Identità fittizia, soprannome, immagine virtuale in rete.

Metodo di autenticazione in cui l’utente deve fornire più di un fattore per qualificare la propria identità e ottenere quindi l’accesso a una risorsa. Esempi di tali fattori sono: qualcosa che solo l’utente conosce (tipicamente una password), o qualcosa che possiede (come una smart card o un token che genera una One Time Password), o che lo caratterizza a livello biometrico (impronta digitale, volto, iride ecc.). L’autenticazione a più fattori riduce il rischio di violazioni e furti di identità, poiché un attaccante deve ottenere tutti i fattori che il processo di autenticazione richiede per accedere alla risorsa.

Termine  che  identifica  l’attribuzione  di  un  attacco  cyber  come,  ad  esempio,  una campagna di cyber-spionaggio, ad un determinato attore ostile.

Tecnica di brute force verso un cifrario o sistema di autenticazione, in cui l’attaccante impiega un “dizionario”, ossia un insieme predefinito di stringhe aventi un’alta probabilità di successo. Solitamente i dizionari sono composti da un elenco di parole o stringhe di uso comune. Al fine di contrastare tale attacco, è consigliabile non utilizzare password ampiamente diffuse o già utilizzate altrove per chiavi crittografiche o credenziali di accesso.

Attacco informatico che mira a compromettere la disponibilità di un sistema mediante esaurimento delle sue risorse di rete, elaborazione o memoria. Nella versione distribuita (DDoS) l’attacco proviene da un gran numero di dispositivi ed è diretto verso un target. Le botnet sono uno strumento per condurre un attacco DDoS.

Disciplina  che  si occupa  dello  studio  di  funzioni  tipiche  dell’intelligenza  umana  e  della  loro  possibile replicazione mediante metodi e strumenti informatici.

Detto anche code injection, differisce dal command injection in quanto consente a un utente malintenzionato di aggiungere arbitrariamente porzioni di codice malevolo che verrà successivamente eseguito dall'applicazione

Software che riconosce la presenza di virus informatici nei file e nelle memorie di massa e cerca di rimuoverli o di neutralizzarli.

Procedimento   che   consente   la   risoluzione   di   problemi   di   carattere   logico   e matematico, o pratico.

Contrazione di advertisement (“pubblicità”) e software. Definisce un tipo di applicativo progettato principalmente per mostrare all’utente pubblicità, spesso indesiderata e/o molesta. Può essere usato anche come vettore di minacce più gravi (es. spyware)

Dispositivo che permette la connessione di periferiche dotate di funzionalità wireless ad una rete cablata.

Minaccia  consistente  in  un  attacco  mirato,  volto  ad installare  una  serie  di malware  all’interno  delle  reti  bersaglio,  al  fine  di  riuscire  a mantenere  attivi  i  canali  impiegati  per  la  fuoriuscita  di  informazioni  pregiate  dalle infrastrutture IT del target.

Root  in  inglese  significa  “radice”,  è  utilizzato  nei  sistemi  operativi  per  indicare l’utente che ha i diritti di amministratore. L'utente con il permesso di “Accesso Root” è dunque l'utente che dispone del massimo controllo sul sistema, ed è il solo che può compiere operazioni non consentite ad altri utenti standard.

Insieme di policy interne ad un’organizzazione, sia essa pubblica o privata, volte a regolare l’impiego di dispositivi digitali personali all’interno della stessa, da parte dei relativi dipendenti.

Errore in una procedura informatica.

Condizione di errore che si verifica quando in una porzione di memoria di una data dimensione (buffer) è possibile scrivere dati di dimensioni maggiori a causa di un errore di sviluppo del software o di insufficienti controlli da parte del sistema operativo. La scrittura al di fuori dei limiti del blocco di memoria (overflow) può alterare i dati di un processo, arrestare programmi o permettere l'esecuzione di codice malevolo.

Metodo di risoluzione di un problema dato mediante l’impiego di un algoritmo che consiste nel verificare tutte le soluzioni teoricamente possibili fino a quando non si trovi quella effettivamente corretta. Nell’ambito informatico, questo metodo si utilizza soprattutto per individuare le password di accesso a un sistema.

Rete di computer utilizzata per attacchi da remoto, o per altre finalità, formata da computer infetti (bot o zombie) che, all’insaputa dei legittimi utenti, sono controllati da un utente malevolo (botmaster)

Programmi che sono in grado di riprodurre il comportamento umano on-line come, ad esempio, popolare un profilo social ed inviare messaggi in una chat.

Tecnologia che permette di realizzare un registro distribuito nel quale è possibile inserire transazioni senza che queste siano validate da una terza parte fidata. Rappresenta la tecnologia base per lo sviluppo di numerose applicazioni, quali ad esempio le criptovalute.

Salvataggio, totale o parziale, dei contenuti di una memoria.

Letteralmente “porta di servizio” collocata sul retro di un edificio. Viene chiamato così un canale occulto che consente l’accesso ad un sistema informatico eludendo la normale procedura di autenticazione. In alcuni casi, i produttori di sistemi hardware e software possono attivare canali di accesso di servizio ai propri sistemi per agevolare lo svolgimento di operazioni tecniche.

Situazione in cui un incidente cyber assume dimensioni, intensità o natura tali da incidere sulla sicurezza nazionale o da non poter essere fronteggiato dalle singole Amministrazioni competenti in via ordinaria, ma attraverso l’assunzione di decisioni coordinate in sede interministeriale.

In caso di crisi cibernetica nazionale, viene attivato il Nucleo per la Cybersicurezza (NSC).

