Red Hot Cyber

Sicurezza informatica, cybercrime, hack
news, e altro ancora
  • English

Una scuola superiore italiana, forma gli “hacker buoni”. Intervista ad Alessandro Vannini

Autore: Massimiliano Brolli
Data Pubblicazione: 9/12/2021

In questo periodo di grandi violazioni, in questa lotta impari, dove al crimine informatico basta “una piccola svista” da parte di una grande organizzazione, per poter arrecare danni catastrofici alla sua infrastruttura informatica, occorre una strategia a livello di paese.

Advertisements

Il problema è che “una piccola svista”, potrebbe anche esserci e sarebbe come dire, svolgere una battaglia ad armi pari con il cybercrime. Ma le violazioni che costantemente vengono riportate (dove si conoscono i vettori di attacco), fanno comprendere che non si tratta di una “piccola svista”, ma di una vera carenza di competenze e di skill, soprattutto tecnici, e occorre fare molto ma molto di più.

Advertisements

Si tecnici, perché i criminali informatici sono prima di tutto altamente qualificati dal punto di vista tecnico e per poterli ostacolare, occorre conoscerli, sapere come svolgono le loro attività (parliamo spesso di TTPs su questo blog), e solo dopo trasformare questa “conoscenza” in mitigazioni, policy e procedure.

Abbiamo bisogno di hacker, di personale altamente qualificato che sappia violare un sistema e che possa combattere questa partita – che è molto di più di uno scudetto di campionato – sullo stesso piano del crimine informatico, difendendo le infrastrutture e nel caso attaccare, rispettando sempre la nostra costituzione.

E per farlo, per avviare questo grandissimo cambiamento – dove altre nazioni ci stanno lavorando da anni e l’Italia deve ancora iniziare – occorre partire dalle scuole e creare quella che in un precedente articolo abbiamo chiamato un “secure by design nation”: una nazione che nasce sicura dalle sue fondamenta, dal suo futuro, ovvero dai suoi giovani.

Advertisements

I segnali ultimamente sono incoraggianti.

Abbiamo visto che l’istituto tecnico Bodoni di Lecco ha avviato un percorso nel triennio focalizzato sulla cybersecurity e abbiamo saputo che anche a Ferrara, l’istituto tecnico Copernico ha avviato un percorso per far diventare i ragazzi interessati degli “ethical hacker” e abbiamo conosciuto Alessandro Vannini.

Si tratta dell’ideatore, assieme ai professori dell’istituto, di questo fantastico percorso che abbiamo voluto intervistare per far comprendere che le cose possono davvero cambiare e funzionare in questa complessa e poco resiliente italia.

L’unico ingrediente che manca è tanta, ma tanta passione, oltre che un innato interesse per il prossimo.

Advertisements

RHC: ciao Alessandro, grazie di averci concesso questa intervista. Come sai RHC ha da sempre creduto nei giovani, riportando da diversi anni che per avviare questo grande cambio di passo sulla cybersecurity, occorre partire dal basso. Dalle scuole. Che ne pensi della formazione informatica che viene effettuata dai programmi ministeriali, calando tutto questo negli scenari geopolitici internazionali?

Alessandro Vannini: Penso che la scuola italiana sia ancora molto indietro. Parlo della scuola superiore. Ci sono alcuni insegnanti che, fuori dal coro, cercano di dare una spinta ai giovani, come nel caso dell’ITI della mia città, ma sono pochi e si scontrano tante volte con la macchina burocratica interna all’istituto. Il motivo principale secondo me è la carenza di competenze in quell’ambito e la mancanza di veri e propri programmi indirizzati alla Cybersec. Qualcosa però si sta muovendo. Ma è in mano a professionisti, come nel mio caso, che vogliono dedicare una parte del loro tempo totalmente gratuito a formare i ragazzi affiancando gli insegnanti.

RHC: Da dove è partita questa fantastica iniziativa? Come ha percepito tutto questo gli addetti ai lavori della pubblica amministrazione ?

