Glossario

Dispositivo che permette la connessione di periferiche dotate di funzionalità wireless ad una rete cablata.

Root in inglese significa “radice”, è utilizzato nei sistemi operativi per indicare l’utente che ha i diritti di amministratore. L'utente con il permesso di “Accesso Root” è dunque l'utente che dispone del massimo controllo sul sistema, ed è il solo che può compiere operazioni non consentite ad altri utenti standard.

Minaccia consistente in un attacco mirato, volto ad installare una serie di malware all’interno delle reti bersaglio, al fine di riuscire a mantenere attivi i canali impiegati per la fuoriuscita di informazioni pregiate dalle infrastrutture IT del target.

Contrazione di advertisement (“pubblicità”) e software. Definisce un tipo di applicativo progettato principalmente per mostrare all’utente pubblicità, spesso indesiderata e/o molesta. Può essere usato anche come vettore di minacce più gravi (es. spyware).

Procedimento che consente la risoluzione di problemi di carattere logico e matematico, o pratico.

Software che riconosce la presenza di virus informatici nei file e nelle memorie di massa e cerca di rimuoverli o di neutralizzarli.

Detto anche code injection, differisce dal command injection in quanto consente a un utente malintenzionato di aggiungere arbitrariamente porzioni di codice malevolo che verrà successivamente eseguito dall'applicazione.

Disciplina che si occupa dello studio di funzioni tipiche dell’intelligenza umana e della loro possibile replicazione mediante metodi e strumenti informatici.

Denial of Service e Distributed Denial of Service. Attacco informatico che mira a compromettere la disponibilità di un sistema mediante esaurimento delle sue risorse di rete, elaborazione o memoria. Nella versione distribuita (DDoS) l’attacco proviene da un gran numero di dispositivi ed è diretto verso un target. Le botnet sono uno strumento per condurre un attacco DDoS.

Tecnica di brute force verso un cifrario o sistema di autenticazione, in cui l’attaccante impiega un “dizionario”, ossia un insieme predefinito di stringhe aventi un’alta probabilità di successo. Solitamente i dizionari sono composti da un elenco di parole o stringhe di uso comune. Al fine di contrastare tale attacco, è consigliabile non utilizzare password ampiamente diffuse o già utilizzate altrove per chiavi crittografiche o credenziali di accesso.

Termine che identifica l’attribuzione di un attacco cyber come, ad esempio, una campagna di cyber-spionaggio, ad un determinato attore ostile.

Metodo di autenticazione in cui l’utente deve fornire più di un fattore per qualificare la propria identità e ottenere quindi l’accesso a una risorsa. Esempi di tali fattori sono: qualcosa che solo l’utente conosce (tipicamente una password), o qualcosa che possiede (come una smart card o un token che genera una One Time Password), o che lo caratterizza a livello biometrico (impronta digitale, volto, iride ecc.). L’autenticazione a più fattori riduce il rischio di violazioni e furti di identità, poiché un attaccante deve ottenere tutti i fattori che il processo di autenticazione richiede per accedere alla risorsa.

Identità fittizia, soprannome, immagine virtuale in rete.

Letteralmente “porta di servizio” collocata sul retro di un edificio. Viene chiamato così un canale occulto che consente l’accesso ad un sistema informatico eludendo la normale procedura di autenticazione. In alcuni casi, i produttori di sistemi hardware e software possono attivare canali di accesso di servizio ai propri sistemi per agevolare lo svolgimento di operazioni tecniche

Salvataggio, totale o parziale, dei contenuti di una memoria.

Tecnologia che permette di realizzare un registro distribuito nel quale è possibile inserire transazioni senza che queste siano validate da una terza parte fidata. Rappresenta la tecnologia base per lo sviluppo di numerose applicazioni, quali ad esempio le criptovalute.

Programmi che sono in grado di riprodurre il comportamento umano on-line come, ad esempio, popolare un profilo social ed inviare messaggi in una chat.

Rete di computer utilizzata per attacchi da remoto, o per altre finalità, formata da computer infetti (bot o zombie) che, all’insaputa dei legittimi utenti, sono controllati da un utente malevolo (botmaster).

Insieme di policy interne ad un’organizzazione, sia essa pubblica o privata, volte a regolare l’impiego di dispositivi digitali personali all’interno della stessa, da parte dei relativi dipendenti.

Metodo di risoluzione di un problema dato mediante l’impiego di un algoritmo che consiste nel verificare tutte le soluzioni teoricamente possibili fino a quando non si trovi quella effettivamente corretta. Nell’ambito informatico, questo metodo si utilizza soprattutto per individuare le password di accesso a un sistema.

Condizione di errore che si verifica quando in una porzione di memoria di una data dimensione (buffer) è possibile scrivere dati di dimensioni maggiori a causa di un errore di sviluppo del software o di insufficienti controlli da parte del sistema operativo. La scrittura al di fuori dei limiti del blocco di memoria (overflow) può alterare i dati di un processo, arrestare programmi o permettere l'esecuzione di codice malevolo.

Errore in una procedura informatica.

Infrastruttura remota in grado di impartire comandi, monitorare, ricevere e inviare dati dalle componenti malware distribuite nei dispositivi o sistemi infetti.

Furto e/o compravendita di informazioni sottratte illecitamente relative a carte di credito e di debito.

Rappresenta l’elenco di modifiche effettuate da uno sviluppatore nell’aggiornare un software.

