Green pass: usate chiavi crittografiche per creare certificati falsi che funzionano, che succede?

Salvo Amato 30/10/2021

Quando ho letto la notizia non volevo crederci. Da informatico mi ero fatto una idea diversa, ma il sistema di certificazione europeo ha prodotto qualcosa che stento a credere.

La notizia di questi giorni è quella del furto di alcune chiavi crittografiche che si usano per creare il QrCode per il Green pass. Con quelle chiavi e con gli algoritmi utilizzati (presi non si sa dove o comunque di pubblico dominio), di fatto, qualcuno riesce a produrre un QrCode per qualsiasi certificato, anche a nome di Topo Gigio.

Come dovrebbe funzionare il sistema in sicurezza

Prima, però, vorrei esporvi come mi …

Continua la lettura su: http://www.salvoamato.it/2021/10/30/green-pass-usate-chiavi-crittografiche-per-creare-certificati-falsi-che-funzionano-che-succede/ Autore del post: Salvo Amato Fonte: http://www.salvoamato.it/

Categorie: Salvo Amato, Vedi tutti i Blog Didattici

Tags: News

Salvo Amato

Salvo Amato informatica liofilizzata in pillole per uso strettamente professionale

Mutuo riconoscimento EUCC–CCRA: equilibrio ancora instabile

Il Common Criteria Recognition Arrangement (CCRA) è un accordo internazionale per il mutuo riconoscimento delle certificazioni di sicurezza dei prodotti ICT emessi negli Stati membri dell’accordo. Nato nel 1998 a seguito dell’emissione dello standard Common Criteria, ha consentito negli anni lo sviluppo del mondo delle certificazioni Common Criteria facilitando l’accesso dei prodotti ICT certificati ai mercati internazionali e riducendo così i costi di certificazione e garantendo un livello di sicurezza dei prodotti uniforme.Ad oggi, il CCRA ha circa 33 Paesi membri di cui 18 emettono e riconoscono i certificati (Authorizing Members) e 15 che li riconoscono (Consuming Member).Indice degli argomenti
Entrata in vigore dello schema EUCC e criticità per il CCRANel febbraio 2024, è entrato in vigore il primo schema europeo di certificazione dei prodotti ICT basato sullo standard Common Criteria (denominato EUCC). Questo è stato elaborato sulla base di quanto prescritto nel regolamento europeo Cyber Security Act (CSA) e ha di fatto incorporato lo schema alla base del Senior Officials Group – Information Systems Security (SOG-IS), accordo di mutuo riconoscimento delle certificazioni CC sottoscritto da 13 Paesi Europei.Un anno dopo l’entrata in vigore dell’EUCC (febbraio 2025), tutti gli schemi di certificazione nazionali dovranno cessare, così come gli accordi di mutuo riconoscimento da questi sottoscritti. Nella pratica, gli Schemi Nazionali saranno attivi fino a febbraio 2026 per consentire a questi di completare le attività di valutazione/certificazione in corso.Se l’introduzione dell’EUCC non è un problema per il SOG-IS (EUCC ha di fatto incorporato lo schema SOG-IS), esso diviene una criticità rilevante per il CCRA dove vigono regole e procedure non perfettamente allineate all’EUCC.I problemi legati al mancato riconoscimento dei certificati EUCC in ambito CCRAPer capire l’importanza di un mancato riconoscimento dei certificati EUCC in ambito CCRA, bisogna considerare che solo nel 2024 circa il 54% dei certificati CCRA sono stati emessi da Paesi Europei e, in particolare, da Francia, Olanda e Germania.L’uscita di questi Paesi dal CCRA provocherebbe la fine stessa del CCRA stesso e potrebbe decretare anche il fallimento dell’EUCC che ha come obiettivo primario quello di sviluppare il mondo delle certificazioni dei prodotti ICT e aumentare il livello della Cybersicurezza in tutta l’Unione.Non avere più il mutuo riconoscimento con altri Stati come ad esempio Stati Uniti, Giappone, Korea del Sud, rischia di vanificare l’efficacia delle certificazioni e di creare delle barriere protezionistiche che non erano nello spirito dell’emissione dei certificati sia del CCRA che dell’EUCC.D’altra parte, visto che l’EUCC emette certificati validi in tutti gli Stati dell’Unione, non è possibile sottoscrivere l’accordo CCRA