Advertisements

Alessandro Vannini: L’iniziativa è partita da una casuale presenza ad un corso di certificazione serale Mikrotik MTCNA che offriva l’istituto. Mi sono trovato a contatto con gli insegnanti e mi hanno chiesto una piccola sensibilizzazione. Di lì il progetto si è evoluto, grazie alla loro tenacia ed alla disponibilità mia (e dei miei soci) a darmi lo spazio per operare. Alla fine abbiamo coinvolto Watchguard in quanto noi partner, nel progetto che ci ha concesso il primo programma pilota a livello mondiale per i minori di 18 anni. Fino ad allora era nelle università. Questo nel 2019. Il programma si chiama WISE. La PA ha accolto in maniera positiva la cosa, il preside è stato favorevole e gli insegnanti si sono messi a disposizione completa.

RHC: Ci puoi raccontare il corso di cosa parla? Si trattano argomenti solo di alto livello o si fanno anche esercitazioni pratiche, per far comprendere ai ragazzi i limiti della tecnologia e dello sviluppo del software?

Alessandro Vannini: Quello che vado, anzi andiamo, ad insegnare è Sicurezza Perimetrale e delle Reti, trattando tutta la protezione partendo dal networking e dai sistemi operativi. Do continuamente dei contest per mettere in “gara” i ragazzi. Li faccio “giocare” su crittografia, steganografia, desktop remoti, indirizzi ip ed assegno premi e diplomi ai migliori. Poi li valuto con una stellina. Io non sono un prof. Non posso dare valutazioni, ma l’idea è di avere, alla fine del triennio, dei talenti come un osservatore di pallone da poter inserire nel mondo della Cybersec o indirizzare verso gli atenei a seconda della loro inclinazione. Watchguard e Mikrotik la fanno da padrone per la parte firewall, routing e networking. Alla fine i più meritevoli avranno un voucher per tentare la Network Security Essentials di Watchguard ed uscire a 19 anni con già una certificazione importante. Il corso comunque è per tutti quelli che sceglieranno l’indirizzo naturalmente, nessuna discriminazione.

Advertisements

RHC: i ragazzi sappiamo che sono delle spugne soprattutto nell’età che va dai 10 ai 18 anni. Molto spesso la tecnologia di oggi li porta ad essere dei meri utilizzatori, senza chiedersi come funzionano “dentro” le cose. In questo corso che interesse hanno dimostrato i ragazzi, soprattutto quando si parla di tecniche di attacco o crittografia?

Alessandro Vannini: Impazziscono ???? letteralmente. Chiunque, appassionati di tecnologia fin da piccolo, se avesse avuto un hacker che andava a scuola a fargli vedere come usare in maniera “buona” le sue competenze per farlo diventare un lavoro gli avrebbe cambiato la vita. Fosse successo a me avrei affrontato la scuola in modo diverso (è stata una tragedia perché mi interessavano solo di computers). Nel corso è presente, nella parte introduttiva che viene fatta prima della selezione del percorso, quindi in seconda, una parte che tratto io sull’Etica, la necessità di proteggere, il deep e darkweb e la consapevolezza che il dato digitale immesso in rete non è più controllabile. Anche quella, piace tantissimo. Soprattutto perché parto dalla storia dei pc e dei videogiochi e della telefonia, portando roba vintage in classe. Ho iniziato la mia carriera con 5 anni in un centro di assistenza TIM, ho molti giocattoli che non hanno mai visto.

RHC: oggi come sai, il mercato è impazzito per quel che concerne le richieste di personale specializzato in “ethical hacking”, con un’offerta molto limitata sul panorama italiano, in quanto sono pochi e i più bravi vanno all’estero, per una serie di motivi.

Advertisements

Noi crediamo che non possiamo lamentarci di questo se non proponiamo ai ragazzi che esiste questa materia. Il concetto di “gettare il seme” nelle scuole, ancora non fa parte dei piani strategici del paese. Pensi per ignoranza, non curanza oppure mera politica?

