elisabetta/cryptoseals
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

testing...............................

Browse Source
This commit is contained in:
elisabetta
2026-04-29 10:10:57 +02:00
parent 93ade8c460
commit 6068319033
9 changed files with 581 additions and 4 deletions
Download Patch File Download Diff File Expand all files Collapse all files

1
backend/src/main/resources/get/cesare.html
View File

@@ -22,6 +22,7 @@
<ul class="nav-links" id="nav-links">
<li><a href="rsa.html"><i class="fa-solid fa-key"></i>RSA</a></li>
<li><a href="cesare.html"><i class="fa-solid fa-arrow-right-arrow-left"></i> Cesare</a></li>
<li><a href="materiale.html"><i class="fa-regular fa-clipboard"></i></i>Materiale</a></li>
<li><a href="team.html"><i class="fa-solid fa-users"></i> Il Team</a></li>
</ul>
</nav>

211
backend/src/main/resources/get/documentazione/IntroduzioneCybersecurity.md Normal file
View File

@@ -0,0 +1,211 @@
# La Sicurezza di un sistema informatico
## 1. Introduzione alla Cybersecurity
La **sicurezza informatica (cybersecurity)** è l'insieme di pratiche, tecnologie e processi utilizzati per proteggere reti, sistemi e programmi dagli attacchi digitali.
Nel modello **DIKW** (Data, Information, Knowledge, Wisdom), la sicurezza informatica si colloca al di sopra della semplice informatica (livello 3): non si limita a elaborare dati, ma utilizza la conoscenza per comprendere le informazioni, identificare i rischi, mitigare i danni e garantire la continuità operativa.
> **Nota sui personaggi convenzionali:** In crittografia e sicurezza si usano nomi standard per gli esempi: **Alice e Bob** (comunicanti legittimi), **Cindy/Trudy** (intrusi attivi che alterano i messaggi), ed **Eve** (eavesdropper, spia che si limita ad ascoltare).
### I fondamenti: Il modello CIA
La sicurezza delle informazioni si basa su tre obiettivi principali, noti come **Triangolo CIA (o RID in italiano)**. Comprometterne anche solo uno causa un incidente informatico:
* **C - Confidentiality (Riservatezza):** Garantisce che le informazioni non siano accessibili a persone non autorizzate.
* **I - Integrity (Integrità):** Garantisce che le informazioni non vengano modificate in modo non autorizzato (tramite crittografia, controlli, backup).
* **A - Availability (Disponibilità):** Garantisce che i dati e i servizi siano sempre disponibili quando richiesti (es. tramite ridondanza).
---
## 2. Il lato oscuro: Minacce e Attacchi
Un **attacco informatico** è un atto volontario che sfrutta una minaccia per compromettere un sistema.
Una **minaccia (threat)** è un evento esterno che tende a violare un obiettivo di sicurezza.
Le minacce si dividono principalmente in:
1. **Malware:** Software malevoli (virus, worm, trojan, ransomware, spyware, ecc.).
2. **Social Engineering (Ingegneria Sociale):** Manipolazione psicologica delle persone per spingerle a rivelare informazioni riservate (es. *Phishing*).
### Tipologie di Attacchi Specifici
* **APT (Advanced Persistent Threats):** Tecniche di hacking mirate e sofisticate, usate per sabotaggio o spionaggio a lungo termine. Prevedono fasi precise: identificazione, intrusione, creazione di backdoor, escalation dei privilegi ed esfiltrazione dei dati.
**Attacchi ai protocolli TCP/IP:**
* **SYN Flood:** Sovraccarica il server di richieste (senza completare l'handshake) fino a farlo collassare.
* **Spoofing IP:** Falsifica l'indirizzo IP per far credere che il traffico provenga da una fonte fidata.
* **Man in the Middle (MitM):** L'hacker si interpone segretamente in una comunicazione tra due parti per intercettare o alterare i dati.
* **Teardrop:** Invio di frammenti di pacchetti IP corrotti che il sistema non riesce a riassemblare, mandandolo in tilt.
* **Botnet e DDoS:** Una rete di dispositivi infetti (botnet) controllati all'insaputa dei proprietari, usati per lanciare attacchi **DDoS (Distributed Denial of Service)**, mirati a disattivare un servizio sovraccaricandolo di richieste.
---
## 3. Vulnerabilità e Incidenti
Un **incidente di sicurezza** è un evento che mette a rischio l'integrità, la riservatezza o la disponibilità dei dati. Affinché si verifichi, devono esistere debolezza e vulnerabilità.
* **Debolezza (Weakness):** Un difetto interno al sistema (errore di programmazione, hardware difettoso). È intrinseca e non dipende dall'uso.
* **Exploit:** Il codice o la tecnica usata per sfruttare una debolezza.
* **Vulnerabilità:** È la debolezza specifica che *può* essere effettivamente sfruttata da un exploit per compromettere il sistema. *(Vulnerabilità = Debolezza + Minaccia in grado di sfruttarla).*
### Classificazione delle vulnerabilità
* **Intrinseche:** Legate alla natura aperta delle reti (porte fisiche, protocolli Internet nativamente insicuri, invecchiamento dei software, vulnerabilità sconosciute note come *zero-day*).
* **Tecnologiche:** Difetti hardware, software e di protocollo.
* **Umane:** L'anello debole è spesso l'utente (chiamato ironicamente *Layer 8* del modello OSI), che agisce d'impulso cliccando su link dubbi.
### Classificazione standard: CWE e CVE
La MITRE Corporation gestisce database fondamentali per catalogare questi problemi:
* **CWE (Common Weakness Enumeration):** Un dizionario delle *debolezze* software/hardware (es. Buffer Overflow). Serve agli sviluppatori per non ripetere errori noti.
* **CVE (Common Vulnerabilities and Exposures):** Un catalogo delle *vulnerabilità* specifiche già identificate, a cui viene assegnato un ID unico. Ad ogni CVE è associato un punteggio di gravità da 0 a 10 chiamato **CVSS (Common Vulnerability Scoring System)**.
---
## 4. Il Malware
Il termine deriva da *malicious software*. È un codice malevolo progettato per penetrare illecitamente in un sistema per rubare, alterare dati, spiare o assumere il controllo del dispositivo. Spesso l'infezione richiede l'inconsapevole complicità dell'utente (social engineering).
