by Farhad Pezeshki | Mag 4, 2005 | Ricerca e-Learning
Sicurezza dei sistemi informatici
Ad una prima macro-analisi analizzando i problemi di sicurezza degli ambienti e-learning,sembrano riemergere quelle che sono le annose questioni riscontrabili negli altri principali ambiti legati alla rete quali e-commerce e e-goverment.
E’ facile scivolare in uno slittamento linguistico in cui il concetto di sicurezza viene sovrapposto e interscambiato a quello di privacy, in questa breve analisi di tali argomenti riteniamo perciò utile sottolineare e rammentare l’importanza della privacy, che nonostante rilevi un enorme importanza rimane tuttavia un sott’insieme del piu’ generale concetto di sicurezza, relativo agli ambienti di formazione on line.
Passiamo per cui a parlare in concreto di sicurezza dei corsi on-line, considerando particolarmente gli aspetti generali di sicurezza dei sistemi informatici.
Introduzione alla sicurezza dei sistemi informatici.
Chi si occupa di sicurezza informatica ha, come obiettivo principale, quello di offrire un adeguato grado di protezione dei dati, riducendo i fattori di rischio. In particolare, proteggere i dati significa garantirne:
· la riservatezza o confidenzialità, ovvero la protezione da letture non autorizzate dei dati memorizzati, elaborati e trasmessi nel sistema, che ha lo scopo di impedire l’utilizzo illegittimo di informazioni riservate.
· L’integrità, ovvero la protezione da modifiche non autorizzate dei dati memorizzati, elaborati e trasmessi nel sistema, che ha lo scopo di impedire la manipolazione illegittima delle informazioni. In particolare, garantire l’integrità di un messaggio transitato sulla rete significa assicurare che il messaggio ricevuto sia esattamente quello spedito dal mittente.
· La disponibilità, ovvero la capacità di garantire l’accesso ai dati o alle risorse del sistema.
· L’ autenticazione , ovvero la possibilità di identificare in modo certo e univoco chi invia, manipola e riceve i dati. L’autenticazione è una forma di prova di identità che individua univocamente gli utenti del sistema. L’autenticazione fornisce supporto al non ripudio, che consiste nel dare garanzia che chi trasmette e chi riceve non possano negare di aver inviato e ricevuto il messaggio. Il non ripudio costituisce una prova formale, utilizzabile anche a termine di legge, per dimostrare che una certa persona ha sottoscritto un documento.
La sicurezza delle informazioni è di importanza cruciale in qualunque contesto sociale e lavorativo, anche, ma non solo, in relazione alle leggi relative alla privacy e alla protezione dei dati. I problemi sono fondamentalmente dovuti a un insieme di fattori che coinvolgono sia aspetti prettamente tecnici e tecnologici che aspetti organizzativi e di comportamento.
In generale i rischi in termini di sicurezza informatica sono da imputarsi alla vulnerabilità, ovvero alla presenza di lacune o insufficienze nel sistema complessivo del trattamento dei dati. La vulnerabilità può essere addebitata:
· al software (sia il sistema operativo, sia le applicazioni), che ha raggiunto ormai livelli di enorme complessità e di conseguenza contiene sempre più frequentemente errori (accidentali e non). Sfruttando gli errori diviene possibile attivare funzionalità che rendono un software, apparentemente innocuo, un pericolo alla sicurezza dei dati.
· Ai protocolli di rete. I computer in rete interagiscono con gli altri sistemi connessi attraverso protocolli di comunicazione che possono presentare vulnerabilità. In questo caso un sistema intruso si può inserire in una comunicazione con scopo di convincere un sistema vittima a credere che il sistema intruso possa utilizzare legittimamente i suoi servizi.
· Al comportamento degli utenti, che non sempre rispettano norme di sicurezza anche di tipo elementare. In realtà la protezione dei dati dipende prevalentemente dagli utenti che utilizzano i sistemi, poiché nessuno strumento tecnologico può sostituirsi al senso di responsabilità e al rispetto delle norme.
La connessione in sé non è invece una causa, ma piuttosto un mezzo, attraverso il quale avvengono i più frequenti e intrusivi attacchi alla sicurezza dei dati.
Gli amministratori e i responsabili dei sistemi informatici possono provvedere al mantenimento della sicurezza delle informazioni e delle risorse attuando metodologie di tipo proattivo e di tipo reattivo.
Le metodologie proattive consistono in attività di prevenzione che mirano a ridurre al minimo le vulnerabilità del sistema sia dal punto di vista organizzativo che da quello tecnologico. Una semplice strategia proattiva consiste, per esempio, nell’installare sistemi software antivirus per la rilevazione dei virus e nel mantenerli periodicamente aggiornati.
Le metodologie reattive vengono invece attuate ad attacco avvenuto per:
· valutare i danni e le violazioni delle norme;
· identificare i colpevoli;
· segnalare correttamente l’attacco ai responsabili legali della struttura;
· ripristinare i dati e il corretto funzionamento del sistema nel più breve tempo possibile.
Una semplice attività di reazione consiste per esempio nella rimozione dei virus, mediante il software antivirus che li ha rilevati.
In generale occorre prevedere la possibilità di essere vittima sia di attacchi esterni che interni, ovvero attacchi condotti da persone che operano all’interno della struttura scolastica e che hanno quindi il vantaggio di essere utenti registrati con diritti di accesso alle risorse.
Password
Anche nei corsi di e-learning il metodo più semplice per l’accesso illecito a un sistema è quello di impossessarsi indebitamente della password di un utente autorizzato e, spacciandosi per esso, di compromettere riservatezza, integrità, autenticazione e a volte disponibilità dei dati. A ogni utente sono tipicamente assegnate una o più password, tra le quali:
· la password di accesso al sito, per la parte comprendente la navigazione nelle sue parti pubbliche e d’interesse generale
· La password di accesso ai propri elaborati e ai servizi offerti personalizzati.
Per evitare che questo tipo di problema si verifichi è opportuno:
· fornire agli utenti un insieme di regole di comportamento (da sottoscrivere ad esempio al momento della creazione degli account), che li responsabilizzino.
· Prevedere meccanismi automatici che costringano gli utenti a cambiare periodicamente la password.
Prevenzione: aspetti tecnici
In generale è obiettivo dell’amministratore e del responsabile dei sistemi evitare qualunque minaccia ovvero qualunque evento o entità che possa danneggiare il sistema compromettendo i dati o i servizi critici. Esistono numerose categorie di minacce che vanno dagli eventi catastrofici naturali e non (incendi, terremoti, alluvioni), agli incidenti che coinvolgono le infrastrutture, casuali o intenzionali (taglio di cavi, sospensione dell’erogazione di corrente), ai veri e propri attacchi alla sicurezza del sistema.
Un attacco è un tentativo di accesso o d’uso non autorizzato dei dati e dei sistemi, che mira a compromettere riservatezza, integrità, disponibilità, autenticazione e/o non ripudio. L’attacco non è di per sé necessariamente fruttuoso, ma può fallire grazie alle politiche di sicurezza proattiva che sono state realizzate. Se l’attacco ha successo, si è di fronte a un incidente che ha inciso sulla sicurezza informatica della struttura.
Si distinguono due tipologie di attacchi:
· attacchi passivi, che hanno l’obiettivo di compromettere la riservatezza e l’autenticazione, entrando in possesso di informazioni private.
· Attacchi attivi, che hanno l’obiettivo di compromettere l’integrità e la disponibilità, ovvero mirano ad alterare le informazioni e/o danneggiare i sistemi.
Molto spesso gli attacchi passivi sono effettuati per ottenere le informazioni necessarie a iniziare un attacco attivo.
Le tipologie di attacco alla sicurezza di sistemi sono fortemente variegate e vengono continuamente prodotti nuovi attacchi che sfruttano le diverse vulnerabilità.
In questo contesto introdurremo diversi attacchi, senza l’ambizione di fare un elenco esaustivo, ma con l’obiettivo di introdurre alcuni tra i meccanismi più diffusi e più pericolosi, ovvero:
· abuso dell’identità elettronica ,
· exploit ,
· malicious software,
· sniffing,
· spoofing,
· Denial of service.
Exploit
Le vulnerabilità dei programmi sono tipicamente generate da un errore nella progettazione o nell’implementazione del software. Si indica tipicamente con exploit l’esecuzione delle azioni necessarie ad approfittare di una vulnerabilità del sistema per sferrare un attacco. La vulnerabilità in se può essere sfruttata solo mettendo in opera un procedimento apposito, il più delle volte complesso, volto a sfruttarla per danneggiare la sicurezza del sistema.
Possono essere vulnerabili sia i sistemi ad uso personale sia i server, ma gli exploit avvengono più frequentemente sui server che, essendo sempre accesi e connessi, sono maggiormente esposti. Le vulnerabilità del software possono dipendere a volte da errate configurazioni ed installazioni, fatte dall’amministratore o dagli stessi utenti, che rendono un sistema robusto facilmente accedibile dall’esterno.Esistono appositi tool che consentono di scoprire le vulnerabilità presenti in un certo sistema, attraverso un insieme di operazioni di vulnerability assessment. La migliore difesa verso la vulnerabilità del software resta comunque il frequente aggiornamento e l’installazione di tutti i moduli di correzione offerti dal produttore (patch).
