Professore, lei è vice direttore del Dipartimento di Informatica, Sistemistica e Comunicazione dell’Università di Milano-Bicocca, i suoi studi vertono su crittografia e sicurezza informatica. Partiamo però dalla fine: cosa mostrerà il vostro stand alla Notte dei Ricercatori?

“Vista l’esperienza fatta dal nostro laboratorio di Sicurezza Informatica (il Bicocca Security Lab) a Meet Me Tonight lo scorso anno a Monza, dove torneremo anche a settembre, e visto che la mattina sono previsti momenti dedicati alle scuole, abbiamo pensato di proporre una sorta di gioco, con personaggi che si sono creati dei profili su Facebook, Instagram e altri social network. Uno di questi personaggi, per risentimento nei confronti di un altro, diffonde dei messaggi diffamatori e alcune fake news; bisogna allora indagare per capire chi è stato, e si scopre così che qualche profilo è fasullo. Usiamo questa storia per raccontare a dei ragazzi, che possono essere sia delle superiori ma anche e soprattutto delle scuole medie, e che molto spesso non sono consapevoli delle conseguenze delle loro azioni ‘digitali’ nel mondo reale, cosa è opportuno fare e cosa è meglio non fare, il problema della privacy, quanto sia importante capire a chi stiamo dando i nostri dati, come verranno utilizzati, se credere a quello che si vede su Internet, ecc.

Poi abbiamo attività che mostrano quanto sia facile creare una rete WiFi aperta malevola: avremo infatti un computer configurato in modo tale che si comporti come un access point, e chi si collegherà a tale access point vedrà un messaggio che spiega quali sono i pericoli che sta correndo; mostreremo inoltre i dati che riusciamo a catturare dal loro dispositivo tramite questo accesso, ‘ripuliti’ da elementi identificativi. Su una rete chiusa faremo invece una dimostrazione di come le pagine di un sito web visualizzate con un dispositivo collegato a tale rete possano essere diverse da quelle originali. Sarà così evidente come i dati in transito possano essere modificati dal gestore della rete; ad esempio mostreremo le immagini capovolte, e spiegheremo che con la stessa tecnica le pagine Web possono essere alterate in maniera arbitraria, e soprattutto può essere inviato al dispositivo un virus (assente sul sito originale). Infine, attraverso particolari giochi di carte mostreremo come funzionano alcuni protocolli crittografici, e discuteremo di quanto la crittografia è importante per proteggere i dati”.

Il fatto che i giovani siano più smart sul Web in quanto nativi digitali è una bufala. Ed è stupefacente vedere quanta poca sensibilità ci sia rispetto alla sicurezza on line.

Ecco, quanta consapevolezza avete trovato tra gli studenti delle superiori e tra i cittadini che lo scorso anno si sono fermati al vostro stand?

“La gente sa che è facile incappare in siti e comportamenti pericolosi, ma da quello che ho visto non si protegge in maniera adeguata, anzi non ha la capacità di capire quali siano i comportamenti adeguati e quali no. Faccio subito un esempio: lo stesso dispositivo (sia esso un computer, un cellulare, o un tablet) che si usa per guardare i social network o addirittura per guardare un film da un sito di streaming illegale, non dovrebbe mai essere utilizzato per collegarsi all’home banking, eppure in molti lo fanno. O ancora, come dicevo: di solito quando si trova una rete WiFi aperta si pensa di essere fortunati e di poter navigare ‘a scrocco’, senza sospettare che qualcuno possa averla offerta apposta per carpire dei dati: se mi siedo con il portatile in piazza Duomo, sa quante password posso raccogliere? È fin troppo facile. Ma le persone non se ne rendono conto. E ho notato un’altra cosa: il fatto che i giovani siano più smart in quanto nativi digitali è una bufala. È vero che sono più veloci a capire come funziona un’applicazione e a utilizzarla, ma manca loro il senso critico, legato forse all’esperienza, necessario a chiedersi perché qualcosa funziona in un certo modo o perché vengano chieste certe informazioni, e che cosa potrebbe esserci dietro. Tanto che a volte adottano comportamenti imbarazzanti non solo dal punto di vista della sicurezza, ma addirittura di quello del buon senso”.

C’è comunque un grande interesse intorno alla Cyber Security?

“Sicuramente. Allo stesso tempo, è per me stupefacente vedere quanta poca sensibilità ci sia rispetto alla sicurezza on line. In parte lo capisco, perché io appartengo alla generazione che ha visto nascere il World Wide Web: all’inizio le pagine Web erano molto più semplici, e i comportamenti programmabili erano pochi e facilmente comprensibili; ora in effetti il mondo della Rete è complicato, e anche io a volte devo chiedermi cosa ci sia effettivamente dietro una certa schermata. I tranelli possibili sono tanti, e immagino che chi non ha la preparazione o la mentalità giusta possa caderci”.

Non crede ci sarebbe bisogno di corsi sulla sicurezza in Rete già a partire dagli ultimi anni della scuola primaria, visto che di lì a poco gli studenti avranno uno smartphone connesso a Internet?

“Molti ci dicono ‘bravi, dovreste venire nelle scuole’, non solo per insegnare ai ragazzi ma anche ai docenti, dato che spesso anche loro sono inconsapevoli di certi rischi. Sarebbe importante e interessante, anche se sicuramente impegnativo – occorrerebbe anzitutto pensare a un linguaggio adeguato –, perché il cellulare consente di fare moltissime cose, ma come spesso si dice è come affidare una Ferrari a un neopatentato: richiede una maturità che alle elementari e alle medie i ragazzi non hanno”.

Cosa imparano invece i vostri studenti?

“Dobbiamo distinguere: al corso di Programmazione 1 del primo anno si va dallo ‘smanettone’ appassionato da anni fino allo studente che non ha mai toccato un pc. Per questo motivo abbiamo progettato le lezioni e le esercitazioni (anche di laboratorio) in modo tale che siano interessanti per tutti, e in modo che tutti possano raggiungere nei tempi previsti il livello di preparazione desiderato. Per quel che riguarda il nostro Laboratorio di Sicurezza, gli studenti sono interessati soprattutto all’aspetto tecnologico, ad esempio a come si può ‘disturbare’ un software per fargli fare quello che si vuole, quali sono gli ‘attacchi’ e quali le difese. Ho incontrato anche dei piccoli hacker, e ad esempio uno di loro si è laureato di recente: gli avevo proposto di studiare una vecchia vulnerabilità di Android sui filmati Mp4 malformati, per mostrare che tramite questa si poteva installare un software che consentiva di controllare il dispositivo da remoto, e dunque vedere la posta elettronica, i messaggi, i contatti, le foto, registrare dell’audio o un video e poi inviarselo. Lui è andato anche oltre, e ha trovato delle nuove vulnerabilità, che ha poi segnalato a Google”.

× Condividi con gli utenti della tua rete

CONDIVIDI