Vi descrivo qui un incontro di due ore soltanto che si tenuto ieri, martedì 11 Aprile 2017 all’ITST Enrico Fermi a Francavilla Fontana (Brindisi), con i ragazzi del quinto anno.

Abbiamo parlato dei progetti di sorveglianza globale come PRISM, TEMPORA, XKEYSCORE, e fin qui tutto bene…

Abbiamo parlato degli algoritmi di hashing per il chechsum, dell’integrità dei files che scaricano dal web, e delle parole, quindi delle password che vengono salvate nei database dei siti web, e fin qui tutto bene…

Abbiamo parlato della crittografia simmetrica ed asimmetrica, focalizzandoci sulla seconda e sull’uso quotidiano che ne facciamo senza nemmeno saperlo, infatti abbiamo parlato anche del protocollo SSL e di come funzionava in realtà la temutissima vulnerabilità Heartbleed, e fin qui tutto bene…

Abbiamo parlato delle Dark Web, facendo riferimento anche ad altri protocolli utilizzati e di come funziona TOR nello specifico.
Ed anche fin qui tutto bene…

Ad un certo punto dato che l’attenzione dei ragazzi sembrava calare, mi è stato chiesto di fare qualcosa di pratico.

Bene, ho voluto dimostrare l’insicurezza del web chiedendo il sito della loro scuola per vedere cosa ne riuscivo a ricavare, e subito i ragazzi mi hanno fornito l’URL (che potevo benissimo reperire online), ed inizio i miei test.

Faccio notare numerose vulnerabilità e mi concentro su una SQL Injection abbastanza evidente, insomma bastava un’altra oretta ed avrei dumpato l’intero database, pieno di dati sensibili.

Proprio in quel momento entra un professore di elettronica, e li inizia a non andare per il meglio.

Ha preso negativamente questa mia iniziativa, credendo che stessi insegnando ad i ragazzi a bucare i siti internet, non comprendedo che quel che avevo fatto non era un’azione replicabile su tutti i siti web. Ogni sito è un caso a se, e si agisce in modo diverso.

Insomma si è ritrovato nel bel mezzo della spiegazione finale a criticare una materia che personalmente non gli compete, è un pò come se io mi mettessi a fare l’architetto ed iniziassi a cercare delle crepe strutturali di uno stabile. Non è di mia competenza, e sicuramente non mi accorgerei dei primi segni di cedimento e farei morire tanta, tantissima gente.

Vorrei tanto capire se questo professore sa che chi programma i software antivirus, sa benissimo come scrivere i virus e come cercare le vulnerabilità in un sistema (sapendolo quindi attaccare ovviamente). Se così non fosse come farebbe il programmatore a scrivere l’antivirus?

E nel nostro caso specifico, se i ragazzi non vedono come i crackers iniziano a reperire informazioni sul sito web da attaccare e come cercano le vulnerabilità, come potranno mai scrivere del codice sicuro? Magari un giorno scriveranno il sito di una banca online, sarà pieno di vulnerabilità, e qualche bravo esperto di carding ruberà tutti i dati dei correntisti. Di chi è la colpa? Del programmatore che pensava di aver imparato a scrivere codice sicuro a scuola, o dell’insegnante che non si è aggiornato e per sommi cifre ha voluto parlare di sicurezza informatica in modo estremamente leggero ed inutile, della serie “non accettate le caramelle dagli sconosciuti” perchè:
1 – il professore in primis non capisce nulla di sicurezza informatica, non è una materia che si insegna a scuola purtroppo, ed io ho 14/15 anni di esperienza da autodidatta in questo;
2 – ha paura che i ragazzi possano imparare a bucare i siti web.

Se tutti quanti seguissero il ragionamento di questo professore avremmo non uno, non due, ma migliaia di migliaia di casi come l’Aquila, dove è stata utilizzata la sabbia di mare e non quella di fiume nel cemento, non sapendo che il sale corrode il ferro e che quindi i palazzi andranno a terra con tutta la gente dentro.

Insomma, con i ragazzi mi sono trovato benissimo, anche con i professori, tranne questo qui in particolare che o non ha compreso o non ha voluto comprendere che la realtà era ben altra. Chi ha scritto il loro sito deve mettersi le mani sulla coscienza, perchè continua a mettere in pericolo i dati sensibili degli studenti. E ve lo dice uno stronzo qualunque da Taranto, che ha fatto della sicurezza informatica il proprio lavoro, e va bacchettando in giro per le sale server tipi come lui, prendendo automaticamente il loro posto di lavoro. Scusate lo sfogo, ma ci stava!

Per il resto tutto bene, e spero in un feedback positivo dell’evento, ringraziando la scuola, gli alunni e l’associazione Fare Zero, con cui collaboriamo da anni ormai.

Vi auguro di lasciare le chiavi di casa attaccate al portone con su scritto “entrate ladri”!!! ahahahah sto scherzando, alla prossima!!!