Paradigma di erogazione di risorse informatiche on demand, a partire da un insieme di risorse preesistenti disponibili da remoto.

Vds. Arbitrary Command Injection.

Si parla di codice per indicare dati che rappresentano istruzioni che un computer può eseguire. Tutto ciò che viene eseguito da un computer o da uno smartphone, ad esempio un’app, è composta da codice.

Si parla di codice malevolo per indicare una serie di dati che rappresentano istruzioni potenzialmente dannose.

Il codice sorgente o semplicemente sorgente è il testo di un algoritmo scritto dal programmatore in un qualsiasi linguaggio di programmazione. Si chiama sorgente perché è da qui che si parte per ottenere il programma o l’app desiderata.

Attacco il cui obiettivo è l'esecuzione indiscriminata di comandi su un host tramite una applicazione vulnerabile. Questo attacco risulta possibile quando un'applicazione trasmette dati non sicuri forniti dall'utente (forms, cookies, HTTP headers etc.) ad una shell di sistema. In pratica, l'attaccante estende le funzionalità predefinite dell'applicazione, che esegue i comandi di sistema, senza la necessità di inserire ulteriore codice.

Lista di vulnerabilità di cybersecurity note, ognuna contenente un identificativo univoco, una descrizione e almeno un riferimento/link pubblico. La lista, mantenuta dal Mitre (https://cve.mitre.org/), viene utilizzata in numerosi prodotti e servizi, tra i quali il National Vulnerability Database (NVD) del NIST (https://nvd.nist.gov/), il quale assegna a ogni CVE uno score di gravità basandosi su uno standard chiamato CVSS (Common Vulnerability Scoring System).

Prestare attenzione in maniera peculiare, piena conoscenza e capacità di utilizzo e gestione delle tecnologie IT e dei social media.

Sistemi finanziari digitali che sfruttano tecniche crittografiche per la validazione delle transazioni.

Situazione in cui un incidente cyber assume dimensioni, intensità o natura tali da incidere sulla sicurezza nazionale o da non poter essere fronteggiato dalle singole Amministrazioni competenti in via ordinaria, ma attraverso l’assunzione di decisioni coordinate in sede interministeriale. In caso di crisi cibernetica nazionale, viene attivato il Nucleo per la Sicurezza Cibernetica (NSC).

Tecnica che permette di nascondere il contenuto di un messaggio. Ciò in modo che esso possa essere correttamente compreso solo da chi ne possiede la chiave di decifrazione.

Paradigma crittografico caratterizzato dalla presenza di un’unica chiave che viene usata sia per cifrare sia per decifrare i messaggi. La sicurezza dei messaggi scambiati dipende dalla segretezza della chiave, la quale deve essere a conoscenza soltanto delle parti che vogliono comunicare in modo privato.

Processo relativo alla produzione di crypto moneta. Il crypto-mining utilizza la potenza di elaborazione dei computer al fine di risolvere complessi problemi matematici per ottenere una ricompensa nella relativa valuta. I criminali informatici utilizzano malware di cryptomining per utilizzare la potenza di elaborazione delle vittime a loro insaputa.

Azione ostile finalizzata a danneggiare la riservatezza, l’integrità e la disponibilità di dati memorizzati o elaborati da sistemi informatici.

Manifestazione digitale di un fenomeno più ampio conosciuto come bullismo. Quest’ultimo è caratterizzato da azioni violente e intimidatorie esercitate da un singolo o da un gruppo su una vittima. Le azioni possono essere molestie verbali, aggressioni fisiche e vessazioni, generalmente attuate in ambiente scolastico. Oggi la tecnologia consente ai bulli di aggredire le vittime anche a distanza, perseguitandole in ogni momento della loro vita con messaggi, immagini, video offensivi inviati tramite smartphone o pubblicati su siti web e su social media. Il bullismo diventa, quindi, cyberbullismo, ossia insieme di azioni aggressive e intenzionali di una singola persona o di un gruppo realizzate mediante strumenti elettronici.

Azioni illecite condotte in danno di sistemi informatici o attraverso l’utilizzo abusivo degli stessi, le cui condotte sono punite dal codice penale.

L’insieme della dottrina, dell’organizzazione e delle attività volte a prevenire, rilevare, limitare e contrastare gli effetti degli attacchi condotti nel e tramite il cyberspace ovvero in danno di uno o più dei suoi elementi costitutivi.

Insieme delle misure - fisiche, logiche e procedurali - finalizzate a garantire riservatezza, integrità e disponibilità delle informazioni elaborate tramite sistemi informatici.

Insieme delle infrastrutture informatiche interconnesse, comprensivo di hardware, software, dati ed utenti nonché delle relazioni logiche, comunque stabilite, tra di essi.

L’insieme delle operazioni militari condotte nel e tramite il cyberspace per infliggere danni all’avversario, statuale o non, consistenti – tra l’altro – nell’impedirgli l’utilizzo efficace di sistemi, armi e strumenti informatici o comunque di infrastrutture e processi da questi controllati. Include anche attività di difesa e “capacitanti” (volte cioè a garantirsi la disponibilità e l’uso del cyberspace).

Noto anche come DNS Cache Poisoning, è la compromissione di un server Domain Name System (DNS) comportante la sostituzione dell’indirizzo di un sito legittimo con quello di un altro sito, ad esempio, infettato dall’attaccante.