Software doloso (malicious software o malware)
Il software doloso ( malicious software, contratto a volte nel neologismo malware) è un software o una porzione di software che produce effetti dannosi o non desiderati. Questo tipo di programmi è dunque da considerarsi nocivo, ovvero potenzialmente lesivo della sicurezza del sistema.
Esistono diverse tipologie di software doloso tra cui i più noti e diffusi sono virus, worm e cavalli di Troia:
· Cavalli di Troia : sono programmi apparentemente innocui che una volta eseguiti, effettuano operazioni diverse da quelle per le quali l’utente li aveva utilizzati e tipicamente dannose. Un esempio di cavallo di troia molto semplice è la creazione di una finestra di login identica a quella del sistema ma finta, che invia password e altre informazioni riservate all’autore del software doloso. Spesso quando un sistema viene compromesso l’intruso inserisce cavalli di troia con lo scopo di mascherare l’attacco, procurarsi informazioni aggiuntive e creare un accesso (backdoor) da sfruttare successivamente.
· Virus : sono porzioni di codice che realizzano tipicamente due attività:
o quello di replicarsi e inserire se stessi in file eseguibili preesistenti sul sistema. Questa attività mira alla diffusione del virus.
o Quello di compromettere l’integrità delle informazioni e la disponibilità delle risorse. Questa fase attiva del virus viene avviata a scoppio ritardato in modo da consentire una prima fase di diffusione dell’infezione e tipicamente comprende l’aggressione ai dati e ai programmi contenuti nella memoria di massa del sistema.
· Worm : sono programmi che utilizzano i servizi di rete per propagarsi da un sistema all’altro. Agiscono creando copie di se stessi sugli host ospiti e mettendosi in esecuzione. Sono dunque auto-replicanti e autosufficienti poiché in grado di funzionare senza bisogno di un programma ospite.
Lo sniffing è un attacco di tipo passivo che mira a compromettere riservatezza e autenticazione effettuando intercettazioni delle comunicazioni. Quando i dati viaggiano non criptati su una rete a mezzo condiviso (come sono tipicamente le LAN) è possibile da un qualsiasi punto della rete intercettare i pacchetti in transito destinati ad altri host. È particolarmente critica la fase in cui il client invia, in chiaro, a un server le informazioni relative all’autenticazione dell’utente. Per questo motivo è opportuno utilizzare servizi che prevedano la trasmissione cifrata delle password
L’intercettazione dei dati è fatta attraverso appositi strumenti detti sniffer, che raccolgono le informazioni in transito ed effettuano su di esse diverse operazioni:
· conversione dei pacchetti in una forma leggibile e filtraggio in base a criteri definibili dall’utente. Il filtraggio è tipicamente applicato alle password e agli account.
· Monitoraggio della rete, sia in termini di performance, che di traffico e di errori, anche attraverso la manutenzione di appositi log.
Spoofing
Vengono indicati con il termine spoofing diversi tipi di attacchi che hanno come meccanica comune quella della sostituzione. In particolare:
· se ci si sostituisce a un utente senza averne diritto, ovvero se si utilizza una qualche forma di abuso dell’identità elettronica, si sta facendo user account spoofing.
· Se si prende il controllo di un canale di comunicazione e su questo si modifica il contenuto dei pacchetti, si sta facendo data spoofing.
· Se si manipola l’indirizzo IP da cui parte una certa connessione in modo da far credere di essere un sistema sorgente differente, si sta facendo IP spoofing (o IP address spoofing).
Tra questi tipi di attacchi, l’IP spoofing è il più noto e diffuso, e ha come obiettivo quello di aggirare i principali controlli attivi effettuati per garantire la sicurezza, che sono appunto basati sul monitoraggio dei numeri IP. Il sistema che effettua l’attacco si spaccia per un diverso IP mentre il sistema che subisce l’attacco invia le risposte all’host effettivamente corrispondente all’IP utilizzato per lo spoofing.
Lo spoofing di indirizzo può essere fatto dall’interno o dall’esterno della sottorete. Lo spoofing esterno è più complesso da realizzare perché l’host attaccato e quello attaccante non utilizzano mezzi condivisi.
Gli attacchi di tipo Denial of service hanno come principale bersaglio la disponibilità delle risorse, in particolare dei sistemi e dei servizi. Lo scopo di chi tenta l’attacco non è quindi quello di ottenere informazioni o di modificarle, quanto quello di impedire ad altri l’accesso alle informazione, anche quando autorizzati, ovvero di negare loro il servizio.
Il risultato di un attacco di questo tipo è dunque l’interruzione di un servizio che risulta indisponibile agli utenti legittimi. Alcune volte questo effetto è ottenuto rendendo le risorse troppo impegnate, in modo da provocare risposte negative a richieste di servizio legittime. Altre volte invece il sistema viene mandato in crash e necessita dell’intervento dell’amministratore per riprendere il corretto funzionamento e l’erogazione dei servizi.
Spesso l’attacco ha come obiettivo quello di tenere la vittima occupata, mentre sta avvenendo qualche altra aggressione più critica al sistema. L’autore dell’attacco tipicamente maschera il proprio indirizzo in modo da rendere impossibile o quantomeno molto difficoltoso rintracciarlo. Denial of service famosi hanno avuto come bersaglio siti di grandi dimensioni, come ad esempio Yahoo.
Due forme molto semplici e diffuse di Denial of service sono:
· il mail bombing, che è realizzato inviando a un utente una quantità di posta sufficiente a riempire lo spazio disponibile e dunque bloccare il suo servizio di ricezione.
· La bandwidth consumption, che consiste nel generare una quantità elevatissima di traffico verso una certa destinazione, occupando tutta la larghezza di banda disponibile ed impedendo così ad altri di usufruire dei servizi messi a disposizione da quel nodo.
Di fronte alle innumerevoli tipologie di attacco risulta fondamentale operare per ridurre al minimo le vulnerabilità. Oltre alla manutenzione del software e alle altre linee guida per la prevenzione dei problemi, è utile e a volte indispensabile dotarsi di tecnologie hardware e software dedicate alla tutela della sicurezza e alla prevenzione degli attacchi.
Tra queste, ne citiamo alcune particolarmente utili e significative:
· la crittografia , che consente di far transitare sulla rete messaggi cifrati nascondendone il contenuto e inoltre offre supporto di base alla certificazione e alla della firma digitale.
· I software antivirus , che consentono di rilevare e rimuovere i virus.
· I firewall , ovvero sistemi di filtraggio delle informazioni utilizzati per creare una barriera difensiva perimetrale, ovvero per rendere più difficili gli attacchi ai sistemi di una LAN prevenendo gli accessi non autorizzati.
Sulla rete utilizzare un algoritmo privato di crittografazione può significare limitare il numero dei potenziali destinatari dei messaggi, per cui tipicamente la segretezza è riposta esclusivamente nella chiave. I meccanismi di crittografia sono alla base delle diverse forme di certificazione a disposizione su Internet e del funzionamento della firma digitale
L’unico sistema efficace per prevenire danni derivanti dalla diffusione di virus è l’utilizzo di appositi software antivirus il cui obiettivo è identificare il virus e rimuoverlo prima che entri in azione. Per rilevare la presenza di un virus i software antivirus cercano all’interno della memoria (centrale e di massa) particolari sequenze di byte che costituiscono l’impronta identificativa del virus. La continua produzione di nuovi virus rende quindi indispensabile un aggiornamento continuativo del software antivirus per garantirne l’efficacia nel tempo. Alcune volte i software antivirus sono in grado di rilevare anche virus di cui non conoscono la sequenza di byte identificativa, riscontrando su base probabilistica comportamenti anomali o sospetti.
Firewall
Un firewall è un sistema connesso alla rete con lo scopo di filtrare i pacchetti in transito. Tipicamente viene posto a bordo della rete con lo scopo di creare una barriera difensiva che aumenti il grado di sicurezza perimetrale, ovvero renda più difficile gli attacchi dall’esterno all’interno del sistema.
Un firewall può essere realizzato sia come infrastruttura hardware dedicata che utilizzando un computer e un opportuno insieme di software. Deve essere posto sul bordo (logico) della LAN se si desidera far passare per il firewall tutti i pacchetti in entrata e in uscita dalla rete locale. Il firewall controlla il flusso dei pacchetti, ovvero decide se consentire o negare l’accesso, implementando delle specifiche politiche di filtraggio del traffico.
Conclusioni
Questa breve trattazione dei problemi correlati alla sicurezza informatica e delle principali metodiche di prevenzione ha avuto lo scopo di introdurre una tematica complessa ed in continua evoluzione. In particolare si è voluto dare enfasi al fatto che un buon sistema organizzativo e un insieme di regole formalizzato, costituiscono un elemento indispensabile nell’attuazione di politiche di prevenzione dei problemi di sicurezza.
