Ransomware: un altro grattacapo per le scuole?

I Ransomware sono una delle maggiori fonti di preoccupazione delle amministrazioni americane ed anglosassoni in generale e delle istituzioni tra cui le scuole di ogni ordine e grado e le università. Questo fenomeno tocca marginalmente il nostro paese, ma la sempre maggiore offerta di servizi didattici on-line a cui le scuole aderiscono e la crescente esigenza di trattare un ingente volume di dati più o meno sensibili in formato digitale, forniscono un valido motivo per un’adeguata valutazione del fenomeno. Non si tratta di fantascienza o di spy stories: il futuro è qui e noi ci siamo dentro con i nostri alunni e tutto il resto.

ransom2

Un rapporto di BitSight del settembre 2016 ha dichiarato che negli Stati Uniti il bersaglio principale dei Ransomeware è da considerare il mondo dell’Educazione.

Questo tipo di cyberattacco è capace di bloccare tutti i servizi di rete offerti dalle macchine dedicate. Lo “sblocco”, per così dire, di tali funzioni potrà avvenire a seguito di un riscatto da versare alla fantomatica organizzazione responsabile di questa azione.rans2

In realtà sono due le forme “virali” in cui si materializza quest’azione illegale: Encrypting (MarsJoke è un esempio di algoritmo di criptazione AES 256) o Locking (un Winlocker: chiude la porta user data allo sventurato utente). In entrambi i casi, per riacquisire il normale accesso ai propri dati, sarà necessario il pagamento di un riscatto in bitcoins (moneta virtuale).

Che ci crediate o meno, diverse scuole americane hanno già pagato decine di migliaia di dollari, altre no. Infatti non solo non esiste la certezza che quanto versato possa garantire la “chiave di decrittazione” e il conseguente accesso ai propri dati ma, il fatto di pagare un riscatto di questo tipo resta un’azione inammissibile che andrà di sicuro ad alimentare altre attività illegali nella Rete.ransomware1

Come si devono attrezzare le scuole? Semplicemente facendo in modo che da una parte l’Amministratore di Rete esegua tutti gli aggiornamenti Software, Firmware, Antivirus e configurazione degli accessi, dall’altra tutto il personale dell’istituto scolastico dovrà essere formato con istruzioni e consigli su come riconoscere malwares, mail infette (phishingmail attacks) o non attivare link pericolosi (social engineering attacks).

Non è la prima volta che succede! A fronte di nuove problematiche si richiede un intervento esterno che la Scuola non è quasi mai in grado di fornire: in questo senso il mondo dell’Informatica e delle nuove tecnologie è sicuramente quello che riesce a mettere più a nudo queste debolezze strutturali.

A parziale discolpa va detto che il miglioramento delle infrastrutture di Rete che possano garantire una certa sicurezza non è da considerare tra le operazioni indispensabili per un istituto scolastico.

Se tali fenomeni dovessero diffondersi in maniera virale non rimarrà che affidarsi a professionisti come, ad esempio, SonicWall che in Europa, Asia e Stati Uniti stanno fornendo servizi di base a fronte di un non trascurabile canone annuale.

1.036 views

La Privacy nelle iscrizioni d’istituto a portali didattici: il caso InBloom!

Privacy e Protezione Dati: Il movimento tecnologico globale legato all’ambito educativo offre allettanti opportunità che le scuole talvolta raccolgono in maniera forse troppo superficiale. Stiamo parlando del proliferare di portali educativi che forniscono servizi gratuiti o a pagamento che vanno dalla creazione di aule virtuali, alla possibilità di “gamificare” i contenuti, all’utilizzo di software che possa generare modelli didattici personalizzati. Google G-Suite, Edmodo, Schoolology, Fidenia sono alcuni tra gli esempi più completi di Web Based School. Altri portali come Tes-Google per gli insegnanti, Khan Academy (Mooc open souce), Code Combat per il Coding, Classcraft per il “Gaminig” nella Didattica,  e molti altri, risultano addirittura integrati nella possibilità di “registrarsi” attraverso social come Facebook, Twitter, Google+ o passando da Google Classroom (previa iscrizione a G-Suite for Education). Tutto molto comodo e perfetto, ma nel momento della sottoscrizione a questi paradisi virtuali, nella mente di ognuno deve essere chiaro l’aspetto relativo alla “Sicurezza” e alla “Privacy”.

codecombat

L’incalzante esigenza di renderci sempre più tecnologici si è comunque fatta largo nel nostro ambiente ma resta ancora poco concepibile che, attraverso la tecnologia, ci si possa incontrare tra colleghi o con gli alunni ANCHE in maniera virtuale per condividere un progetto educativo o realizzare attività didattiche. Del resto le società più avanzate hanno già dimostrato il successo di progetti Open Source di tipo collaborativo e le relative derivazioni commerciali (Google e Android, gli ambienti di programmazione del MIT di Boston, GitHub, la Robotica e l’incentivo dato alle STEM) hanno creato sviluppo e ricchezza in buona parte del mondo, a volte pagando le conseguenze per progetti fin troppo ambiziosi.