a livello centralizzato (es. Commissione Europea) in quanto molti degli Stati Membri dell’Unione Europea non sono Membri CCRA.La soluzione (temporanea) per il mutuo riconoscimento tra EUCC e CCRAAlla luce di grandi interessi in gioco, il CCRA, sotto la spinta dei Paesi membri europei, si è mosso per identificare una soluzione e il 19 marzo 2025 il Management Committee del CCRA ha emesso un documento (CCRA and EUCC Co-existence) dove si delinea una soluzione temporanea che permette di continuare il mutuo riconoscimento tra i certificati EUCC e i certificati degli altri Paese sottoscrittori del CCRA.Le principali caratteristiche della soluzione temporaneaNei paragrafi che seguono analizzeremo le principali caratteristiche della soluzione delineata dal CCRA e condivisa con la Commissione EuropeaSupervisione governativa rafforzataUna prima differenza sostanziale tra il CCRA e l’EUCC è che il primo richiede che ci sia un solo Organismo di Certificazione per Stato membro, mentre l’EUCC consente più Organismi di Certificazione (i cosiddetti Conformity Assessment Body – CAB) per Stato membro di cui alcuni possono essere anche privati (i cosiddetti CAB commerciali).Anche se i CAB in ambito EUCC, siano essi pubblici che privati, devono essere accreditati secondo la norma ISO 17065 (la stessa richiesta dal CCRA), essi devono comunque sottostare a ulteriori requisiti previsti dalle procedure CCRA (le cosiddette Certificazioni Shadow (CS) e Voluntary Periodic Assessment (VPA)) qualora essi vogliono avere il mutuo riconoscimento CCRA per i certificati che emettono.Deve essere quindi presente in ogni Stato un’Autorità Nazionale che sia in grado di garantire questo tipo di “supervisione governativa rafforzata”.Questo ruolo può essere svolto dall’Autorità Nazionale della Cybersicurezza (NCCA) istituita in ogni Stato membro dell’Unione in ottemperanza al Cyber Security Act (CSA) la quale, come pre-requisito, deve essere un membro firmatario del CCRA.Qualora questo non sia vero, una NCCA interessata ad apporre il marchio CCRA sui certificati emessi dai propri CAB, deve diventare membro del CCRA in accordo alle procedure vigenti, incluso il periodo di due anni come Membro Consuming.Va osservato che l’EUCC di fatto richiede una supervisione dei CAB e dei laboratori di prova da parte delle NCCA e quindi il rafforzamento di tale supervisione governativa per garantire anche i requisiti del CCRA non è considerata molto onerosa. Più avanti vedremo i dettagli di come tale supervisione deve essere effettuata.Procedura per ottenere il marchio CCRA sui certificati EUCCI certificati EUCC emessi da CAB, sia pubblici che privati, possono richiedere di avere il marchio CCRA sui certificati emessi applicando il processo di supervisione per singolo certificato implementato dalla NCCA di appartenenza, se questa ovviamente è un membro del CCRA.Il processo di supervisione per certificato per il riconoscimento CCRA sarà condotto sulla base del modello di certificazione pubblico-privato implementato dall’Autorità olandese (NL NCSA) e potrà essere applicato in maniera flessibile durante o alla fine del processo di certificazione.In pratica, la NCCA è coinvolta nella valutazione/certificazione nella fase di application e nelle fasi ETR (predisposizione rapporto finale) e CR (emissione certificato):nella fase di application, la NCCA verifica che il processo di certificazione ipotizzato sia efficiente e in linea con i requisiti CCRA. La NCCA riceve in input il form di application compilato, la bozza di Security Target (ST) e il piano di valutazione. Il risultato è una dichiarazione della NCCA che il CAB può proseguire con la certificazione ai sensi del CCRA.Nella fase finale (ETR e CR), la NCCA verifica che la valutazione e l’emissione del certificato siano state condotte in linea con i requisiti CCRA. La NCCA verifica il Rapporto Finale di Valutazione (ETR) che contiene la sintesi delle attività tecniche effettuate, il rapporto di certificazione, la bozza del certificato e la dichiarazione di