L’insieme delle operazioni militari condotte nel e tramite il cyberspace per infliggere danni all’avversario, statuale o non, consistenti – tra l’altro – nell’impedirgli l’utilizzo efficace di sistemi, armi e strumenti informatici o comunque di infrastrutture e processi da questi controllati. Include anche attività di difesa e “capacitanti” (volte cioè a garantirsi la disponibilità e l’uso del cyberspace).

Insieme delle infrastrutture informatiche interconnesse, comprensivo di hardware, software, dati ed utenti nonché delle relazioni logiche, comunque stabilite, tra di essi.

Insieme delle misure - fisiche, logiche e procedurali - finalizzate a garantire riservatezza, integrità e disponibilità delle informazioni elaborate tramite sistemi informatici.

L’insieme della dottrina, dell’organizzazione e delle attività volte a prevenire, rilevare, limitare e contrastare gli effetti degli attacchi condotti nel e tramite il cyberspace ovvero in danno di uno o più dei  suoi elementi costitutivi.

Azioni illecite condotte in danno di sistemi informatici o attraverso l’utilizzo abusivo degli stessi, le cui condotte sono punite dal codice penale.

Manifestazione digitale di un fenomeno più ampio conosciuto come bullismo. Quest’ultimo è caratterizzato da azioni violente e intimidatorie esercitate da un singolo o da un gruppo su una vittima. Le azioni possono essere molestie verbali, aggressioni fisiche e vessazioni, generalmente attuate in ambiente scolastico. Oggi la tecnologia consente ai bulli di aggredire le vittime anche a distanza, perseguitandole in ogni momento della loro vita con messaggi, immagini, video offensivi inviati tramite smartphone o pubblicati su siti web e su social media. Il bullismo diventa, quindi, cyberbullismo, ossia insieme di azioni aggressive e intenzionali di una singola persona o di un gruppo realizzate mediante strumenti elettronici.

Azione ostile finalizzata a danneggiare la riservatezza, l’integrità e la disponibilità di dati memorizzati o elaborati da sistemi informatici.

Processo relativo alla produzione di crypto moneta. Il crypto-mining utilizza la potenza di elaborazione dei computer al fine di risolvere complessi problemi matematici per ottenere una ricompensa nella relativa valuta. I criminali informatici utilizzano malware di cryptomining per utilizzare la potenza di elaborazione delle vittime a loro insaputa.

Paradigma crittografico caratterizzato dalla presenza di un’unica chiave che viene usata sia per cifrare sia per decifrare i messaggi. La sicurezza dei messaggi scambiati dipende dalla segretezza della chiave, la quale deve essere a conoscenza soltanto delle parti che vogliono comunicare in modo privato.

Tecnica  che  permette  di  nascondere  il  contenuto  di  un  messaggio.  Ciò  in  modo  che esso  possa  essere  correttamente  compreso  solo  da  chi  ne  possiede  la  chiave  di decifrazione.

Sistemi finanziari digitali che sfruttano tecniche crittografiche per la validazione delle transazioni.

Prestare  attenzione  in  maniera  peculiare,  piena  conoscenza  e  capacità  di  utilizzo  e gestione  delle  tecnologie  IT  e  dei  social  media.

Lista di vulnerabilità di cybersecurity note, ognuna contenente un identificativo univoco, una descrizione e almeno un riferimento/link pubblico.

La lista, mantenuta dal Mitre (https://cve.mitre.org/), viene utilizzata in numerosi prodotti e servizi, tra i quali il National Vulnerability Database (NVD) del NIST (https://nvd.nist.gov/), il quale assegna a ogni CVE uno score di gravità basandosi su uno standard chiamato CVSS (Common Vulnerability Scoring System).

Attacco il cui obiettivo è l'esecuzione indiscriminata di comandi su un host tramite una applicazione vulnerabile. Questo attacco risulta possibile quando un'applicazione trasmette dati non sicuri forniti dall'utente (forms, cookies, HTTP headers etc.) ad una shell di sistema. In pratica,  l'attaccante estende le funzionalità predefinite dell'applicazione, che esegue i comandi di sistema, senza la necessità di inserire ulteriore codice.

Il  codice  sorgente  o  semplicemente  sorgente  è  il  testo  di  un  algoritmo    scritto  dal programmatore  in  un  qualsiasi  linguaggio  di  programmazione.  Si  chiama  sorgente perché è da qui che si parte per ottenere il programma o l’app desiderata.

Si parla di codice malevolo per indicare una serie di dati che rappresentano istruzioni potenzialmente dannose.

Si parla di codice per indicare dati che rappresentano istruzioni che un computer può eseguire. Tutto  ciò  che  viene  eseguito  da  un  computer  o  da  uno  smartphone,  ad esempio un’app, è composta da codice.

Vds. Arbitrary Command Injection.

Paradigma di erogazione di risorse informatiche on demand, a partire da un insieme di risorse preesistenti disponibili da remoto.

Furto e/o compravendita di informazioni sottratte illecitamente relative a carte di credito e di debito.

Infrastruttura remota in grado di impartire comandi, monitorare, ricevere e inviare dati dalle componenti malware distribuite nei dispositivi o sistemi infetti.

Rappresenta l’elenco di modifiche effettuate da uno sviluppatore nell’aggiornare un software.

Con il termine Defacing (in italiano con defacciare) si intende la modifica illecita della home page di un sito web (la sua “faccia”) o la sostituzione di una o più pagine interne. Questo tipo di attacco, viene eseguito all’insaputa di chi gestisce il sito ed è illegale in tutti i paesi del mondo.

Perché è rilevante?