Esempio emblematico di quest’approccio e del relativo fallimento è la vicenda che ha coinvolto InBloom. Ma cosa è inBloom? Perché ci dovrebbe interessare? In Italia pochissimi si sono occupati della vicenda, ma in America questa è considerata “la madre di tutte le battaglie” nell’ambito della contaminazione tra il mondo dell’Istruzione e i più grandi colossi commerciali a livello globale.

InBloom era un potente aggregatore di open data (Data Aggregator) nel settore della Didattica. L’interessamento iniziale di nove tra i maggiori stati americani la catapultarono prepotentemente nel gotha del mondo dell’Istruzione come progetto centrale estremamente innovativo. Moltissimi distretti scolastici decisero di condividere dati di docenti e studenti con la compagnia, mentre alcuni stati, come New York, concessero le loro informazioni nella loro interezza. L’idea era quella di compilare una quantità enorme di informazioni al fine di permettere agli insegnanti di ricevere un percorso didattico per i bisogni educativi di ogni studente, con l’individuazione di strumenti e software specifico a supporto. Per ogni record Il database contava più di 400 campi per ogni alunno: nome, cognome, indirizzo, e-mail, foto, possesso di diplomi, votazioni per materia, ma anche condizioni economiche, relazioni familiari, etnia, status di disabilità, e molto altro. Le informazioni venivano inserite dagli stessi amministratori scolastici e tutto senza il consenso dei genitori. Cosa avvenne in poco meno di un anno?

mind

Per rispondere partiamo dall’analisi dei fatti. InBloom venne fondata da Melissa e Bill Gates (proprietario della Microsoft) con un progetto di 100 milioni di dollari inteso a creare una piattaforma Open Source per la condivisione di applicativi per l’apprendimento e di curricula. Il sistema operativo fu una creazione di una sussidiaria di News Corp il cui proprietario era ed è ancora oggi Rupert Murdoch (tra le curiosità dobbiamo segnalare che anche il nostro Ministro della Pubblica Istruzione (2001-06), Letizia Moratti, è stata nel 1998 Presidente della News Corp Europe). Tutti i dati venivano archiviati in un cloud gestito da Amazon.com.

Di lì a poco la compagnia venne accusata di aver pianificato il trasferimento di tutte le informazioni alle compagnie commerciali e, incalzata dall’opinione pubblica e dalla reazione del Ministero dell’Istruzione, dichiarò che non “era in grado di garantire la sicurezza dei dati archiviati”. InBloom chiuse i battenti a metà del 2014 dopo poco più di sei mesi di vita. Da allora si è legiferato molto in tema di protezione dei dati: si parla di almeno 400 interventi legislativi in territorio americano. Secondo un rapporto pubblicato il 2 febbraio 2017 da Data & Society:

“l’ambizione di Inbloom di essere aperta e trasparente in effetti, l’ha resa vulnerabile al pubblico attacco. … “. La risposta del Pubblico ha portato i fornitori di tecnologia educativa verso sistemi chiusi che tendono ad essere indipendenti. …. . A differenza delle compagnie private il cui processo di scoperta è di base una scatola nera, i processi di InBloom erano pubblici e quindi aperti anche al controllo”.

Sulla scorta di quanto visto credo che lecito manifestare delle perplessità nel momento di registrare il proprio istituto scolastico su questo genere di portali. Oppure potremmo fare finta che si tratti di un falso problema dato che non esiste la possibilità di essere immuni a ciò che per sua natura è incontrollabile. Ma quindi come comportarsi?privacy

Ritengo sia inevitabile che ci si debba “compromettere” non rinunciando all’innovazione che il mondo dell’Educazione sembra intenzionato ad inseguire, ma questo ci dovrebbe responsabilizzare ancor di più nella scelta oculata di ciò che la tecnologia ci potrà offrire. E’ indispensabile decidere sulla base di una certa informazione e cognizione: imprescindibile per la partecipazione dei minorenni il nulla-osta dei genitori per una diffusione funzionale e minimale di dati personali in ambiente protetto da credenziali. Per quanto riguarda l’archiviazione, ogni relazione tra dati anagrafici e condizioni di salute, stato di disabilità, etnia o quant’altro costituisce una violazione della privacy e per questo dovrà essere esclusa alla radice.

Da una lato ci tranquillizza che queste grandi organizzazioni agiscano in conformità con le leggi che si occupano della protezione dati sui minori (COPPA , FERPA) ma è anche necessario  essere coscienti del fatto che, tra le altre cose e come riportato da Data & Society, tali compagnie assomigliano ad una scatola nera”, un dispositivo tristemente noto e concepito per essere aperto solamente quando il velivolo è precipitato.

Un caldo saluto a chi ha avuto la pazienza di seguirmi e spero abbiate gradito!

1.577 views