**Struttura di un malware:**
In generale, un malware è composto da due parti funzionali (assimilabili a un missile):
1. **Vettore (Carrier):** Il mezzo attraverso cui il malware si diffonde (un file allegato, un link, una chiavetta USB) e che serve a superare le difese del sistema sfruttando una vulnerabilità.
2. **Carico utile (Payload):** Le istruzioni specifiche (la "testata esplosiva") che il malware esegue una volta dentro il sistema bersaglio (es. cifrare i file, rubare password, attivare la fotocamera).
### Tabella riassuntiva: Principali Tipologie di Malware
* **Virus:** Frammento di codice che si inserisce in altri programmi (host). Ha bisogno dell'intervento umano (es. apertura di un file) per attivarsi e diffondersi.
* **Worm:** Programma autonomo in grado di autoreplicarsi e diffondersi rapidamente sfruttando le reti e le vulnerabilità dei sistemi, senza bisogno dell'azione umana.
* **Trojan (Cavallo di Troia):** Software apparentemente utile e innocuo che nasconde al suo interno funzionalità malevole. Spesso installa backdoor.
* **Backdoor (Porta di servizio):** Metodo che consente di scavalcare le procedure di sicurezza standard per accedere illecitamente a un sistema.
* **Ransomware:** Malware che cifra i dati della vittima, rendendoli inaccessibili, per poi richiedere il pagamento di un riscatto (ransom) per fornire la chiave di decifratura.
* **Spyware:** Software progettato per spiare le attività dell'utente e raccogliere informazioni (password, dati bancari, abitudini) senza il suo consenso.
* **Rootkit:** Insieme di software che permette di ottenere privilegi di amministratore (root) su un sistema, nascondendo la propria presenza e quella di altri malware.
* **Adware:** Programma che mostra pubblicità indesiderata o pop-up in modo invasivo.
---
## 4. Politiche e Strategie di Sicurezza
* **Difesa in profondità (Defense in Depth):** Approccio basato su livelli multipli di sicurezza (come gli strati di una cipolla). Se un attaccante supera una barriera, ne troverà subito un'altra.
* **Zero Trust (Fiducia Zero):** Modello di sicurezza basato sul principio "mai fidarsi, verificare sempre". Non viene concessa fiducia predefinita a nessun utente o dispositivo, anche se si trova all'interno della rete aziendale.
### Sicurezza Offensiva e Difensiva
La sicurezza si avvale di team specializzati che simulano attacchi per migliorare le difese:
* **Red Team:** Simula i criminali informatici effettuando attacchi mirati (Penetration Test) per scovare le vulnerabilità.
* **Blue Team:** È il team di difesa interno. Monitora l'infrastruttura, rileva le intrusioni e risponde agli attacchi.
* **Purple Team:** Coordina Red e Blue team per massimizzare l'apprendimento e migliorare l'efficacia complessiva della sicurezza.
---
## 5. Elementi di Crittografia
La **crittologia** è la scienza che studia le scritture segrete e si divide in:
1. **Crittografia:** Studio degli algoritmi per offuscare (cifrare) le informazioni.
2. **Crittoanalisi:** Tecniche usate per violare i sistemi crittografici.
*I concetti base:* Il **Testo in chiaro** (leggibile) viene trasformato in **Testo cifrato** tramite un **Algoritmo di cifratura** e una **Chiave** (una stringa di bit).
> **Principio di Kerckhoffs:** La sicurezza di un sistema crittografico non deve dipendere dalla segretezza dell'algoritmo (che deve poter essere pubblico), ma esclusivamente dalla segretezza della chiave.
### Tipi di Crittografia
* **Crittografia Simmetrica (a chiave segreta):** Mittente e destinatario usano la *stessa chiave* sia per cifrare che per decifrare.
* *Pro:* Molto veloce.
* *Contro:* Il problema dello scambio sicuro della chiave (come farla avere al destinatario senza che venga intercettata).
* *Esempi:* DES, AES.
* **Crittografia Asimmetrica (a chiave pubblica):** Ogni utente possiede una *coppia di chiavi*:
1. **Chiave Pubblica:** Conosciuta da tutti, usata per cifrare i messaggi rivolti al proprietario.
2. **Chiave Privata:** Segreta e nota solo al proprietario, usata per decifrare.
* *Pro:* Risolve il problema dello scambio delle chiavi.
* *Contro:* Molto lenta, richiede molta potenza di calcolo.
* *Esempi:* RSA, Curve Ellittiche.
### Integrità e Firma Digitale
* **Funzioni Hash:** Algoritmi matematici che prendono in input un file e restituiscono una stringa di lunghezza fissa chiamata *digest* (l'impronta digitale del file). È un processo unidirezionale (non si può tornare al file originale) e serve a garantire l'integrità dei dati.
* **Firma Digitale:** Garantisce *Autenticità, Integrità e Non Ripudio*. Si ottiene cifrando l'hash del messaggio con la **chiave privata** del mittente. Il destinatario userà la **chiave pubblica** del mittente per decifrare l'hash e verificarlo.
* **Certificati Digitali:** Documenti elettronici rilasciati da una **CA (Certification Authority)** che garantiscono l'identità del proprietario di una chiave pubblica.
---
## 6. Autenticazione e Controllo degli Accessi
* **Identificazione:** Dichiarare chi si è (es. inserire l'username).
* **Autenticazione:** Dimostrare chi si è (es. inserire la password).
* **Autorizzazione:** Stabilire a quali risorse l'utente autenticato ha diritto di accedere.
### Fattori di Autenticazione
L'autenticazione si basa su tre paradigmi:
1. **Something you know** (Qualcosa che sai): Password, PIN.
2. **Something you have** (Qualcosa che hai): Token hardware, Smartcard, Smartphone.
3. **Something you are** (Qualcosa che sei): Biometria (impronta digitale, riconoscimento facciale).
* **MFA (Multi-Factor Authentication):** L'utilizzo combinato di due o più di questi fattori per aumentare drasticamente il livello di sicurezza.
---
## 7. Strumenti di Difesa delle Reti
* **Firewall:** Dispositivo hardware o software che filtra il traffico di rete in entrata e in uscita, agendo come un "muro tagliafuoco" tra una rete interna sicura e una rete esterna (Internet) in base a regole predefinite. Tipi principali: *Packet filtering*, *Stateful inspection*, *Application gateway (Proxy)*.