chiusura di tutte le azioni, comprese la gestione delle eventuali non conformità riscontrate durante le attività di valutazioni. Ad esito positivo della verifica, la NCCA approva formalmente i documenti ricevuti e autorizza il CAB ad apporre il marchio CCRA certificato che verrà poi pubblicato dalla NCCA sul CCPortal del CCRA.Va osservato che il processo di supervisione condotto dalla NCCA è abbastanza flessibile per poter essere eseguito solo al termine del processo di certificazione. Se la supervisione identifica delle problematiche, il certificato non potrà riportare il marchio CCRA, senza alcun effetto sul certificato EUCC. È anche possibile che questa supervisione venga eseguita dopo che il certificato EUCC è già stato rilasciato.Infine, la NCCA sarà anche responsabile della verifica delle competenze dei CAB e della implementazione di attività aggiuntive di supervisione previste dal CCRA. Queste avranno comunque un impatto minimo su tutte le parti coinvolte in quanto, come detto in precedenza, le norme di riferimento utilizzate dal CCRA e dall’EUCC (ISO 17065 per i Certification Body e ISO 17025 per i laboratori di prova) sono le stesse.Procedure di Shadow Certification (SC) e Voluntary Periodic Assessment (VPA)Lo scopo della Shadow certification è quello di determinare che uno schema nazionale che richiede l’adesione al CCRA come emittente di certificati (Authorizing Member) sia conforme ai requisiti del CCRA.Le procedure di Shadow Certification sono in gran parte conformi ai requisiti della norma ISO/ IEC 17065, con verifiche aggiuntive da parte dei membri del CCRA. Ad esmepio, il CCRA richiede che almeno due certificazioni degli schemi candidati siano visionate e discusse da un team di audit in loco, mentre l’EUCC non prevede tale requisito.Un CAB privato in ambito EUCC che intende apporre il marchio CCRA sui propri certificati, deve collaborare con la NCCA in termini di supporto attivo nel processo di valutazione dello stesso e nelle riunioni di audit da tenersi in loco.Sia i CAB che la NCCA che fornisce la supervisione governativa saranno comunque oggetto di valutazione da parte del CCRA.Inoltre, come è noto, il CCRA prevede una valutazione periodica degli Schemi membri (la cosiddetta VPA) che prevede la verifica che i requisiti richiesti dal CCRA per gli Organismi di Certificazione continuino a essere conformi ai requisiti richiesti.Anche in questo caso la norma di riferimento è la ISO ISO/IEC 17065 e quindi si può sostenere che tali procedure siano fondamentalmente allineate a quelle dell’EUCC.Tuttavia, è in corso una ri-valutazione dei requisiti dei VPA in modo da aggiornarle per prendere in considerazione il caso in cui in un Paese siano presenti più di un CAB dipendenti dalla stessa NCCA (es. VPA per ciascun CAB, VPA per un campione di CAB sulla base delle raccomandazioni del team di audit,…).Verifica dei requisiti dei CAB e dei Laboratori (ITSEF)L’EUCC richiede che i CAB e i Laboratori di prova siano accreditati dalla National Accreditation Body (NAB), ACCREDIA in Italia, in accordo rispettivamente alle norme ISO 17065 e ISO 17025. Inoltre, per i CAB e i laboratori di prova che vogliono operare a livello “High”, questi devono ricevere un’autorizzazione specifica da parte della NCCA.I CAB che operano a livello “High” devono essere necessariamente governativi a meno di casi particolari dove, in assenza di CAB governativi autorizzati a livello “High”, la NCCA può decidere di accreditare un CAB privato a tale livello applicando comunque la procedura di autorizzazione prevista per i CAB governativi.A differenza dell’EUCC, il CCRA richiede che anche i CAB e i laboratori di prova che operano a livello “Substantial” siano autorizzati dalla NCCA, estendendo di fatto la procedura che l’EUCC riserva solo per il livello “High”.Pertanto, se un CAB e un Laboratorio di prova vogliono apporre il marchio CCRA sui certificati che emettono e sulle prove che effettuano, devono essere autorizzati dalla NCCA che verifica i metodi di lavoro, le procedure CC