skip to main | skip to sidebar
22 commenti

Com’è la sicurezza dei siti scolastici italiani? Imbarazzante

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle gentili donazioni di “s.arleo*” e “fafiorent*”. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2015/08/19 23:00.

Questo è l'aspetto del sito Scuolafratellicervi.gov.it alle 9:54 italiane di stamattina:




Come mai? Ce lo dice la cache di Google, che attualmente custodisce l'aspetto che aveva il sito stamattina alle 4:36 GMT:



Intanto Scuolesuperioridizagarolo.gov.it è messo peggio: tuttora ospita il contenuto inserito dagli intrusi. È così da almeno due giorni.



Stessa brutta figura per liceoclassicoclaudioeliano.gov.it, che da ieri è nelle condizioni mostrate qui sotto:



Lasciando perdere il contenuto politico di queste violazioni, se questi siti sono in queste condizioni, vuol dire che:

a) non se n'è accorto nessuno perché non li visita nessuno, e allora sono uno spreco di denaro;
b) i loro amministratori non sono in grado di sistemarli prontamente, per cui sono incapaci;
c) entrambi i casi a) e b) contemporaneamente


23:00. I siti Scuolafratellicervi.gov.it e Scuolesuperioridizagarolo.gov.it sono tornati al loro aspetto normale, senza alcuna informazione sulla violazione subita. Invece liceoclassicoclaudioeliano.gov.it ha ora l'aspetto mostrato qui sotto:


Alla lista dei siti scolastici italiani violati si è aggiunto brevemente anche www.icopera.gov.it, che era nelle stesse condizioni dei precedenti (con la schermata “Hacked by Moroccanwolf”) oggi alle 11:10, ma è già stato ripristinato.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (22)
Di sicuro c.
Il problema a mio parere che sul sito degli istituti scolastici non viene investito un solo centesimo di euro.
Spesso sono amministrati da studenti (alle medie e superiori) che sono più interessati.
Gli studenti che li aprono poi se ne vanno, o si disinteressano, e non vengono più fatti gli aggiornamenti necessari.

Sarebbe molto meglio creare una piattaforma unica a livello nazionale, che permetta agli istituti di curare i contenuti tramite interfaccia di un CMS, ma che deleghi a qualcuno di competente la gestione degli aggiornamenti, l'hosting, la cura dei server, e così via.

Si potrebbe utilizzare un wordpress, ad esempio, con un tema unico abbastanza flessibile (scelta colori, banner, sfondo, ecc.).

Con dei plugin di utilità generale: gestione degli orari, gestione dei piani di offerta formativa, e così via.

Contenuti particolari che necessitano di altro potranno poi essere gestiti dalle scuole in grado di farlo esternamente al dominio ufficiale.
Secondo me gli amministratori dei siti (quasi sicuramente studenti) neanche sanno che il loro sito è stato violato.
d) sono stati realizzati perché qualcuno lo ha imposto, ma nessuno crede che servano a qualcosa, quindi non sono previsti né aggiornamenti né manutenzione.
Entro una settimana se ne accorgeranno dato che inizieranno i corsi di recupero dei debiti e tutti cercheranno il calendario. Spero solo che si accorgano delle falle e che provino a sistemarle...
Ma infatti come dice Ale, i siti sono amministrati da professori o da studenti. A volte sono bravissimi, altre volte meno.
Se il tutto è affidato alla buona volontà è normale che succeda questo. Non ci vedo niente di scandaloso. Il problema al massimo è capire, che tipo di dati sono disponibili all'hacker che riesce ad entrare? Ha violato solo il sito web o l'intera LAN dell'istituto? E che dati ci sono nella LAN dell'istituto?
Scelgo la busta C.
ai tempi del liceo avevo crackato tutte le reti wireless dell'istituto, acceduto ai profili degli utenti, cambiato i desktop con screenshot degli stessi+icone+barra e disabilitato explorer.exe . inoltre avevo acceso alle parti riservate del sito istituzionale. a parte lo scherzo di sopra , classico, non ne ho mai fatto uso , ma sono certa di non essere stata l'unica ad avere violato la rete interna . era elementare farlo.
Non hai considerato che l'ipotesi che gli amministratori di tali siti non siano, effettivamente, terroristi.
Aspetto le notizie delle prime violazioni ai registri elettronici: in molti casi il server è nella scuola.