* **DMZ (Demilitarized Zone):** Sottorete isolata posta tra Internet e la rete locale (LAN). Contiene i server pubblici dell'azienda (es. server web) in modo che, se compromessi, gli attaccanti non abbiano accesso diretto alla rete aziendale interna.
* **IDS e IPS:**
* **IDS (Intrusion Detection System):** Monitora il traffico di rete e "lancia l'allarme" se rileva anomalie o firme di attacchi noti.
* **IPS (Intrusion Prevention System):** Simile all'IDS, ma blocca attivamente il traffico malevolo.
* **VPN (Virtual Private Network):** Crea un "tunnel" cifrato e sicuro attraverso una rete pubblica (come Internet), permettendo di comunicare o accedere alla rete aziendale in totale sicurezza.
* **Honeypot:** Sistema informatico configurato intenzionalmente con vulnerabilità per attirare gli hacker, allo scopo di studiarne i comportamenti e le tecniche.
---
## 8. Backup e Continuità Operativa
Il **Backup** è la creazione di copie di sicurezza dei dati per poterli recuperare in caso di perdita.
* **Backup Completo (Full):** Copia l'intero set di dati. Tempi lunghi, spazio elevato.
* **Backup Incrementale:** Copia solo i dati che sono stati modificati dall'ultimo backup (di qualsiasi tipo). Molto veloce da eseguire, ma lento in fase di ripristino.
* **Backup Differenziale:** Copia i dati modificati rispetto all'ultimo backup *completo*. È una via di mezzo per tempi e spazio.
> **La regola del 3-2-1:** Avere almeno **3** copie dei dati, archiviate su **2** supporti di memorizzazione differenti, di cui almeno **1** copia conservata off-site (in un luogo fisico diverso o in Cloud).
### Metriche per il ripristino
* **RPO (Recovery Point Objective):** La quantità massima di dati (in termini di tempo) che l'azienda può permettersi di perdere in caso di disastro (indica la frequenza con cui fare i backup).
* **RTO (Recovery Time Objective):** Il tempo massimo tollerato per ripristinare i sistemi ed essere nuovamente operativi.
### Pianificazione delle emergenze
* **DRP (Disaster Recovery Plan):** Documento tecnico che definisce le procedure passo-passo per ripristinare l'infrastruttura IT e i dati dopo un evento catastrofico.
* **BCP (Business Continuity Plan):** Piano strategico più ampio che definisce come l'intera organizzazione continuerà a erogare i propri servizi e mantenere la propria operatività durante e dopo una crisi.
## 9. Sicurezza dei Protocolli di Rete
Per garantire la sicurezza delle comunicazioni su Internet, sono stati sviluppati protocolli crittografici specifici per i diversi livelli della pila di rete (ISO/OSI o TCP/IP).
### Sicurezza a Livello di Rete: IPsec
**IPsec (Internet Protocol Security)** è una suite di protocolli che protegge il traffico IP a livello di rete, garantendo autenticazione, integrità e riservatezza. È ampiamente utilizzato per creare connessioni VPN.
* **Modalità operative:**
* **Transport Mode (Modalità Trasporto):** Viene cifrato *solo* il carico utile (payload) del pacchetto IP. L'intestazione (header) originale rimane in chiaro. È usato per comunicazioni end-to-end (es. da un PC a un Server).
* **Tunnel Mode (Modalità Tunnel):** Viene cifrato *l'intero* pacchetto IP originale (sia header che payload) e viene incapsulato in un nuovo pacchetto con un nuovo header esterno. È ideale per le VPN Site-to-Site (es. tra i router di due sedi aziendali).
* **Protocolli principali:**
* **AH (Authentication Header):** Garantisce l'integrità dei dati e l'autenticazione del mittente, ma *non* cifra il contenuto (nessuna riservatezza).
* **ESP (Encapsulating Security Payload):** Offre cifratura (riservatezza), oltre all'integrità e all'autenticazione. È il protocollo più completo e utilizzato.
### Sicurezza a Livello di Trasporto: SSL/TLS
**SSL (Secure Sockets Layer)** e il suo standard evolutivo **TLS (Transport Layer Security)** forniscono comunicazioni sicure posizionandosi tra il livello di trasporto (TCP) e quello applicativo.
Il funzionamento si divide in due fasi:
1. **Handshake Protocol:** Fase iniziale in cui client e server si autenticano (di solito il server tramite un Certificato Digitale), negoziano gli algoritmi crittografici supportati e generano le chiavi di sessione.
2. **Record Protocol:** Fase in cui i dati dell'applicazione vengono frammentati, compressi, cifrati (con crittografia simmetrica, più veloce) e trasmessi in modo sicuro.
> **Nota:** L'applicazione più nota di TLS è l'**HTTPS**, che protegge la navigazione web cifrando il normale traffico HTTP.
---
## 10. La Sicurezza delle Reti Wireless (WLAN)
Le reti Wi-Fi (standard IEEE 802.11) sono intrinsecamente più vulnerabili delle reti cablate poiché il mezzo trasmissivo (l'etere) è accessibile a chiunque si trovi nel raggio di copertura radio. L'uso di protocolli di cifratura è quindi obbligatorio.
### Evoluzione degli standard Wi-Fi:
* **WEP (Wired Equivalent Privacy):** Il primo standard introdotto. Utilizza l'algoritmo di cifratura simmetrica RC4.
* *Vulnerabilità:* Oggi è completamente obsoleto e insicuro. L'uso di una chiave statica (sempre uguale) e di un Vettore di Inizializzazione (IV) troppo breve permette a un attaccante di "craccare" la rete in pochi minuti analizzando il traffico.
* **WPA (Wi-Fi Protected Access):** Creato come soluzione rapida per sostituire il WEP senza dover cambiare l'hardware dei router esistenti.
* *Innovazione:* Introduce il protocollo **TKIP (Temporal Key Integrity Protocol)**, che cambia dinamicamente la chiave di cifratura per ogni pacchetto, risolvendo il problema principale del WEP.
* **WPA2 (Standard 802.11i):** Lo standard globale per molti anni.
* *Innovazione:* Abbandona RC4 e TKIP in favore del robusto algoritmo **AES** combinato con il protocollo **CCMP**. Risulta molto sicuro, sebbene rimanga vulnerabile ad attacchi di forza bruta offline (es. *dictionary attack*) se la password della rete è debole.