e le competenze tecniche possedute.Collegamenti tra CCRA e Commissione EuropeaPer garantire che requisiti stabiliti dal documento predisposto dal CCRA siano compresi e implementati correttamente anche al fine di identificare e affrontare eventuali problemi che possano sorgere sul mutuo riconoscimento, il CCRA nominerà un proprio rappresentante che fungerà da collegamento tra il CCRA e Commissione Europea.Analogamente, i membri del CCRA stanno valutando la possibilità di invitare un rappresentante Commissione europea in alcune delle riunioni periodiche del CCRA in qualità di osservatore senza diritto di voto.Infine, nei prossimi tempi, il Management Committee del CCRA aggiornerà le procedure di Shadow Certification e VPA per adattarle al mutuo riconoscimento dei certificati EUCC.Prospettive future del mutuo riconoscimentoCome si evince dal documento predisposto dal CCRA e condiviso con la Commissione Europea, la soluzione identificata per mantenere il mutuo riconoscimento con i nuovi certificati EUCC è comunque percorribile in quanto entrambi condividono lo stesso corpo normativo sia per le valutazioni (lo standard Common Criteria) che per gli accreditamenti degli Organismi di Certificazione e dei laboratori di prova (rispettivamente ISO 17065 e ISO 17025). Ovviamente è necessario effettuare degli adattamenti alle attuali procedure e, in tale ambito, un ruolo rilevante lo rivestono le NCCA dei vari Stati dell’Unione che devono modificare/adottare delle procedure di autorizzazione dei CAB e dei laboratori EUCC per renderli aderenti e allineati alle procedure del CCRA.Tale soluzione potrebbe essere vista come una contraddizione del requisito dell’EUCC che prevede la cessazione degli attuali Schemi di Certificazione nazionali e degli accordi di mutuo riconoscimento sottoscritti, ma la soluzione è di fatto un buon compromesso in quanto non prevede la creazione di uno schema di certificazione parallelo, ma la integrazione dello schema EUCC dove i certificati emessi rimangono inalterati e sono solo integrati con il logo del CCRA, previa appunto autorizzazione delle NCCA.Come detto nella introduzione, la soluzione è temporanea e andava identificata prima del febbraio 2026 per garantire la continuità del mutuo riconoscimento dei certificati tra gli Stati dell’Unione, oggi membri del CCRA, e gli altri stati del CCRA.Come si può notare da quanto illustrato, la soluzione identificata permette ad un certificato EUCC di poter avere il marchio CCRA (su base volontaria ovviamente) ed essere mutuamente riconosciuto dagli altri Paesi extra-UE, ma non consente ad un certificato emesso da un Paese extra-UE ad essere riconosciuto come certificato EUCC. In questi casi, ad oggi, tale certificato per diventare EUCC richiede che la valutazione sia ri-effettuata da un laboratorio accreditato EUCC e il certificato emesso da un CAB anch’esso accreditato EUCC. Per come è strutturato lo schema EUCC tale ri-valutazione non è molto onerosa perché lo schema consente di ri-utilizzare le attività e i risultati della valutazione effettuata, ma questo fa capire chiaramente che la soluzione definitiva non sia ancora stata definita e non è ancora chiaro come si procederà in futuro.È evidente che il CCRA deve essere rivisto e ripensato per venire incontro ai nuovi scenari che si sono presentati, ma è anche chiaro che il percorso è lungo e molto articolato.Tutte le Autorità di Cybersicurezza nel mondo stanno investendo nella certificazione dei prodotti ICT che rappresenta un cardine essenziale nelle loro strategie di rafforzamento della cybersicurezza delle proprie infrastrutture ICT. A tutte loro è chiaro che l’assenza di un accordo di mutuo riconoscimento il più ampio possibile a livello mondiale provocherebbe di fatto il fallimento delle loro strategie creando nel contempo delle barriere tecniche e commerciali che sono in antitesi con la sempre maggiore interconnessione mondiale delle infrastrutture ICT, la libera circolazione di prodotti e la garanzia di un livello di sicurezza elevato.