Un sito che è stato oggetto di un deface vede sostituita la propria pagina principale e/o altre pagine interne con una schermata che indica l’azione compiuta da uno o più cracker. Di conseguenza questo attacco, oltre a comportare potenzialmente l’interruzione di uno o più servizi, può creare danni all’immagine di una società o ente pubblico.

Come mi difendo?

Mantenendo aggiornato tutto il software presente sul server web. In particolare applicare regolarmente le patch di sicurezza sul sistema operativo e http server.

Cos’è tecnicamente?

Per ottenere i permessi di accesso in scrittura al sito gli attaccanti sfruttano solitamente le vulnerabilità presenti nel software di gestione del sito oppure nei sistemi operativi sottostanti. Più raramente vengono utilizzate tecniche di ingegneria sociale.

Come si rimedia?

Si eliminano i contenuti indebitamente inseriti, quindi si applicano le patch di sicurezza e gli aggiornamenti sui sistemi. Particolare attenzione andrà posta all’aggiornamento del CMS (Contenent management system) e di tutti i suoi plugin.

Attività volta a ottenere qualunque tipo di informazione sensibile nel materiale dismesso di un’organizzazione (come dispositivi di memorizzazione e documenti gettati nei rifiuti senza i necessari accorgimenti).

Deriva dall’inglese “documents”, abbreviato in “dox”, ed è la pratica di diffondere pubblicamente online le informazioni private e sensibili di una persona.

Sistema gerarchico utilizzato per semplificare l’accesso alle risorse Internet convertendo i nomi mnemonici, facilmente utilizzabili dagli utenti, ad esempio csirt.gov.it, in indirizzi IP, utilizzati dalle macchine per lo scambio dei dati.

Diffusione di notizie infondate o distorte al fine di danneggiare l’immagine pubblica di un avversario e/o di influenzarne le scelte.

Lista allegata a un oggetto in Active Directory (il servizio di directory del sistema operativo Microsoft Windows Server) che specifica quali utenti e gruppi possono accedervi e con quali privilegi.

Una DLL è un file che contiene codice e dati utilizzabili da più di un programma contemporaneamente.

Porzione di Internet che non viene indicizzata dai tradizionali motori di ricerca.

Violazione dei dati: nel campo della sicurezza informatica si riferisce alla violazione della sicurezza dei dati, che può avvenire per errore o intenzionalmente, mediante la distruzione, la perdita, la modifica, la divulgazione o l’accesso ai dati personali di uno o più persone.

Contenuti del web nelle darknet (reti oscure) che possono essere raggiunti esclusivamente con software specifici.

Noto  anche  come  DNS  Cache  Poisoning,  è  la  compromissione  di  un  server  Domain Name  System  (DNS)  comportante  la  sostituzione  dell’indirizzo  di  un  sito  legittimo con quello di un altro sito, ad esempio, infettato dall’attaccante.

Termine che si riferisce sia ad un mezzo informatico (in genere software) impiegato per lo sfruttamento di vulnerabilità di un sistema al fine di accedervi abusivamente o porre in essere azioni malevoli e sia alla vulnerabilità stessa.

L'EPSS (Exploit Predicion Scoring System - https://www.first.org/epss/), è un valore aggiornato quotidianamente dal FIRST che fornisce un’indicazione della probabilità che una vulnerabilità venga sfruttata.

Nell’ambito dei Social Media si identifica come follower – “seguace” – chiunque abbia deciso di “seguire” un determinato utente, visualizzandone tutte le comunicazioni.

Deriva dal termine inglese “flame”, fiamma. Nel gergo di Internet è chi “infiamma” le discussioni online provocando discordia.

Firmware deriva da “firm” e “software”, ovvero componente software permanente, ed è un insieme di istruzioni integrate direttamente in un componente elettronico programmato, che consentono ad un dispositivo di avviarsi e di interagire con altri dispositivi. Pur trattandosi di istruzioni permanenti, i dispositivi moderni permettono l'aggiornamento del firmware.

Metodo basato su funzioni matematiche che consente di associare a qualunque tipo di informazione una firma tramite la quale è possibile verificare l’autenticità dell’autore, l’integrità del messaggio e il non ripudio del messaggio da parte dell’originatore.

Sistema di sicurezza perimetrale (ossia collocato nel punto in cui due reti entrano in contatto, tipicamente posto tra la rete esterna e quella interna ad una organizzazione) che protegge i dispositivi dislocati a valle del firewall da accessi non consentiti.

Una categoria di software malevolo in grado di ottenere l’esecuzione sul sistema infetto senza lasciare esplicita traccia di sé o di artefatti specifici e file eseguibili sulle periferiche di archiviazione della macchina stessa.

La sicurezza di un sistema informatico dipende da un insieme di fattori, tecnici e non. Tra questi rientra il “Fattore Umano”, che fa riferimento al comportamento di chi utilizza e gestisce il sistema stesso. Le persone, infatti, oltre a commettere errori in buona fede, possono essere influenzate da attori ostili, al fine di compiere azioni in grado di incidere sulla sicurezza del sistema informatico. In tema di difesa da azioni malevole, l’adozione e il rispetto di buone norme di condotta da parte di individui o di organizzazioni è un aspetto cruciale per prevenire o attenuare le  conseguenze di attacchi che fanno leva sul fattore umano.

Si tratta di operazioni generalmente condotte nello spazio cibernetico che vengono poste in essere utilizzando cautele e tecniche tali da indurre il target a ritenere che le stesse siano riconducibili ad un attore diverso da quello che ha condotto l’attacco.

File Transfer Protocol: protocollo Internet utilizzato per l’upload e il download di file.

A partire dal 25 maggio 2018 è direttamente applicabile in tutti gli Stati europei il regolamento UE 2016/679 – noto come GDPR – relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione di dati personali.

