Design e organizzazione di competizioni Capture The Flag su larga scala

Abstract

Le competizioni Capture The Flag (CTF) sono uno strumento importante per educazione, formazione e ricerca di talenti in ambito cybersicurezza, poiché permettono di sviluppare competenze pratiche che integrano le conoscenze teoriche in aree come analisi di vulnerabilità, crittografia, networking e amministrazione dei sistemi. Questa tesi indaga le sfide organizzative e tecniche legate alla progettazione e alla gestione di competizioni CTF su larga scala. Il lavoro si sviluppa nel contesto delle attività del Cybersecurity National Lab del Consorzio Interuniversitario Nazionale per l’Informatica, in cui tali eventi sono ampiamente utilizzati per formazione, valorizzazione dei talenti e costruzione della comunità. La metodologia e le pratiche discusse in questa tesi derivano quindi dal contesto operativo di grandi eventi istituzionali coordinati in questo ambiente e sono state adattate a esso. Dopo aver introdotto il contesto storico della cultura hacker e l’evoluzione delle competizioni CTF, il lavoro analizza i principali formati di gara, evidenziandone differenze e relative considerazioni progettuali. In seguito, viene descritta una metodologia strutturata per la gestione dell’organizzazione di eventi CTF complessi in questo contesto, che viene poi presentata attraverso due casi studio. Il primo riguarda l’European Cybersecurity Challenge (ECSC) 2024, la competizione che ha inizialmente motivato questo lavoro, e descrive la progettazione del regolamento, dell’infrastruttura tecnica, del set di prove della gara, e dei canali di comunicazione, insieme alle criticità operative emerse durante l’evento. Il secondo caso studio presenta lo sviluppo di una prova di binary exploitation utilizzata per ECSC 2024 e realizzata dall’autrice di questa tesi. Nel complesso, questo lavoro mette in evidenza la natura multidisciplinare dell’organizzazione di competizioni di cybersicurezza, che combina project management, ingegneria delle infrastrutture e conoscenze tecniche avanzate.

Capture The Flag (CTF) competitions are an important tool for cybersecurity education, training, and talent identification, as they allow participants to develop practical skills that complement theoretical knowledge in areas such as vulnerability analysis, cryptography, networking and system administration. This thesis investigates the organizational and technical challenges involved in designing and managing large-scale CTF competitions. This work is developed within the context of the activities of the Cybersecurity National Lab of Consorzio Interuniversitario Nazionale per l'Informatica, where such events are widely used for training, talent development, and community building. The methodology and practices discussed in this thesis are therefore derived from and tailored to the operational context of large-scale institutional events coordinated within this environment. After introducing the historical context of hacking culture and the evolution of CTF competitions, this work analyzes the main CTF formats, highlighting their differences and design considerations. The work then continues with the description of a structured methodology for managing the organization of complex CTF events in this context. This methodology is then presented through two case studies, the former one being the European Cybersecurity Challenge (ECSC) 2024, the competition which initially motivated this work. The analysis describes the design of competition rules, technical infrastructure, competition tasks presented to participants, and communication channels, together with operational challenges encountered during the event. The latter case study presents the development of a binary exploitation task used for ECSC 2024 and developed by the author of this thesis. Overall, this work highlights the multidisciplinary nature of organizing cybersecurity competitions, combining project management, infrastructure engineering, and advanced technical knowledge.