Contenuti del web nelle darknet (reti oscure) che possono essere raggiunti esclusivamente con software specifici.

Violazione dei dati: nel campo della sicurezza informatica si riferisce alla violazione della sicurezza dei dati, che può avvenire per errore o intenzionalmente, mediante la distruzione, la perdita, la modifica, la divulgazione o l’accesso ai dati personali di uno o più persone.

Porzione di Internet che non viene indicizzata dai tradizionali motori di ricerca.

Che cos’è?
Con il termine Defacing (in italiano con defacciare) si intende la modifica illecita della home page di un sito web (la sua “faccia”) o la sostituzione di una o più pagine interne. Questo tipo di attacco, viene eseguito all’insaputa di chi gestisce il sito ed è illegale in tutti i paesi del mondo.

Perché è rilevante?
Un sito che è stato oggetto di un deface vede sostituita la propria pagina principale e/o altre pagine interne con una schermata che indica l’azione compiuta da uno o più cracker. Di conseguenza questo attacco, oltre a comportare potenzialmente l’interruzione di uno o più servizi, può creare danni all’immagine di una società o ente pubblico.

Come mi difendo?
Mantenendo aggiornato tutto il software presente sul server web. In particolare applicare regolarmente le patch di sicurezza sul sistema operativo e http server.

Cos’è tecnicamente?
Per ottenere i permessi di accesso in scrittura al sito gli attaccanti sfruttano solitamente le vulnerabilità presenti nel software di gestione del sito oppure nei sistemi operativi sottostanti. Più raramente vengono utilizzate tecniche di ingegneria sociale.

Come si rimedia?
Si eliminano i contenuti indebitamente inseriti, quindi si applicano le patch di sicurezza e gli aggiornamenti sui sistemi. Particolare attenzione andrà posta all’aggiornamento del CMS (Contenent management system) e di tutti i suoi plugin.

Una DLL è un file che contiene codice e dati utilizzabili da più di un programma contemporaneamente.

Lista allegata a un oggetto in Active Directory (il servizio di directory del sistema operativo Microsoft Windows Server) che specifica quali utenti e gruppi possono accedervi e con quali privilegi.

Diffusione di notizie infondate o distorte al fine di danneggiare l’immagine pubblica di un avversario e/o di influenzarne le scelte.

Sistema gerarchico utilizzato per semplificare l’accesso alle risorse Internet convertendo i nomi mnemonici, facilmente utilizzabili dagli utenti, ad esempio csirt.gov.it, in indirizzi IP, utilizzati dalle macchine per lo scambio dei dati.

Deriva dall’inglese “documents”, abbreviato in “dox”, ed è la pratica di diffondere pubblicamente online le informazioni private e sensibili di una persona.

Attività volta a ottenere qualunque tipo di informazione sensibile nel materiale dismesso di un’organizzazione (come dispositivi di memorizzazione e documenti gettati nei rifiuti senza i necessari accorgimenti).

Termine che si riferisce sia ad un mezzo informatico (in genere software) impiegato per lo sfruttamento di vulnerabilità di un sistema al fine di accedervi abusivamente o porre in essere azioni malevoli e sia alla vulnerabilità stessa.

File Transfer Protocol: protocollo Internet utilizzato per l’upload e il download di file.

Si tratta di operazioni generalmente condotte nello spazio cibernetico che vengono poste in essere utilizzando cautele e tecniche tali da indurre il target a ritenere che le stesse siano riconducibili ad un attore diverso da quello che ha condotto l’attacco.

La sicurezza di un sistema informatico dipende da un insieme di fattori, tecnici e non. Tra questi rientra il “Fattore Umano”, che fa riferimento al comportamento di chi utilizza e gestisce il sistema stesso. Le persone, infatti, oltre a commettere errori in buona fede, possono essere influenzate da attori ostili, al fine di compiere azioni in grado di incidere sulla sicurezza del sistema informatico. In tema di difesa da azioni malevole, l’adozione e il rispetto di buone norme di condotta da parte di individui o di organizzazioni è un aspetto cruciale per prevenire o attenuare le conseguenze di attacchi che fanno leva sul fattore umano.

Una categoria di software malevolo in grado di ottenere l’esecuzione sul sistema infetto senza lasciare esplicita traccia di sé o di artefatti specifici e file eseguibili sulle periferiche di archiviazione della macchina stessa.

Sistema di sicurezza perimetrale (ossia collocato nel punto in cui due reti entrano in contatto, tipicamente posto tra la rete esterna e quella interna ad una organizzazione) che protegge i dispositivi dislocati a valle del firewall da accessi non consentiti.

Metodo basato su funzioni matematiche che consente di associare a qualunque tipo di informazione una firma tramite la quale è possibile verificare l’autenticità dell’autore, l’integrità del messaggio e il non ripudio del messaggio da parte dell’originatore.

Firmware deriva da “firm” e “software”, ovvero componente software permanente, ed è un insieme di istruzioni integrate direttamente in un componente elettronico programmato, che consentono ad un dispositivo di avviarsi e di interagire con altri dispositivi. Pur trattandosi di istruzioni permanenti, i dispositivi moderni permettono l'aggiornamento del firmware.

Deriva dal termine inglese “flame”, fiamma. Nel gergo di Internet è chi “infiamma” le discussioni online provocando discordia.

Nell’ambito dei Social Media si identifica come follower – “seguace” – chiunque abbia deciso di “seguire” un determinato utente, visualizzandone tutte le comunicazioni.

