wargames4Il software scelto da 1.300 scuole ha una falla: le credenziali dei prof viaggiano in chiaro, gli studenti possono rubarle.

Il sogno proibito di ogni studente. Truccare i voti sul registro. Il 3 in matematica? Un piccolo, sapiente intervento a mano et voilà: diventa un 8. Generazioni di ragazzi si sono esercitati a fantasticare che il prof o la prof lasciasse il registro incustodito. Bene: con il nuovo registro elettronico questo sogno può diventare realtà. Lo ha scoperto il marito di una professoressa delle medie. Che ha spiegato al Corriere le poche mosse necessarie per rovesciare il destino scolastico di uno studente. Di seguito, la storia.

UN GIOCO DA RAGAZZI – Insegnante di scuola secondaria di primo grado – le medie – lei, informatico in una banca, lui. Lei è tornata a casa dopo il primo giorno di scuola con una delle novità introdotte dal Governo di Mario Monti: il registro elettronico. E lui ha scoperto che, per un alunno connesso alla stessa Rete del professore, catturare le credenziali di accesso e cambiare voti e note nella piattaforma è poco più di un gioco da ragazzi con il pallino dell’informatica. L’utilizzo di un computer e di un collegamento a Internet al posto del tradizionale registro cartaceo blu fa parte del pacchetto di norme che avrebbero dovuto digitalizzare obbligatoriamente l’operato degli insegnanti già dallo scorso anno scolastico, ma la scarsità dei fondi e le infrastrutture non adeguate hanno reso l’introduzione della novità graduale. Dal settembre appena concluso la questione si è riproposta, motivo per cui la docente è rientrata a casa con il materiale necessario ad assolvere al nuovo compito.

Così si entra nel registro
Così si entra nel registro Così si entra nel registro Così si entra nel registro Così si entra nel registro Così si entra nel registro
CREDENZIALI IN CHIARO – Si tratta, nello specifico, dell’accesso a SissiWeb, uno dei programmi acquistabili delle scuole per mettere i professori in condizione di gestire con il pc programmazione e attività didattiche. La deformazione professionale del marito, che ha preferito rimanere anonimo, lo ha portato a indagare sulla sicurezza del sistema. «Soprattutto perché nella descrizione è paragonata a quella di una banca», afferma l’informatico. «Non è così, le credenziali viaggiano in chiaro in Rete», prosegue. Questo vuol dire che nel momento del login, inserimento di username e password, le informazioni transitano senza alcun sistema di criptaggio. Lato utente, ce ne si rende conto facilmente: se a margine dell’indirizzo Internet consultato è presente un piccolo lucchetto, come accade quando si accede ai portali di home banking, c’è anche un certificato SSL che blinda le informazioni. In caso contrario è pericolosamente semplice approfittare di una connessione comune per rubare i dati di accesso e fare il bello e il cattivo tempo all’interno della piattaforma. E, ne abbiamo avuto la riprova, SissiWeb si presta a un’intrusione di questo genere. Per compiere il furto d’identità è sufficiente che alunno e docente stiano utilizzando la stessa connessione a Internet, indipendentemente dai sistemi operativi utilizzati da entrambi. All’alunno sono sufficienti pochi minuti, non più di tre, per modificare le impostazioni del browser (Internet Explorer, Chrome, Firefox, ecc) del professore. Ipotizziamo che si sia allontanato per andare in bagno o che abbia addirittura dato il dispositivo allo studente per chiedere lumi sul funzionamento dello stesso. Il ragazzo, intanto, ha già dotato il suo computer di un programma gratuito e di altrettanto rapida installazione Quando il professore, senza essersi reso conto della manomissione, entra nel registro elettronico l’alunno vede contemporaneamente sul suo schermo le credenziali inserite. Il famoso registro è così alla mercé del ladruncolo per modifiche di qualsiasi genere.

UNA FALLA NEL SOFTWARE – Distribuito da Axios Italia, SissiWeb è stato acquistato con una licenza annuale da circa 300 euro da più di 1.300 scuole e gode della notorietà dell’antenato Sissi, software open che concede agli istituti le funzioni base, realizzato da Axios e ceduto al Miur che lo distribuisce sotto il suo cappello. L’amministratore delegato di Axios Giancarlo Delli Colli difende il suo prodotto paragonando l’intrusione all’installazione di una telecamera alle spalle del docente. In realtà, in questo caso si sfrutta la scarsa sicurezza del sistema per sbirciare quanto viene inserito. A questo proposito, però, Delli Colli spiega di essere in possesso della certificazione VeriSign – e lo dimostra facendocela vedere – e di non averla attivata sul registro elettronico a causa della migrazione delle sue soluzioni su nuovi server che «si dovrebbe concludere in tempi brevi». E ancora, l’ad di Axios afferma che all’interno delle aule professori e alunni «viaggiano su due reti diverse, una dedicata alla didattica e l’altra all’amministrazione».

STUDENTI E INSEGNANTI, UNA STESSA RETE – Paolo Ferri, professore della Bicocca di Milano e consulente per l’innovazione del Miur ci conferma l’esistenza di due reti separate, ma precisa che alunni e docenti operano sulla stessa. «L’altra è dedicata alle segreterie», spiega. Conferma in questo senso ci arriva dal ministero: «Le reti Internet negli istituti scolastici non sono separate per studenti e insegnanti». Stiamo parlando, è bene ricordarlo, di una copertura che coinvolge ancora «le aule di non più del 10-11% delle scuole italiane», sottolinea Ferri. Il Miur fa riferimento a un 87% degli istituti che dichiara di avere una collegamento, ma precisa che si tratta di «una connessione commerciale, non a banda larga garantita, pertanto non utilizzabile esaustivamente per la didattica in tutto l’istituto». Il governo Letta ha recentemente sbloccato 15 milioni di euro per metterci una pezza (wireless), ma quello della scarsa copertura resta uno dei principali motivi che sta frenando l’adozione del registro elettronico e di soluzioni analoghe. Altri sono riconducibili a situazioni come quella descritta: «Quando ho mostrato la falla a mia moglie mi ha risposto che è una ragione in più per continuare a usare il registro cartaceo».

 

di: Martina Pennisi