Il lupo e i sette capretti: la sicurezza informatica nelle fiabe

23 Set 2019

I nostri antenati forse non avevano i computer, ma sapevano certamente una o due cosette sulla sicurezza dei bambini. Abbiamo già usato Cappuccetto Rosso come guida per spiegare gli attacchi Man-in-the-Middle, gli handshake e il phishing. Ora parliamo dell’autenticazione a due fattori (2FA) e della sicurezza biometrica. Questa volta, però, useremo una fiaba meno conosciuta, Il lupo e i sette capretti.

Il lupo e i sette capretti

Il concetto di autenticazione è chiaramente illustrato nella fiaba  Il lupo e i sette capretti. Per chi non conoscesse la fiaba, si tratta di una famiglia di capre composta da una madre e sette cuccioli. Quando la madre esce a procurarsi del cibo, dice ai suoi figli di non far entrare il lupo (che li mangerà) e insegna loro a riconoscere le differenze nelle loro voci e nel colore della pelliccia. Mamma capra va via e il lupo bussa alla porta. Apprendendo dai cuccioli che la sua voce è troppo rauca, la altera per ingannarli e far credere di essere la loro madre. I capretti ricordano quindi di guardare sotto la porta e vedono le zampe scure e pelose del lupo. Ancora una volta si rifiutano di farlo entrare. Il lupo camuffa le zampe , spolverandole di farina per farle sembrare bianche come quelle di mamma capra. Alla fine, le caprette vengono convinte (e mangiate). Questo video racconta l’intera storia:

Ora, i criminali informatici non tendono a mangiare le loro vittime, quindi siamo interessati alla prima parte, dove il lupo cerca di entrare in casa della famiglia di capre. Diamo uno sguardo passo dopo passo a ciò che sta realmente accadendo.

  1. Mamma capra va nella foresta dopo aver avvertito i suoi figli di non aprire la porta a estranei;
  2. Il lupo si avvicina alla casa, dice di essere mamma capra e chiede di entrare. I capretti notano subito che la voce del lupo non è quella della loro madre e non aprono la porta.

Questa parte ricorda un sistema di riconoscimenti biometrico. Anche se il lupo ha appreso cosa dire (la passphrase), conoscere le parole giuste non è sufficiente. In questo caso, per entrare nella casa delle capre, l'”utente” deve passare il riconoscimento vocale. Questo è il secondo fattore.

  1. Il lupo altera la sua voce per ottenere un suono più dolce (i metodi che usa variano a seconda del narratore). Dopo averlo fatto, supera con successo il controllo del riconoscimento vocale. I capretti però si rifiutano di nuovo di farlo entrare, perché vedono la zampa di un lupo grigio sotto la porta.

In altre parole, per entrare in casa, conoscere la password non è abbastanza, e anche passare il controllo vocale servirà a poco, perché è necessario avere la giusta impronta digitale zampa. Questo è essenzialmente un altro fattore biometrico. Anche se qualcuno riesce a imitare la voce del proprietario di casa, potrà entrare solo quell’utente che dimostri di farsi riconoscere in un altro modo.

  1. Il lupo copre le zampe con la farina e cerca di nuovo di entrare, questa volta riuscendoci.

Questo è un buon esempio di un trucco dei criminali informatici per bypassare l’autenticazione a più fattori. Qui, la voce e i dati biometrici della zampa sono falsificati. Tali scenari sono abbastanza realistici e vengono utilizzati dagli scammer nel mondo reale. Questa fiaba non solo aiuta a spiegare ai bambini che cos’è l’autenticazione a più fattori, ma dimostra anche che la sicurezza biometrica non è così affidabile come potrebbe sembrare.

Fiabe di cybersicurezza per bambini

Come potete vedere, le fiabe possono essere un’ottima guida di sicurezza informatica per il vostro bambino, basta creare l’analogia corretta e non saranno necessari lunghe spiegazioni o i divieti. Siamo sicuri che Cappuccetto Rosso e Il lupo e i sette capretti non sono le uniche fiabe da cui si possono trarre importanti lezioni sui trucchi dannosi e sui modi per difendersi nel mondo digitale. E già che ci siete, date un’occhiata più da vicino ai cartoni animati preferiti di vostro figlio, forse anche questi parlano segretamente (se non apertamente) di sicurezza informatica.