Mia sorella (insegnante) mi ha detto che i nomi utente e le password non sono banali perché le impongono le software house ma poi molti suoi colleghi le memorizzano nel browser dei pc della scuola...
Il sito della mia scuola non è stato mai violato, provabilmente perchè a)il mio preside si interesse b)è l'unico modo per sapere la pagella c) tutte e due a) e b).
La terza che hai detto.
E' il problema comune di molte organizzazioni (PA, scuole, associazioni, DITTE...)

All'inizio l'idea di aprire un sito fa figo e fa molto XXI secolo, ma poi? Poi bisogna gestirlo, bisogna pagare qualcuno che lo tenga aggiornato, sia come contenuti sia come piattaforma. Per varie ragioni le "chiavi" del sito restano in mano ad una persona, che quando se ne va (o quando e' in disaccordo con la gestione dell'organizzazione) lascia l'organizzazione con un sito vecchio, se non hacherato.

Manca prima di tutto la consapevolezza del mezzo, ma non solamente nelle scuole.
A proposito di WordPress: https://www.youtube.com/watch?t=14&v=T7IHWa6FTRE

Faccio parte di una comunità di pratica, Porte aperte sul web, che offre template gratuiti alle scuole. Finora sono quasi un migliaio le scuole servite con un supporto continuativo su vari ambienti social. E' possibile tuttavia che in qualche caso alcune scuole non abbiamo seguito le indicazioni, ma 3 casi su 10.000 istituti scolastici non vanno generalizzati. Anzi, immagino, ce ne possano essere di più e possano essere siti seguiti da noi o fatti in casa o fatti da professionisti.
Comunque il tema è serio e, da parte nostra, prendiamo spunto per organizzare a breve un nuovo webinar aggiornato sulla sicurezza dei siti realizzati con i CMS per i quali abbiamo sviluppato un apposito modello per le scuole: WordPress, Drupal e Joomla.

Alberto Ardizzone
La cosa non mi stupisce affatto visto che i siti scolastici sono gestiti dalla passione degli insegnanti (e come dice Ale di studenti) nel loro tempo libero.Spesso sono quelli di matematica o più spesso di tecnologia che hanno anche una montagna di alunni da seguire avendo poche ore per classe.
Al momento gli insegnanti sono in ferie e lo saranno fino al 1 settembre quando rientreranno in servizio sempre che siano di ruolo in quella scuola altrimenti torneranno un paio di settimane dopo... e non è detto che ottengano un incarico nella stessa scuola.
Quello che mi stupisce quindi sono siti come quello dell'Istituto Majorana di Gela (http://www.istitutomajorana.it/) che grazie al prof. Cantaro ha perfino sviluppato una distro linux personalizzata.
Per come è conciata la scuola Italiana è questa la cosa incredibile....altro che Buona Scuola...ma questa è un'altra storia...
Il piano di Ale è buono, ma ha una pecca: prevede che qualcuno si metta a tavolino e decida il come-cosa-quando-dove-perché di questa "piattaforma unica".

Sappiamo tutti come finirebbe: Tizio non sarebbe d'accordo con Caio e Sempronio manderebbe al diavolo entrambi; ci sarebbero poi millemila consulenze, studi, ipotesi e progetti fondati sul niente, con fatture fondate su basi fin troppo concrete (aka: mungere il più possibile la nuova mucca).

Insomma, per evitare una figura barbina e uno spreco di soldi, otterremmo una figurccia e uno spreco esponenzialmente più grandi. In poche parole: finirebbe all'italiana.

PS: nella mia ex scuola superiore ora tutti i voti sono in un sistema informatizzato, accessibile non solo dalla intranet locale ma anche via internet (da studenti e genitori per visualizzare voti e pagelle, dai docenti per segnare i voti delle verifiche corrette a casa). Idem per le assenze, le note, le giustificazioni eccetera. Sappiamo tutti come andrà a finire, vero?
L'articolo è leggermente fazioso per quello che sembra lasciare intendere.... 3 siti ackerati mostrati su migliaia di scuole che sono online.