* **WPA3:** L'ultimo e più moderno standard.
* *Innovazioni:* Sostituisce la vecchia negoziazione delle chiavi con il protocollo **SAE (Simultaneous Authentication of Equals)**, rendendo l'handshake immune agli attacchi a dizionario offline. Introduce inoltre **OWE (Opportunistic Wireless Encryption)** per cifrare automaticamente il traffico anche sulle reti pubbliche aperte (quelle senza password di accesso).
---
## 11. Sicurezza a Livello Applicativo
Alcuni protocolli garantiscono la sicurezza e la riservatezza direttamente per specifiche applicazioni:
* **PGP (Pretty Good Privacy) e S/MIME:** Standard crittografici utilizzati per firmare digitalmente e cifrare i messaggi di posta elettronica (e-mail). Garantiscono l'identità del mittente e impediscono l'intercettazione del testo da parte di server o soggetti terzi.
* **SSH (Secure Shell):** Protocollo di rete crittografico utilizzato per accedere a distanza e amministrare sistemi informatici (es. riga di comando di un server Linux) in totale sicurezza. Ha sostituito i vecchi protocolli non cifrati come Telnet.

0
Relazione_CryptoSeals_RSA.docx → backend/src/main/resources/get/documentazione/Relazione_CryptoSeals_RSA.docx
View File

35
backend/src/main/resources/get/documentazione/crittografia.md Normal file
View File

@@ -0,0 +1,35 @@
## La Crittografia
La **crittologia** è la scienza che studia le scritture segrete e si divide in due branche complementari:
1. **Crittografia:** Studio e sviluppo degli algoritmi per offuscare (cifrare) le informazioni, rendendole incomprensibili a chi non possiede la chiave corretta.
2. **Crittoanalisi:** Tecniche e metodi usati per analizzare e violare i sistemi crittografici, senza necessariamente conoscere la chiave.
**Concetti base:** Il **testo in chiaro** (*plaintext*, leggibile da chiunque) viene trasformato in **testo cifrato** (*ciphertext*, incomprensibile) tramite un **algoritmo di cifratura** e una **chiave** (una stringa di bit di lunghezza variabile). Il processo inverso si chiama **decifratura**.
Tutta la **crittografia** si basa su un principio che è uno dei pilastri portanti di quest'ultima: il principio di Kerckhoffs
> **Principio di Kerckhoffs (1883):** La sicurezza di un sistema crittografico non deve dipendere dalla segretezza dell'algoritmo (che deve poter essere pubblico e analizzabile dalla comunità scientifica), ma esclusivamente dalla segretezza della chiave. Un algoritmo segreto non può essere valutato né migliorato: è "security through obscurity", considerata una pratica discutibile.
### Tipi di Crittografia
* **Crittografia Simmetrica (a chiave segreta):** Mittente e destinatario usano la *stessa chiave* sia per cifrare che per decifrare.
* *Pro:* Estremamente veloce, adatta a cifrare grandi quantità di dati.
* *Contro:* Il **problema dello scambio della chiave** (key distribution problem): come consegnare la chiave al destinatario in modo sicuro, senza che venga intercettata?
* *Esempi:* **DES** (obsoleto, chiave a 56 bit, crackabile); **3DES** (miglioramento temporaneo); **AES** (Advanced Encryption Standard, lo standard attuale, chiavi da 128/192/256 bit).
* **Crittografia Asimmetrica (a chiave pubblica):** Ogni utente possiede una coppia di chiavi matematicamente correlate:
1. **Chiave Pubblica:** Conosciuta e condivisibile con chiunque. Viene usata da chi vuole inviare un messaggio cifrato al proprietario.
2. **Chiave Privata:** Tenuta segreta e nota solo al proprietario. Viene usata per decifrare i messaggi cifrati con la propria chiave pubblica.
* *Pro:* Risolve elegantemente il problema dello scambio della chiave.
* *Contro:* Computazionalmente molto più lenta della crittografia simmetrica; non adatta a cifrare grandi moli di dati.
* *Utilizzo pratico:* In sistemi come TLS, la crittografia asimmetrica viene usata solo nella fase iniziale per scambiare in sicurezza una **chiave di sessione simmetrica**, con cui vengono poi cifrati i dati effettivi.
* *Esempi:* **RSA** (Rivest-Shamir-Adleman); **ECC** (Elliptic Curve Cryptography, più efficiente di RSA a parità di sicurezza).
### Integrità e Firma Digitale
* **Funzioni Hash Crittografiche:** Algoritmi matematici a senso unico che trasformano un input di qualsiasi dimensione in un output di lunghezza fissa e costante chiamato *digest* (o *impronta*). Le proprietà fondamentali sono: **determinismo** (stesso input → stesso output), **effetto valanga** (anche un solo bit modificato nell'input cambia radicalmente il digest), **resistenza alle collisioni** (quasi impossibile trovare due input diversi con lo stesso hash) e **irreversibilità** (impossibile risalire all'input conoscendo solo l'hash). Esempi: MD5 (obsoleto), SHA-1 (deprecato), **SHA-256/SHA-3** (standard attuale).
* **Firma Digitale:** Meccanismo che garantisce simultaneamente *Autenticità* (il messaggio viene dal mittente dichiarato), *Integrità* (il messaggio non è stato modificato) e *Non Ripudio* (il mittente non può negare di averlo inviato). Il processo: il mittente calcola l'hash del messaggio e lo cifra con la propria **chiave privata** — questo è la firma. Il destinatario decifra la firma con la **chiave pubblica** del mittente per ottenere l'hash originale, e lo confronta con l'hash che calcola autonomamente sul messaggio ricevuto. Se coincidono, la firma è valida.
* **Certificati Digitali (PKI):** Un **certificato digitale** (standard X.509) è un documento elettronico che associa una chiave pubblica all'identità del suo proprietario, rilasciato e firmato digitalmente da una **CA (Certification Authority)** fidata (es. DigiCert, Let's Encrypt). Il sistema gerarchico di CA e certificati costituisce la **PKI (Public Key Infrastructure)**, l'infrastruttura alla base di HTTPS e della firma digitale.

