Sicurezza Informatica all’ITST E. Fermi di Francavilla Fontana (BR)

Vi descrivo qui un incontro di due ore soltanto che si tenuto ieri, martedì 11 Aprile 2017 all’ITST Enrico Fermi a Francavilla Fontana (Brindisi), con i ragazzi del quinto anno.

Abbiamo parlato dei progetti di sorveglianza globale come PRISM, TEMPORA, XKEYSCORE, e fin qui tutto bene…

Abbiamo parlato degli algoritmi di hashing per il chechsum, dell’integrità dei files che scaricano dal web, e delle parole, quindi delle password che vengono salvate nei database dei siti web, e fin qui tutto bene…

Abbiamo parlato della crittografia simmetrica ed asimmetrica, focalizzandoci sulla seconda e sull’uso quotidiano che ne facciamo senza nemmeno saperlo, infatti abbiamo parlato anche del protocollo SSL e di come funzionava in realtà la temutissima vulnerabilità Heartbleed, e fin qui tutto bene…

Abbiamo parlato delle Dark Web, facendo riferimento anche ad altri protocolli utilizzati e di come funziona TOR nello specifico.
Ed anche fin qui tutto bene…

Ad un certo punto dato che l’attenzione dei ragazzi sembrava calare, mi è stato chiesto di fare qualcosa di pratico.

Bene, ho voluto dimostrare l’insicurezza del web chiedendo il sito della loro scuola per vedere cosa ne riuscivo a ricavare, e subito i ragazzi mi hanno fornito l’URL (che potevo benissimo reperire online), ed inizio i miei test.

Faccio notare numerose vulnerabilità e mi concentro su una SQL Injection abbastanza evidente, insomma bastava un’altra oretta ed avrei dumpato l’intero database, pieno di dati sensibili.

Proprio in quel momento entra un professore di elettronica, e li inizia a non andare per il meglio.

Ha preso negativamente questa mia iniziativa, credendo che stessi insegnando ad i ragazzi a bucare i siti internet, non comprendedo che quel che avevo fatto non era un’azione replicabile su tutti i siti web. Ogni sito è un caso a se, e si agisce in modo diverso.

Insomma si è ritrovato nel bel mezzo della spiegazione finale a criticare una materia che personalmente non gli compete, è un pò come se io mi mettessi a fare l’architetto ed iniziassi a cercare delle crepe strutturali di uno stabile. Non è di mia competenza, e sicuramente non mi accorgerei dei primi segni di cedimento e farei morire tanta, tantissima gente.

Vorrei tanto capire se questo professore sa che chi programma i software antivirus, sa benissimo come scrivere i virus e come cercare le vulnerabilità in un sistema (sapendolo quindi attaccare ovviamente). Se così non fosse come farebbe il programmatore a scrivere l’antivirus?

E nel nostro caso specifico, se i ragazzi non vedono come i crackers iniziano a reperire informazioni sul sito web da attaccare e come cercano le vulnerabilità, come potranno mai scrivere del codice sicuro? Magari un giorno scriveranno il sito di una banca online, sarà pieno di vulnerabilità, e qualche bravo esperto di carding ruberà tutti i dati dei correntisti. Di chi è la colpa? Del programmatore che pensava di aver imparato a scrivere codice sicuro a scuola, o dell’insegnante che non si è aggiornato e per sommi cifre ha voluto parlare di sicurezza informatica in modo estremamente leggero ed inutile, della serie “non accettate le caramelle dagli sconosciuti” perchè:
1 – il professore in primis non capisce nulla di sicurezza informatica, non è una materia che si insegna a scuola purtroppo, ed io ho 14/15 anni di esperienza da autodidatta in questo;
2 – ha paura che i ragazzi possano imparare a bucare i siti web.

Se tutti quanti seguissero il ragionamento di questo professore avremmo non uno, non due, ma migliaia di migliaia di casi come l’Aquila, dove è stata utilizzata la sabbia di mare e non quella di fiume nel cemento, non sapendo che il sale corrode il ferro e che quindi i palazzi andranno a terra con tutta la gente dentro.

Insomma, con i ragazzi mi sono trovato benissimo, anche con i professori, tranne questo qui in particolare che o non ha compreso o non ha voluto comprendere che la realtà era ben altra. Chi ha scritto il loro sito deve mettersi le mani sulla coscienza, perchè continua a mettere in pericolo i dati sensibili degli studenti. E ve lo dice uno stronzo qualunque da Taranto, che ha fatto della sicurezza informatica il proprio lavoro, e va bacchettando in giro per le sale server tipi come lui, prendendo automaticamente il loro posto di lavoro. Scusate lo sfogo, ma ci stava!

Per il resto tutto bene, e spero in un feedback positivo dell’evento, ringraziando la scuola, gli alunni e l’associazione Fare Zero, con cui collaboriamo da anni ormai.

Vi auguro di lasciare le chiavi di casa attaccate al portone con su scritto “entrate ladri”!!! ahahahah sto scherzando, alla prossima!!!


Author: davenull

Ho 28 anni (ad aprile 29) e vengo da Taranto (Puglia, Italia) e sono:

Sistemista/Programmatore Unix (Debian, OpenMediaVault, OpenWrt, FreeBSD, NetBSD, Lineage OS);

Prototipatore con Raspberry Pi.

Esperto di Sicurezza Informatica, scrivo exploit da poco piì di dieci anni, circa quindici;

Esperto di microarchitetture embedded, specialmente bcm63, ar7 ed armhf (6 e 7);

Fondamentalista del Free Software (Free as in Freedom)

Relatore ed organizzatore di svariati Linux Day a Taranto e a Francavilla Fontana (Brindisi);

Sistemista di svariate sale server che ora non vi sto ad elencare;

Co-Founder di JonixLUG: https://www.jonixlug.altervista.org

Founder di FreeNIX Security Labs: https://www.freenixsecurity.net

Collaboratore esterno dell’Associazione Fare Zero Makers: http://www.farezero.org