giornata 
per chi non è potuto venire e si è dovuto fare la giornata al lavoro.

Ore 7.18 io e Marco C(hernobyl) si parte dalla stazione di Castelfranco 
alla volta di Milano (per quest'anno treni puntuali: miracolo, o tanta 
sfiga l'anno scorso).

Appena saliti sul treno, dopo qualche minuto si presenta il primo 
problema della giornata. Sul sedile accanto è seduta una acefala, 
pantaloni e lacci delle scarpe rosa confetto, al cui ipod si è inceppata 
la testina (presente i giradischi quando si inceppano? ecco...). Da 
Casteo a Milano, sempre la stessa canzone in loop sparata a tutto 
volume, con la tipa che ogni tanto faceva un "laaaalalalaaaaalalala'. 
C'è da dire che l'intonazione della tipa era da partecipante alla 
Corrida. Marco, l'esperto in musica, diceva trattavasi di canzoni di 
Lady Gaga. Come ben sapete, su di un sistema *nix un ps + kill risolvono 
i problemi di processi in loop. Nell'universo reale, una tale soluzione 
non è contemplata dalla legislazione vigente.
All'arrivo a Milano alle ore 10.10, con ben 15' di ritardo, il tempo si 
presentava nuvoloso e la temperatura mite. Tempo ideale per riuscire ad 
usare un monitor lcd all'esterno.
Cartina stampata su foglio di carta di riciclo alla mano, ci dirigiamo 
all'ATA Exclusive Hotel dove si teneva la manifestazione.
Arrivo alle 10.30, giusto in tempo per l'inizio. Registrazione come 
lurker/leecher :-( e subito nella saletta dove si tenevano le 
conferenze. Presentazione da parte di Mayhem/Aspy della giornata, 
seguita da un talk di Flora sulle insidie/pericoli di security dei 
social network, illustrazione da parte di un avvocato dei pericoli a cui 
si va in contro a fare uso delle reti wifi altrui e per finire un talk 
in inglese (sigh) di Chiesa e Jon Orbeton di Paypal con alcuni esempi 
inerenti la sicurezza.
Al termine, ore 13.00 pranzo. Ognuno per i cavoli propri. Ah, quest'anno 
non ci hanno dato maglietta o berrettini (solo per i partecipanti).
Ore 14.30 inizia l'appello delle squadre partecipanti, i nomi erano dei 
più fantasiosi, dai "grissini salati" ai "crecker". I componenti di un 
gruppo si dimostravano ben poco "gelosi" gli uni verso gli altri, una 
maglietta con scritto sopra "Hack & love" sarebbe stata loro indicata.
E' stata fatta menzione di una squadra proveniente da un paese che ha 
suscitato l'interesse di Mayhem: Vergate sul membro.
Siccome le comunicazioni dei bersagli sfondati avvenivano tramite sms, 
Raoul, ha precisato che quanto sentito a pranzo, cioè hackerare una 
telco al fine di falsificare anticipando l'ora di invio dell'sms non era 
consentito. Durante la gara qualcuno ha comunque spoofato il cellulare 
di Mahyem dando false indicazioni.
Diverse squadre si sono portate la valigia con il gruppo di continuità o 
batterie più inverter visto che la gara dura 4 ore e i portatili non 
reggono così tanto (specie con le alfa attaccate); qualcuno ha comprato 
la batteria, ma non l'ha caricata. :-)
Ci si sposta all'esterno, scala d'ordinanza, megafono ed antenna 
omnidirezionale lunga 1.8 mt circa ed il gioco è partito.
Diversamente dall'anno scorso, dove dopo circa 30' il primo access point 
era stato fatto fuori, quest'anno ci sono stati parecchi problemi ad 
individuarlo (si saprà dopo che una squadra era dotata di access point 
fake e jammer). Ad un certo punto, sono dovuti intervenire dalla control 
room per indicare all'incirca dove si trovava l'ap.
Intanto noi si faceva un giro da una squada all'altra. Tra gli 
osservatori c'erano anche Naif e Vecna, ai quali qualcuno ha domandato 
come mai non partecipassero...