267
backend/src/main/resources/get/documentazione/sicurezza_informatica.md Normal file
View File

@@ -0,0 +1,267 @@
# La Sicurezza di un Sistema Informatico
## 1. Introduzione alla Cybersecurity
La **sicurezza informatica (cybersecurity)** è l'insieme di pratiche, tecnologie e processi progettati per proteggere reti, sistemi, programmi e dati dagli attacchi digitali, dai danni accidentali e dall'accesso non autorizzato.
Nel modello **DIKW** (Data, Information, Knowledge, Wisdom), la sicurezza informatica si colloca al di sopra della semplice informatica (livello 3): non si limita a elaborare dati, ma utilizza la conoscenza per comprendere le informazioni, anticipare i rischi, mitigare i danni e garantire la continuità operativa.
> **Nota sui personaggi convenzionali:** In crittografia e sicurezza si usano nomi standard per gli esempi: **Alice e Bob** (comunicanti legittimi), **Cindy/Trudy** (intrusi attivi che alterano i messaggi) ed **Eve** (eavesdropper, spia passiva che si limita ad ascoltare senza modificare nulla).
### I fondamenti: Il modello CIA
La sicurezza delle informazioni si basa su tre obiettivi principali, noti come **Triangolo CIA** (o **RID** in italiano). Compromettere anche solo uno di questi tre pilastri costituisce un incidente informatico:
* **C Confidentiality (Riservatezza):** Garantisce che le informazioni siano accessibili esclusivamente a soggetti autorizzati. Si realizza tramite crittografia, controllo degli accessi e classificazione dei dati.
* **I Integrity (Integrità):** Garantisce che le informazioni non vengano alterate in modo non autorizzato, né accidentalmente né intenzionalmente. Gli strumenti principali sono le funzioni hash, le firme digitali e i meccanismi di controllo delle versioni.
* **A Availability (Disponibilità):** Garantisce che i dati e i servizi siano sempre accessibili quando richiesti dagli utenti autorizzati. Si realizza tramite ridondanza hardware, clustering, bilanciamento del carico e piani di disaster recovery.
Negli ultimi anni il modello CIA è stato esteso con ulteriori proprietà:
* **Non Ripudio:** L'impossibilità per il mittente di negare di aver inviato un messaggio (garantita dalla firma digitale).
* **Autenticità:** La certezza che un'entità sia effettivamente chi dichiara di essere.
* **Accountability:** La tracciabilità delle azioni compiute dagli utenti tramite log di sistema.
---
## 2. Il Lato Oscuro: Minacce e Attacchi
Un **attacco informatico** è un atto volontario che sfrutta una minaccia per compromettere un sistema. Una **minaccia (threat)** è un evento potenziale — interno o esterno — che tende a violare uno o più obiettivi di sicurezza.
Gli **attori della minaccia (threat actors)** si classificano in base a motivazioni e capacità:
* **Script Kiddie:** Attaccanti con scarse competenze tecniche che usano strumenti preconfezionati.
* **Hacker (Black/Grey/White Hat):** Rispettivamente malintenzionati, figure ambigue e professionisti etici.
* **Insider Threat:** Dipendenti o collaboratori interni che abusano dei propri privilegi, volontariamente o per negligenza.
* **Hacktivisti:** Attaccano per motivazioni politiche o ideologiche (es. Anonymous).
* **Cybercriminali organizzati:** Gruppi strutturati mossi da interessi economici.
* **Nation-State Actors:** Servizi di intelligence o agenzie governative che conducono operazioni di cyber-spionaggio o sabotaggio su scala nazionale (es. attacchi alle infrastrutture critiche).
Le minacce si concretizzano principalmente tramite:
1. **Malware:** Software malevoli (virus, worm, trojan, ransomware, spyware, ecc.).
2. **Social Engineering (Ingegneria Sociale):** Manipolazione psicologica delle persone per spingerle a rivelare informazioni riservate o a compiere azioni dannose (es. *phishing*, *vishing*, *smishing*).
### Tipologie di Attacchi Specifici
* **APT (Advanced Persistent Threats):** Tecniche di hacking mirate e sofisticate, tipicamente attribuite a gruppi nation-state, usate per spionaggio o sabotaggio a lungo termine. Seguono un ciclo strutturato: ricognizione → intrusione iniziale → escalation dei privilegi → movimento laterale nella rete → creazione di backdoor → esfiltrazione dei dati → mantenimento dell'accesso nel tempo.
**Attacchi ai protocolli TCP/IP:**
* **SYN Flood:** Sfrutta il meccanismo di three-way handshake di TCP: l'attaccante invia migliaia di richieste SYN senza mai completare la connessione, esaurendo le risorse del server fino a renderlo irraggiungibile (attacco DoS).
* **Spoofing IP:** Falsifica l'indirizzo IP sorgente di un pacchetto per far credere che il traffico provenga da una fonte fidata, eludendo i controlli di accesso basati sull'indirizzo IP.
* **Man in the Middle (MitM):** L'attaccante si interpone segretamente nella comunicazione tra due parti (es. tramite ARP Poisoning o DNS Spoofing), potendo intercettare, leggere o alterare i messaggi senza che le vittime se ne accorgano.
* **DNS Spoofing / Cache Poisoning:** Corruzione della cache di un server DNS per reindirizzare gli utenti verso siti malevoli pur digitando l'indirizzo corretto.
* **Teardrop:** Invio di frammenti di pacchetti IP artatamente malformati e sovrapposti che il sistema vittima non riesce a riassemblare correttamente, causandone il crash.
* **Botnet e DDoS:** Una **botnet** è una rete di dispositivi infetti (*bot* o *zombie*) controllati da remoto tramite un server C2 (Command & Control). Vengono usati per lanciare attacchi **DDoS (Distributed Denial of Service)**, che mirano a saturare la banda o le risorse di un servizio distribuendo il traffico su migliaia di macchine diverse, rendendo il blocco selettivo quasi impossibile.
* **SQL Injection:** Inserimento di codice SQL malevolo in campi di input di un'applicazione web per manipolare il database sottostante, estrarne dati o ottenere accesso amministrativo.
* **Cross-Site Scripting (XSS):** Iniezione di codice JavaScript malevolo in pagine web visualizzate da altri utenti, per rubare cookie di sessione o reindirizzare le vittime.
---
## 3. Vulnerabilità e Incidenti
Un **incidente di sicurezza** è un evento che mette a rischio l'integrità, la riservatezza o la disponibilità dei dati. Affinché si verifichi, devono esistere contemporaneamente una debolezza e la capacità di sfruttarla.
