Sicurezza

Registro scolastico digitale: voti a rischio sicurezza?

Il nuovo registro scolastico elettronico permeabile agli attacchi degli hacker? È quanto adombra oggi il Corriere della Sera. In pratica qualunque studente potrebbe penetrare nel sistema e cambiarsi i voti. Scavando un pochino si scopre però che, probabilmente, non c'è alcun allarme da far suonare.

Al centro del presunto scandalo c'è Sissiweb, il servizio che sta dietro al registro elettronico. Secondo la giornalista Martina Pennisi il programma trasferisce i dati su una connessione non sicura (senza connessione SSL), e quindi uno studente potrebbe alterare le informazioni. Non prima di aver messo le mani sul computer del docente e averci modificato le impostazioni del browser. "All'alunno sono sufficienti pochi minuti, non più di tre, per modificare le impostazioni del browser (Internet Explorer, Chrome, Firefox, ecc) del professore", si legge sull'articolo del corriere.it.

Poi dovrebbe verificarsi un'altra condizione sine qua non: il PC del docente e quello dello studente dovrebbero stare sulla stessa rete – ma nelle scuole di solito ce n’è una per le attività amministrative e un'altra per quelle didattiche, entrambe protette da password. Se ci sono tutte le condizioni allora lo studente può "sbirciare" le attività del professore usando comodamente il proprio computer. 

Corsera, edizione per iPad di oggi

L'articolo del corriere.it ha anche una sua versione sull'edizione cartacea, un adattamento che occupa ben mezza pagina e che si conclude con "rimane la brutta sensazione di superficialità che ha portato il registro a perdere l'aurea di libro proibito nella sua forma fisica, per diventare una bacheca pericolosamente aperta nella versione digitale". La versione online invece cita una professoressa, che avrebbe detto "è una ragione in più per continuare a usare il registro cartaceo". 

Ad andarci di mezzo è un'altra volta la già maltratta reputazione della scuola italiana, e non manca l'occasione di sparare ad alzo zero sulla Pubblica Amministrazione. Ne fa le spese anche Axios Italia, società che appunto fornisce il software per il registro elettronico. Abbiamo sentito l'AD Giancarlo Delli Colli, che prima di tutto ci ha fatto sapere di essersi già attivato con i propri avvocati per decidere come difendersi da quella che secondo lui è vera e propria diffamazione. Secondo lui il pezzo è "una baggianata", ed è determinato a chiedere i danni. 

Secondo Delli Colli quello che non emerge con sufficiente chiarezza è che se qualcuno ha accesso fisico al PC o tablet del professore, ogni discorso sulla sicurezza della connessione viene a cadere. Poco importa che ci sia un certificato SSL oppure no.  A tal proposito Delli Colli ci ha spiegato che il "test" del Corsera è stato fatto su server in fase di migrazione, nei quali la connessione SSL sarà presente a breve. Ma non è questo il punto.

Giancarlo Delli Colli

Il punto è la premessa, "se l'alunno accede al computer e il docente glielo lascia fare", come ha sottolineato Delli Colli. A quel punto anche uno che fosse solo bravino potrebbe installare un keylogger e scoprire tutto, ma proprio tutto quel che si fa con un certo computer. Non ci sarebbe connessione sicura che tenga, si potrebbe tranquillamente accedere con le credenziali del professore e modificare tutto il registro.

Si potrebbe a questo punto discutere sul fatto che sia più difficile trovare e installare un keylogger con capacità di comunicazione remota, oppure limitarsi ad alterare le impostazioni del browser. In ogni caso, per Delli Colli la determinante è l'accesso fisico al computer, oltre che il fatto che la connessione SSL era assente solo temporanemente.

Se un professore non blocca il sistema operativo con una password e si allontana, diciamo per andare in bagno, qualcuno in effetti potrebbe manipolare la macchina in diversi modi. È lo stesso rischio che correrebbe ognuno di noi lasciando il proprio PC (o tablet, o smartphone) incustodito. "Se io le chiedessi le chiavi di casa sua e lei me le desse, poi non importerebbe se mi dice dove sta il televisore che voglio rubare", ha commentato Delli Colli con una metafora. 

C'è anche un'altra possibilità però. Che il professore lasci il PC acceso e senza password, ma non loggato al Registro. Sarebbe senz'altro possibile modificare le impostazioni del browser, mentre installare un keylogger richiederebbe privilegi di amministrazione. Bisogna sperare che l'utenza del professore sul computer in questione, invece, sia quella di un utente standard. 

Insomma secondo l'amministratore di Axios l'allarme è eccessivo, e Delli Colli non l'ha presa proprio bene; anzi ci è sembrato amareggiato, e ha espresso anche preoccupazione per un'azienda che dà lavoro a molte persone. Stamattina lo hanno chiamato persino dal MIUR, per capire chi avesse messo in giro certe informazioni sbagliate.

Accesso facilitato?

Un po' di rabbia è comprensibile quando uno dei più importanti quotidiani nazionali dice che sei responsabile se i ragazzi possono truccare i voti. Ad aggravare la situazione c'è poi il fatto che, sempre secondo Delli Colli, ci sarebbero stati contatti tra il Corsera e Axios prima della pubblicazione. L'amministratore dice di aver detto a loro ciò che ha detto a noi, per poi leggere un articolo che (secondo lui) dice tutt'altro. Auguriamo a entrambe le parti che non debba essere un giudice a stabilire chi ha ragione.