Famiglia di sistemi operativi di tipo UNIX-like aventi la caratteristica comune di utilizzare come nucleo il kernel Linux associato alla componentistica software GNU, ottenendo un sistema operativo completo impiegando esclusivamente software libero.

Dispositivo che collega due reti informatiche. Viene utilizzato principalmente per veicolare pacchetti di rete all’esterno di una rete locale.

A partire dal 25 maggio 2018 è direttamente applicabile in tutti gli Stati europei il regolamento UE 2016/679 – noto come GDPR – relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione di dati personali.

HyperText Transfer Protocol, protocollo di trasferimento di un ipertesto. È un protocollo usato come principale sistema per il trasferimento delle informazioni sul web. L’HTTP si basa su un sistema di comunicazione tra “client” e “server”: il client esegue una richiesta e il server restituisce la risposta. Nell’uso comune, il client corrisponde al browser con cui si naviga su Internet (ad esempio Chrome, Edge, Firefox, Opera, Safari), il server è la macchina su cui risiede il sito web.

Nel protocollo HTTPS, in cui la “S” finale sta per “Secure”, la comunicazione tra il client e il server avviene in modalità cifrata. A determinate condizioni, l’HTTPS permette anche di verificare che il sito visitato sia autentico, fornisce una protezione maggiore della privacy e garantisce che i dati scambiati tra utente e sito web non vengano intercettati o manomessi.

Il termine hacker si riferisce a qualunque individuo particolarmente capace ed esperto di informatica che utilizza le sue conoscenze tecniche al fine di risolvere un problema. In tempi più recenti, il termine è stato associato al “security hacker”, che sfrutta le sue competenze per compiere azioni illecite in danno o attraverso sistemi informatici. Di solito vengono suddivisi in black e white hat, a seconda che siano hacker “cattivi” o “buoni”.

“Hacktivism” è un termine portmanteau coniato all’inizio degli anni ’90 che identifica l’uso sovversivo di computer o computer network al fine di promuovere un’agenda politica o principi di connotazione sociale. Chi pone in essere tali pratiche è definito hacktivista o attivista digitale.

Deriva dal verbo inglese “to hate”, odiare. Nell’ambito dei Social Media e di Internet, indica un utente che disprezza, diffama o critica una persona (o un gruppo di persone, anche in forma organizzata), con intento lesivo o, comunque, per molestie.

Attacco informatico che consente attraverso l’ottenimento di informazioni (cookies, session id, etc) o attraverso la modifica dei percorsi di rete (route poisoning, bgp hijacking) di prendere il controllo di una comunicazione dirottandola verso risorse gestite dall’attaccante.

Sistema appositamente configurato in modo da apparire a un attaccante come un obiettivo appetibile (e spesso vulnerabile). Rappresenta una sorta di trappola per gli attaccanti e può essere utilizzato con diverse finalità, quali, ad esempio, rilevare attacchi in atto prima che questi possano raggiungere obiettivi sensibili (i veri asset che si vogliono proteggere), distrarre e rallentare l’attaccante concentrando la sua attenzione e le sue risorse verso un falso obiettivo, monitorare e analizzare gli attacchi verso specifiche tipologie di sistemi o dispositivi, comprendere le tecniche, le tattiche e le procedure utilizzate dall’attaccante.

Dispositivi, fisici o virtuali, raggiungibili tramite i collegamenti di una rete.

Servizio che permette l’installazione di servizi raggiungibili da Internet come ad esempio web server per ospitare le pagine di un sito web (web hosting).

Sigla di “Information and Communication Technology” che viene utilizzata per indicare il settore dell’informatica e delle telecomunicazioni.

Indicatori impiegati per la rilevazione di una minaccia nota e generalmente riconducibili ad indirizzi IP delle infrastrutture di Comando e Controllo (C&C), hash (MD5, SHA1, ecc.) e moduli del malware (librerie, dropper, ecc.).

Codice univoco, composto, nella versione 4 del protocollo IP (IPv4), da quattro set di cifre comprese tra 0 e 255 che indentifica ogni dispositivo connesso ad una rete informatica che utilizza l’Internet Protocol.

I sistemi di controllo industriale includono: sistemi di controllo di supervisione e acquisizione dei dati (Supervisory Control and Data Acquisition-SCADA), sistemi di controllo distribuiti (Distributed Control Systems-DCS) e controllori a logica programmabile (Programmable Logic Controller-PLC), impiegati usualmente negli impianti industriali.

Information Technology (tecnologia dell’informazione), ossia l’insieme di tutte le tecnologie che afferiscono al trattamento dell’informazione, normalmente inteso come trattamento digitale dell’informazione.

Tecniche di manipolazione psicologica affinché l’utente compia determinate azioni o riveli informazioni sensibili come, ad esempio, credenziali di accesso a sistemi informatici.

Soggetto pubblico o privato che fornisce servizi di connessione e accesso a Internet.

Neologismo riferito all’interconnessione di oggetti e dispositivi in grado di trasmettere e ricevere dati su una rete, offrendo un nuovo livello di interazione e di controllo a distanza dei dispositivi. I campi di impiego sono molteplici: dalle applicazioni industriali (processi produttivi), alla logistica e all’infomobilità, dall’efficienza energetica all’assistenza remota, dalla tutela ambientale alla domotica.

