Mushroom kingdom

Un'immersione nelle pipeline CI/CD con Mario e Luigi

Una serata presso il Bureau Veritas Cybersecurity, per immergersi nell'hacking della pipeline CI/CD.

mouse - simple-line-icons

Hacking nel Regno dei Funghi: la mia serata a Bureau Veritas Cybersecurity

Ciao a tutti! Mi chiamo Ilnur, sono uno studente del terzo anno di Cyber Security presso l'Università di Scienze Applicate di Amsterdam (UAAS/HvA), e in questo post vi racconterò la mia esperienza nell'aiutare Bowser a hackerare Mario & Luigi!

Un paio di settimane fa sono stata contattata da Sara Busscher, con la domanda se fossi interessata a saperne di più sull'hacking della pipeline CI/CD. A dire il vero, era la prima volta che sentivo parlare di CI/CD o di qualcosa di simile, ma in base alla mia precedente esperienza con la serata olandese di Docker, non ho esitato a cogliere l'opportunità offerta.

L'evento si è svolto nel nuovo ufficio di Bureau Veritas Cybersecurity, proprio vicino alla stazione ferroviaria Bijlmer Arena, e anche se all'inizio ho faticato a trovare l'ascensore giusto (l'edificio è diviso in due), alla fine mi sono trovata tra le persone amichevoli che avevo conosciuto un anno fa.

Sicuramente un tema di Mario

Prima dell'inizio dell'evento, era chiaro che aveva a che fare con "Mario": i tavoli erano coperti a tema e c'erano persino dei giocattoli sparsi ovunque! (Onestamente, mi sto ancora chiedendo se davvero tengono le decorazioni di Mario da qualche parte in ufficio, o se si trattava solo di una cosa occasionale).

I nostri ospiti per la serata erano Charleston e George, entrambi esperti di sicurezza di Bureau Veritas Cybersecurity. Hanno spiegato rapidamente, ma in modo chiaro, che cosa sono le pipeline CI/CD e hanno deciso di illuminarci sul piano di Bowsers per violarle!

Sembrava che ci trovassimo a Devtopia, un paesaggio a tema Mario pieno di tunnel. Questi tunnel erano analoghe alle pipeline che stavamo per hackerare.

Foto Ilnur

Ilnur Khakimov

Studente del terzo anno di cybersecurity

(UAAS/HvA)

Abbiamo trascorso la serata a Devtopia, un paesaggio a tema Mario pieno di tunnel. Questi tunnel erano analoghe alle condutture che stavamo per hackerare.

Per questo, abbiamo ottenuto i principi di base del funzionamento del CI/CD: quando Luigi (sviluppatore junior) ha lavorato sul suo codice, farà una richiesta di pull attraverso la pipeline "OnMerge". Se fossimo fortunati (essendo degli hacker professionisti, la "fortuna" è la nostra arma principale), potremmo riuscire a rubare alcune informazioni dimenticate.

Dopo aver completato questo obiettivo, ho appreso nuove informazioni sul funzionamento di git. Ad esempio, non sapevo che le versioni precedenti del codice fossero accessibili localmente (altrimenti avrei potuto facilmente commettere questo errore). Per nostra fortuna (ve l'ho detto, la fortuna è la nostra arma principale), George e Charleston avevano preparato alcuni comandi utili nel giusto ordine di esecuzione. Questo non significava che ci fosse stata fornita una guida completa per completare le sfide, poiché era comunque necessario sapere quando dovevamo eseguirli.

Sfortunatamente, mi sono bloccata per i due passi successivi (sembrava che il mio git non fosse configurato correttamente o qualcosa del genere), quindi ho dovuto guardare cosa facevano gli altri. Fortunatamente (devo ripetermi?) le sfide sono state progettate in modo tale che ho potuto recuperare durante l'ultimo passo; per continuare la sfida, sono necessarie le informazioni del passo 1, cosa che ho fatto con successo.

Enorme quantità di pizza

Tra una sfida e l'altra è arrivata un'enorme quantità di pizza! Abbiamo avuto modo di chiacchierare un po' tra di noi durante questa pausa e ho conosciuto alcune nuove persone, una delle quali ricordo che indossava una maglietta premiata per aver hackerato il governo olandese! È stato molto interessante ascoltare la sua storia e ho potuto persino confermare la mia affermazione sulla fortuna nel modo in cui l'ha fatto (essere fortunati deve essere un premio per l'abilità, credo).

Sfortunatamente, sono dovuta andare via 30 minuti prima, quindi non ho potuto assistere alla visita completa delle sfide, ma ho ricevuto una pratica borsa per il ritorno a casa! Tuttavia, quando sono stata accompagnata all'uscita, mi è stata posta la domanda se avessi imparato qualcosa da questa serata. "Un po' di tutto, a partire dall'esistenza di queste cose", è stata la mia risposta.

Per concludere questo post, consiglio vivamente agli studenti di partecipare ai workshop di Bureau Veritas Cybersecurity, se ne hanno l'opportunità! Vorrei ringraziare Charleston e George per tutto quello che hanno fatto per noi quella sera, e un ringraziamento speciale a Sara per aver ricordato il mio tipo di vino preferito.