Molti sono i forum e gli eventi formativi dedicati al digitale e alle nuove metodologie didattiche legate al mondo della tecnologia, e tra le varie azioni (meglio sottoazioni) vorrei parlare di BYOD, ovvero l’uso a scuola dei dispositivi personali degli studenti, connessi alla rete d’Istituto e impiegati nelle varie forme di didattica alternativa.
Tanti sono gli aspetti positivi e condivisibili che si sono discussi in merito a questa modalità di utilizzo dei dispositivi personali, ma a mio parere è stato tralasciato un punto imprescindibile: la sicurezza dei sistemi e dei dati.
In altri stati e in altri ambiti, da qualche anno si sente parlare di BYON, ovvero Bring Your Own Network. Questo fenomeno, ancora poco analizzato qui da noi, riguarda la possibilità, per ogni utente, di disporre della propria rete personale connessa a internet. Non c’è niente di diverso dal portare con se il proprio smartphone o il proprio tablet, il quale, grazie al contratto col proprio operatore, è in grado di accedere alla rete e di navigare in qualunque sito.
Allora, se in passato gli amministratori della rete potevano bloccare l’accesso e selezionare le applicazioni e gli ambienti web attraverso politiche di controllo, col BYON gli studenti possono eludere i filtri della scuola utilizzando le proprie reti mobili e wi-fi hot-spot, facendo nascere quello che è l’ultimo – in termini di tempo – problema di sicurezza per la scuola, e costringendo gli amministratori di rete ad affrontare un carico di lavoro sempre più impegnativo alla ricerca dei modi per proteggere gli studenti e la scuola stessa dalla diffusione di malware, oltre che per impedire le dannose fughe di dati e il determinarsi della visibilità incondizionata di tutti i dispositivi sulla rete.
Questo aspetto, dunque, determina più di una situazione pericolosa dal punto di vista della sicurezza informatica, in quanto:
- le politiche di sicurezza poste in atto dall’amministratore della rete scolastica sono relative alla rete interna;
- gli studenti possono aggirare i filtri della scuola utilizzando le proprie reti mobili e wi-fi hot-spot;
- un dispositivo in BYON funge da bridge tra la rete scolastica (sicura) e ogni altro servizio del web (anche del deep web) che potrebbe portarsi dietro software malevolo e minare la sicurezza del resto della rete.
Il BYON, dunque, offre molteplici possibilità ma porta con se molteplici criticità.
Oltre al BYON, altri aspetti dovrebbero far riflettere, per permetterci di avere un approccio proattivo circa la protezione dei dati e dei sistemi, piuttosto che dover essere reattivi dopo che il danno è già stato fatto.
Una criticità che ho individuato riguarda il BYOD in istituti a forte caratterizzazione tecnologica e informatica.
In tali contesti, si sa, la maggior parte degli studenti ha (fortunatamente) una grande passione per l’informatica e la tecnologia, e la maggior parte delle volte (purtroppo) questa passione coincide con un desiderio smisurato di imparare le tecniche di “hackeraggio”, inteso come la capacità di violazione di sistemi e del superamento dei meccanismi di sicurezza.
I sistemi informatici scolastici (e non solo) offrono protezione maggiormente dal lato front-end (dall’esterno verso l’interno). Potenti firewall monitorizzano le richieste e il traffico in entrata e, grazie a numerose regole ad hoc, sono in grado di far fronte agli attacchi provenienti dall’esterno.
Ma com’è la situazione dall’interno?
Nella maggior parte dei casi troviamo alcune restrizioni sui protocolli (es. blocco dei protocolli di connessione tra pari “P2P”) e niente più.
Permettere dunque la connessione di dispositivi BYOD, in alcuni casi, potrebbe compromettere la sicurezza globale del sistema e si potrebbero compromettere anche postazioni contenenti dati sensibili.
Certo, in teoria le linee dati di segreteria sono fisicamente separate dalle linee dati della didattica, ma anche in questa fortunata ipotesi non ci sarebbe da stare
completamente tranquilli.
Pensiamo ad esempio ai dati dei registri elettronici, ai server di posta, alle postazioni dove si preparano le prove scritte, etc.
Come sarebbe una scuola dove gli studenti possono accedere ai registri, modificare valutazioni, leggere in anticipo le prove scritte, spiare ogni tasto premuto dai docenti o dal personale?
Certo, esiste una normativa che punisce pesantemente i reati informatici, ma come possiamo pensare che questo sia un deterrente sufficiente in grado di frenare l’istinto curioso e la fantasia dei giovani studenti, a maggior ragione se si parla di studenti con una smisurata passione per l’informatica?
Dunque, le scuole che adottano BYOD rischiano davvero così tanto?
Per rispondere a questa domanda, al termine dell’a.s. ho installato kali linux sul mio notebook e dopo aver effettuato la connessione alla rete interna d’istituto ho effettuato un test per misurare il grado di protezione e la robustezza del sistema in caso di attacchi provenienti dall’interno.
Tralasciando lo sniffing del traffico in chiaro, ovvero la capacità di intercettare, leggere ed eventualmente modificare i pacchetti dati che transitano nella rete e che non sono protetti da crittografia – cosa che si ottiene praticamente in automatico su tutte le VLAN (lan virtuale: riguarda la suddivisione di una rete fisica in tante reti logiche in modo che non interferiscano tra loro; è una tecnica utilizzata per migliorare la gestione degli indirizzi e la velocità del traffico in rete, oltre che per tenere “isolati” ambiti differenti) dell’istituto (non solo su quella alla quale ci si connette), non ho avuto difficoltà a inquinare qualche tabella ARP e a portare avanti un attacco MITM che mi ha dato la possibilità di fare SSL Strip per lo sniffing del traffico criptato sotto SSL.
Ora, questo non è il luogo dove discutere dati particolareggiati, ma vi assicuro che con una mezz’ora di tentativi, e con pochi “grammi” di meterpreter e metasploit (se non sapete cosa sono è meglio!) sono diventato velocemente il padrone del mondo! Ho sperimentato la possibilità di installare keylogger (un software in grado di registrare in un file nascosto ogni pressione dei tasti della tastiera del PC e ogni click del mouse, permettendo di fatto di ricostruire tutte le operazioni effettuate) e di attivare sessioni “spia” da remoto, senza mai avvicinarmi a una macchina, ma sfruttando le varie vulnerabilità che kali linux mi ha segnalato puntualmente.
Concludendo, invito a una riflessione su cosa permettiamo e come lo permettiamo perché, in caso contrario, rischiamo di finire in ostaggio della stessa tecnologia che vogliamo diffondere.
Spero vivamente che questa riflessione possa essere utile per tutti coloro che sono chiamati a gestire l’evoluzione del digitale nei propri istituti.