Dispositivo che collega due reti informatiche. Viene utilizzato principalmente per veicolare pacchetti di rete all’esterno di una rete locale.

Famiglia di sistemi operativi di tipo UNIX-like aventi la caratteristica comune di utilizzare come nucleo il kernel Linux associato alla componentistica software GNU, ottenendo un sistema operativo completo impiegando esclusivamente software libero.

Servizio che permette l’installazione di servizi raggiungibili da Internet come ad esempio web server per ospitare le pagine di un sito web (web hosting).

Dispositivi, fisici o virtuali, raggiungibili tramite i collegamenti di una rete.

Sistema appositamente configurato in modo da apparire a un attaccante come un obiettivo appetibile (e spesso vulnerabile). Rappresenta una sorta di trappola per gli attaccanti e può essere utilizzato con diverse finalità, quali, ad esempio, rilevare attacchi in atto prima che questi possano raggiungere obiettivi sensibili (i veri asset che si vogliono proteggere), distrarre e rallentare l’attaccante concentrando la sua attenzione e le sue risorse verso un falso obiettivo, monitorare e analizzare gli attacchi verso specifiche tipologie di sistemi o dispositivi, comprendere le tecniche, le tattiche e le procedure utilizzate dall’attaccante.

Attacco informatico che consente attraverso l’ottenimento di informazioni (cookies, session id, etc) o attraverso la modifica dei percorsi di rete (route poisoning, bgp hijacking) di prendere il controllo di una comunicazione dirottandola verso risorse gestite dall’attaccante.

Deriva dal verbo inglese “to hate”, odiare. Nell’ambito dei Social Media e di Internet, indica un utente che disprezza, diffama o critica una persona (o un gruppo di persone, anche in forma organizzata), con intento lesivo o, comunque, per molestie.

“Hacktivism” è un termine portmanteau coniato all’inizio degli anni ’90 che identifica l’uso sovversivo di computer o computer network al fine di promuovere un’agenda politica o principi di connotazione sociale. Chi pone in essere tali pratiche è definito hacktivista o attivista digitale.

Il termine hacker si riferisce a qualunque individuo particolarmente capace ed esperto di informatica che utilizza le sue conoscenze tecniche al fine di risolvere un problema. In tempi più recenti, il termine è stato associato al “security hacker”, che sfrutta le sue competenze per compiere azioni illecite in danno o attraverso sistemi informatici. Di solito vengono suddivisi in black e white hat, a seconda che siano\nhacker “cattivi” o “buoni”.

Nel protocollo HTTPS, in cui la “S” finale sta per “Secure”, la comunicazione tra il client e il server avviene in modalità cifrata. A determinate condizioni, l’HTTPS permette anche di verificare che il sito visitato sia autentico, fornisce una protezione maggiore della privacy e garantisce che i dati scambiati tra utente e sito web non vengano intercettati o manomessi.

HyperText Transfer Protocol, protocollo di trasferimento di un ipertesto. È un protocollo usato come principale sistema per il trasferimento delle informazioni sul web. L’HTTP si basa su un sistema di comunicazione tra “client” e “server”: il client esegue una richiesta e il server restituisce la risposta. Nell’uso comune, il client corrisponde al browser con cui si naviga su Internet (ad esempio Chrome, Edge, Firefox, Opera, Safari), il server è la macchina su cui risiede il sito web.

IoA (Indicator of Attack), o Indicatore di Attacco, è un segnale che suggerisce che un attacco informatico è in corso o è stato tentato. Gli IoA differiscono dagli IoC (Indicatori di Compromissione) in quanto si concentrano sul comportamento e sulle intenzioni dell'attacco piuttosto che sui suoi risultati specifici. Gli IoA aiutano a rilevare e rispondere a minacce prima che possano causare danni significativi.
Gli IoA includono una varietà di comportamenti sospetti, quali:

• esecuzione di comandi insoliti
• tentativi di privilege escalation
• lateral movement
• comportamenti anomali degli utenti
• attività di esfiltrazione di dati
• modifiche ai file di sistema o alle configurazioni
• comportamenti tipici di infezione da Ransomware

Un Indicator of Compromise (IoC), o Indicatore di Compromissione, è un marcatore digitale che indica la possibile presenza di un'attività malevola o un'intrusione nel sistema informatico. Gli IoC sono prove che gli analisti di sicurezza informatica utilizzano per identificare, rilevare e rispondere a una compromissione.
Di seguito alcuni esempi di IoC:

• Hash di file
• Indirizzi IP
• URL
• Domini
• Stringhe nel registro di sistema
• Modelli di traffico di rete
• Modifiche ai File di Sistema

Neologismo riferito all’interconnessione di oggetti e dispositivi in grado di trasmettere e ricevere dati su una rete, offrendo un nuovo livello di interazione e di controllo a distanza dei dispositivi. I campi di impiego sono molteplici: dalle applicazioni industriali (processi produttivi), alla logistica e all’infomobilità, dall’efficienza energetica all’assistenza remota, dalla tutela ambientale alla domotica.

Soggetto pubblico o privato che fornisce servizi di connessione e accesso a Internet.

Tecniche di manipolazione psicologica affinché l’utente compia determinate azioni o riveli informazioni sensibili come, ad esempio, credenziali di accesso a sistemi informatici.

Information Technology (tecnologia dell’informazione), ossia l’insieme di tutte le tecnologie che afferiscono al trattamento dell’informazione, normalmente inteso come trattamento digitale dell’informazione.