Alessandro Vannini: Da dipendente per 10 anni ed imprenditore da 16, non posso dire che non capisco chi “scappa” dall’Italia. Il problema non è tanto la formazione a “restare” e nemmeno la mancanza di lavoro, il problema è il sistema Italiano. Ti obbliga a fare salti mortali per restare in piedi. Ma non è vero che non c’è lavoro e nemmeno che se sei bravo tu non possa vivere qui. Andare via dal proprio paese è sempre una sconfitta, in qualsiasi modo la si voglia vedere. Chi “scappa” perde. Io sono uno di quelli che è rimasto qui a combattere e sto provando a cambiare le cose. Quelli che criticano stando fuori dal paese oppure che dicono “vai all’estero che sicuramente troverai lavoro” non li tollero molto. Questo cerco di trasmettere ai ragazzi. Si resta e si combatte per cambiare il sistema, anche se non è una scelta di comodo. Se anche solo uno di quelli bravi si convince, ho già ottenuto una piccola vittoria.

RHC: Mi avevi accennato che ora siete passati, visto il numero alto di ragazzi interessati al percorso di “ethical hacking”, a formare i professori, in modo che questi possano a loro volta formare i nuovi ragazzi. Come hanno reagito? Gli è piaciuto? A tuo avviso, abbiamo dei limiti di apprendimento su questa materia da parte dei professori, e se sì, quali possono essere i modi per superarli?

Alessandro Vannini: I due prof che seguono il progetto sono speciali. Non hanno mai avuto problemi a mettersi in gioco. Ho però trovato molto ostruzionismo da parte di altre figure simili, non per forza in questa scuola che un po’ per mancanza di voglia, un po’ per mancanza di stimoli, usano la scusa “non è il mio campo, è troppo difficile, sono troppo vecchio”. Ecco io credo che, al di là che dobbiamo puntare anche su professori delle nuove generazioni, anche quelli attuali possono tranquillamente imparare. Stiamo dando un trampolino di lancio. Complesso, certo, ma che verrà poi sviluppato per tutta la vita. Noi facciamo crescere il seme, poi alla quercia ci arriveranno a 30 anni. I limiti ci sono solo per essere superati.

Advertisements

RHC: L’hacking è superare i limiti ed innovare. E’ questo che occorre far comprendere ai ragazzi. Ma proprio su questo argomento, a che età pensi si possa far partire l’insegnamento di questa materia? Nelle scuole elementari o nelle medie?

Alessandro Vannini: Per la sicurezza dei propri dati, anche alle elementari, giocando, con programmi specifici. Per la Sec, ho un nipote di 11 anni. Inizierò questa estate a fargli un po’ di basi. Ricordiamoci che anche se non diventeranno “hackers”, dovranno interagire con un computer per tutta la loro vita, come con uno smartphone. Proteggerli ed insegnargli a farlo ed utilizzarli correttamente oggi DEVE essere una priorità.

RHC: cos’è a tuo avviso che porta un ragazzo giovane ad essere curioso della tecnologia oltre che ad utilizzarla, e quindi comprenderla meglio e superarne i limiti e per poter migliorare o cambiare le cose intorno a lui? Come far scattare quella “molla” oggi? oppure i giovani sono attratti da qualcosa di diverso dalla semplice curiosità?

Advertisements

Alessandro Vannini: In una parola: i videogames. Molto più i ragazzi delle ragazze, anche se ci sono delle eccezioni. Ho notato che purtroppo, è e rimane ancora oggi una professione prettamente maschile. Credo che la passione nasca comunque dalla voglia di giocare e poi diventi un gioco ed un lavoro. Ancora oggi mi sento come se fossi davanti al mio MSX a giocare ai Goonies. Sono passati 35 anni, la passione è ancora quella e non mi pesa lavorare 13-15 ore al gg. Se hai una fortuna così e riesci a mantenerti hai vinto.

RHC: sei pronto per alcune domande a bruciapelo? Attacco o difesa?

Alessandro Vannini: Nasco da Sysadmin. Difesa. Sempre. Se la Difesa è top, non c’è attacco che regga.