* **Debolezza (Weakness):** Un difetto interno al sistema (errore di programmazione, hardware difettoso, configurazione errata). È intrinseca al sistema e non dipende dall'uso che se ne fa.
* **Exploit:** Il codice, lo strumento o la tecnica usata per sfruttare attivamente una debolezza.
* **Vulnerabilità:** La debolezza specifica che *può essere effettivamente sfruttata* da un exploit per compromettere il sistema. Si può esprimere come: **Vulnerabilità = Debolezza + Minaccia in grado di sfruttarla**.
### Classificazione delle Vulnerabilità
* **Intrinseche:** Legate alla natura aperta e distribuita delle reti (porte fisiche esposte, protocolli Internet nati senza requisiti di sicurezza, invecchiamento del software, vulnerabilità ancora sconosciute ai vendor dette *zero-day*).
* **Tecnologiche:** Difetti nell'hardware, nel software applicativo o nei protocolli di comunicazione.
* **Umane:** L'essere umano rimane l'anello più debole della catena. Viene ironicamente chiamato *Layer 8* del modello OSI: agisce d'impulso, clicca su link sospetti, riusa password deboli o cade in truffe di social engineering.
* **Organizzative:** Mancanza di policy aziendali, procedure inadeguate, assenza di formazione sulla sicurezza del personale.
### Classificazione Standard: CWE e CVE
La **MITRE Corporation** gestisce due database fondamentali per catalogare e comunicare questi problemi in modo standardizzato a livello globale:
* **CWE (Common Weakness Enumeration):** Un dizionario sistematico delle *debolezze* software e hardware (es. CWE-119: Buffer Overflow, CWE-89: SQL Injection). È uno strumento per gli sviluppatori, utile a non ripetere errori già noti e categorizzati.
* **CVE (Common Vulnerabilities and Exposures):** Un catalogo delle *vulnerabilità specifiche* già identificate e rese pubbliche in prodotti reali, a cui viene assegnato un identificatore unico (es. `CVE-2021-44228`, la celebre vulnerabilità Log4Shell). Ad ogni CVE è associato un punteggio di gravità da 0 a 10 chiamato **CVSS (Common Vulnerability Scoring System)**, che ne misura l'impatto, la facilità di sfruttamento e altri fattori.
> **La differenza in sintesi:** CWE descrive *classi generali di problemi di programmazione*, mentre CVE identifica *istanze specifiche di vulnerabilità in prodotti reali*.
---
## 4. Il Malware
Il termine deriva da *malicious software*. È un codice malevolo progettato per penetrare illecitamente in un sistema al fine di rubare dati, spiare l'utente, assumere il controllo del dispositivo o causare danni. Spesso l'infezione richiede l'inconsapevole complicità dell'utente attraverso tecniche di social engineering.
**Struttura di un malware:** Un malware è generalmente composto da due parti funzionali:
1. **Vettore (Carrier):** Il mezzo attraverso cui il malware si diffonde e si introduce nel sistema bersaglio (un allegato email, un link malevolo, una chiavetta USB, uno script su una pagina web). Il vettore sfrutta una vulnerabilità per superare le difese perimetrali.
2. **Carico utile (Payload):** Le istruzioni malevole specifiche che vengono eseguite una volta guadagnato l'accesso al sistema (es. cifrare i file, rubare le credenziali, aprire una backdoor, attivare la fotocamera).
**Ciclo di vita di un malware (Cyber Kill Chain):**
Concettualmente, un attacco malware segue fasi precise: **Ricognizione → Armamento → Consegna → Sfruttamento → Installazione → Comando e controllo (C2) → Azioni sull'obiettivo**.
### Principali Tipologie di Malware
* **Virus:** Frammento di codice che si inserisce all'interno di file o programmi legittimi (host). Richiede l'intervento umano (es. apertura del file infetto) per attivarsi e replicarsi su altri file. Analogia biologica: infetta un ospite e si moltiplica usando le sue risorse.
* **Worm:** Programma autonomo in grado di autoreplicarsi e diffondersi autonomamente su reti e sistemi, sfruttando vulnerabilità di servizi esposti in rete, senza alcuna azione da parte dell'utente. Famoso esempio: *WannaCry* (2017), che sfruttava la vulnerabilità EternalBlue di Windows.
* **Trojan (Cavallo di Troia):** Software apparentemente legittimo e innocuo che nasconde al suo interno funzionalità malevole. A differenza di virus e worm, non si autoreplica, ma viene attivamente scaricato e installato dall'utente ignaro. Spesso installa backdoor o altri malware.
* **Backdoor (Porta di servizio):** Meccanismo che consente di accedere a un sistema bypassando le normali procedure di autenticazione e sicurezza. Spesso installata da trojan o da attaccanti dopo aver ottenuto l'accesso iniziale.
* **Ransomware:** Uno dei malware più devastanti e redditizi degli ultimi anni. Cifra i dati della vittima rendendoli inaccessibili, e richiede il pagamento di un riscatto (spesso in criptovaluta, per garantire l'anonimato) in cambio della chiave di decifratura. Modello di business evoluto: oggi esistono veri e propri servizi **RaaS (Ransomware as a Service)** venduti nel dark web.
* **Spyware:** Software progettato per monitorare le attività dell'utente e raccogliere informazioni sensibili (password digitate, dati bancari, abitudini di navigazione) trasmettendole all'attaccante senza che la vittima se ne accorga. Un caso particolare è il **Keylogger**, che registra ogni tasto premuto sulla tastiera.
* **Rootkit:** Insieme di strumenti software che consentono a un attaccante di mantenere accesso privilegiato (root/amministratore) a un sistema compromesso, nascondendo attivamente la propria presenza e quella degli altri malware al sistema operativo e agli antivirus. Tra i più difficili da rilevare e rimuovere.
* **Adware:** Programma che visualizza pubblicità indesiderata. Generalmente meno pericoloso degli altri, ma può aprire la porta a malware più seri o raccogliere dati sull'utente.
* **Fileless Malware:** Tipologia moderna che non scrive file su disco, ma opera direttamente nella memoria RAM sfruttando strumenti legittimi del sistema operativo (es. PowerShell). Questo lo rende quasi invisibile ai tradizionali antivirus basati su firma.