Una cosa è certa la situazione dei siti scolastici è drammatica... ma è bene mettere in chiaro che la maggior parte di questi siti sono mantenuti in pratica volontariamente a costo quasi zero... e siamo in un paese dove il governo ha speso 50 milioni di euro per www.italia.it :-(. Non esiste una figura professionale apposita.. ci si arrangia come si può cercando chi aggiorna il sito possibilmente gratis o per poche centiania di euro all'anno...
Magari gli amministratori sono semplicemente in ferie;)
Visto l'investimento che si mette su queste cose direi che è già tanto che questi siti ci siano.
Ho gestito un sito per un istituto comprensivo (dalla prima elementare alla terza media) per alcuni anni. L'impegno non era gravosissimo: la segreteria gestiva la maggior parte dei contenuti in autonomia, ogni tanto facevano qualche casino che dovevo riparare a tempo record, e un insegnante faceva da ponte tra me e la segreteria. In totale facevo gli aggiornamenti critici a Drupal quando uscivano, quelli non critici ogni sei mesi, e fatturavo l'esorbitante cifra compresa tra 100 e 200 euro l'anno, esclusa la tariffa di Aruba – scelta perché costava poco.

Ho smesso di farlo principalmente per N motivi:

1. Mi trovavo all'estero e questi mi chiamavano "può venire fra un paio d'ore che dobbiamo chiederle delle cose sul sito?" che sarebbe stato irragionevole anche se mi fossi trovato in Italia
2. La fattura elettronica: avendo chiuso partita iva da un anno per svariati motivi (tra cui l'aver trovato un lavoro vero all'estero, e aver litigato con praticamente tutti i miei clienti italiani) la fattura elettronica era impossibile da emettere – c'è un argomento che dice che non avrei dovuto emetterla e il pagamento sarebbe dovuto passare in economato, ma la scuola non voleva sentire ragioni.
3. Un bel giorno di agosto dell'anno scorso mi chiamarono (fatalità avevo acceso il numero di telefono italiano) e mi informarono che il sito era giù da "non lo sappiamo" quanto, e che andava ripristinato il giorno prima. Investigazioni interne suggerirono che qualcuno si dimenticò di pagare Aruba che quindi staccò tutto. E, dal momento che il servizio backup non era mai stato acquistato, ho dovuto riaprire la mia copia di tre anni prima, aggiornare Drupal, reinstallare tutto, e poi dire alla segreteria "ora caricate i documenti" e loro "ma non esiste un posto sulla 'rete Internet'…?" e io, sottovoce, "sì, sull'Isola che non c'è". Totale fattura: 300 euro, pagata per vie traverse – non voglio sapere nulla, io ho dichiarato regolarmente – e giudicata troppo esosa. Vi farei vedere l'attuale aborto in Wordpress che chissà chi gli ha tirato insieme, ma non mi sembra il caso.
@Morpheu5
c'è un argomento che dice che non avrei dovuto emetterla e il pagamento sarebbe dovuto passare in economato, ma la scuola non voleva sentire ragioni.

E avevano ragione: per autorizzare un pagamento in economato serve necessariamente lo scontrino fiscale. Quindi si paga in economato solo l'acquisto di minuteria.

Riguardo al resto hai pienamente ragione: le scuole non hanno soldi però lo stato gli impone ugualmente delle cose che comportano spese.
Poi ci sono persone che si autoproclamano webmaster, sistemisti, webdesigner e chi più ne ha più ne metta, che "intossicano" il mercato.
Chi ci rimette sono i veri professionisti e l'utenza stessa.

Per esempio, da noi, anni fa, faceva assistenza uno pseudotecnico che soprannominavo "Attila" (indovitate perché? :-) ).
L'unico contento dei suoi servigi era il mio capo: costava poco.
Poi il mio capo si è finalmente accorto di quanto realmente costasse il suo operato. ;-)
@Guastulfo: certo, e infatti ho emesso una ricevuta per ritenuta d'acconto.