Agenda Digitale 20/06/2025

Salvo Amato

http://www.salvoamato.it
informatica liofilizzata in pillole per uso strettamente professionale
Sat, 30 Oct 2021 15:44:25 +0000
it-IT

hourly

1
https://wordpress.org/?v=5.4.7

http://www.salvoamato.it/wp-content/uploads/2018/04/cropped-logo-salvo-1-32×32.png
Salvo Amato
http://www.salvoamato.it
32
32

Green pass: usate chiavi crittografiche per creare certificati falsi che funzionano, che succede?
http://www.salvoamato.it/2021/10/30/green-pass-usate-chiavi-crittografiche-per-creare-certificati-falsi-che-funzionano-che-succede/

Sat, 30 Oct 2021 15:41:43 +0000

http://www.salvoamato.it/?p=2079

Quando ho letto la notizia non volevo crederci. Da informatico mi ero fatto una idea diversa, ma il sistema di
L’articolo Green pass: usate chiavi crittografiche per creare certificati falsi che funzionano, che succede? proviene da Salvo Amato.
]] >
Quando ho letto la notizia non volevo crederci. Da informatico mi ero fatto una idea diversa, ma il sistema di certificazione europeo ha prodotto qualcosa che stento a credere.

Come dovrebbe funzionare il sistema in sicurezza

Prima, però, vorrei esporvi come mi aspettavo funzionasse il sistema.

La UE ha un grande archivio dove ci sono le anagrafiche dei vaccinati e i certificati verdi di tutti (anche di quelli con tampone 48 ore). Questo archivio blindato consente una consultazione ma solo a chi è autorizzato.

Per effettuare la consultazione mette a disposizione una app che letto qualcosa sul QrCode effettua una interrogazione su questo archivio centrale e legge i dati di chi sia il proprietario di quel certificato e li restituisce in chiaro. Praticamente mi aspettavo che il QrCode fosse solo un codice unico da usare per individuare il cittadino e non l’intero certificato criptato.

E’ per questo che quando ho appreso la notizia, ho sorriso e ho detto: ammesso che si riesca a produrre un QrCode valido, come si farà ad aggiornare l’archivio centrale con il certificato di Topo Gigio? Se no, una interrogazione non porterà alcuna risposta positiva e dirà che il tizio non è certificato, non trovandolo in archivio.

Ho, quindi, fatto una verifica sul QrCode del mio certificato. Ho scaricato l’app ufficiale che potete trovare qui e ho fatto il controllo. Prima di controllare ho messo il cellulare in modalità aereo, quindi isolato dalla rete.

Secondo la mia ipotesi, l’app non avrebbe dovuto funzionare ma invece, con mio stupore, ha dato i risultati mostrando che il certificato appartiene a me. L’app non usa internet per fare la verifica. Ciò dimostra una sola cosa: il QrCode contiene al suo interno tutti i dati necessari compresi quelli che vengono resi in chiaro: nome, cognome, esito della certificazione e data. Di fatto il QrCode, contiene al suo interno una stringa di dati criptati. Non serve alcun altro controllo on line per verificarne l’autenticità

Cosa vuol dire questo? Semplice: non occorre interrogare alcun database centrale per effettuare la verifica, l’app di fatto decripta i dati contenuti nel QrCode e li rende visibili.

Allora se siamo in possesso degli algoritmi di crittografia e delle relative chiavi possiamo produrre in autonomia il certificato? La risposta è Sì. Ed è anche stato semplice capirlo. E’ bastato usare l’app off line e rendersi conto che nel certificato c’è tutto.

Come funzionerà probabilmente il sistema e i suoi punti deboli

Di fatto pare che il sistema funzioni in questo modo:

Il sistema che genera i certificati usa un algoritmo e una chiave crittografica criptando i dati necessari come nome, cognome, data di nascita, scadenza certificato e forse altri dati. I dati criptati vengono trasformati in QrCode per una leggibilità in formato elettronico tramite un lettore ottico. Questa trasformazione avviene con funzioni di pubblico dominio.il QrCode può essere letto ma all’atto della lettura si ottiene il dato criptato. A questo punto l’app che legge applica una chiave di decriptazione per decodificarlo e ottenere i dati in chiaro.

Molto più probabilmente è stata usata una crittografia a doppia chiave asimmetrica pubblica e privata. La chiave privata segreta che viene usata per criptare i dati, quella pubblica viene usata per decriptare. Tutto il commercio elettronico si basa su questo sistema.

Nel caso specifico l’app di lettura usa una chiave publica che serve solo a decriptare i dati ma non a criptarli. La chiave segreta è solo quella di crittografia.

E’ proprio la chiave segreta di crittografia quella rubata. Ce ne sono sicuramente tante, non una, ma tutte consentono di cifrare dati che si potranno decifrare con la stessa chiave pubblica.

Qualcosa di simile ai cosiddetti documenti firmati elettronicamente dove la decifrazione serve a certificare che non siano stati manomessi.

Quindi cosa sarà successo? Di certo è stato trafugata qualche chiave di crittografia e altrettanto certamente qualcuno è venuto a conoscenza degli algoritmi di cifratura. Il sistema magari ne ha usato qualcuno non proprio segreto. Il vero segreto alla fine sta solo nella chiave, quella che è stata trafugata.

Così facendo, chi è entrato in possesso della chiave, può generare tutti i certificati che vuole. Basta fornire i dati di partenza per generare il certificato che si vuole. Nell’immagine che segue trovate il certificato di Michel Mouse nato il 31 dicembre 2001. Provate voi stessi.