---
## 5. Politiche e Strategie di Sicurezza
* **Difesa in profondità (Defense in Depth):** Approccio basato su livelli multipli e sovrapposti di controlli di sicurezza (tecnologici, fisici e procedurali), come gli strati di una cipolla. L'idea è che se un attaccante riesce a superare una barriera, ne troverà immediatamente un'altra. Nessun singolo strumento di sicurezza è considerato infallibile.
* **Zero Trust (Fiducia Zero):** Modello di sicurezza moderno basato sul principio **"never trust, always verify"** (non fidarsi mai, verificare sempre). Non viene concessa fiducia implicita a nessun utente o dispositivo, indipendentemente dal fatto che si trovi all'interno o all'esterno della rete aziendale. Ogni accesso richiede autenticazione, autorizzazione e verifica continua.
* **Principio del Minimo Privilegio (Least Privilege):** Ogni utente, processo o sistema deve avere solo i permessi strettamente necessari per svolgere la propria funzione, e nulla di più. Limita il danno in caso di compromissione di un account.
* **Security by Design:** La sicurezza viene integrata fin dalle prime fasi di progettazione di un sistema o di un'applicazione, anziché essere aggiunta come strato successivo.
### Sicurezza Offensiva e Difensiva
La sicurezza si avvale di team specializzati con ruoli complementari:
* **Red Team:** Simula i criminali informatici effettuando attacchi mirati e realistici (*Penetration Test* o *Ethical Hacking*) per identificare vulnerabilità reali prima che lo facciano gli attaccanti. Opera con la stessa mentalità e gli stessi strumenti di un attaccante reale.
* **Blue Team:** Il team di difesa interno. Monitora l'infrastruttura in tempo reale, analizza i log, rileva anomalie e intrusioni tramite sistemi SIEM, e coordina la risposta agli incidenti.
* **Purple Team:** Non è un team separato, ma una modalità collaborativa in cui Red e Blue team lavorano insieme e condividono informazioni in tempo reale, massimizzando l'apprendimento reciproco e migliorando l'efficacia complessiva delle difese.
> **Penetration Test vs Vulnerability Assessment:** Un *Vulnerability Assessment* identifica e cataloga le vulnerabilità presenti in un sistema. Un *Penetration Test* va oltre: tenta attivamente di sfruttarle per valutare l'impatto reale di una compromissione.
---
## 7. Autenticazione e Controllo degli Accessi
I tre concetti fondamentali del controllo degli accessi sono:
* **Identificazione:** Dichiarare la propria identità al sistema (es. inserire il nome utente).
* **Autenticazione:** *Dimostrare* di essere chi si dice di essere, presentando una prova verificabile (es. la password, un'impronta digitale).
* **Autorizzazione:** Dopo l'autenticazione, il sistema stabilisce a quali risorse e con quali permessi l'utente autenticato può accedere.
### Fattori di Autenticazione
L'autenticazione si basa su tre categorie fondamentali (*paradigmi*):
1. **Something you know** (Qualcosa che sai): Password, PIN, domande di sicurezza. Fattore più debole: soggetto a furto, indovinazione e phishing.
2. **Something you have** (Qualcosa che hai): Token hardware (es. YubiKey), smartcard, OTP (One-Time Password) via app autenticatore o SMS. Più robusto del precedente.
3. **Something you are** (Qualcosa che sei): Biometria — impronta digitale, riconoscimento facciale, iride, voce. Il problema principale è l'irrevocabilità: se una password viene compromessa si può cambiare, ma un'impronta digitale no.
* **MFA (Multi-Factor Authentication):** L'utilizzo combinato di **due o più fattori appartenenti a categorie diverse** aumenta drasticamente il livello di sicurezza, perché un attaccante che ruba la password non ha comunque accesso senza il secondo fattore fisico.
### Modelli di Controllo degli Accessi
* **DAC (Discretionary Access Control):** Il proprietario della risorsa decide chi può accedervi (es. permessi sui file in Unix/Windows).
* **MAC (Mandatory Access Control):** Il sistema assegna etichette di classificazione alle risorse e ai soggetti; gli accessi sono regolati da policy centrali non modificabili dall'utente (usato in ambito militare e governativo).
* **RBAC (Role-Based Access Control):** I permessi vengono assegnati a *ruoli* (es. "amministratore", "operatore", "sola lettura"), e gli utenti sono assegnati ai ruoli. È il modello più comune nelle aziende.
---
## 8. Strumenti di Difesa delle Reti
* **Firewall:** Dispositivo hardware o software che filtra il traffico di rete in entrata e in uscita in base a regole predefinite (ruleset), agendo come primo "muro" tra una rete interna sicura e una rete esterna non fidata (Internet).
* *Packet Filtering:* Analizza ogni pacchetto singolarmente (IP sorgente/destinazione, porta). Semplice e veloce ma non tiene conto del contesto.
* *Stateful Inspection:* Tiene traccia dello stato delle connessioni attive, consentendo solo i pacchetti che appartengono a connessioni legittime già stabilite.
* *Application Gateway (Proxy / NGFW):* Analizza il traffico a livello applicativo, riconosce specifici protocolli e può bloccare contenuti malevoli anche all'interno di connessioni cifrate (SSL inspection).
* **DMZ (Demilitarized Zone):** Sottorete isolata, posta *tra* Internet e la rete locale interna (LAN), separata da due firewall distinti. Ospita i server raggiungibili dall'esterno (web server, mail server, DNS pubblico). Se un server in DMZ viene compromesso, l'attaccante si trova ancora dietro un secondo firewall e non ha accesso diretto alla rete interna.
* **IDS e IPS:**
* **IDS (Intrusion Detection System):** Monitora il traffico e genera allarmi al rilevamento di pattern sospetti o firme di attacchi noti. È passivo: *vede* ma non blocca.
* **IPS (Intrusion Prevention System):** Come l'IDS, ma agisce attivamente bloccando o scartando il traffico identificato come malevolo in tempo reale. È inline nella rete.
* Entrambi possono operare tramite **rilevamento basato su firma** (confronto con database di attacchi noti) o **rilevamento basato su anomalie** (deviazione dal comportamento normale di rete).
* **SIEM (Security Information and Event Management):** Sistema centralizzato che raccoglie, correla e analizza i log provenienti da tutti i dispositivi della rete (firewall, server, endpoint, IDS…) in tempo reale. Permette di rilevare schemi di attacco distribuiti che sarebbero invisibili analizzando le singole sorgenti separatamente. È il cuore operativo di un SOC (Security Operations Center).