I sistemi di controllo industriale includono: sistemi di controllo di supervisione e acquisizione dei dati (Supervisory Control and Data Acquisition-SCADA), sistemi di controllo distribuiti (Distributed Control Systems-DCS) e controllori a logica programmabile (Programmable Logic Controller-PLC), impiegati usualmente negli impianti industriali.

Codice univoco, composto, nella versione 4 del protocollo IP (IPv4), da quattro set di cifre comprese tra 0 e 255 che indentifica ogni dispositivo connesso ad una rete informatica che utilizza l’Internet Protocol.

Sigla di “Information and Communication Technology” che viene utilizzata per indicare il settore dell’informatica e delle telecomunicazioni.

Strumento hardware o software che consente di intercettare e memorizzare segretamente tutto ciò che viene digitato sulla tastiera da parte di un ignaro utente vittima.

Porzione principale del sistema operativo che governa l’esecuzione dei processi e consente loro di interfacciarsi con l’hardware del dispositivo.

Procedura di autenticazione per l’accesso ad un sistema informatico o ad una applicazione. Il termine proviene dalla contrazione di “log in”, ovvero l’annotazione di un accessonnel registro cronologico degli eventi, tipico di un sistema informatico

Abbreviazione dell’inglese “Hyperlink”, in italiano “collegamento ipertestuale”, è un elemento presente in una pagina web interagendo col quale si è indirizzati verso un altro elemento informativo (pagine web, documenti, contenuti multimediali, etc.).

Pagina web che i visitatori visualizzano (in cui, appunto, “atterrano”) in seguito all’interazione con un link.

Man-in-The-Middle (MiTM) è una tipologia di attacco informatico in cui l’attaccante si introduce nella comunicazione tra la vittima e il server con il quale quest’ultima sta cercando di dialogare. Lo scopo è quello di carpire o alterare le informazioni trasmesse

Cos’è tecnicamente?

Sfruttando una falla insita nel sistema o direttamente nel router, un attaccante potrà installare appositi software in grado di intercettare o modificare le comunicazioni compromettendo di fatto la connessione tra client e server. Esistono diverse varianti di questa  tipologia di attacco tra cui Man-in-the-IoT, Man-in-the-Mobile e la più nota Man-in-the-browser, una tecnica ampiamente utilizzata dai malware bancari

Perché è rilevante?

Un attacco di tipo MiTM può comportare serie problematiche di sicurezza relativamente all’esfiltrazione di informazioni sensibili come le pagine web navigate, le credenziali di accesso ai sistemi, numeri di conto correnti e carte di credito, fino a compromettere la sicurezza delle transazioni.

Come mi difendo?

• Utilizzando software che consente di cifrare le comunicazioni tra i due interlocutori (client e server ad esempio).
• Evitando di connettersi a tutte le linee WI-Fi aperte, in ogni caso è sempre utile navigare le pagine in HTTPS ad esempio utilizzando una apposita estensione come HTTPS Everywhere disponibile per i browser più noti.

Come si rimedia?

Un attacco bene architettato è difficile da individuare, soprattutto perchè i target più appetibili sono quasi sempre router o server. Si consiglia pertanto di accertarsi che le pagine visitate utilizzino il protocollo https, di non proseguire con la navigazione quando le pagine web visualizzano il messaggio di problemi legati al certificato di sicurezza e naturalmente mantenere aggiornato antivirus e sistema operativo per evitare che potenziali attaccanti possano sfruttare falle già note.

Espressione impiegata per indicare l’insieme delle condotte controindicate che possono essere realizzate nel e tramite il cyber-space ovvero in danno di quest’ultimo e dei suoi elementi costitutivi. Si sostanzia in attacchi cibernetici: azioni di singoli individui o organizzazioni, statuali e non, finalizzate a distruggere, danneggiare o ostacolare il regolare funzionamento dei sistemi e delle reti e/o dei sistemi attuatori di processo da essi controllati, ovvero a violare l’integrità e la riservatezza di dati/informazioni.

Attacco basato sulla modifica software del MAC address volta ad esempio a impersonificare altre interfacce di rete ed eludere i controlli basati su questa informazione. Può essere utilizzato inoltre per dirottare il traffico indirizzato a un host in un attacco Man In The Middle.

Contrazione di malicious software. Programma inserito in un sistema informatico, generalmente in modo abusivo e occulto, con l’intenzione di compromettere la riservatezza, l’integrità o la disponibilità dei dati, delle applicazioni o dei sistemi operativi dell’obiettivo.

Acronimo di malicious spam. Email di spam inviata per infettare la vittima attraverso malware veicolato tramite file allegati o link che portano l’utente verso siti malevoli. 

Sequenza di comandi utilizzata per svolgere automaticamente operazioni ripetitive. Può essere utilizzata in maniera malevola per incorporare codice indesiderato.

Codice di 48 bit tipicamente rappresentato con 12 cifre esadecimali, assegnato univocamente a ogni interfaccia di rete.

Presso l'Agenzia è istituito, in via permanente, il Nucleo per la Cybersicurezza (NCS), a supporto del Presidente del Consiglio dei ministri nella materia della cybersicurezza, per gli aspetti relativi alla prevenzione e preparazione ad eventuali situazioni di crisi e per l'attivazione delle procedure di allertamento.

Abbreviazione del termine inglese “newbie”, nel gergo di Internet identifica una persona alle prime armi rispetto ad un determinato contesto.

Portmanteau del vocabolo inglese “network” (rete) e il francese “étiquette” (buona educazione). Indica un insieme di regole informali che disciplinano il buon comportamento degli utenti nella rete, specie all’interno di risorse web come forum, blog o social network, nel cui ambito si sviluppa un elevato livello di interazioni fra i partecipanti

Debolezza di un software che, se sfruttata, permette la scrittura di dati al di fuori dei limiti del buffer, portando tipicamente alla corruzione del dato o a un crash del sistema o all’esecuzione di codice.

