Attacco ai registri elettronici: come evitare problemi spendendo 50 euro - Agenda Digitale

l'attacco hacker

Attacco ai registri elettronici: come evitare problemi spendendo 50 euro

È possibile imparare una lezione molto semplice dal recente attacco hacker che ha messo ko il 40% dei registri elettronici usati nelle scuole italiane: mettere in sicurezza questi importanti strumenti costerebbe molto poco. Cinquanta euro una tantum. Basterebbe avere accortezza e conoscenza della tecnologia

12 Apr 2021
Giovanni Salmeri

Università degli Studi di Roma Tor Vergata

La vicenda del crollo dei registri elettronici nel 40% delle scuole italiane, in seguito a un attacco hacker alla piattaforma Axios, sta preoccupando molto il mondo dell’educazione. Ma è possibile trarne qualche lezione per il presente e il futuro?

Io direi di sì.

Attacco ai registri elettronici i problemi “culturali”

Confesso di non conoscere nei dettagli la questione, che è ancora in svolgimento: so quello che può conoscere qualsiasi persona che ha letto i giornali e che ha qualche cognizione di causa dell’informatica contemporanea, nonché una lievissima infarinatura sulle questioni della sicurezza. Se ciononostante voglio fare qualche commento, è perché penso che la vicenda, come spesso accade, solleva problemi di ordine generale (direi culturale), e anche perché, curiosamente, ho un certo rapporto affettivo nei confronti del tema «registro elettronico».

WEBCAST
CISO as a Service: perché oggi la tua azienda non può fare a meno di un esperto di cyber security
CIO
Risorse Umane/Organizzazione

Comincio dalla seconda cosa: non so se sono stato il primo in Italia, ma almeno uno tra i primi ad avere programmato un registro elettronico. La cosa più che di orgoglio mi riempie di nostalgia per il tanto tempo passato: era la fine degli anni 80, e l’Istituto nel quale avevo frequentato il Liceo classico e nel quale in quel momento movevo i miei primi passi da insegnante di filosofia stava cercando una piattaforma informatica per registrare le valutazioni degli studenti della scuola media. Doveva gestire un sistema abbastanza articolato, in cui all’inizio di ogni anno si stabilivano alcune categorie di giudizio, e per ognuna le diverse valutazioni possibili (abbastanza verbose): per ogni studente e per ogni materia andavano assegnati quindi i relativi giudizi. Nel passaggio da un anno scolastico al successivo bisognava ovviamente mantenere la stragrande maggioranza dei dati anagrafici, scalati di una classe, ma inaugurare griglie di valutazione nuove. Il tutto poi doveva essere stampato in tabelle comode da consultare. Dato che era noto che, un po’ di nascosto dai miei interessi filosofici, coltivavo anche quelli informatici, un bel giorno mi fecero vedere il sistema che una società stava loro proponendo.

Lo vidi e inorridii. La prima cosa che mi colpì fu questa: per memorizzare la lingua straniera studiata era previsto per tutti gli studenti un campo di dieci byte, in cui poter scrivere, per esempio i-n-g-l-e-s-e. Feci un rapidissimo calcolo: lo spazio era sufficiente per indicare la scelta tra 1208925819614629174706176 lingue diverse. Diciamo un numero sufficiente pure se ogni abitante della terra parlasse, lui da solo, miliardi di lingue diverse, diverse da quelle di tutti gli altri. Visto che al massimo in una scuola si può scegliere tra due lingue straniere, quello che bastava era un bit, non ottanta. Elementare teoria dell’informazione di Shannon! Con un pizzico di presuntuosa incoscienza, dissi di aspettare, e qualche giorno dopo arrivai con il mio prototipo, scritto in dBase II: uno straordinario linguaggio di programmazione diffuso in quegli anni, che avevo imparato leggendo un piccolo libriccino del quale ricordo ancora il titolo del primo capitolo: Do not rush at programming!, non aver fretta di programmare! Perché prima il problema va studiato, e soprattutto quando si tratta di dati bisogna trovare il modo più efficiente, chiaro e robusto per rappresentarli. Alla fine ciò che ne risultò fu il mio primo programmino serio: circa 2500 righe di bel dBase II elegantemente strutturato. Nel menù principale, in bella evidenza c’erano queste due funzioni, con relativa spiegazione: «Copia Di Riserva: per copiare su dischetto l’archivio», «Ripristina: per ripristinare dalla copia di riserva l’archivio dell’anno corrente, quando il disco rigido è stato accidentalmente danneggiato». Ovviamente un dischetto dell’epoca (erano ancora i floppy da 5 pollici) era tranquillamente in grado di raccogliere l’archivio di parecchi anni.