Ad esso va affiancato un opportuno insieme di tecnologie hardware e software che consentono all’amministratore e al responsabile dei sistemi di prevenire le forme più frequenti di attacco e di recuperare in caso in cui questo abbia successo, ripristinando rapidamente le funzionalità dei sistemi.
Sicurezza tre diverse necessità
Nel cercare d’individuare le necessità e le esigenze di sicurezza è opportuno operare una scissione degli ambienti o aree sociali in cui, la formazione on-line ha maggiormente preso piede.
Tali aree sono state ridefinite sotto l’aspetto fisico-strutturale, burocratico-organizzativo , e social-cognitivo.
Le aree da noi individuate come già accennato nell’introduzione sono tre.Area dell’università o del mondo accademico nel suo complesso,riguardante anche specifiche scuole di formazione, area del mondo aziendale sia profit che non, ed infine area relativa agli ambienti di pubblica amministrazione.
Passeremo quindi ad analizzare le specifiche esigenze di sicurezza, che sebbene per taluni aspetti risultano congruenti, per altri emergono specifiche necessità.
Partiamo dalle aziende in cui vengono utilizzati dei corsi on-line, in genere per la formazione dei propri dipendenti, ma coinvolgiamo anche tutte le aziende produttrici e distributrici di corsi e-learning.
I cui principali rischi di sicurezza riguardano ovviamente intrusioni e manomissioni dei sistemi informatici nel tentativo di acquisizione indebita di dati, la principale necessità aziendale è quindi la difesa delle proprie strategie interne ,dagli attacchi della concorrenza e del mercato.
La diffusione di Internet ha causato la crescita del numero di attacchi ai sistemi informatici ed un aumento notevole dell’esposizione ai rischi. Le imprese devono essere in grado di far fronte a questo nuovo scenario e devono attrezzarsi per proteggersi da danni che possono seriamente compromettere la loro attività.
Inoltre, le recenti disposizioni di legge impongono alle aziende ed alle pubbliche amministrazioni l’utilizzo di moderne soluzioni di sicurezza informatica e prevedono pene severe, civili e penali, per chi non le adotta.
I maggiori danni provengono da furti di informazioni proprietarie, interruzioni di servizi, perdita di produttività dei dipendenti e sono dell’ordine dei miliardi di euro l’anno.
Il problema della sicurezza è soprattutto un problema di procedure e di organizzazione, che ogni impresa ha problematiche ed esigenze differenti, di seguito cerchiamo di schematizzare alcuni degli aspetti che dovrebbero costituire le misure minime di ogni infrastruttura di sicurezza informatica.
Anzitutto è necessario un sistema di sicurezza perimetrale, che difenda la rete interna di ogni azienda. Per proteggersi da attacchi provenienti dall’esterno l’utilizzo di un semplice firewall non è più sufficiente.
È necessario impiegare le diverse tecnologie disponibili per raggiungere un buon livello di sicurezza.
Si impone l’uso di IPS (Intrusion Protection Systems) capaci di bloccare in tempo reale gli attacchi,
Firewall di livello applicativo in grado di analizzare in profondità il traffico, Antivirus di rete che impediscano l’ingresso di virus ed altro ancora. Sul mercato sono disponibili dei “Security Gateway” capaci di integrare le diverse tecnologie.
Oltre ad un sistema di sicurezza perimetrale è necessario anche un sistema di sicurezza interna.
La sicurezza “interna” ovvero la protezione da attacchi ed abusi effettuati da dipendenti, collaboratori o da coloro che per varie ragioni possono avere accesso alla rete interna è fra le problematiche più sottovalutate.
Gli esperti ritengono che percentuali elevatissime di problemi di sicurezza hanno origine dall’interno e soprattutto generano perdite economiche sostanziose.
La difesa da attacchi interni è fra le problematiche di sicurezza più complicate poiché i potenziali attaccanti sono già all’interno della rete e spesso hanno una conoscenza dettagliata dei sistemi. La soluzione, in questo caso, deve riguardare diversi aspetti organizzativi e tecnologici che vanno dalla definizione e verifica periodica delle policy di sicurezza, ad una opportuna segmentazione della rete, fino alla protezione ed assessment continuo delle risorse informatiche più critiche.
Al centro di ogni strategia di sicurezza deve essere posta l’analisi continua e la corretta configurazione delle tecnologie di protezione. Serve a poco disporre di sofisticati strumenti se le informazioni che essi producono non vengono interpretate e le opportune azioni intraprese.
Firewall, IDS, Antivirus e simili, producono una mole di dati enorme che senza l’ausilio di sistemi specializzati e di personale dedicato rischiano di diventare del tutto inutili.
Per quanto riguarda l’area accademica, la principale esigenza a differenza dell’area aziendale non è tanto coprire i propri dati e nascondere informazioni riservate dagli attacchi e intrusioni di altri concorrenti, quanto la necessità di garantire l’immodificabilità degli elaborati o dei compiti assegnati nei corsi è-learning e soprattutto del voto o dei giudizi conclusivi del corso, nonché della struttura e dei materiali presenti sul supporto (nella maggior parte dei casi siti internet) di riferimento del corso.
In quest’ambiente la maggior parte delle informazioni e dei dati, ovviamente nella riservatezza delle norme sulla privacy, a differenza dell’area profit sono pubbliche e facilmente accessibili all’interno dei siti.
Si moltiplicano dunque le esigenze e necessità di tutela e salvaguardia dei prodotti degli alunni o fruitori e delle valutazioni finali da parte dei docenti on-line.
Oltre all’utilizzo di password d’accesso e sistemi d’autentificazione alle aree in cui sono contenute le informazioni e i dati piu’ delicati, si rende perciò assolutamente necessario utilizzare software e sistemi di scrittura che garantiscano l’inattacabilità e che siano attivabili e modificabili solo dai docenti e responsabili dei corsi on-line.
Parlando ora di pubblica amministrazione emergono necessità preponderanti, nuove e differenti, dalle necessità di tutela dei materiali elaborati dagli alunni e controllo dei voti, e dalla difesa delle proprie strategie aziendali.
La fruizione di corsi e-learning all’interno di uffici di pubblica amministrazione o la produzione e distribizuone di tali corsi rivolti ad utenti esterni, vista la caratteristica di tali uffici di essere preposti a funzioni d’interesse pubblico e soprattutto di conservare numerosi dati e informazioni riguardanti molti cittadini, ha come obbligo e imperativo assoluto, tra le esigenze e necessità di sicurezza, quella di garantire la difesa delle informazioni riservate e la tutela dei dati personali in rispetto della normativa vigente sulla privacy informatica (di cui tratteremo a lungo piu’ avanti).
Queste tre diverse necessità individuate sin ora non vogliono certo essere esaustive dell’enormità di tematiche e politiche della sicurezza di corsi on-line e piu’in generale di sistemi informatici, ma credo siano un buon punto di partenza e una prima categorizzazione utile per orientare ed ordinare con un po’ più di chiarezza e fruttuosità argomenti e tematiche spesso troppo olistiche e onnicomprensive.
Politiche di sicurezza fondamentali
Per concludere questa sezione dedicata alla sicurezza degli ambienti e dei corsi on-line riteniamo opportuno sottolineare le politiche (policy) di sicurezza determinanti e fondamentali. Attraverseremo le policy di autenticazione, rilevazione intrusi manomissione dei sistemi, filtraggio dei contenuti, strategie di sicurezza strutturata, soffermandoci sull’utilizzo di due dei software principali in ambito di sicurezza Firewall e Tripwire.
Autenticazione
L’autenticazione è quel processo per determinare se qualcuno o qualcosa è realmente chi o cosa ha dichiarato di essere. La forma più comune di autenticazione è attraverso l’utilizzo della password. La debolezza di questa forma di autenticazione è che la password può essere dimenticata, sottratta o accidentalmente rivelata.
Tripwire è complementare a tutte le forme di autenticazione, perché può identificare se il metodo di autenticazione è stato compromesso. In questo contesto, il software Tripwire fornisce due cose:
· Identifica i file addizionali ( backdoor ) che sono stati installati sul server in una directory ignota. L’amministratore può rapidamente cancellare questi file, i quali non permetteranno all’intruso di ritornare all’interno del sistema.
· Il software identificherà quei file che sono stati alterati.
Rilevamento degli intrusi
Ci sono due tipologie fondamentali di sistemi di rilevazione degli intrusi:
· Host based – Software che esamina un sistema. Reagisce con un allarme o con una contromisura quando un utente cerca di guadagnare l’accesso a dati, file o servizi non autorizzati.
· Network based – Esamina il traffico del network e reagisce con un allarme in caso di anomalie.
La rilevazione di intrusi è un punto fondamentale della sicurezza strutturata. Comunque, esso non dirà come sono stati compromessi i dati o quali cambiamenti ci sono stati sul sistema.
Si stanno sviluppando anche strumenti che analizzano l’accertamento della vulnerabilità, verificano il sistema per determinare se sono costanti con la politica di sicurezza e identificano “buchi” o vulnerabilità che potrebbero essere sfruttati da assalitori.