Porzione principale del sistema operativo che governa l’esecuzione dei processi e consente loro di interfacciarsi con l’hardware del dispositivo.

Strumento hardware o software che consente di intercettare e memorizzare segretamente tutto ciò che viene digitato sulla tastiera da parte di un ignaro utente vittima.

Pagina web che i visitatori visualizzano (in cui, appunto, “atterrano”) in seguito all’interazione con un link.

Abbreviazione dell’inglese “Hyperlink”, in italiano “collegamento ipertestuale”, è un elemento presente in una pagina web interagendo col quale si è indirizzati verso un altro elemento informativo (pagine web, documenti, contenuti multimediali, etc.).

Procedura di autenticazione per l’accesso ad un sistema informatico o ad una applicazione. Il termine proviene dalla contrazione di “log in”, ovvero l’annotazione di un accesso nel registro cronologico degli eventi, tipico di un sistema informatico.

Codice di 48 bit tipicamente rappresentato con 12 cifre esadecimali, assegnato univocamente a ogni interfaccia di rete.

Attacco basato sulla modifica software del MAC address volta ad esempio a impersonificare altre interfacce di rete ed eludere i controlli basati su questa informazione. Può essere utilizzato inoltre per dirottare il traffico indirizzato a un host in un attacco Man In The Middle.

Sequenza di comandi utilizzata per svolgere automaticamente operazioni ripetitive. Può essere utilizzata in maniera malevola per incorporare codice indesiderato.

Acronimo di malicious spam. Email di spam inviata per infettare la vittima attraverso malware veicolato tramite file allegati o link che portano l’utente verso siti malevoli.

Contrazione di malicious software. Programma inserito in un sistema informatico, generalmente in modo abusivo e occulto, con l’intenzione di compromettere la riservatezza, l’integrità o la disponibilità dei dati, delle applicazioni o dei sistemi operativi dell’obiettivo.

Che cos’è?
Man-in-The-Middle (MiTM) è una tipologia di attacco informatico in cui l’attaccante si introduce nella comunicazione tra la vittima e il server con il quale quest’ultima sta cercando di dialogare. Lo scopo è quello di carpire o alterare le informazioni trasmesse.
Cos’è tecnicamente?
Sfruttando una falla insita nel sistema o direttamente nel router, un attaccante potrà installare appositi software in grado di intercettare o modificare le comunicazioni compromettendo di fatto la connessione tra client e server. Esistono diverse varianti di questa tipologia di attacco tra cui Man-in-the-IoT, Man-in-the-Mobile e la più nota Man-in-the-browser, una tecnica ampiamente utilizzata dai malware bancari.

Perché è rilevante?
Un attacco di tipo MiTM può comportare serie problematiche di sicurezza relativamente all’esfiltrazione di informazioni sensibili come le pagine web navigate, le credenziali di accesso ai sistemi, numeri di conto correnti e carte di credito, fino a compromettere la sicurezza delle transazioni.

Come mi difendo?
Utilizzando software che consente di cifrare le comunicazioni tra i due interlocutori (client e server ad esempio).
Evitando di connettersi a tutte le linee WI-Fi aperte, in ogni caso è sempre utile navigare le pagine in HTTPS ad esempio utilizzando una apposita estensione come HTTPS Everywhere disponibile per i browser più noti.
Come si rimedia?
Un attacco bene architettato è difficile da individuare, soprattutto perchè i target più appetibili sono quasi sempre router o server. Si consiglia pertanto di accertarsi che le pagine visitate utilizzino il protocollo https, di non proseguire con la navigazione quando le pagine web visualizzano il messaggio di problemi legati al certificato di sicurezza e naturalmente mantenere aggiornato antivirus e sistema operativo per evitare che potenziali attaccanti possano sfruttare falle già note.

Espressione impiegata per indicare l’insieme delle condotte controindicate che possono essere realizzate nel e tramite il cyber-space ovvero in danno di quest’ultimo e dei suoi elementi costitutivi. Si sostanzia in attacchi cibernetici: azioni di singoli individui o organizzazioni, statuali e non, finalizzate a distruggere, danneggiare o ostacolare il regolare funzionamento dei sistemi e delle reti e/o dei sistemi attuatori di processo da essi controllati, ovvero a violare l’integrità e la riservatezza di dati/informazioni.

Portmanteau del vocabolo inglese “network” (rete) e il francese “étiquette” (buona educazione). Indica un insieme di regole informali che disciplinano il buon comportamento degli utenti nella rete, specie all’interno di risorse web come forum, blog o social network, nel cui ambito si sviluppa un elevato livello di interazioni fra i partecipanti.

Tipo di software in cui il codice sorgente è rilasciato sotto una licenza che consente a terzi di studiare, modificare e distribuire il software a chiunque e per qualsiasi scopo.

Componente software dedicata alla configurazione, coordinamento e gestione automatizzata di sistemi software. Grazie all'orchestrator, i flussi di lavoro vengono elaborati nell'ambito di un workflow unitario.

Debolezza di un software che, se sfruttata, permette la lettura di dati al di fuori del buffer, permettendo ad un attaccante di leggere informazioni sensibili memorizzate in altre posizioni della memoria o causare un crash del sistema.

Debolezza di un software che, se sfruttata, permette la scrittura di dati al di fuori dei limiti del buffer, portando tipicamente alla corruzione del dato o a un crash del sistema o all’esecuzione di codice.