La tecnologia cambia, i problemi no

Quando ho letto le notizie sul disastro dei registri elettronici di mezza Italia, ho ripensato al mio programmino (e ho anche ritrovato, sepolta nel mio disco rigido, la versione 3.0 del 1992!). La tecnologia è enormemente cambiata nel frattempo, ma i problemi di sicurezza in un certo senso no: sono solo migrati in altri contesti. Agli inizi degli anni 90 il pericolo più vicino era il disastro del disco rigido? Ora il pericolo più vicino è il disastro del cloud, creato da qualche bug o, più facilmente, da attacchi informatici. La presenza di questi non è un’eccezione: è la regola. Chiunque gestisce un sito Internet e si dà premura di controllare i log di accesso sa che continuamente vi sono evidenti segni di tentativi abusivi di intromissione alla ricerca di falle di sicurezza. Sperare nel contrario sarebbe come andare in Belgio e sperare che non piova. Ciò che incombe è insomma qualcosa di molto diverso da un antico disastro del disco rigido, ma gli effetti sono identici. Anche la soluzione può essere simile?

Ho fatto mentalmente qualche conto. Ipotizziamo che gli studenti italiani siano dieci milioni (in realtà ho poi verificato che sono sensibilmente di meno, ma arrotondiamo). Ipotizziamo che ogni anno vada registrata per ognuno di loro una quantità spropositata di dati: diciamo 10mila byte (se si tiene presente il calcolo di cui sopra, è facile farsi un’idea del perché sia una quantità superiore ad ogni immaginazione: sufficiente pure se ricevessero una valutazione ogni cinque minuti!). Totale? Un decimo della capacità di un comune, affidabilissimo, disco rigido esterno da un Terabyte, quelli il cui prezzo è attualmente intorno ai 50 euro. Un disco rigido che, staccato fisicamente dal computer e delicatamente riposto in un cassetto, sarebbe soggetto quasi al solo rischio di una guerra nucleare che con le radiazioni lo metterebbe fuori uso, ma certo sarebbe inaccessibile a qualsiasi ransomware. Le voci di cui sopra andrebbero dunque semplicemente modificate così: «COPIA DI RISERVA: per copiare su disco rigido esterno l’archivio», «RIPRISTINA: per ripristinare dalla copia di riserva l’archivio dell’anno corrente, quando il cloud è stato danneggiato da qualche deficiente». Il tutto, ripeto, al modico prezzo, una tantum, di 50 euro.

Conclusioni

Uno dei più celebri libri della storia dell’informatica, Computer Lib / Dream Machines di Ted Nelson, portava come esergo: «Puoi e devi capire i computer, adesso!». Capire i computer significa anche sapere che cosa ragionevolmente si può e si deve pretendere, e anche quanto la tecnologia di oggi, con il suo costo irrisorio, permetta di risolvere definitivamente problemi in fondo banali, o che perlomeno tali restano finché i sistemi sono progettati con attenzione e viene seguito l’aureo principio della tecnologia: usare sempre gli strumenti più semplici possibili per ottenere l’effetto voluto.

@RIPRODUZIONE RISERVATA

Articoli correlati