Gestione delle informazioni di sicurezza
Di determinante importanza sono i prodotti che gestiscono le informazioni di sicurezza, questi prodotti offrono una funzione molto utile, in quanto gestiscono centralmente la sicurezza dei dati per fornire analisi e correlazioni di attacchi attorno al network.
Un prodotto di sicurezza è di valore se l’utente può usare e può capire le informazioni che gli altri prodotti di sicurezza forniscono.
Tripwire
Oggi come oggi , tutte quelle organizzazioni collegate ad Internet devono essere vigili più che mai contro i possibili pericoli che arrivano dall’esterno. La minaccia si manifesta ogni giorno con virus e simili.
E’ nata quindi la necessità di creare una strategia che riesca a proteggere da questo tipo di problemi.
Andando ad utilizzare il software Tripwire, non solo si riesce a mitigare questa minaccia alla sicurezza, ma anche a creare un più stabile ambiente Internet. Tripwire fornisce quella sicurezza fondamentale che va ad assistere la perfetta integrità dei dati e delle infrastrutture di sistema.
Il risultato di tutto questo fa si che le varie compagnie ed i loro clienti possano avere fiducia nei loro network e nelle infrastrutture Internet.
Posizione di TRIPWIRE
Ci sono veramente poche compagnie che possono reclamare come dominio l’integrità delle infrastrutture.
Uno dei più completi è Tripwire. Nel 1992 Gene Kim ed Eugene Spafford diffusero Tripwire alla Purdue University.
Il software fu originariamente rilasciato, e quindi, reso disponibile come sorgente accademico.
Tripwire è un sistema di amministrazione DNI completo e assicura l’integrità delle infrastrutture.
Il cuore dell’applicazione verifica quali file monitorati sono stati cambiati sul sistema.
E’ buona norma utilizzare Tripwire insieme ad altre infrastrutture di sicurezza.
Tripwire identifica dati non autorizzati, isola il problema, e permette ai manager IT di risolvere i problemi nel minor tempo disponibile.
Conclusioni
I mari del mondo del commercio hanno cambiato considerevolmente la rivoluzione dell’informazione.
Tripwire, usato nell’integrità come ancora delle infrastrutture, provvede alla costruzione di una solida fondazione sopra la quale un coerente, sicuro e funzionale network può essere mantenuto e aggiornato. Queste ancore possono provvedere a memorizzare dati se queste infrastrutture mantengono la loro integrità.
Con una solida fondazione dell’ integrità delle infrastrutture, i dipartimenti IT, adesso, possono concentrarsi su più affari produttivi.
STRATEGIA DI SICUREZZA STRUTTURATA
Molte delle attenzioni della sicurezza di computer si basa sulle minacce da sorgenti esterne.
Strumenti come i Firewall e le difese del perimetro sono fondate per negare l’ingresso al network a utenti non autorizzati. Uno sguardo attento sulla vulnerabilità assicura che il perimetro non si possa “rompere”. Gli amministratori di sistema assicurano il controllo sul traffico di network, sulla anomalie e sulle attività inusuali.
Questo scritto andrà a descrivere gli elementi da considerare per implementare una comprensiva strategia di sicurezza, ed andrà a spiegare il perché della sua incompletezza se non si assume l’integrità dei dati come parametro fondamentale.
L’Approccio di Sicurezza Strutturata
Una strategia di sicurezza completa dovrebbe essere stratificata.
Per esempio, andando a chiudere a chiave le porte e le finestre di una casa e attivando gli allarmi si va a creare una situazione di sicurezza; ma se accidentalmente vi è un “buco” nel muro, serrature ed allarmi da soli non proteggeranno adeguatamente la casa.
Un approccio strutturato alla sicurezza includerà una protezione maggiore da assalitori esterni, da rotture interne e da ogni generica forma di disavventura.
Le strategie di sicurezza strutturata contengono tutti, o quantomeno la maggior parte dei seguenti articoli:
· Politica di Sicurezza;· Piano di risposta all’incidente;· Sicurezza dell’Host;· Auditing;· Sistemi di rilevamento degli intrusi;· Sicurezza dei Router;· Firewall;· Accertamento di vulnerabilità;
Rischi all’interno del Perimetro
A causa delle complessità di IT, il software sta diventando sempre più difficile da conoscere.
Alcuni network con un collegamento ad Internet sono per difetto una rete aperta. Una imponente istituzione finanziaria articolò in questo modo:” La difesa del perimetro basata sul Firewall è ancora importante, ma sono necessari sistemi di sicurezza più sofisticati perché non si può sapere a priori dove si trova il perimetro in ogni momento.”
Il “moto di integrità” si riferisce ad un altro tipo di rischio che insidia l’integrità dei dati. Esso descrive quei movimenti lontani dallo stato desiderato. Tale “Integrity drift” è il risultato di diversi fattori, inclusa la diversità di piattaforma, le applicazioni e le elaborazioni in ogni tipica organizzazione IT, e via dicendo.
Configurazione di Sicurezza fidata
Gli obiettivi decisivi in ogni strategia di sicurezza sono triplici:
1. Disponibilità ( di sistemi e dati per usi intenzionali ).
La disponibilità è un requisito inteso ad assicurare che il sistema lavori in maniera sicura e che il servizio sia negato ad utenti non autorizzati. Questo operare protegge da:
· Attentati accidentali o intenzionali;
· Tentativi di utilizzare il sistema per scopi non autorizzati;
2. Integrità ( di sistemi e dati ).
L’integrità ha due caratteristiche fondamentali:
· L’integrità dei dati – cioè quella proprietà secondo cui i dati non siano alterati in maniera non autorizzata;
· L’integrità di sistema – cioè la qualità che possiede il sistema quando si eseguono funzioni libere da manipolazioni non autorizzate;
3. Riservatezza ( di dati e informazioni di sistema )
La riservatezza è quel requisito che informazioni private o confidenziali devono non risultare “aperte” ad individui non autorizzati.
Minacce alla sicurezza e all’integrità
Schierare una soluzione di sicurezza strutturata aiuterà a proteggere organizzazioni da molti cambiamenti della sicurezza che esistono oggi. Il cambiamento della sicurezza si divide in diverse categorie:
Misconfigurazione del sistema: Una recente analisi indica che il 65% della vulnerabilità della sicurezza in una qualsiasi organizzazione sono il risultato della misconfigurazione del sistema;
Utenti interni: Minacce da utenti interni possono essere classificati come esperimenti maliziosi o avventati. Questo è un attacco consapevole e intenzionale all’infrastruttura di sistema per compromettere servizi o informazioni. Di 239 compagnie sondate dall’FBI nel Marzo del 2000, il 71% riporta accessi non autorizzati al sistema.
Minacce esterne: Una minore, ma forse potenzialmente più imbarazzante minaccia, arriva dall’esterno: virus, worms provocare notevoli problematiche.
Politica di Sicurezza: Una effettiva politica di sicurezza renderà effettivamente chiari i rischi. Furto: Un parametro spesso non considerato è semplicemente quello della sicurezza fisica. Tutti i computer ( ed i loro componenti ) sono passibili di furto. I furti conducono a perdita di informazioni di proprietà riservate.
Errore umano: questa forse è ancora la più larga forma di minaccia.
Integrità dei dati in una strategia di sicurezza stratificata
La fiducia nel network inizia con la certezza che si stia cominciando da un buon stato conosciuto.
In questa strada, il software Tripwire provvede alla fondazione per la sicurezza dei dati, ed assicura un sicuro, produttivo e stabile ambiente IT. Il software Tripwire rileva cambiamenti, accidentali o maliziosi, dall’esterno o dall’interno, ed è la sola strada che si possa conoscere che dia la certezza che i propri dati siano sicuri e che il proprio sistema rimanga non alterato.
Tripwire è utilizzato per: rilevazione di intrusi, accertamento dell’integrità dei file, rilevamento di danni.
Altre tecnologie di sicurezza
Esistono diverse tecnologie per la sicurezza dei dati che una compagnia può schierare per raggiungere differenti obiettivi.
Molte di queste tecnologie completano funzioni e oggetti di sicurezza e giocano un ruolo di determinante importanza in una strategia di sicurezza stratificata.
Firewall
Solitamente, lo scopo fondamentale di un firewall è quello di mantenere gli intrusi al di fuori del proprio network.
L’assicurazione dell’integrità dei dati del software Tripwire completa il Firewall come una strategia di sicurezza strutturata:
· Il software Tripwire rileverà gli intrusi, siano questi interni o esterni al sistema;
· Il Firewall non può proteggere da attacchi che arrivano dall’interno;
· Il software Tripwire può operare su diversi tipi di server andando ad esaminare tutti i cambiamenti;
· Il software Tripwire può essere usato per esaminare e rilevare i cambiamenti nel sistema;
· I firewall sono schierati per rilevare e proteggere da vulnerabilità sconosciute;
· Il software Tripwire rileverà cambiamenti basati sulle vulnerabilità conosciute e sconosciute.
Antivirus
Le compagnie antivirus hanno fatto della protezione contro i virus il metodo di difesa più conosciuto. Sicuramente, nessuna strategia di sicurezza strutturata può considerarsi completa senza di esso.