Debolezza di un software che, se sfruttata, permette la lettura di dati al di fuori del buffer, permettendo ad un attaccante di leggere informazioni sensibili memorizzate in altre posizioni della memoria o causare un crash del sistema.

Componente software dedicata alla configurazione, coordinamento e gestione automatizzata di sistemi software. Grazie all'orchestrator, i flussi di lavoro vengono elaborati nell'ambito di un workflow unitario.

Tipo di software in cui il codice sorgente è rilasciato sotto una licenza che consente a terzi di studiare, modificare e distribuire il software a chiunque e per qualsiasi scopo.

Server che funge da intermediario tra le richieste di un\nclient e il server finale destinatario delle richieste. E’ impiegato all’interno di reti complesse con diverse finalità, per migliorare l’efficienza nell’erogazione dei servizi e nei livelli di sicurezza

Server che funge da intermediario tra le richieste di un client e il server finale destinatario delle richieste. E’ impiegato all’interno di reti complesse con diverse finalità, per migliorare l’efficienza nell’erogazione dei servizi e nei livelli di sicurezza.

Dimostrazione dell'idea o del metodo utilizzati per identificare la presenza e/o lo sfruttamento di una vulnerabilità software o hardware. Le vulnerabilità assumono una pericolosità maggiore quando viene resa pubblica una PoC poiché da quel momento ne risulta più semplice e immediato lo sfruttamento.

Uso di una vulnerabilità (quale un errore di progettazione o di configurazione di un software applicativo e/o del sistema operativo) al fine di acquisire l’accesso a risorse della macchina riservato a utenti con privilegi superiori. Nel caso in cui un utente o un’applicazione acceda a funzioni, autorizzazioni e privilegi più alti di quelli assegnati quali ad esempio la possibilità di revocare o modificare i privilegi di altri utenti si parla di Vertical Privilege Escalation. Si definisce invece Horizontal Privilege Escalation il caso in cui un utente con gli stessi livelli di autorizzazione di altri utenti, ma con diritti di accesso ad aree e funzionalità differenti, guadagna accesso ad aree e funzionalità per le quali non è autorizzato.

Attacco informatico avente, generalmente, l’obiettivo di carpire informazioni sensibili (userid, password, numeri di carte di credito, PIN) con l’invio di false email generiche a un gran numero di indirizzi. Le email sono congegnate per convincere i destinatari ad aprire un allegato o ad accedere a siti web fake. Il phisher utilizza i dati carpiti per acquistare beni, trasferire somme di denaro o anche solo come “ponte” per ulteriori attacchi.

Insieme delle attività volte a valutare la robustezza di un sistema informatico o di una rete rispetto a potenziali attacchi cyber. Si avvale di strumenti e tecniche volte a verificare l’effettiva possibilità di sfruttare eventuali vulnerabilità presenti nel sistema per penetrare nello stesso, caratteristica questa che lo contrappone a tecniche che si limitano a rilevare la presenza di vulnerabilità senza tentare di sfruttarle.

Paradigma di comunicazione che, a differenza della struttura client-server, non prevede gerarchie tra i nodi ovvero tutti i partecipanti alla comunicazione possono indifferentemente agire come richiedenti o fornitori di dati e applicazioni. Le prime reti P2P hanno acquisito notevole successo specie nelle applicazioni di file sharing.

Software sviluppato per eliminare o mitigare vulnerabilità di sicurezza e altri bug generici dal software per la quale è stata sviluppata.

Sequenza di caratteri alfanumerici il cui impiego consente l’accesso esclusivo ad una risorsa informatica (sistema, applicativo, ecc.).

Codice a barre bidimensionale (o codice 2D), ossia a matrice, impiegato per memorizzare una quantità limitata di informazioni, generalmente decodificata attraverso dispositivi mobili. Nell’uso più comune, il contenuto del QR Code, una volta decodificato, è costituito da un Uniform Resource Locator (URL), che consente di accedere ad una risorsa web.

Collezione di software, perlopiù malevoli, che permettono ad un attore ostile di accedere abusivamente ad un sistema informatico o a parte di esso, eludendo le protezioni di sicurezza e celando la propria presenza in modo tale da persistere nel corso del tempo.

Letteralmente “ingegneria inversa”, consiste nell’analisi approfondita di un oggetto esistente (dispositivo, software, meccanismo, ecc.) per comprenderne funzionamento e progettazione, al fine di riprodurre un oggetto analogo ovvero estrarne informazioni utili per altri fini (ad esempio, comprendere chi lo ha realizzato, a quale scopo, ecc.).

Vulnerabilità che permette a un attaccante di eseguire, da remoto, codice e comandi arbitrari su una macchina.

Malware che cripta i file presenti sul computer della vittima, richiedendo il pagamento di un riscatto per la relativa decrittazione. I ransomware sono, nella maggioranza dei casi, dei trojan diffusi tramite siti web malevoli o compromessi, ovvero per mezzo della posta elettronica. Questi si presentano come allegati apparentemente innocui (come, ad esempio, file PDF) provenienti da mittenti legittimi (soggetti istituzionali o privati). Tale elemento induce gli ignari utenti ad aprire l’allegato, il quale riporta come oggetto diciture che richiamano fatture, bollette, ingiunzioni di pagamento ed altri oggetti similari.

Centro che fornisce servizi finalizzati alla sicurezza dei sistemi informativi di un’azienda (SOC interno) o di clienti esterni con lo scopo di identificare, correlare, gestire ed eventualmente rispondere ad eventuali eventi di sicurezza informatica.