Advertisements

RHC: broker zeroday o coordinated vulnerability disclosure?

Alessandro Vannini: La seconda. Senza dubbio per me, la condivisione e la ricerca delle vulnerabilità da una mano enorme nella prevenzione. Quindi se la fai bene, difficilmente gli Zeroday attecchiscono.

RHC: sbloccare le infrastrutture dal ransomware, pagare il riscatto o quale altra strategia?

Alessandro Vannini: Qui servirebbe un libro (tra l’altro ho fatto una guida ransomware che è andata in giro parecchio perché abbiamo sbloccato un centinaio di aziende nel corso del tempo). Prevenire. Sempre. È la strategia, ma quando non hai alternativa, devi pagare. Abbiamo visto che la politica del non pagare, non ti risolve il problema. E’ sempre facile parlare quando l’azienda ferma non è la tua e l’alternativa è pagare o chiudere. Pagare non è un’opzione, ma se sei arrivato lì ed è l’unica che hai, lo fai. Non bisogna arrivarci, per questo servono figure competenti.

Advertisements

RHC: ethical hacking da solo. Pregi e difetti.

Alessandro Vannini: Pregi: sei come l’uomo ragno. Da un grande potere, derivano grandi responsabilità. Ethical Hacking non è pentesting, non è malware analysys, non è Blue Team, Read Team, è un insieme di tante cose, è un modo di essere, di vivere. Oggi sono tutti Ethical Hacker su Linkedin, ma solo perché è un nome altisonante. Se hai sempre vissuto DENTRO alle strutture da quando ne hai memoria, sei sempre stato curioso di trovare falle, di capire come funzionano ed hai passato la tua vita a proteggere allora forse puoi dire di esserlo. Io che ho più di un titolo e vengo chiamato tale, non mi ci sento comunque nonostante sia qui da 27 anni sulla breccia. Difetti: Ti servono 2 vite e giornate di 48 ore per imparare tutto. Ogni minuto della tua vita è dedicato al lavoro o alla formazione. Difficilmente questa professione si sposa con una vita normale. Non stacchi mai, la mente frulla continuamente per cercare strade, risolvere problemi. Non c’è giorno, notte o festa che tenga. Ma forse, questo è solo il mio modo di viverlo. Non trovo però possibilità di “staccare la spina”. Se qualcuno l’avesse trovato, attenderei con ansia un suo contatto.

RHC: Alessandro, ti ringraziamo veramente molto per averci dato la possibilità di fare questa intervista, su una cosa che come RHC crediamo molto.

Advertisements

Sicuramente tutto questo potrà servire ad altri professori “illuminati” ad avviare percorsi simili nelle nostre scuole.

Quali consigli potresti dare ad altri professori intenzionati ad avviare un percorso simile al tuo nei loro istituti?

Alessandro Vannini: Di cercare prima di tutto professionisti o società pronti a collaborare GRATIS. È la cosa più difficile da trovare. Io devo ringraziare i miei soci che mi lasciano il tempo. Ma poi recupero la notte. Il professionista di solito cerca di aumentare il proprio capitale e fatturare, giustamente, ma se vogliamo vivere in una società sicura, dobbiamo dare qualcosa indietro, che non siano tasse o denaro, ma competenza. Troppa gente si sente arrivata e sminuisce chi ha meno competenza, troppa gente pensa che siccome partiamo dal basso, allora noi che facciamo questi percorsi, ne abbiamo poca. La realtà è che è sempre più difficile fare ed esporsi pubblicamente piuttosto che stare dietro ad un nickname a criticare, quello è da vili. Ci sono persone che hanno voglia di dare qualcosa indietro. Non sono migliaia, ma si può pensare ad una formazione nella formazione. Una volta che l’insegnante è pronto, può passare il testimone all’interno del suo istituto. Sarebbe bello. Le scuole e gli insegnanti devono cercare quello. Prima però meglio interfacciarsi con i presidi ????.

Advertisements

Ringraziamo ancora Alessandro e ricordiamoci sempre che l’hacking è un percorso e non una destinazione!