L’ingegneria sociale, la sicurezza dei dati e la fragilità della scuola

Un mio contributo pubblicato su agendadigitale.eu.

Partiamo da un esempio banale ma molto comune: ognuno di noi, almeno una volta, ha convinto i propri genitori ad assecondare un desiderio inizialmente non concesso, oppure a persuadere il docente di matematica a rimandare il compito in classe già ampiamente pianificato.
Si potrebbero ritrovare tante altre situazioni simili poiché ognuno di noi ha sicuramente utilizzato e usufruito, in maniera del tutto inconsapevole, di quell’insieme di strategie che va sotto il nome di social engineering (ingegneria sociale).

JanBaby  by pixabay

L’ingegneria sociale, in parole povere, può esser definita come l’arte di persuadere e convincere le persone ad assecondare i propri scopi; essa, in generale, non deve per forza essere correlata ad attività illecite, anzi è studiata e utilizzata nelle scienze sociali, nella psicologia e moltissimo nel marketing.

Ma perché si utilizza la parola ingegneria? Perché l’ingegneria sociale non è un’attività improvvisata, ma è necessario pianificare ogni singola fase per realizzare il progetto e quindi è fondamentale in un processo di “ingegnerizzazione”.

Nella realtà, però, con il termine social engineering si intende l’arte di manipolare le persone, sfruttandone l’ingenuità o la scarsa attenzione, al fine di ottenere informazioni riservate, indipendentemente dal mezzo utilizzato (telefono, posta elettronica o contatto diretto).
Più in particolare, se ci si concentra sulla sicurezza informatica, si fa riferimento a una sequenza di azioni volte a recuperare informazioni riservate personali o dati dell’azienda per cui si lavora: account, file, furto d’identità, accesso a database.

Il fattore umano

Il problema è che il punto interrogativo di ogni sistema di sicurezza è rappresentato dalle persone ed è proprio lo studio delle caratteristiche di tale anello debole che spesso rende semplice il compito di un ingegnere sociale.

Kevin David Mitnick, detto Condor, programmatore, phreaker e cracker, noto per le sue notevoli capacità nel campo social engineering, anche a scapito del governo degli Stati Uniti, in un suo libro ha scritto: “Un’azienda può spendere centinaia di migliaia di dollari in firewall, criptografia e altre tecnologie per la sicurezza, ma se un hacker ha una talpa in azienda, ha la possibilità di violare tutti i sistemi di protezione, e non c’è denaro che possa contrastare questa eventualità”.

Una recente ricerca condotta dall’Osservatorio Information Security & Privacy del Politecnico di Milano ha messo in evidenza che, oltre alla presenza di sistemi obsoleti software non aggiornati, per l’82% delle aziende la distrazione e la scarsa consapevolezza dei dipendenti rappresentano una criticità determinante.

annca by pixabay

Il Data Breach

Un effetto tipico della falla nella sicurezza è il Data Breach, un incidente di sicurezza che comporta la diffusione, la distruzione, la perdita o la modifica non autorizzate di dati confidenziali: indirizzi, numeri di telefono, e-mail, account, dati finanziari e così via.

Un Data Breach può avvenire per motivi volontari o involontari. Ad esempio (Fonte AGID CERT-PA):

  1. perdita accidentale: data breach causato ad esempio da smarrimento di una chiavetta USB con contenuti riservati;
  2. furto: data breach causato ad esempio da furto di un notebook con all’interno dati confidenziali/riservati;
  3. infedeltà aziendale: data breach causato ad esempio da un dipendente/persona interna che avendo autorizzazione ad accedere ai dati ne produce una copia da distribuire in ambiente pubblico;
  4. accesso abusivo: data breach causato ad esempio da un accesso non autorizzato ai sistemi informatici con successiva divulgazione delle informazioni acquisite.

Come scritto in precedenza, quindi, il fattore umano è il primo responsabile non solo per la scarsa cultura informatica e sulla sicurezza in generale, ma anche per una gestione poco accurata (a partire dall’utilizzo di password deboli), se non negligente, dei dati in possesso.
E tutto ciò, sebbene le strategie siano ormai note, rende un attacco di ingegneria sociale estremamente efficace e con un’elevata probabilità di successo.

Anche nella scuola c’è il fattore umano

Prima grande vulnerabilità è rappresentata dall’accesso al registro elettronico: username e password (sempre uguali), inseriti di fronte agli alunni giorno dopo giorno potrebbero essere facilmente individuati dagli occhi furbi degli studenti. Anzi, è sufficiente installare un semplice keylogger per recuperare gli account del registro, alzando i voti per migliorare le medie finali.
Per non parlare dei docenti poco avvezzi alla tecnologia, che consegnano il proprio account ad alunni “fidati” per non perdere troppo tempo nella registrazione delle assenze e degli argomenti, ma anche per l’inserimento di voti e giudizi.

Fin dal 2018 il MIUR, tramite il PNSD (Azione #6), aveva legittimato attraverso dieci punti, l’uso dei dispositivi mobili a scuola promuovendo a tutti gli effetti la metodologia BYOD (Bring Your Own Device), non solo da parte degli studenti ma anche dei docenti (pratica molto frequente già da tempo negli Istituti con poche attrezzature informatiche).

Per consentire l’utilizzo di dispositivi personali in ambito scolastico diventa fondamentale che la rete della Scuola sia costruita per tutelare i propri utenti, per proteggersi da accessi esterni non autorizzati e da utilizzi interni impropri o illegali. In caso negativo alunni più smaliziati o personale disattento potrebbero mettere a dura prova la sicurezza dei sistemi e dei dati.

La situazione diventa più critica nelle scuole in cui la connessione è insoddisfacente; in tali casi il BYOD è sostituito dal BYON (Bring Your Own Network), ovvero la possibilità, per ogni utente, di disporre della propria rete personale connessa a Internet (la cosiddetta connessione dati).
Tale pratica ha fatto nascere seri problemi di sicurezza per la scuola, in quanto gli studenti possono aggirare i filtri della scuola creando un ponte tra la rete scolastica (sicura) e ogni altro servizio del web.

Permettere dunque la connessione di dispositivi BYOD o BYON, in alcuni casi, potrebbe compromettere la sicurezza globale del sistema e si potrebbero mettere a repentaglio anche postazioni contenenti dati sensibili.

kreatikar by pixabay

Rimane, in conclusione, un interrogativo (se non un rammarico): nelle scuole (ma non in tutte per fortuna) l’ingegneria sociale è una pratica del tutto inutile?
Nelle scuole infatti l’incidenza del fattore umano (docenti in primis) rappresenta a volte una falla talmente profonda che, per appropriarsi di informazioni riservate, non serve alcuna tecnica di ingegneria sociale.

Visite: 135