Ad un partecipante in difficoltà, Naif ha suggerito di mettersi a fare 
il "man in the middle" ed attendere che qualcun altro bucasse la 
macchina :-) (effettivamente, è un po' "fissato" con sta storia del mitm 
:-)).
Una delle squadre, era in difficoltà con il primo bersaglio e siamo 
dovuti intervenire con un aiutino di sql injection. Inutile dire la 
soddisfazione nel vedere che ha funzionato al primo colpo (si, ok, jera 
na boiada, però intanto a ghemo sbusada), codesto aiuto ci è valso una 
bibita offerta dalla squadra.
Ecco, una precisazione, le squadre, potevano guadagnare punti oltre che 
con l'hackeraggio degli ap e degli host, anche con alcune prove, tipo 
cantare gli auguri di buon compleanno a Mayhem, portare bevande 
alcoliche allo staff, portare scontrini di consumazioni dei locali dove 
erano ospitati gli ap ecc..
Simpatica la bastardata fatta sul secondo bersaglio dove ci siamo 
cimentati anche noi e della quale ci siamo accorti troppo tardi.
Una volta collegati all'ap, andando di dhcp si prendeva un ip della 
sottorete 172.21.14.128/25. Peccato che il bersaglio fosse sulla rete 
172.21.14.0/25. Effettivamente, il bersaglio precedente recitava 
"imparate ad usare le sottoreti".
Alle 18.30 termine del gioco. Nella sala conferenze, nel frattempo Koba 
si era divertito a fare il dj, che posso dire, i gusti son gusti... e 
non è il caso di contraddirlo.
Alle 19.00 circa inizio della parte più folkloristica della 
manifestazione, con qualche discorso e la premiazione.
Mayhem e Chiesa hanno iniziando mettendo quello che è l'inno di questo 
tipo di manifestazioni, la canzone che non manca mai e che rappresenta 
lo spirito di Internet: Internet is for p0rn.
Vedere cantare a squarciagola con il bicchiere in mano alcuni tra i più 
famosi esperti di sicurezza del panorama italiano è veramente commuovente.
Poi, in previsione dell'hacking film festival che si terrà nei prossimi 
giorni, Mayhem è passato a mostrare due spezzoni di filmato tratti dal 
film "I signori della truffa" (che se scopro che qualcuno del lug non lo 
ha visto gli rifilo le sostanze chimiche che abbiamo nell'armadio): il 
discorso fatto sul "costoso divanetto" e la scena delle pallottole sul 
tetto, al che Raoul ha ricordato le frasi che aveva scritto nel 1995 sul 
server della Banca d'Italia. :-) Che dire, "la passione si sente". 
Infine hanno ricordato uno scherzo fatto al Moca 2008 ad un consulente 
di sicurezza ed un'altro riguardante un certo ESC-GSM.
Purtroppo a questo punto, erano le 19.20 e l'ultimo treno per casa 
partiva alle 20.05. A malincuore abbiamo dovuto abbandonare la 
manifestazione perdendoci la premiazione e l'aperitivo. Confidiamo nella 
messa on-line dei filmati, anche se non sarà la stessa cosa.

Che dire alla fine, è stato bello. Personalmente, partecipare a queste 
manifestazioni fa toranre alla mente il perché quando è stato tempo di 
decidere cosa fare, piuttosto di fare il gelataio, ho deciso di fare 
l'informatico, la sfida contro una macchina, la gioia della risoluzione 
di un problema o nell'aggirare un ostacolo, il vedere nel 
software/computer oltre quello che sono stati progettati, il non avere 
limiti se non la propria mente. Cose che nel normale lavoro quotidiano 
vengono sepolte e mortificate dalle richieste assurde di chi non sa cosa 
vuole, ma che crede di sapere.

Infine, l'anno prossimo cercheremo di essere presenti anche come 
partecipanti. Marco C, Cip, Ciop & co, Olivaw e Manuel ritenetevi già 
reclutati per l'anno prossimo (se poi altri si vogliono aggregare sono 
ben accetti).

Samuele, e le smaronnature della fiera delle piante fuori dalla porta di 
casa.