Ma come è possibile che sia potuto succedere qualcosa del genere? Come è possibile che un sistema progettato per usare la massima sicurezza sia così facile da bucare e tra l’altro senza una possibilità semplice di correre ai ripari.

Cos’altro può essere successo?

Secondo quanto raccontano alcuni esperti, più precisamente potrebbe essere successa un’altra cosa comunque non meno grave. Gli enti autorizzati all’emissione di certificato hanno anche la possibilità, nel sistema di effettuare una preview dei dati senza generare il certificato. Sarebbe facile, quindi, che un funzionario compiacente possa generare una preview senza poi salvarla ma stamparla o comunque fornirla per le vie brevi e successivamente cancellarla. Questa potrebbe essere la spiegazione che sicuramente da un lato non ci dà certezza sulla fuga di chiavi, dall’altro forse è ancora più grave, poiché fa sì che chiunque abbia accesso al sistema possa di fatto produrre certificazioni false senza conservarle ma comunque valide per i controlli.

Quali soluzioni?

Quale sarebbe la soluzione? Di certo occorrerebbe centralizzare il meccanismo di verifica, creando una App aggiornata che effettui un controllo interrogando l’archivio centralizzato on line, proprio come avevo ipotizzato funzionasse il sistema. In questo modo il signor Topo Gigio non avendo una vera scheda anagrafica nel sistema centralizzato, pur presentando un QrCode ben fatto non passerebbe i controlli.

Tutta questa storia lascia sbigottiti per la leggerezza delle scelte tecniche. Sarebbe come se un sistema di pagamento con bancomat o carta di credito si fidasse dei dati presenti nella carta, senza effettuare una verifica on line per vedere se c’è disponibilità economica. Non occorreva certo inventare nulla di nuovo ma far sì che un sistema fosse fornito di meccanismo di controllo adeguato. Non è così difficile immaginare che possa esserci anche una fuga di chiavi crittografiche dagli ambienti di lavoro e un sistema di controllo centralizzato avrebbe reso vano la possibilità di creare certificati falsi.

Di certo il sistema informatizzato della UE non ne esce a testa alta e sicuramente la fiducia in esso sarà irrimediabilmente compromessa. Non basterà porre rimedio con qualche pezza informatica.
L’articolo Green pass: usate chiavi crittografiche per creare certificati falsi che funzionano, che succede? proviene da Salvo Amato.
]] >

Coding Game: ecco una pagina semplice per la settimana del codice
http://www.salvoamato.it/2021/10/23/coding-game-ecco-una-pagina-semplice-per-la-settimana-del-codice/

Sat, 23 Oct 2021 17:02:44 +0000

http://www.salvoamato.it/?p=2068

Una carrellata di 8 diverse attività da svolgere a scuola direttamente sul web.
L’articolo Coding Game: ecco una pagina semplice per la settimana del codice proviene da Salvo Amato.
]] >
Una carrellata di 8 diverse attività da svolgere a scuola direttamente sul web.

L’articolo Coding Game: ecco una pagina semplice per la settimana del codice proviene da Salvo Amato.
]] >

Gli studenti copiano dalla rete? Ecco alcune app che rivelano le fonti a partire da frammenti di testo.
http://www.salvoamato.it/2021/10/13/gli-studenti-copiano-dalla-rete-ecco-alcune-app-che-rivelano-le-fonti-a-partire-da-frammenti-di-testo/

Wed, 13 Oct 2021 16:14:59 +0000

http://www.salvoamato.it/?p=2056

Ultimamente sono frequenti i casi in cui per velocizzare i compiti gli studenti ricorrono a veri e propri “copia e
L’articolo Gli studenti copiano dalla rete? Ecco alcune app che rivelano le fonti a partire da frammenti di testo. proviene da Salvo Amato.
]] >
Ultimamente sono frequenti i casi in cui per velocizzare i compiti gli studenti ricorrono a veri e propri “copia e incolla” sulla rete addirittura senza aggiustare granché. Sono tempi duri per gli insegnanti che pur verificando che il testo prodotto non è lavoro dell’alunno, hanno difficoltà a dimostrare che sia vero e proprio plagio.