Per esempio, diversi virus cambiano o addirittura cancellano i valori del registro di Windows, che sarebbero impossibili da rilevare se un utente non li conoscesse. Ma con Tripwire for server, un utente può rilevare rapidamente e con esattezza quali registri d’ingresso sono stati cancellati o solo cambiati, e ricolloca soltanto questi file che sono stati “infetti”.
Conculsioni
Senza entrare troppo nell’innovazione tecnologica e cercando di evitare la citazione degli innumerevoli prodotti e software relativi alla sicurezza informatica, che si moltiplicano ed evolvono in tempi straordinariamente brevi. Abbiamo cercato di fornire una prima e fondamentale infarinatura delle tecniche, dei prodotti, e delle politiche fondamentali di sicurezza che in linea con gli argomenti trattati da questo libro virtuale, ma soprattutto con la filosofia sottostante alla materia cosi fluida e dinamica, non vuol essere né esaustiva né onnisapiente. Con l’obbiettivo di stimolare e trasmettere uno spirito critico e attento ai nuovi processi e sviluppi in materia.
Webgrafia sicurezza
www.infotec.it
www.liscom.it
www.privacy.it
www.bdp.it
bibliografia sicurezza
M. Morcellini La scuola della modernità. Franco Angeli
G. Bettini, S. Garassini, B. Gasparini, N. Vittadini 2001 I nuovi strumenti del comunicare. Bompiani, Milano.
S.Bentivegna politica e nuove tecnologie della comunicazione.2002 Editori Laterza
by Farhad Pezeshki | Mag 4, 2005 | Ricerca e-Learning
Learning object
Scambiare risorse educative con altri studenti e docenti,reperirle on-line o crearne di nuove è ormai possibile attraverso i learning objects (Oggetti Didattici per l’e-learning).
Come valorizzare la potenzialità di Internet in ambiente educativo e formativo?
Ricorrendo agli Oggetti Didattici (in inglese Learning Objects).
Che cos’è un Oggetto Didattico (OD)?
Reperire in Internet risorse educative di cui l’insegnante o lo studente possano servirsi per studiare, autoformarsi o insegnare non è cosa semplice, anche perché le pagine presenti nel web aumentano sempre di più e i motori di ricerca forniscono informazioni soltanto sulle pagine web più superficiali di un sito, tralasciando quelle che l’utente raggiungerebbe se approfondisse la navigazione.
La progettazione di un OD, invece, è mirata a superare tali ostacoli tecnici e documentari. Un Oggetto Didattico è un blocco di apprendimento autonomo, coerente, unitario e riusabile che risponde a un singolo determinato obiettivo di apprendimento/insegnamento.
Un Oggetto Didattico è come una molecola
Una metafora aiuterà a capire meglio. Un Oggetto Didattico viene spesso paragonato a una molecola. Così come questa è composta da atomi (fatti di elettroni, protoni, quark, eccetera), ogni singolo Oggetto è costituito da varie parti (foto, testo, suono, grafica). L’insegnante è, quindi, il chimico che conosce le formule e la materia, ossia le tecniche e i metodi d’insegnamento ed è esperto della propria disciplina. In sostanza è in grado di utilizzare uno o più Oggetti, scomporli e crearne di nuovi.
Combinando insieme Oggetti diversi si possono realizzare percorsi di apprendimento diversi. Un docente può creare un iter di apprendimento/insegnamento legando Oggetti nell’ordine che soddisfa specifici obiettivi didattici e che meglio si adatta agli stili cognitivi e di apprendimento degli specifici allievi cui si rivolge.
Gli Oggetti Didattici, per la loro natura modulare, semistrutturata e flessibile sono di enorme supporto alla didattica individualizzata e possono quindi essere utilizzati così come sono oppure scomposti e i singoli elementi utilizzati per costruirne di nuovi.
La riusabilità innanzitutto
Da un punto di vista tecnico, invece, un Oggetto Didattico è progettato in modo da essere riusabile e interoperabile tra sistemi di gestione dell’informazione/formazione online diversi e su piattaforme diverse di e-learning. Ciò equivale a un notevole risparmio sia di tempo sia di denaro nello sviluppo di quasi ogni genere di corsi o risorse: gli OD possono coadiuvare il docente nella strutturazione del corso in presenza di alunni in classe oppure essere fruiti a distanza da solitari e autonomi corsisti (Lifelong Learning).
Unità d’informazione strutturata racchiusa in un oggetto
I tratti salienti di un Oggetto Didattico sono sostanzialmente intrinseci nelle due parole: ‘Learning’, comprende ovviamente la finalità ultima, ovvero costituire una unità d’informazione strutturata in modo tale che il fruitore, al termine della lettura/uso dell’Oggetto, abbia acquisito competenze, fatto esperienze, accresciuto il proprio bagaglio culturale; ‘Object’, l’utilizzo di tale termine è ereditato dal settore informatico e dalla sua Programmazione a Oggetti, disciplina dalla quale vengono mutuati anche altri termini come incapsulamento, classificazione, polimorfismo, ereditarietà, riuso.
Il primo tra questi è l’incapsulamento: un oggetto è una unità chiusa con uno strato esterno e un nocciolo interno. Il nocciolo interno è l’unità didattica. Lo strato esterno è invece non solo la descrizione sintetica del contenuto ma anche la descrizione del comportamento dell’Oggetto, ovvero chi l’ha fatto e ne ha il copyright, quali sono i requisiti tecnici che richiede, per quali utenti è previsto, quali competenze si acquisiscono al termine della fruizione. Tutte queste informazioni descrittive dell’oggetto sono detti metadati, dati informativi sui dati, e sono contenuti in una scheda di documentazione standardizzata
Il manifesto dei metadati
Tra i metadati degli OD vi sono ovviamente classificazioni secondo la disciplina, il formato, le dimensioni, oppure le finalità didattiche in cui ogni OD può essere meglio utilizzato, vale a dire per chi e quando; infine ogni OD dichiara nei propri metadata la graduatoria di facilità d’utilizzo. Tutte aggettivazioni e qualità descrittive dell’OD che ne costituiscono il manifesto esterno e leggibile da tutti e che hanno lo scopo di facilitare sia l’uso sia il riuso degli OD. Secondo le specifiche SCORM (Sharable Content Object Reference Model) versione 1.3, la scheda con i suddetti metadati deve essere codificata in linguaggio XML.
Un esempio di Oggetto Didattico, tratto da un repertorio di oggetti didattici canadese, CAREO (Campus Alberta Repository of Educational Objects), che attualmente ha 3.665 oggetti didattici, può aiutare a capire. L’oggetto (in inglese) si intitola “Chi ha ucciso William Robinson?”. Partendo da un fatto di cronaca, ovvero la discussa condanna a morte di un indigeno per l’omicidio di un nero americano in British Colombia nel 1868, l’Oggetto stimola l’alunno a ricostruire i fatti e offre una panoramica storica del tempo, con materiale vario, archivi dell’epoca, e molto altro.
La scheda metadata è allegata all’Oggetto e ne riporta le informazioni salienti: titolo, descrizione, data di creazione, autore, numero di accessi all’Oggetto ecc. L’Oggetto Didattico è molto articolato e, oltre a contenere un percorso molto ampio e strutturato, offre una guida all’uso per l’insegnante.
Un repertorio americano, invece, ESCOT (Educational Software Components of Tomorrow), mette a disposizione i cosiddetti assets (componenti minimi, gli ‘atomi’ di un OD) in modo che studenti e insegnanti ne possano usufruire per creare altri OD personalizzati. Il contributo degli insegnanti alla costruzione di questi assets è rilevante.
Un altrorepertorio americano, the Gateway to Educational Materials, sponsorizzato dall’US Department of Education, contiene 32.406 Oggetti Didattici. Anche in questo caso, l’oggetto didattico, indirizzato agli insegnanti di scuola secondaria è strutturato come una traccia per una lezione di biologia ed è corredato della relativa scheda metadata che lo documenta. Sempre in ambito americano, un altro repertorio, il Wisconsin Online Resource Centre, fornisce un altro esempio di oggetto didattico. In questo caso di tratta di una unità didattica sull’isola di Est Timor, contenente anche test di valutazione sui contenuti presentati. Il sito offre, inoltre, materiale esplicativo e consigli per gli insegnanti su come e perché utilizzare gli OD in classe. D’utilità anche la carta d’identità degli OD che offre un quadro dei loro ‘segni particolari….
In Europa intanto…
La panoramica, peraltro parziale, offerta sullo stato dell’arte americano e canadese è piuttosto promettente. Per quanto riguarda l’Europa, invece, si registra una certa lentezza, anche se sono molte le iniziative e le occasioni di discussione teorica. Il progetto internazionale “Celebrate” cerca di stabilire uno standard condiviso e una interoperabilità, oltre che a livello tecnico, a livello linguistico, date le molteplici lingue dell’Unione. Per esempio, il linguaggio di indicizzazione degli Oggetti Didattici è costituito dal Thesaurus ELR (vedi Il thesaurus ELR: pubblicata una nuova versione linguistica) mentre i campi della scheda metadata devono essere tradotti in una lingua di servizio condivisa dai partner, in questo caso l’inglese. Se possibile, l’Oggetto Didattico dovrà essere fornito nella lingua originale e in inglese.
