Cari colleghi e colleghe,
sono Antonello Zizi, un docente del Giua di Cagliari, e dal giorno del mio inserimento in ruolo mi sono occupato di innovazione in ogni ambito che ho avuto il piacere di esplorare.
Vorrei proporre un contributo che riguarda due diverse facce della stessa medaglia, ovvero da una parte come cercare di portare novità anche metodologiche nella scuola, dall’altra parte come valutare l’impatto che alcune novità possono avere dal punto di vista dei sistemi.
Il primo contributo riguarda una metodologia didattica che prende il nome dalla modalità di funzionamento del microprocessore nei moderni sistemi operativi (context switch) ma che trae spunto dalla psicologia della comunicazione, il secondo invece è una riflessione su cosa il BYOD può portarsi dietro in termini di problematiche tecniche non sempre evidenti.
Contributo 1:
Contributo 2:
BYON: il “lato oscuro” del BYOD
Il PNSD segna un punto di svolta nel panorama scolastico italiano. Oggi l’attenzione è concentrata su come integrare la tecnologia in classe e favorire l’acquisizione da parte degli studenti delle competenze tecnologiche necessarie per orientarsi agevolmente nella società del XXI secolo.
Molti sono i forum e gli eventi formativi dedicati al digitale e alle nuove metodologie didattiche legate al mondo della tecnologia, e tra le varie azioni (meglio sottoazioni) vorrei parlare di BYOD, ovvero l’uso a scuola dei dispositivi personali degli studenti, connessi alla rete d’Istituto e impiegati nelle varie forme di didattica alternativa.
Tanti sono gli aspetti positivi e condivisibili che si sono discussi in merito a questa modalità di utilizzo dei dispositivi personali, ma a mio parere è stato tralasciato un punto imprescindibile: La sicurezza dei sistemi e dei dati.
In altri stati e in altri ambiti da qualche anno si sente parlare di “BYON” ovvero Bring your owner network. Questo fenomeno, ancora poco analizzato qui da noi, riguarda la capacità, per ogni utente, di disporre della propria rete personale interconnessa ad Internet.
Non c’è niente di diverso dal portare con se il proprio smartphone o il proprio tablet il quale, grazie al contratto col proprio operatore, è in grado di accedere alla rete e di navigare in qualunque sito.
Allora, se in passato gli amministratori della rete potevano bloccare l’accesso e selezionare le applicazioni e gli ambienti web attraverso politiche di controllo, col BYON gli studenti possono aggirare i filtri della scuola utilizzando le proprie reti mobili e Wi-Fi hot-spot, facendo nascere quello che è l’ultimo problema di sicurezza per la scuola e costringendo gli amministratori di rete ad affrontare un carico di lavoro sempre più impegnativo alla ricerca dei modi per proteggere gli studenti e la scuola stessa, dalla diffusione di malware, oltre che per impedire le dannose fughe di dati e il determinarsi della visibilità incondizionata di tutti i dispositivi sulla rete.
Questo aspetto, dunque, determina più di una situazione pericolosa dal punto di vista della sicurezza informatica in quanto:
- Le politiche di sicurezza poste in atto dall’amministratore della rete scolastica sono relative alla rete interna;
- gli studenti possono aggirare i filtri della scuola utilizzando le proprie reti mobili e Wi-Fi hot-spot;
- Un dispositivo in BYON funge da bridge tra la rete scolastica (sicura) e ogni altro servizio del Web (anche del deep Web) che potrebbe portarsi dietro software malevolo e minare la sicurezza del resto della rete.
Il BYOD dunque offre molteplici possibilità ma porta con se molteplici criticità.
Oltre al BYON ci sono altri aspetti che dovrebbero far riflettere per permetterci di avere un approccio proattivo circa la protezione dei dati e dei sistemi, piuttosto che dover essere reattivi dopo che il danno è già stato fatto.
Una criticità che ho individuato riguarda il BYOD in istituti a forte caratterizzazione tecnologica ed informatica.
In tali contesti, si sa, la maggior parte degli studenti ha (fortunatamente) una grande passione per l’Informatica e la tecnologia, e la maggior parte delle volte (purtroppo) questa passione coincide con un desiderio smisurato di imparare le tecniche di “hackeraggio” inteso come la capacità di violazione di sistemi e del superamento dei meccanismi di sicurezza.
I sistemi informatici scolastici (e non solo) offrono un fronte consistente di protezione maggiormente dal lato front-end, (dall’esterno verso l’interno). Potenti firewall monitorizzano le richieste e il traffico in entrata e, grazie a numerose regole ad hoc, sono in grado di far fronte agli attacchi provenienti dall’esterno.
Ma com’è la situazione dall’interno?
Nella maggior parte dei casi troviamo alcune restrizioni sui protocolli (es. bloccare i protocolli di connessione tra pari “P2P”) e niente più.
Permettere dunque la connessione di dispositivi BYOD, in alcuni casi, potrebbe compromettere la sicurezza globale del sistema e si potrebbero compromettere anche postazioni contenenti dati sensibili.
Certo, in teoria le linee dati di segreteria sono fisicamente separate dalle linee dati della didattica, ma anche in questa fortunata ipotesi non ci sarebbe da stare completamente tranquilli.
Pensiamo ad esempio ai dati dei registri elettronici, ai server di posta, alle postazioni dove si preparano le prove scritte, etc.
Come sarebbe una scuola dove gli studenti possono accedere ai registri, modificare valutazioni, leggere in anticipo le prove scritte, spiare ogni tasto premuto dai docenti o dal personale?
Certo, esiste una normativa che punisce pesantemente i reati informatici, ma come possiamo pensare che questo sia un deterrente sufficiente in grado di frenare l’istinto curioso e la fantasia dei giovani studenti, a maggior ragione se si parla di studenti con una smisurata passione per l’informatica?
Ma sarà davvero così?
Le scuole che adottano BYOD rischiano davvero così tanto?
Per rispondere a queste domande, al termine dell’a.s. ho installato kali linux sul mio notebook e dopo aver effettuato la connessione alla rete interna d’istituto ho effettuato un test per misurare il grado di protezione e la robustezza del sistema in caso di attacchi provenienti dall’interno.
Tralasciando lo sniffing del traffico in chiaro, cosa che si ottiene praticamente in automatico su tutte le VLAN dell’istituto (non solo in quella alla quale ci si connette), non ho avuto difficoltà ad inquinare qualche tabella ARP e a portare avanti un attacco MITM che mi ha dato la possibilità di fare SSL Strip per lo sniffing del traffico criptato sotto SSL.
Ora, questo non è il luogo dove discutere dati particolareggiati, ma vi assicuro che con una mezz’ora di tentativi, e con pochi “grammi” di meterpreter e metasploit (se non sapete cosa sono è meglio!) sono diventato velocemente il padrone del mondo! Ho sperimentato la possibilità di installare keylogger e di attivare sessioni “spia” da remoto, senza mai avvicinarmi ad una macchina, ma sfruttando le varie vulnerabilità che kali linux mi ha segnalato puntualmente.
Concludendo invito ad una riflessione su cosa permettiamo e come lo permettiamo perché, in caso contrario, rischiamo di finire in ostaggio della stessa tecnologia che vogliamo diffondere.
Spero vivamente che questa riflessione possa essere utile per tutti coloro che sono chiamati a gestire l’evoluzione del digitale nei propri istituti.
Antonello Zizi
Tweet