Passa ai contenuti principali

Sogno italiano. Tra CTF, vittorie e il desiderio di primeggiare ancora

La notizia che quattro giovani italiani sono saliti sul podio delle Olimpiadi Internazionali di Cybersecurity (International Cybersecurity Challenge) mi ha riempito d’orgoglio. Gareggiavano con la selezione europea, rappresentando l’Italia all’interno del team EU, e insieme hanno ottenuto il secondo posto mondiale dietro alla squadra asiatica. Un risultato tutt’altro che scontato, in un contesto sempre più competitivo e globale.

Il fatto che tra i protagonisti ci fossero anche studenti italiani – preparati, motivati, selezionati tra decine di candidati – è la prova che nel nostro Paese il talento non manca. Ma il talento, da solo, non basta. Servono contesti in cui possa emergere, strumenti per affinarlo, mentori capaci di guidarlo, e soprattutto occasioni vere per mettersi alla prova.

Le CTF (Capture The Flag) sono questo: sfide tecniche, ma anche esperienze formative complete. Sono uno dei modi migliori per sviluppare competenze reali in ambiti come il reverse engineering, l’exploit development, il web hacking, la forensics. Ma soprattutto, le CTF ti insegnano a ragionare in modo critico, ad affrontare problemi ambigui, a lavorare sotto pressione e in team.

Nel panorama italiano, si parla ancora troppo poco di tutto questo. Eppure, se vogliamo davvero prepararci a un futuro digitale più sicuro, dovremmo iniziare da qui: dal riconoscere che la sicurezza informatica non si impara solo sui banchi, ma anche “sul campo”. E in questo senso le competizioni, che siano accademiche o open, locali o internazionali, sono fondamentali.

L’European Cybersecurity Challenge 2025 si terrà dal 6 al 10 ottobre a Varsavia, in Polonia. La selezione per formare la squadra italiana è già partita, e mi auguro davvero che il nostro Paese riesca a presentare un team competitivo, coeso, pronto a giocarsela fino in fondo. Sarebbe bello rivedere la bandiera italiana sventolare sul podio — non come eccezione, ma come segno di una crescita strutturata, duratura.

Del resto, non sarebbe la prima volta. Chi segue le CTF da anni ricorderà i mHACKeroni, il team italiano che per diverse stagioni ha ottenuto risultati straordinari nelle competizioni mondiali. Le loro vittorie non sono state il frutto di finanziamenti faraonici, ma della passione, del sacrificio e del gioco di squadra. Un’eredità importante, che dovrebbe farci riflettere su quanto potremmo fare — e su quanto, a volte, ci limitiamo da soli.

Allenarsi oggi è alla portata di molti. Esistono ottime piattaforme, come Hack The Box, Root Me, TryHackMe, PortSwigger Academy, ma più del tool in sé conta la mentalità. L’impegno costante, la voglia di migliorarsi, la capacità di chiedere aiuto e di condividere le proprie scoperte. È lì che si vede chi ha davvero voglia di crescere.

Personalmente, credo che l’Italia abbia le carte in regola per diventare un punto di riferimento europeo nella formazione di esperti di sicurezza informatica. Ma serve più attenzione, più coordinamento, e anche più fiducia nei giovani. Perché non si tratta solo di vincere un trofeo: si tratta di costruire una generazione pronta a difendere il nostro futuro digitale.
Tag:

Commenti

Posta un commento

Popolari

Le ombre di Teheran nei server USA. Hacker iraniani minacciano ex collaboratori di Trump, caccia all’email perduta

Ho appena letto un report di Reuters – e sì, la notizia è confermata e tombale – che vale un approfondimento. Un collettivo di hacker presumibilmente legato all’Iran, che si fa chiamare “Robert”, ha detto di essere in possesso e pronto a vendere circa 100 GB di email trafugate da ex collaboratori di Donald Trump: Susie Wiles (capo di gabinetto), Lindsey Halligan (avvocata), Roger Stone (consigliere politico) e perfino Stormy Daniels. Il gruppo aveva già fatto trapelare materiale simile a fine 2024, senza però influenzare davvero gli esiti elettorali. Negli scambi con Reuters, “Robert” ha lanciato l’ennesima minaccia: “abbiamo intenzione di organizzare la vendita di queste email e vogliamo che sia Reuters a trasmettere la notizia”, hanno detto . Un tentativo palese di cyber‑propaganda orchestrata a freddo. Le autorità statunitensi – FBI e DOJ – e l’agenzia CISA definiscono il tutto un’“operazione diffamatoria mirata”, un tentativo fatto con cura per destabilizzare, dividere e minare la ...
Posta un commento
Continua a leggere »

Owna le tue cuffie, exploit HFP via Bluetooth vulnerabile (attivare il microfono delle tue cuffie)

Negli ultimi giorni è stata svelata una serie di vulnerabilità nei chip Bluetooth della famiglia Airoha, integrati in decine di dispositivi audio wireless tra cui auricolari TWS, cuffie, speaker e microfoni venduti da marchi noti come Beyerdynamic, Bose, Sony, Marshall e altri. La scoperta è stata resa pubblica dal team di ricerca tedesco ERNW durante la conferenza TROOPERS, tenutasi il 29 giugno 2025. Queste falle permettono ad un aggressore nelle vicinanze di eseguire azioni come ascoltare l’audio in riproduzione, controllare funzioni del dispositivo via Bluetooth e addirittura attivare il microfono remoto tramite manipolazione del profilo HFP (Hands-Free Profile), che normalmente viene utilizzato per le chiamate vocali. I ricercatori hanno individuato tre vulnerabilità principali, tutte localizzate nel firmware dei chip Airoha, già ampiamente diffusi nel mercato consumer. Si tratta di CVE‑2025‑20700, CVE‑2025‑20701 e CVE‑2025‑20702, tutte con un punteggio di rischio compreso tra 6.7...
Posta un commento
Continua a leggere »

Quando anche sudo tradisce. Due bug, un root e una chroot

Non succede spesso che sudo, uno dei comandi più fidati e scrutinati del mondo Unix, finisca sotto i riflettori per una vulnerabilità davvero seria. Stavolta è successo due volte, e una delle due fa davvero male. Due bug scoperti e documentati di recente – CVE-2025-32462 e CVE-2025-32463 – mostrano come, anche dopo più di 12 anni di sviluppo, errori silenziosi possano ancora nascondersi in piena vista. Il primo, CVE-32462, è quasi romantico per quanto è vecchio: un difetto nell’uso dell’opzione --host che, in determinate configurazioni di sudoers, può consentire a un utente locale di eseguire comandi con privilegi su host che non dovrebbe nemmeno poter vedere. Roba da manuale, bassa priorità, ma comunque un richiamo interessante per chi pensa che le configurazioni “da laboratorio” non portino guai. Il secondo è molto più cattivo. CVE-32463 sfrutta l’opzione -R di sudo, che consente di specificare una directory chroot. L’idea è che tu possa lanciare comandi in un ambiente isolato, ma ec...
Posta un commento
Continua a leggere »