Le opinioni dei teorici
Da un punto di vista teorico, la comunità educativa internazionale non è concorde sulla granularità (cioè sull’estensione) di un OD: per esempio, per alcuni un asset si configura come un Oggetto Didattico vero e proprio, per altri è solo un atomo e non ancora una molecola (Oggetto). Altro problema è la cornice pedagogica di riferimento di un Oggetto Didattico. Il paradigma di riferimento è generalmente il Costruttivismo, per cui l’apprendimento deve essere – e può avvenire solo se è – significativo per il discente, deve prevedere modalità di apprendimento per scoperta ovvero di learning by doing, deve avere un forte grado di interattività e la possibilità di fruire di percorsi individualizzati.
Altro nodo è l’esplicitazione di tali presupposti pedagogici, il modo in cui essi vadano comunicati e se sia veramente possibile parlare di ‘riuso’, prefigurabile, secondo alcuni, solo per gli Oggetti più atomici – gli asset, decontestualizzati e quindi “transituazionalizzati”.
Bibliografia
M. Morcellini La scuola della modernità. Franco Angeli
A. Calvani Manuale di tecnologie dell’educazione. ETS
G. Bettini, S. Garassini, B. Gasparini, N. Vittadini 2001 I nuovi strumenti del comunicare. Bompiani, Milano
Webgrafia
www.puntoeduft.indire.it
Object-oriented software design
Nell’imparare a distanza è più difficile insegnare le nozioni che i fatti. Ciò è particolarmente vero per l’insegnamento dell’analisi e il disegno del software object oriented, il quale è effettuato normalmente come un’attività di gruppo “asincronizzato”, cioè in tempi diversi tramite apprendimento a distanza con un software object oriented.
L’attività sincrona insidia uno dei benefici potenziali di imparare a distanza: la capacità di imparare in un dato tempo e luogo che è conveniente al principiante.
Il metodo object-oriented permette la pratica asincrona usando il metodo di CRC-card. Il metodo di CRC-card richiede ai gruppi di progettisti di mettersi nei panni di coloro che utilizzeranno i componenti del“disegno orientato”. Il metodo è inteso come un precursore al disegno di collaborazione in Internet.
Visto che più università si muovono per offrire corsi a distanza, è necessario fare attente considerazioni su come facilitare l’apprendimento, che è concentrato intorno alle abilità ed alla pratica di gruppo, piuttosto che a quella individuale.
Nell’imparare a distanza è più difficile, come dicevamo, insegnare le nozioni piuttosto che i fatti.
I fatti possono facilmente essere desunti via Internet o da altri materiali. L’acquisizione di abilità richiedono una certa pratica, e questa pratica deve essere controllata e corretta da un feed-back puntuale.
Le attività di gruppo sono difficili da controllare a distanza, e qualsiasi necessità
di attività sincrona insidia uno dei benefici principali dell’imparare a distanza, ovvero la capacità di imparare nel momento e nella località che è conveniente al principiante.
Il problema della progettazione di un corso a distanza è stato affrontato da molte università, tra cui quella della della Florida [1]che ha preso parte ad un’iniziativa di insegnamento a distanza che permette a chiunque di ottenere una laurea tramite l’insegnamento remoto, utilizzando un software object oriented..
Gli allievi che seguono tale programma guadagnano
gli stessi crediti e gradi di corso di quegli allievi
che completano i corsi ed i programmi effettuati direttamente nella città
universitaria.
È quindi necessario che l’esperienza di apprendimento sia
equivalente a quella di un corso centralizzato.
Per garantire tale equivalenza gli standard di insegnamento remoto prevedono alcune regole.
In primo luogo,ogni allievo è sotto il controllo di un mentor locale, che fornisce il supporto e le risposte sulle valutazioni.
In secondo luogo, una ricca e grande varietà di materiali didattici deve essere fornita tramite l’utilizzo di una tecnologia avanzata.
Per i corsi object-oriented, si è voluto che non si spiegasse solamente la teoria, ma anche i metodi di analisi e del disegno, dando agli allievi un’esperienza pratica su
problemi reali. Inoltre si è scelto che gli studenti, dovevano essere introdotti ai più
moderni software.
Molti corsi di informatica infatti, tendono a mettere a focalizzarsi puramente sulla tecnologia e a dare agli allievi l’impressione che generare il codice sarà la loro
preoccupazione primaria . Quando gli allievi si laureano, scoprono che la maggior parte del loro tempo è presenziare alle riunioni, comunicando con clienti e fare
presentazioni[2].
La soluzione che è stata adottata per ovviare a questo problema è stata di usare una simulazione, per introdurre un metodo, seguito dall’uso di attrezzi Internet-based creati su misura per il gruppo asincrono. Come dichiarato da Tinzman[3] ed altri, “imparare tramite la collaborazione procura enormi vantaggi agli allievi che non
Dispongono di un’ istruzione più tradizionale perché un gruppo può imparare a risolvere problemi meglio che un solo individuo “.
Esiste una preoccupazione sul fatto che il gruppo di studio a distanza abbia un minor rendimento confrontato a quello degli allievi”tradizionali”.
Esistono prove però che lo studio a distanza tramite programmazione object oriented possa essere allo stesso livello dello studio di classe[4].
In uno studio sull’uso del calcolatore come mezzo di insegnamento è risultato che il gruppo che impara tramite insegnamento remoto tende a parlare di meno, ma le sue discussioni hanno mostrato un rapporto pensante critico significativamente
più profondo[5]. Ciò probabilmente è collegato con il fatto che tali allievi possono meglio pensare alle loro risposte, essendo esenti dalle distrazioni che si presentano in un faccia a faccia in un’aula.
Metodo Della Scheda di Crc
Il metodo della scheda di
Classe-Responsabilità-Collaborazione (CRC)
ha come obiettivo di facilitare il pensiero nello sviluppo del software object-oriented. Nello sviluppo object-oriented una preoccupazione primaria è quella di identificare le classi di oggetti all’interno di un dominio e delle interazioni che accadono fra quelle categorie. Il metodo fa sì che un gruppo di sviluppatori si metta nei panni dello studente virtuale e analizzi gli oggetti e le loro interazioni, con lo scopo di sviluppare un buon modello object-oriented.
On-line collaboration usando la tecnica CRC
Avendo completato l’esercitazione di simulazione e sviluppata una certa comprensione del metodo e di come si esercita , è importante che gli allievi guadagnino un’esperienza pratica di funzionamento con altri allievi. Per questa parte dell’insegnamento ogni allievo sarà assegnato ad un piccolo gruppo che lavora ad un problema di disegno. Condurrà una sessione via Internet usando un sistema Web-based system. Ogni gruppo di allievi avrà loro propria Web board. Dovranno generare dei messaggi ed inviarli per consentire a ciascuno del gruppo di vederli. Una sessione di CRC-card allora comincerà con le discussioni che sono effettuate in modo asincrono. Hand ed altri descrivono ricerche su prototipi che forniscono una base per sviluppare un tool Internet based di sostegno nelle CRC-Cards. In questo lavoro, la ricerca inizialmente è stata effettuata usando i sistemi di text-messaging. È stato concluso che l’uso di un’interfaccia utente grafica era necessario per ridurre il carico cognitivo degli utenti che facevano questa operazione.
Concludendo, i corsi object-oriented per imparare a distanza stanno diventando sempre più popolari in molte università, ma sempre nuove soluzioni sono necessarie per fornire una buona esperienza pratica per gli allievi che non hanno la possibilità di assistere ai corsi in classe.
Bibliografia
1. “Supported Distance Learning from Florida State
University”. March, 1999.
http://connected2.fsu.edu/2+2/
2. Wilhelmsen, S., Åsmul, S., Meistad, Ø.,
“Psychological Theories; A brief survey of the
changing views of learning: Constructivism”. July,
1998.
http://www.uib.no/People/sinia/CSCL/web_struktur
-836.htm
3. Tinzmann, M.B., Jones, T.F., Fennimore, J.,
Bakker, C., Pierce, J. “What is the Collaborative
Classroom”. 1990.
http://www.ncrel.org/sdrs/areas/rpl_esys/collab.htm
4. Forman, E.A., Cazden, C.B., “Exploring
Vygotskian perspectives in education: The
cognitive value of peer interaction. In J.V. Wertsh
(Ed.), Culture,Communication and Cognition:
Vygotskian Perspectives. New York: Cambridge
University Press.
5. Newman, D. R., Johnson, C, Cochrane C, and
Webb, B. “An experiment in group learning
technology: evaluating critical thinking in face-toface
and computer-supported seminars”
Criteri d’accessibilità
web per i disabili
Particolare attenzione è stata rivolta recentemente all’accessibilità dei disabili ai siti Web della Pubblica Amministrazione. L’AIPA, attraverso il Gruppo di Lavoro sull’Accessibilità e Tecnologie Informatiche nella Pubblica Amministrazione, ha prodotto una prima bozza di normativa, che va nella direzione di adottare integralmente le raccomandazioni emesse in materia dal World Wide Web Consortium (W3C).