Archivio digitale (repository) da cui è possibile scaricare applicazioni e altri contenuti multimediali. I due principali store digitali per dispositivi mobili sono App Store di Apple ed il Play Store di Google.

Software malevolo in grado di “spiare” la vittima, in grado di raccogliere dati di varia natura (password, PIN, numero di carta di credito, dati di navigazione, ecc.) da computer e dispositivi e di trasmetterli successivamente a terze parti interessate al loro sfruttamento. La rilevazione degli spyware è spesso resa difficoltosa da tecniche di occultamento utilizzate dagli autori del software in fase di programmazione.

Tipologia di attacco informatico impiegata per falsificare (dall’inglese to spoof) diversi tipi di informazione come, ad esempio, il mittente di un messaggio, così da trarre in inganno il destinatario, facendogli credere che provengano da soggetti noti, attendibili o che non generino sospetti. Tale tipologia di attacco fa solitamente leva su tecniche di ingegneria sociale.

Sottocategoria del phishing, è un attacco informatico contro target di specifico interesse che prevede l’invio di un messaggio da un account di posta elettronica apparentemente noto alla vittima, con l’intento di carpire dalla stessa informazioni sensibili, ovvero indurla ad aprire/scaricare allegati o link malevoli. Allo spear-phishing sono associate tecniche di ingegneria sociale, tra cui il monitoraggio delle relazioni e delle abitudini sui social media del soggetto d’interesse.

Invio indiscriminato e ripetuto di messaggi di comunicazione elettronica verso indirizzi generici e non verificati, perlopiù con finalità commerciali. Le comunicazioni inviate con simili modalità vengono definite spam.

In informatica e telecomunicazioni, si indica con tale termine l’attività di intercettazione passiva del traffico dati all’interno di una rete telematica tramite specifici strumenti software definiti “sniffer”.

Software in grado di leggere ed eventualmente trascrivere o replicare il traffico che attraversa un’interfaccia di rete. Può essere usato sia con intenti benigni (es. attività di monitoraggio), che malevoli per cercare di ottenere informazioni sensibili.

Interfaccia offerta dal sistema operativo che permette l’esecuzione di comandi all’utente. Possono essere esclusivamente testuali (come Bash o il Prompt dei Comandi) oppure dotate di interfaccia grafica, come il Finder del MAC OS oppure Esplora Risorse di Microsoft Windows.

Termine utilizzato in maniera dispregiativa per indicare individui con scarse abilità informatiche, che utilizzano codice/ script software realizzati da altri per effettuare intrusioni informatiche o azioni dimostrative, al fine di accrescere la propria reputazione all’interno di determinate comunità.

Tecnica mirata a colpire applicazioni web che si appoggiano su database accessibili con linguaggio SQL, tramite lo sfruttamento di vulnerabilità quali l’inefficienza dei controlli sui dati ricevuti in input e l’inserimento di codice malevolo all’interno delle interrogazioni (query). Tali attacchi consentono – in taluni casi – persino di accedere alle funzioni di amministrazione del sistema, oltre che di sottrarre o alterare i dati.

Sistema informatico, utilizzato principalmente in ambito industriale, per la supervisione, il controllo e l’acquisizione di dati relativi a sistemi fisici in un processo continuo e ciclico. La supervisione è la funzione con cui si può osservare lo stato attuale del processo controllato e stimare l’evoluzione degli stati futuri. Il controllo è la capacità per cui il sistema può prendere decisioni sull’evoluzione dello stato del processo controllato. L’acquisizione dati supporta le precedenti funzioni, relazionando il sistema osservato con il processo controllato. Lo specifico ambito di applicazione di tali sistemi, risiede nei Sistemi di Controllo Industriale (Industrial Control Systems – ICSs) come i sistemi impiegati per il monitoraggio ed il controllo di impianti e dispositivi in settori quali il controllo del traffico (aereo, ferroviario, stradale), della gestione dei sistemi di trasporto dei fluidi (acquedotti, gasdotti, oleodotti, ecc.), della distribuzione dell’energia elettrica, della gestione delle linee di produzione che realizzano i processi industriali, e del telerilevamento ambientale.

Protocollo utilizzato per lo scambio di informazioni al fine di garantire la diffusione delle stesse in modo controllato.

Maggiori informazioni sulle versioni del protocollo sono disponibili alle seguenti pagine:

• TLP v1.0
• TLP v2.0

Conosciuto anche come “bitsquatting”. Tecnica di attacco che prevede la realizzazione di una pagina web fittizia, sulla quale far “atterrare” l’utente target, tramite la registrazione di un dominio dal nome molto simile a quello di altro dominio web noto. La differenza è di solito minima e concepita in maniera tale da non essere graficamente distinguibile dall’utente (ad esempio, la “l” minuscola è spesso sostituita dal numero “1”).

Nell’ambito delle comunità virtuali, il termine troll indica un utente caratterizzato da un comportamento online aggressivo e provocatorio, ovvero utilizzato per la propagazione di narrative particolarmente divisive e polarizzanti. Il troll è un account fittizio riconducibile ad un umano e differisce dal bot, con il quale si identifica, invece, un utente/ profilo fake automatizzato.

Tipologia di malware che cela le proprie funzionalità (ad es. accesso non autorizzato, furto di credenziali, sabotaggio del sistema target) all’interno di un software legittimo (il nome deriva dal mitico Cavallo di Troia). A tale attacco sono spesso associate tecniche di ingegneria sociale, che inducono il target a scaricare/installare il software contenente il trojan.

