Divulgazione. Gli studenti Mba studiano la mentalità dell’hacker

Gli studenti Mba imparano a calarsi nella mentalità di un hacker


Questo →articolo divulgativo di Jonathan Moules è stato pubblicato su Il sole24ore del 4 luglio 2016. Traduzione di Anna Bissanti dal The Financial Times Limited 2016


Il giorno in cui Michelle Raymond ha scoperto che qualcuno si era introdotto furtivamente nei suoi account è scolpito nella sua memoria in maniera indelebile. Durante il primo anno del suo Master in Business Administration presso la IE Business School, aveva preso posto per la prima lezione del suo corso biennale in innovazione digitale. Mentre il professore José Esteves proiettava una serie di fotografie sulla lavagna bianca di fronte all’auditorio, Michelle Raymond, ex dirigente di gestione patrimoniale presso Morgan Stanley, ha passato in rassegna e riconosciuto i volti di vari amici di corso di parecchi anni prima. A un certo punto, però, il professor Esteves le ha chiesto perché alle tre di notte fosse ancora sveglia e al computer. E ha capito: il suo tutor l’aveva spiata.

«Quando mi ha detto di essere in grado di accedere al mio conto in banca grazie alle informazioni che io stessa avevo postato mi sono preoccupata davvero», dice. Michelle Raymond aveva lasciato gran parte dei contenuti del suo account Facebook accessibile al pubblico perché sperava di farsi conoscere e fare carriera come musicista. «Immagino che mi abbia preso di mira perché sono stata io per prima a espormi», ha aggiunto.

Malgrado fosse in presenza di una grave intromissione nella sua privacy, Michelle Raymond non ha dato segni di irritazione. «Mi sentivo come se mi scoppiasse il cervello», dice ridendo. I rischi per le aziende di subire attacchi alla loro tecnologia informatica implica che la cyber-security è ormai una materia di studio obbligatoria in molti corsi di Mba. Tuttavia, può rivelarsi difficile coinvolgere gli studenti che non hanno alcuna preparazione pregressa in informatica e i cui interessi vertono soltanto sul management.

Applicare tecniche di intromissione nella loro privacy è quindi un modo suggestivo per coinvolgere tali studenti a questo proposito, dato che buona parte degli insegnamenti riguarda il modo di creare e mettere in atto strategie e processi per garantire la massima sicurezza ai dati interni di un’azienda.
Sandro Gaycken, ricercatore senior e direttore del Digital Society Institute dell’European School of Management and Technology a Berlino, da qualche tempo ha iniziato a tenere un corso di «Hacking for Executives» agli studenti dell’MBA, mostrando loro come accedere al contenuto degli iPad altrui.

Agli studenti piace mostrare quello che hanno imparato ai loro famigliari, secondo Gaycken, e «questo li rende interessanti agli occhi dei loro figli», dice.
Jan Veldsink dirige il corso di cyber-difesa alla Nyenrode Business Universiteit dei Paesi Bassi. Ammette di essere un hacker per «ragioni di insegnamento», ma sostiene di aver sempre messo le sue competenze al servizio degli altri per aiutarli, in particolare nel caso delle consulenze alle banche olandesi che avevano subito intrusioni nei loro database.

Nei suoi corsi Veldsink propone simulazioni di attacchi alle aziende da parte di pirati informatici, ma dice di non condividere mai le tecniche con i suoi studenti, perché non è necessario. Sia lui sia Gaycken non vanno mai oltre l’approccio furtivo di Esteves che si intrufola negli account dei social media dei suoi studenti senza che se ne rendano conto.

Esteves, votato migliore insegnante ininterrottamente dal 2008 dai suoi studenti del Mba e dei master, non si pente dei suoi metodi. «Non voglio insegnare loro soltanto le tecniche per carpire informazioni di nascosto, ma voglio dimostrare qual è la mentalità degli hacker e come pensare nello stesso modo». Esteves si definisce un hacker etico, uno «che si oppone all’abuso dei sistemi informatici» perché quando prende di mira i suoi studenti non supera mai la linea di confine con l’illegalità, merito che egli attribuisce al suo stesso tutor, un hacker che conobbe quando lavorava come analista finanziario.

«È stato una sorta di padrino: mi ha fatto vedere alcune tecniche, ma mi ha anche protetto, mettendomi in guardia dall’entrare in alcuni forum pericolosi, assicurandosi che non commettessi mai nulla di illegale», ha detto Esteves.
Per accedere ai dettagli personali del profilo di Michelle Raymond, Esteves ha creato vari account fasulli sui social media a nome di un ex studente di MBA, che dalla sede di Madrid dell’IE si è trasferito a Londra. Michelle Raymond ha accettato la sua richiesta di amicizia credendolo uno studente, e questo ha permesso a Esteves di setacciare indisturbato tra le varie fotografie e le informazioni personali che lei aveva reso disponibili ai suoi contatti.

Esteves spiega che «si crede che gli hackers ricorrano a tecniche complicatissime per carpire informazioni personali sugli utenti, mentre non è affatto vero».
Anche se dopo il diploma Michelle Raymond non ha intenzione di diventare una consulente in sicurezza informatica, dice che la trovata di Esteves l’ha coinvolta in prima persona e che sta apprendendo cose molto importanti per gestire la sua immagine di artista e proteggere il materiale in copyright. «Adesso questo è uno dei miei corsi preferiti», ha detto.

La lezione più importante che ha appreso è che spesso quella che sembra l’informazione più innocua, come la sua data di nascita o il cognome da nubile della madre, la rende più esposta agli attacchi dei pirati informatici che dispongono di maggiori indizi per intrufolarsi nel suo lavoro e trovare le password dei suoi conti bancari online.

Dopo il diploma Michelle Raymond vorrebbe lavorare a tempo pieno per un’azienda che organizza eventi da lei fondata per fare carriera nel campo della musica, e sottolinea che in ogni caso ha già adottato molte misure opportune e preso provvedimenti nelle impostazioni degli account dei suoi social media e nelle informazioni che posta per evitare intrusioni di cyber-pirati. La sfida più grande, quando si cerca di insegnare cyber-sicurezza in modo così pratico, è trovare come carpire informazioni e dati dagli studenti che sono consapevoli di come agisci, dice Esteves: «Adesso che mi conoscono, mi temono».


Guida alla lettura

In questo articolo divulgativo si notano parti narrative all’inizio del testo, quando si narra il caso di Michelle Raymond, che chiude anche l’articolo: si tratta di un procedimento retorico efficace che ha lo scopo di spiegare in modo chiaro perché è necessario porsi il problema della sicurezza dei sistemi digitali.

Il testo presenta anche i procedimenti retorici dell’esempio quando si riferisce ad altri insegnanti, oltre a quello del corso di Michelle, che fanno uso degli stessi metodi per coinvolgere gli studenti: gli esempi sono quelli di Sandro Gaycken, ricercatore senior e direttore del Digital Society Institute dell’European School of Management and Technology a Berlino, e di Jan Veldsink dirige il corso di cyber-difesa alla Nyenrode Business Universiteit dei Paesi Bassi.

Una domanda: che significa MBA?

1407total visits,1visits today