In generale i siti progettati attualmente utilizzano stili di presentazione altamente interattivi e a forte contenuto multimediale. Questi siti sono cioè progettati per utenti che non hanno limiti fisici, e dunque sono in grado di interagire attraverso dispositivi che richiedono movimenti manuali fini, né hanno limiti sensoriali, e dunque privilegiano presentazioni di tipo multimediale.
Per valutare il livello di accessibilità di un sito già realizzato possono essere utilizzati appositi strumenti software che consentono di verificare automaticamente il rispetto delle condizioni basilari dell’accessibilità. Questa attività permette di correggere errori nella progettazione e nello stile di presentazione e riguadagnare a posteriori la piena accessibilità del sito.
Accessibilità è una parola relativamente nuova che è comparsa solo da alcuni anni nel web. L’idea è: rendere universale l’accesso a internet. L’obiettivo è di eliminare o almeno abbassare tutte le barriere che impediscono, ancora oggi, a milioni di persone di accedere a questo strumento: le persone con disabilità di qualsiasi natura ed entità, e gli utenti con versioni molto vecchie di web browser.
Il Consiglio dei Ministri ha approvato in via definitiva il decreto presidenziale concernente il Regolamento di attuazione della Legge n. 4 del 2004, volta a favorire l’accesso dei soggetti disabili agli strumenti informatici il DPR chiarisce e norma i criteri e i principi operativi ed organizzativi in merito all’accessibilità, definendo le modalità della valutazione, i criteri per l’eventuale partecipazione del richiedente ai costi dell’operazione, il logo da utilizzare per chi è in possesso dei requisiti, le modalità con cui può essere verificato il permanere del requisito.
Il Regolamento definisce i seguenti aspetti:
la distinzione tra verifica tecnica dell’accessibilità e verifica soggettiva; il rilascio del logo che qualifica l’accessibilità dei siti e del materiale informatico; le verifiche che CNIPA svolge sui soggetti pubblici e privati sul mantenimento dei requisiti.
Il corretto uso di tecnologie e ausili può oggi contribuire in maniera determinante all’autonomia di queste persone, favorendone la partecipazione sociale, l’accesso alla cultura e alle attività ricreative, l’integrazione lavorativa e l’indipendenza economica.
La scuola e l’università sono istituzioni che coinvolgono, a diverso titolo e in maniera trasversale, ampie fasce della società (studenti, genitori, insegnanti, aziende fornitrici di ausili e tecnologie). Per questo motivo deve affrontare il problema dell’accessibilità con pragmatismo e nel rispetto dei principi ispiratori.
Gli obbiettivi di questa sezione sono quelli di :
informare sui principali strumenti e tecniche dell’accessibilità; definire le basi per l’analisi dei siti web, fornendo consigli e suggerimenti personalizzati.
Si segnalano come risorse fondamentali il Progetto Porte Aperte sul Web dell’Ufficio Regionale per la Lombardia – MIUR e Fondazione ASPHI onlus.
Comprendere direttamente come un cieco o un ipovedente percepiscono lo schermo è la cosa più utile per poter pensare e trovare soluzioni per l’accessibilità di un sito web.
COME SI REALIZZA UN SITO WEB ACCESSIBILE
-POCHE, SEMPLICI, FONDAMENTALI REGOLE PRATICHE-
· Separare Contenuto, Struttura Presentazione
· I fogli di stile
· Testo alternativo
· Specificare la lingua
Non è nostra intenzione elencare tutte le regole che bisogna seguire per fare un sito perfettamente accessibile. Ci limiteremo a spiegarne solo alcune. La selezione è stata fatta con un occhio alle linee guida WAI e con l’altro agli errori più comuni che abbiamo trovato nei siti web scolastici.
L’obiettivo che ci prefiggiamo è di far diventare accessibili i siti, attraverso alcune semplici modifiche.
Non è richiesta alcuna conoscenza specifica o tecnologica particolare, solo alcune elementari nozioni di html.
SEPARARE CONTENUTO, STRUTTURA E PRESENTAZIONE
Uno dei princìpi generali più importanti dell’accessibilità recita che bisogna sforzarsi di separare i contenuti dalla struttura e dalla presentazione. Cosa vuol dire esattamente?
Il contenuto sono le parole, le immagini ecc.
La struttura è la gerarchia che esiste tra gli elementi all’interno della pagina
La presentazione si riferisce allo stile con cui il documento è visualizzato
Ipotizziamo di voler realizzare una pagina web contenente il testo della Divina Commedia. Abbiamo la necessità che essa venga visualizzata nel seguente modo che stabilisce una gerarchia tra le sue varie parti (titolo dell’opera, nome del libro, canto ecc).
-inizio dell’esempio-
La Divina Commedia
Inferno
Canto 1
Nel mezzo del cammin di nostra vita
mi ritrovai per una selva oscura,
ché la diritta via era smarrita….
Canto 2
……….
-fine dell’esempio-
I FOGLI DI STILE
Un modo più efficace degli headers per separare il contenuto dalla presentazione è quello di usare i fogli di stile. Pochissimi siti li usano. Eppure sono uno strumento facile, flessibile e soprattutto una tappa obbligata per conseguire il livello minimo di accessibilità.
Vediamo brevemente cosa sono.
I fogli di stile sono file esterni alle pagine create, in cui sono raggruppati tutti gli elementi che permettono di definire lo stile di tutte le pagine. Tornando al nostro esempio, sarà necessario avere due file distinti: uno che contiene il codice html (colonna centrale) e un altro che è il foglio di stile.
Cosa c’è nella pagina html?
Nel tag head bisogna richiamare il foglio di stile.
Inoltre ogni elemento del body contiene il riferimento ad un determinato tag oppure ad una determinata classe, cioè una tipologia di carattere .
Cosa c’è nel foglio di stile?
C’è la descrizione delle caratteristiche dello stile di ogni tag e di ogni classe.
In questo modo, possiamo dire di isolare il contenuto che è nella pagina html, dalla presentazione che è nel foglio di stile
Esempio di visualizzazione di pagina html con relativo codice e foglio di stile
visualizzazione La pagina html (il solo contenuto) e l’associazione al foglio di stile Il foglio di stile associato e denominato stiledante.css (la sola presentazione)
Come puoi notare nel foglio di stile viene specificata la formattazione del tag e di 3 classi a cui sono stati assegnati i nomi di “principale”, “libro” e “canto”. Le differenze tra di loro sono minime, solo il tipo di font-family o il font-size.
In pratica il foglio di stile raggruppa tutte le caratteristiche di formattazione che dovranno avere le varie parti di una pagina web.
Questo è un esempio molto semplice di uso di un foglio di stile. Uno strumento molto usato nel web e indispensabile per la realizzazione di siti accessibili.
Infatti associando una stessa pagina html a fogli di stile differenti è possibile ottenere delle visualizzazioni differenti.