Dispositivo elettronico fisico utilizzato per generare One Time Password (OTP) ovvero password temporanee utili per effettuare un’autenticazione, tipicamente a più fattori (vedasi “Autenticazione a più Fattori”). Tale dispositivo può essere anche di tipo software dove la generazione dell’OTP avviene direttamente tramite specifiche applicazioni per dispositivi mobili.

Etichetta, utilizzata prevalentemente in ambito logistico, per l’identificazione di oggetti/beni/persone tramite tecnologia con identificazione a radiofrequenza (Radio Frequency Identification-RFId), in grado di memorizzare autonomamente dati e informazioni. Il tag RFId è dotato di un transponder interno che può, alternativamente, restituire informazioni a uno specifico lettore/terminale impiegato per la sua interrogazione (modalità passiva) o trasmettere costantemente un segnale contenente le informazioni (modalità attiva).

In informatica, username indica una combinazione di caratteri alfanumerici con cui si identifica in maniera univoca l’utente di una determinata applicazione o dispositivo, per il cui utilizzo è richiesta l’autenticazione in fase di accesso.

Termine che si riferisce a comunità virtuali frequentate da soggetti (ad es. esempio hacker, hacktivist, ecc.) interessati all’acquisto o la condivisione di strumenti informatici da utilizzare per finalità illecite.

Acronimo di Uniform Resource Locator. Stringa di caratteri alfanumerici che identifica in maniera univoca l’indirizzo web di una risorsa in Internet.

:e vulnerabilità possono essere sia organizzative che tecniche, spesso in combinazione tra loro. Le vulnerabilità organizzative e di processo sono riconducibili alla mancata o non corretta definizione o implementazione di misure di sicurezza volte alla tutela della riservatezza, integrità e disponibilità delle informazioni. Le vulnerabilità tecniche, invece, sono dovute a falle di sicurezza del software applicativo, del firmware, dell’hardware ovvero dei protocolli di comunicazione, dovuti principalmente a bug o non corrette configurazioni. Entrambi i tipi di vulnerabilità possono essere sfruttati da attaccanti per effettuare azioni malevole.

Attività volta a rilevare l’esposizione di vulnerabilità in un sistema informatico.

Insieme di protocolli di comunicazione che consente di effettuare conversazioni telefoniche sfruttando la connettività di una rete a commutazione di pacchetto che utilizzi il protocollo IP.

Tipologia di malware capace, una volta attivato, di danneggiare documenti e file eseguibili. Il virus è caratterizzato dalla presenza di istruzioni che ne consentono la replicazione e la conseguente diffusione, che avviene durante il trasferimento del file infetto da un computer a un altro. Si differenzia dal worm, che è in grado di propagarsi autonomamente mediante diffusione dentro reti di computer o tramite email.

Utente con privilegi di amministrazione a cui è affidata la gestione dei servizi necessari relativi ad un sito web (mantenimento dell’operatività, risoluzione di problematiche tecniche, rinnovo contratto di hosting, ecc.).

Non tutti gli hacker si connotano per l’illiceità delle loro motivazioni. Non a caso, tali individui sono metaforicamente categorizzati per il colore del capello (hat) che indossano. I white hat, conosciuti anche come “ethical hackers”, sono individui che tentano la violazione di sistemi e applicazioni a fini di ricerca e condividono le vulnerabilità scoperte con la comunità infosec, spesso ingaggiati dagli stessi proprietari dei servizi che tentano di violare. I black hat sono individui spinti esclusivamente da motivazioni personali e finanziarie, spesso autori di malware ed exploit per la violazione dei sistemi; infine, i grey hat sono gli hacker che, una volta rilevata una vulnerabilità, la segnalano al produttore della tecnologia oggetto di analisi, tentando di ottenere in cambio un piccolo compenso ma escludendo ogni azione malevola o compravendita nel caso in cui tale richiesta non venisse soddisfatta.

In informatica e telecomunicazioni, il termine wireless si riferisce a una modalità di comunicazione basata su radiofrequenza e che avviene, quindi, senza l’impiego di cavi. Per estensione, si definiscono wireless anche quei dispositivi/terminali che sfruttano tale modalità di connessione e le reti così implementate, in assenza di cavi.

Metodo o processo che consente di aggirare un problema (es. una vulnerabilità), senza tuttavia eliminarlo, spesso impiegato come espediente temporaneo. Si rende necessario per risolvere una problematica nel caso in cui, ad esempio, il produttore di un software vulnerabile non abbia ancora reso disponibile l’aggiornamento che corregge una falla di sicurezza, quando un’eventuale patch non sia applicabile a causa di requisiti di continuità di funzionamento o non ne sia previsto il rilascio in quanto riferita a un componente non più supportato.

Sistema informatico che consente la navigazione di documenti e altre risorse online, identificate tramite URL e contenente collegamenti ipertestuali. Accessibile tramite la rete Internet per mezzo di specifiche applicazioni software (cd. web browser).

Attacco condotto contro un sito web e consistente nel modificare i contenuti riportati nella home-page e/o delle sottopagine del sito. Tale tecnica è spesso utilizzata in ambito hacktivism a fini di propaganda/discredito.

Acronimo di Cross Site Scripting. Denota una vulnerabilità che permette a terzi di alterare le funzionalità di un sito web.

In gergo informatico, si intendono con zero-day (o 0-day) vulnerabilità riferite a sistemi, apparati e applicazioni non ancora note al produttore della tecnologia. La gravità degli zero-day è costituita dall’assenza di aggiornamenti software a fini di mitigazione (cd. patching). Proprio tali caratteristiche rendono gli zero-day oggetto di compravendite illecite da parte di soggetti intenzionati a sfruttarli per finalità intrusive.