Sequenza di caratteri alfanumerici il cui impiego consente l’accesso esclusivo ad una risorsa informatica (sistema, applicativo, ecc.).

Software sviluppato per eliminare o mitigare vulnerabilità di sicurezza e altri bug generici dal software per la quale è stata sviluppata.

Paradigma di comunicazione che, a differenza della struttura client-server, non prevede gerarchie tra i nodi ovvero tutti i partecipanti alla comunicazione possono indifferentemente agire come richiedenti o fornitori di dati e applicazioni. Le prime reti P2P hanno acquisito notevole successo specie nelle applicazioni di file sharing.

Insieme delle attività volte a valutare la robustezza di un sistema informatico o di una rete rispetto a potenziali attacchi cyber. Si avvale di strumenti e tecniche volte a verificare l’effettiva possibilità di sfruttare eventuali vulnerabilità presenti nel sistema per penetrare nello stesso, caratteristica questa che lo contrappone a tecniche che si limitano a rilevare la presenza di vulnerabilità senza tentare di sfruttarle.

Attacco informatico avente, generalmente, l’obiettivo di carpire informazioni sensibili (userid, password, numeri di carte di credito, PIN) con l’invio di false email generiche a un gran numero di indirizzi. Le email sono congegnate per convincere i destinatari ad aprire un allegato o ad accedere a siti web fake. Il phisher utilizza i dati carpiti per acquistare beni, trasferire somme di denaro o anche solo come “ponte” per ulteriori attacchi.

Programma non autonomo che vive nell’ambito di un altro software con lo scopo di ampliarne le funzionalità.

Privilege Escalation – Vertical Privilege Escalation – Horizontal Privilege Escalation
Uso di una vulnerabilità (quale un errore di progettazione o di configurazione di un software applicativo e/o del sistema operativo) al fine di acquisire l’accesso a risorse della macchina riservato a utenti con privilegi superiori. Nel caso in cui un utente o un’applicazione acceda a funzioni, autorizzazioni e privilegi più alti di quelli assegnati quali ad esempio la possibilità di revocare o modificare i privilegi di altri utenti si parla di Vertical Privilege Escalation. Si definisce invece Horizontal Privilege Escalation il caso in cui un utente con gli stessi livelli di autorizzazione di altri utenti, ma con diritti di accesso ad aree e funzionalità differenti, guadagna accesso ad aree e funzionalità per le quali non è autorizzato.

Dimostrazione dell'idea o del metodo utilizzati per identificare la presenza e/o lo sfruttamento di una vulnerabilità software o hardware. Le vulnerabilità assumono una pericolosità maggiore quando viene resa pubblica una PoC poiché da quel momento ne risulta più semplice e immediato lo sfruttamento.

Server che funge da intermediario tra le richieste di un client e il server finale destinatario delle richieste. E’ impiegato all’interno di reti complesse con diverse finalità, per migliorare l’efficienza nell’erogazione dei servizi e nei livelli di sicurezza.

Codice a barre bidimensionale (o codice 2D), ossia a matrice, impiegato per memorizzare una quantità limitata di informazioni, generalmente decodificata attraverso dispositivi mobili. Nell’uso più comune, il contenuto del QR Code, una volta decodificato, è costituito da un Uniform Resource Locator (URL), che consente di accedere ad una risorsa web.

Malware che cripta i file presenti sul computer della vittima, richiedendo il pagamento di un riscatto per la relativa decrittazione. I ransomware sono, nella maggioranza dei casi, dei trojan diffusi tramite siti web malevoli o compromessi, ovvero per mezzo della posta elettronica. Questi si presentano come allegati apparentemente innocui (come, ad esempio, file PDF) provenienti da mittenti legittimi (soggetti istituzionali o privati). Tale elemento induce gli ignari utenti ad aprire l’allegato, il quale riporta come oggetto diciture che richiamano fatture, bollette, ingiunzioni di pagamento ed altri oggetti similari.

Vulnerabilità che permette a un attaccante di eseguire, da remoto, codice e comandi arbitrari su una macchina.

Letteralmente “ingegneria inversa”, consiste nell’analisi approfondita di un oggetto esistente (dispositivo, software, meccanismo, ecc.) per comprenderne funzionamento e progettazione, al fine di riprodurre un oggetto analogo ovvero estrarne informazioni utili per altri fini (ad esempio, comprendere chi lo ha realizzato, a quale scopo, ecc.).

Collezione di software, perlopiù malevoli, che permettono ad un attore ostile di accedere abusivamente ad un sistema informatico o a parte di esso, eludendo le protezioni di sicurezza e celando la propria presenza in modo tale da persistere nel corso del tempo.

Sistema informatico, utilizzato principalmente in ambito industriale, per la supervisione, il controllo e l’acquisizione di dati relativi a sistemi fisici in un processo continuo e ciclico. La supervisione è la funzione con cui si può osservare lo stato attuale del processo controllato e stimare l’evoluzione degli stati futuri. Il controllo è la capacità per cui il sistema può prendere decisioni sull’evoluzione dello stato del processo controllato. L’acquisizione dati supporta le precedenti funzioni, relazionando il sistema osservato con il processo controllato. Lo specifico ambito di applicazione di tali sistemi, risiede nei Sistemi di Controllo Industriale (Industrial Control Systems – ICSs) come i sistemi impiegati per il monitoraggio ed il controllo di impianti e dispositivi in settori quali il controllo del traffico (aereo, ferroviario, stradale), della gestione dei sistemi di trasporto dei fluidi (acquedotti, gasdotti, oleodotti, ecc.), della distribuzione dell’energia elettrica, della gestione delle linee di produzione che realizzano i processi industriali, e del telerilevamento ambientale.