L’esempio che abbiamo fatto è di foglio di stile cosiddetto “esterno” perchè esso è staccato dal codice html della pagina. E’ anche possibile fare fogli di stile “interni” alla pagina. Essi sono collocati all’interno del tage gli stili definiti vengono applicati solo a quella pagina. TESTO ALTERNATIVO Questo è uno dei punti più caldi in assoluto! Il WAI lo mette al primo posto e anche noi abbiamo visto che è il vero tallone d’Achille dei siti scolastici. Abbiamo detto che la nostra pagina web deve prevedere la possibilità di essere letta dai Browser vocali . Fin quando incontrano testo, nessun problema! Ma quando si trovano di fronte ad una immagine non accessibile cosa fanno? Semplicemente non la leggono, la saltano. Ecco perchè bisogna fornire equivalenti testuali al contenuto dell’immagine. Tecnicamente, si deve inserire nel codice una descrizione alternativa appositamente progettata e indicata. essa non può essere in alcun modo compresa da un non vedente. Il contenuto dell’immagine non può essere trasmesso. Il codice non contiene informazioni inerenti l’immagine che il browser vocale possa trasmettere. Ecco perchè e’ necessario quindi, fornire un equivalente testuale di descrizione. Questa funzione viene assolta da un attributo specifico del tag img. Questo attributo importantissimo è chiamato descrizione alternativa, quello che si chiama comunemente “alt”.Più che la descrizione dell’immagine, è più corretto dire che bisogna descrivere la funzione a cui l’immagine assolve. Così se ha solo funzione grafica, l’alt corretto sarà ad esempio “Logo Pincopallino”. Se invece l’immagine ha anche funzione di link alla home page allora l’alt corretto sarà “Logo. Collegamento alla Home Page”. SPECIFICARE LA LINGUA NATURALE DEL TESTO Quindi un sito per poter essere definito accessibile deve poter essere letto dai cosiddetti Browser vocali. Questi dispositivi creano una voce sintetica, hanno quindi bisogno di sapere la lingua del documento. Ecco perchè bisogna modificare il tag che trovi in cima alla pagina, aggiungendo una indicazione della lingua. Nel caso in cui, il tuo testo contenga dei cambi di linguaggio, li devi segnalare ogni volta. Poniamo il caso di un documento scritto in italiano che contenga dei termini inglesi. In tal caso si deve inserire in cima alla pagina l’indicazione che la lingua prevalente è l’italiano, come suesposto, poi, in corrispondenza di ogni termine in lingua diversa dall’italiano, ne devi specifcare la lingua. In questo modo, il browser vocale, rispetterà il cambio di pronuncia in corrispondenza di ognuna delle parole straniere contenute nel testo Per superare un test d’accessibilità il Requisito numero1 è: Realizzare le pagine e gli oggetti al loro interno utilizzando tecnologie definite da grammatiche formali pubblicate, nelle versioni più recenti disponibili quando sono supportate dai programmi utente. Utilizzare elementi ed attributi in modo conforme alle specifiche, rispettandone l’aspetto semantico. Cercheremo di riassumere ora un piccolo elenco di consigli su come migliorare l’accessibilità dei siti internet. LE IMMAGINI E I LINK Tutte le immagini devono avere sempre la descrizione alternativa.I link, soprattutto se conducono a pagine esterne al vostro sito devono avere all’interno del tag I CONTENUT Dividete i contenuti che riguardano i servizi dal resto. E’ difficile fare un sito che sia interamente accessibile. E’ impossibile che pagine fatte dagli studenti e che volete pubblicare lo siano. Cercate però di garantire sempre l’accessibilità delle pagine che assolvono a funzione di servizio. Basta un’home page, una di descrizione della scuola e una per i servizi al pubblico, con le comunicazioni più importanti, ad esempio. Se proprio non è possibile, fate in modo che le pagine di servizio non accessibili, dispongano di una seconda versione accessibile a cui l’utente può accedere. I suoni e le animazioni collegati alle pagine sono il punto più critico dell’accessibilità! Non usateli: soprattutto nella home page! O almeno lasciate all’utente la possibilità di escluderli . Pensate che ogni volta che l’utente visita il vostro sito si deve sentire la musica di sottofondo o assistere all’animazione. Se inoltre è disabile e visita la pagina con un browser vocale, sarà totalmente ostacolato nella navigazione. LE TABELLE Usatele il meno possibile. Sappiate che dovrebbero essere usate solo per contenere dati e non per impaginare la vostra pagina web, però se vengono usate con cura possono anche essere utilizzate come contenitore degli oggetti della vostra pagina. Vediamo come. Tabelle di dati Le tabelle che contengono i dati, per essere accessibili devono contenere: la descrizione della tabella (il CAPTION) che comparirà come didascalia della stessa; un riassunto del contenuto della tabella (il SUMMARY) che non verrà visualizzato ma solo letto dal browser vocale; l’intestazione delle colonne (gli HEADERS). I tag e i loro usi sono illustrati nell’esempio seguente. Di seguito trovi anche il codice html corrispondente (l’esempio è preso direttamente da un documento WAI) Esempio di tabella dati accessibile (visualizzazione) Esempio di tabella dati accessibile (codice html associato) summary=”Questa tabella mostra il numero di tazze di caffè bevute da ogni senatore, il tipo di caffè e la presenza di zucchero”>
Tazze di caffe consumate dai senatori
…..
In questo modo, un browser vocale leggerà la tabella in questo modo:
Caption: Tazze di caffè consumate dai senatori.
Summary: Questa tabella mostra il numero di tazze di caffè bevute da ogni senatore, il tipo di caffè e la presenza di zucchero…
Tabelle per la struttura della pagina (chiamate anche tabelle di layout)
E’ possibile usare le tabelle per contenere oggetti anzichè dati, senza per questo peggiorare l’accessibilità della pagina. E’ comunque necessario adottare alcuni accorgimenti.
Non si deve assolutamente costruire tutta la pagina con un’unica tabella. Alcuni dei siti analizzati contengono pagine che sono composte da un’unica tabella contenente all’interno altre piccole tabelle e ogni casella contiene immagini, testo, gif animate eccetera. Questo è un uso assolutamente non accessible.E’ invece accessibile usare anche diverse tabelle di layout nella stessa pagina, purchè staccate fra loro. Questo migliorerà anche il tempo di caricamento della pagina, dal momento che il browser visualizza solo quelle tabelle di cui ha completato il caricamento. Fate in modo che i contenuti di una stessa tabella siano omogenei, riguardino cioè lo stesso argomento. I contenuti della tabella devono esser disposti in modo che abbiano senso qualora vengano letti in maniera linearizzata per colonne o per righe.
I FRAME
Sono uno strumento usatissimo nella costruzione dei siti. Purtroppo sono anche la principale causa che ne compromette l’accessibilità. Vanno usati il meno possibile. Rendere accessibili delle pagine con i frame spesso risulta più complicato di crearne delle copie prive di frame. Se proprio non potete farne a meno, ecco le regole elementari da seguire per contenere i danni all’accessibilità del vostro sito scolastico…
Il frameset e tutte le pagine che lo compongono devono avere l’attributo “title” che aiuti il navigatore nella navigazione.
Inserite sempre il tag “noframe” che segnala ai browser che non possono visualizzare i frame (vecchi o incompatibili) come comportarsi.
Potete inserire un testo oppure direttamente un a:href ad una pagina senza frame. In questo caso ricordatevi di associarvi il tag title di descrizione del link.
Le pagine che formano il frameset devono essere pagine html. All’interno, poi, eventualmente metteteci le immagini (con l’alt). Nessun frame deve far riferimento diretto ad una immagine (in pratica non usare mai src=”*.gif”).
CHI RIGUARDA L’ACCESSIBILITÀ
-CHI SONO I SOGGETTI COINVOLTI-
Gli utenti; I mediatori; I fornitori
L’accessibilità è un argomento che coinvolge l’intera società. Le persone con differenti abilità sono le prime che dovrebbero giudicare se essa merita l’appellativo, di “società civile”. Se è vero che Internet, è da alcuni anni, una delle sue dimensioni, è altrettanto vero che la rete deve dimostrare di riuscire a raggiungere tutte le persone indipendentemente dalle loro abilità. E’ una sfida che riguarda tutti, ma è particolarmente sentita per i cosiddetti servizi a carattere pubblico a cui la scuola appartiene a tutti gli effetti.
La tecnologia che ha permesso la nascita di internet ha prodotto anche moltissimi strumenti utili perchè sia accessibile. Alcuni di questi sono sofisticatisssimi, ma quelli che permettono di raggiungere il livello minimo di accessibilità di un sito sono tutti, quasi banali. Sta unicamente al progettatore, amministratore e sviluppatore di sito avere la sensibilità necessaria per applicarli. Dimostrando, così di capire che quello che sta realizzando è, (e deve essere) prima di tutto un servizio per tutti.
In questa sezione cercheremo di parlare dei soggetti coinvolti nello sviluppo e applicazione dell’accessibilità.
GLI UTENTI. Le persone con differenti abilità
Il loro inserimento sociale è influenzato anche dalle possibilità d’utilizzo delle nuove tecnologie e della rete. Allo stato attuale, tuttavia, sono pochi gli esempi di siti progettati e realizzati secondo criteri che ne permettano l’accesso anche a utenti con differenti abilità.
Il problema dell’accessibilità dei siti web è molto attuale e sentito in tutta la rete, dal momento che coinvolge anche una categoria di utenti molto seguita dagli studiosi di marketing: gli anziani.
I MEDIATORI. Il mercato tecnologico
L’accessibilità non riguarda solo il mondo delle persone differentemente abili ma è un settore molto importante per altri motivi. Possiamo prendere come esempio l’interfaccia vocale del navigatore satellitare attualmente in dotazione a molte autovetture, oppure il sistema informativo ferroviario oppure ancora il centro di customer service di un operatore telefonico. Il dispositivo di sintesi vocale presente in tutti questi sistemi (denominato IVR Interactive Voice Response ) è un diretto discendente di alcuni ausili tecnologici inizialmente progettati e sviluppati per utenti con deficit visivi.
Questo è forse l’esempio più eclatante di come la ricerca tecnologica nel campo dell’accessibilità possa sviluppare sistemi sfruttabili anche da un punto di vista commerciale.
I FORNITORI. L’amministratore di sito web
L’analisi dei siti rivela una certa propensione all’inserire molti elementi grafici con l’intento di rendere piacevole l’aspetto del sito. L’idea è sicuramente meritevole, peccato però che molti di questi segni grafici (gif animate, animazioni flash ecc), oltre a richiedere, spesso, molto lavoro per realizzarle, compromettono in maniera irreversibile l’accessibilità di tutto il sito. La domanda sorge, quindi spontanea: perchè spendere 3 giorni di tempo per creare una animazione in flash per “infiocchettare” il sito quando si potrebbe nello stesso tempo e con una progettazione più semplice migliorarne la funzione di servizio a carattere pubblico? Lasciamo a voi l’immaginazione delle possibili ipotesi.