Per determinare casi di copia su altri contesti come ad esempio quello giornalistico, esistono dei siti on line che effettuano per nostro conto una verifica e consentono di fare un confronto in rete. In pochi secondi è possibile avere un resoconto di quanto trovato in rete, anche sui gruppi social e in siti di nicchia, purché siano contenuti aperti al pubblico.

https://plagiarismdetector.net/it

E’ uno dei servizi piace usati in rete e consente una ricerca approfondita fornendo tutte le fonti anche in caso di testo leggermente alterato. Il software fornisce le fonti ed una percentuale del plagio in modo da consentire una dimostrazione chiara ed esauriente.

Il servizio prevede anche l’elaborazione di un resoconto in formato PDF da usare a dimostrazione del plagio riscontrato.

Servizi del genere vengono usati sempre più anche per le tesi di laurea dove il fenomeno si sta allargando sempre più. In questo caso ovviamente se si copia da una fonte non disponibile on line, la ricerca perde di significato.

Ovviamente potremmo anche dire che i docenti dovrebbero aggirare l’ostacolo della copiatura chiedendo compiti di creatività personalizzati. In questo caso lo studente non sarebbe in grado di avvalersi delle fonti se non elaborandole personalmente.
L’articolo Gli studenti copiano dalla rete? Ecco alcune app che rivelano le fonti a partire da frammenti di testo. proviene da Salvo Amato.
]] >

Coding a scuola, il mio seminario introduttivo GRATUITO per le scuole, ecco come prenotarsi entro il 31 ottobre
http://www.salvoamato.it/2021/10/13/coding-a-scuola-il-mio-seminario-introduttivo-gratuito-per-le-scuole-ecco-come-prenotarsi-entro-il-31-ottobre/

Wed, 13 Oct 2021 08:53:03 +0000

http://www.salvoamato.it/?p=2047

Il coding è la quarta competenza, ciò che consente di imparare a ragionare e a risolvere problemi. Esso spesso viene
L’articolo Coding a scuola, il mio seminario introduttivo GRATUITO per le scuole, ecco come prenotarsi entro il 31 ottobre proviene da Salvo Amato.
]] >
Il coding è la quarta competenza, ciò che consente di imparare a ragionare e a risolvere problemi. Esso spesso viene usato nelle scuole ma ci si ferma all’ora o alla settimana del codice.

Ciò che sarebbe veramente interessante è l’introduzione sistematica delle strategie del pensiero computazionale nella programmazione didattica in tutti gli ordini di scuola.

Per fare ciò gli insegnanti non hanno solo bisogno di conoscere gli strumenti ma occorre necessariamente capire come agire, come strutturare una unità didattica integrandovi il coding e come adeguarlo all’ordine di scuola in cui si insegna.

Negli ultimi 10 anni sono stati fatti notevoli passi avanti ma molto resta ancora da fare. Gli studenti spesso vedono le attività come un momento ludico e non fanno propri gli strumenti del coding per usarli laddove possono servire. La strategia didattica spesso si rivela inefficace perchè limitata ad un periodo ristretto ed isolata dal resto delle competenze.

Per quest’anno ho pensato di avviare una serie di seminari rivolti direttamente alle singole istituzioni scolastiche. Seminari della durata di 2 ore GRATUITI che consentano agli insegnanti di avvicinarsi al Coding e di capire come questo possa essere utile per la propria disciplina.

L’invito è rivolto ai dirigenti scolastici e agli animatori digitali che vogliano approfittare di un momento formativo gratuito per stimolare i docenti alle nuove strategie del coding.

Durante l’invito è occasione per presentare il mio libro, un manuale per gli insegnanti che spiega in modo semplice ed intuitivo l’uso del coding attraverso 12 esempi pratici da usare in tutti gli ordini di scuola.

Le istituzioni che vorranno aderire potranno inviare al sottoscritto una email a salvo.amato@gmail.com oppure compilare il modulo sottostante.

Avrò il piacere di rispondervi ed eventualmente di programmare un incontro on line sul coding e pensiero computazionale.

Ecco il modulo per inviare la manifestazione di interesse

Abilita JavaScript nel browser per completare questo modulo.Nome *NomeCognomeRuoloDirigente scolasticoAnimatore digitaleDocente interessatoAltroScuola di appartenenzaEmail *Email istituzionale o personaleAltre comunicazioniInserisci qui eventuali domande, dubbi sull’iniziativa o eventuali altre informazioni di contatto come numero di telefono o contatto socialCommentInvia

Salvo Amato 05/11/2021

Articoli Correlati