Tecnica mirata a colpire applicazioni web che si appoggiano su database accessibili con linguaggio SQL, tramite lo sfruttamento di vulnerabilità quali l’inefficienza dei controlli sui dati ricevuti in input e l’inserimento di codice malevolo all’interno delle interrogazioni (query). Tali attacchi consentono – in taluni casi – persino di accedere alle funzioni di amministrazione del sistema, oltre che di sottrarre o alterare i dati.

Termine utilizzato in maniera dispregiativa per indicare individui con scarse abilità informatiche, che utilizzano codice/ script software realizzati da altri per effettuare intrusioni informatiche o azioni dimostrative, al fine di accrescere la propria reputazione all’interno di determinate comunità.

Centro che fornisce servizi finalizzati alla sicurezza dei sistemi informativi di un’azienda (SOC interno) o di clienti esterni con lo scopo di identificare, correlare, gestire ed eventualmente rispondere ad eventuali eventi di sicurezza informatica.

Interfaccia offerta dal sistema operativo che permette l’esecuzione di comandi all’utente. Possono essere esclusivamente testuali (come Bash o il Prompt dei Comandi) oppure dotate di interfaccia grafica, come il Finder del MAC OS oppure Esplora Risorse di Microsoft Windows.

Software in grado di leggere ed eventualmente trascrivere o replicare il traffico che attraversa un’interfaccia di rete. Può essere usato sia con intenti benigni (es. attività di monitoraggio), che malevoli per cercare di ottenere informazioni sensibili.

In informatica e telecomunicazioni, si indica con tale termine l’attività di intercettazione passiva del traffico dati all’interno di una rete telematica tramite specifici strumenti software definiti “sniffer”.

Invio indiscriminato e ripetuto di messaggi di comunicazione elettronica verso indirizzi generici e non verificati, perlopiù con finalità commerciali. Le comunicazioni inviate con simili modalità vengono definite spam.

Sottocategoria del phishing, è un attacco informatico contro target di specifico interesse che prevede l’invio di un messaggio da un account di posta elettronica apparentemente noto alla vittima, con l’intento di carpire dalla stessa informazioni sensibili, ovvero indurla ad aprire/scaricare allegati o link malevoli. Allo spear-phishing sono associate tecniche di ingegneria sociale, tra cui il monitoraggio delle relazioni e delle abitudini sui social media del soggetto d’interesse.

Tipologia di attacco informatico impiegata per falsificare (dall’inglese to spoof) diversi tipi di informazione come, ad esempio, il mittente di un messaggio, così da trarre in inganno il destinatario, facendogli credere che provengano da soggetti noti, attendibili o che non generino sospetti. Tale tipologia di attacco fa solitamente leva su tecniche di ingegneria sociale.

Software malevolo in grado di “spiare” la vittima, in grado di raccogliere dati di varia natura (password, PIN, numero di carta di credito, dati di navigazione, ecc.) da computer e dispositivi e di trasmetterli successivamente a terze parti interessate al loro sfruttamento. La rilevazione degli spyware è spesso resa difficoltosa da tecniche di occultamento utilizzate dagli autori del software in fase di programmazione.

Archivio digitale (repository) da cui è possibile scaricare applicazioni e altri contenuti multimediali. I due principali store digitali per dispositivi mobili sono App Store di Apple ed il Play Store di Google.

Etichetta, utilizzata prevalentemente in ambito logistico, per l’identificazione di oggetti/beni/persone tramite tecnologia con identificazione a radiofrequenza (Radio Frequency Identification-RFId), in grado di memorizzare autonomamente dati e informazioni. Il tag RFId è dotato di un transponder interno che può, alternativamente, restituire informazioni a uno specifico lettore/terminale impiegato per la sua interrogazione (modalità passiva) o trasmettere costantemente un segnale contenente le informazioni (modalità attiva).

Dispositivo elettronico fisico utilizzato per generare One Time Password (OTP) ovvero password temporanee utili per effettuare un’autenticazione, tipicamente a più fattori (vedasi “Autenticazione a più Fattori”). Tale dispositivo può essere anche di tipo software dove la generazione dell’OTP avviene direttamente tramite specifiche applicazioni per dispositivi mobili.

Protocollo utilizzato per lo scambio di informazioni al fine di garantire la diffusione delle stesse in modo controllato.
Maggiori informazioni sulle versioni del protocollo sono disponibili alle seguenti pagine:
TLP v1.0
TLP v2.0

Tipologia di malware che cela le proprie funzionalità (ad es. accesso non autorizzato, furto di credenziali, sabotaggio del sistema target) all’interno di un software legittimo (il nome deriva dal mitico Cavallo di Troia). A tale attacco sono spesso associate tecniche di ingegneria sociale, che inducono il target a scaricare/installare il software contenente il trojan.

Nell’ambito delle comunità virtuali, il termine troll indica un utente caratterizzato da un comportamento online aggressivo e provocatorio, ovvero utilizzato per la propagazione di narrative particolarmente divisive e polarizzanti. Il troll è un account fittizio riconducibile ad un umano e differisce dal bot, con il quale si identifica, invece, un utente/ profilo fake automatizzato.

Conosciuto anche come “bitsquatting”. Tecnica di attacco che prevede la realizzazione di una pagina web fittizia, sulla quale far “atterrare” l’utente target, tramite la registrazione di un dominio dal nome molto simile a quello di altro dominio web noto. La differenza è di solito minima e concepita in maniera tale da non essere graficamente distinguibile dall’utente (ad esempio, la “l” minuscola è spesso sostituita dal numero “1”).

Acronimo di Uniform Resource Locator. Stringa di caratteri alfanumerici che identifica in maniera univoca l’indirizzo web di una risorsa in Internet.

Termine che si riferisce a comunità virtuali frequentate da soggetti (ad es. esempio hacker, hacktivist, ecc.) interessati all’acquisto o la condivisione di strumenti informatici da utilizzare per finalità illecite.

In informatica, username indica una combinazione di caratteri alfanumerici con cui si identifica in maniera univoca l’utente di una determinata applicazione o dispositivo, per il cui utilizzo è richiesta l’autenticazione in fase di accesso.

Tipologia di malware capace, una volta attivato, di danneggiare documenti e file eseguibili. Il virus è caratterizzato dalla presenza di istruzioni che ne consentono la replicazione e la conseguente diffusione, che avviene durante il trasferimento del file infetto da un computer a un altro. Si differenzia dal worm, che è in grado di propagarsi autonomamente mediante diffusione dentro reti di computer o tramite email.

Insieme di protocolli di comunicazione che consente di effettuare conversazioni telefoniche sfruttando la connettività di una rete a commutazione di pacchetto che utilizzi il protocollo IP.

Attività volta a rilevare l’esposizione di vulnerabilità in un sistema informatico.

Le vulnerabilità possono essere sia organizzative che tecniche, spesso in combinazione tra loro. Le vulnerabilità organizzative e di processo sono riconducibili alla mancata o non corretta definizione o implementazione di misure di sicurezza volte alla tutela della riservatezza, integrità e disponibilità delle informazioni. Le vulnerabilità tecniche, invece, sono dovute a falle di sicurezza del software applicativo, del firmware, dell’hardware ovvero dei protocolli di comunicazione, dovuti principalmente a bug o non corrette configurazioni. Entrambi i tipi di vulnerabilità possono essere sfruttati da attaccanti per effettuare azioni malevole.

Attacco condotto contro un sito web e consistente nel modificare i contenuti riportati nella home-page e/o delle sottopagine del sito. Tale tecnica è spesso utilizzata in ambito hacktivism a fini di propaganda/discredito.

Utente con privilegi di amministrazione a cui è affidata la gestione dei servizi necessari relativi ad un sito web (mantenimento dell’operatività, risoluzione di problematiche tecniche, rinnovo contratto di hosting, ecc.).

Non tutti gli hacker si connotano per l’illiceità delle loro motivazioni. Non a caso, tali individui sono metaforicamente categorizzati per il colore del capello (hat) che indossano. I white hat, conosciuti anche come “ethical hackers”, sono individui che tentano la violazione di sistemi e applicazioni a fini di ricerca e condividono le vulnerabilità scoperte con la comunità infosec, spesso ingaggiati dagli stessi proprietari dei servizi che tentano di violare. I black hat sono individui spinti esclusivamente da motivazioni personali e finanziarie, spesso autori di malware ed exploit per la violazione dei sistemi; infine, i grey hat sono gli hacker che, una volta rilevata una vulnerabilità, la segnalano al produttore della tecnologia oggetto di analisi, tentando di ottenere in cambio un piccolo compenso ma escludendo ogni azione malevola o compravendita nel caso in cui tale richiesta non venisse soddisfatta.

In informatica e telecomunicazioni, il termine wireless si riferisce a una modalità di comunicazione basata su radiofrequenza e che avviene, quindi, senza l’impiego di cavi. Per estensione, si definiscono wireless anche quei dispositivi/ terminali che sfruttano tale modalità di connessione e le reti così implementate, in assenza di cavi.

Metodo o processo che consente di aggirare un problema (es. una vulnerabilità), senza tuttavia eliminarlo, spesso impiegato come espediente temporaneo. Si rende necessario per risolvere una problematica nel caso in cui, ad esempio, il produttore di un software vulnerabile non abbia ancora reso disponibile l’aggiornamento che corregge una falla di sicurezza, quando un’eventuale patch non sia applicabile a causa di requisiti di continuità di funzionamento o non ne sia previsto il rilascio in quanto riferita a un componente non più supportato.

Sistema informatico che consente la navigazione di documenti e altre risorse online, identificate tramite URL e contenente collegamenti ipertestuali. Accessibile tramite la rete Internet per mezzo di specifiche applicazioni software (cd. web browser).

Acronimo di Cross Site Scripting. Denota una vulnerabilità che permette a terzi di alterare le funzionalità di un sito web.

Nel gergo informatico, si intendono con zero-day (o 0-day) vulnerabilità riferite a sistemi, apparati e applicazioni non ancora note al produttore della tecnologia. La gravità degli zero-day è costituita dall’assenza di aggiornamenti software a fini di mitigazione (cd. patching). Proprio tali caratteristiche rendono gli zero-day oggetto di compravendite illecite da parte di soggetti intenzionati a sfruttarli per finalità intrusive.