* **VPN (Virtual Private Network):** Crea un *tunnel* cifrato attraverso una rete pubblica (Internet), garantendo riservatezza e integrità delle comunicazioni. Usata sia per collegare filiali aziendali (*site-to-site VPN*) sia per consentire l'accesso remoto sicuro ai dipendenti (*remote-access VPN*).
* **Honeypot:** Sistema configurato intenzionalmente con vulnerabilità apparenti per attirare e intrappolare gli attaccanti, allo scopo di studiarne le tecniche, raccogliere intelligence sulle minacce e distoglierli dai sistemi reali. Una rete di honeypot è detta **honeynet**.
---
## 9. Backup e Continuità Operativa
Il **Backup** è la creazione pianificata di copie di sicurezza dei dati per consentirne il recupero in caso di perdita, corruzione o attacco (es. ransomware).
* **Backup Completo (Full):** Copia l'intero set di dati selezionato. Richiede molto tempo e spazio, ma il ripristino è semplice e rapido.
* **Backup Incrementale:** Copia solo i dati modificati o creati dall'ultimo backup eseguito (di qualsiasi tipo). Molto veloce da eseguire e spazio ridotto, ma il ripristino richiede l'intero storico della catena di backup (1 full + tutti gli incrementali successivi).
* **Backup Differenziale:** Copia i dati modificati rispetto all'ultimo backup *completo*, indipendentemente dai backup successivi. Il ripristino richiede solo 2 elementi (1 full + l'ultimo differenziale), con un buon compromesso tra spazio e velocità.
> **La regola 3-2-1:** Avere almeno **3** copie dei dati, su **2** supporti o tecnologie di memorizzazione differenti, di cui almeno **1** copia conservata *off-site* (in sede fisicamente separata o su cloud). Una versione aggiornata è la **3-2-1-1-0**: aggiunge 1 copia *air-gapped* (fisicamente isolata da qualsiasi rete) e 0 errori verificati nei backup tramite test periodici di ripristino.
### Metriche per il Ripristino
* **RPO (Recovery Point Objective):** La quantità massima di dati che l'organizzazione può permettersi di perdere (in termini di tempo). Risponde alla domanda: *"Fino a quando nel passato possiamo tornare?"* Determina la frequenza minima dei backup.
* **RTO (Recovery Time Objective):** Il tempo massimo tollerato per ripristinare completamente i sistemi e tornare operativi dopo un disastro. Risponde alla domanda: *"Quanto possiamo stare fermi?"*
### Pianificazione delle Emergenze
* **DRP (Disaster Recovery Plan):** Piano tecnico operativo che definisce le procedure passo-passo per ripristinare l'infrastruttura IT, i dati e i servizi tecnologici dopo un evento catastrofico (guasto hardware, incendio, attacco informatico, calamità naturale).
* **BCP (Business Continuity Plan):** Piano strategico più ampio che descrive come l'intera organizzazione — non solo l'IT — continuerà a erogare i propri servizi critici durante e dopo una crisi, garantendo la sopravvivenza del business. Il DRP è tipicamente una componente del BCP.
---
## 10. Sicurezza dei Protocolli di Rete
Per garantire la sicurezza delle comunicazioni su Internet, sono stati sviluppati protocolli crittografici specifici per i diversi livelli della pila di rete.
### Sicurezza a Livello di Rete: IPsec
**IPsec (Internet Protocol Security)** è una suite di protocolli che opera a livello di rete (Layer 3) per proteggere il traffico IP, garantendo autenticazione, integrità e riservatezza. È la tecnologia alla base delle VPN aziendali.
**Modalità operative:**
* **Transport Mode:** Viene cifrato *solo il payload* del pacchetto IP, mentre l'header originale (con gli indirizzi IP reali) rimane in chiaro. Adatto per comunicazioni end-to-end tra due host specifici.
* **Tunnel Mode:** Viene cifrato *l'intero* pacchetto IP originale (header + payload), e il tutto viene incapsulato in un nuovo pacchetto con un header esterno. Gli indirizzi IP reali sono completamente nascosti. Ideale per VPN site-to-site tra due gateway (router di sedi diverse).
**Protocolli principali:**
* **AH (Authentication Header):** Garantisce l'integrità dei dati e l'autenticazione della fonte, ma *non* cifra il contenuto (non offre riservatezza). Protegge anche l'header IP.
* **ESP (Encapsulating Security Payload):** Il protocollo più utilizzato. Offre cifratura (riservatezza), integrità e autenticazione del contenuto. Nella maggior parte dei casi sostituisce AH da solo.
### Sicurezza a Livello di Trasporto: TLS
**SSL (Secure Sockets Layer)** e il suo successore moderno **TLS (Transport Layer Security)** operano tra il livello di trasporto (TCP) e quello applicativo, proteggendo le comunicazioni di qualsiasi protocollo applicativo. SSL è oggi considerato obsoleto e insicuro; TLS 1.3 (2018) è lo standard corrente.
Il funzionamento avviene in due fasi:
1. **Handshake Protocol:** Il client e il server si autenticano (tipicamente il server presenta il proprio certificato digitale X.509), negoziano le versioni e gli algoritmi crittografici supportati (*cipher suite*), e stabiliscono le chiavi di sessione in modo sicuro tramite meccanismi come **ECDHE** (Elliptic Curve Diffie-Hellman Ephemeral).
2. **Record Protocol:** I dati applicativi vengono cifrati simmetricamente (con la chiave di sessione stabilita nella fase precedente), garantendo efficienza e sicurezza per la durata della connessione.
> **HTTPS** è semplicemente il protocollo HTTP trasportato su una connessione TLS. Il lucchetto nel browser indica che la comunicazione è cifrata e che il certificato del server è stato verificato.
---
## 11. La Sicurezza delle Reti Wireless (WLAN)
Le reti Wi-Fi (standard IEEE 802.11) sono intrinsecamente più vulnerabili delle reti cablate: il mezzo trasmissivo è l'etere, fisicamente accessibile a chiunque si trovi nel raggio di copertura radio. Non è possibile "recintare" il segnale. L'uso di solidi protocolli di cifratura è pertanto obbligatorio.
### Evoluzione degli Standard di Sicurezza Wi-Fi
* **WEP (Wired Equivalent Privacy, 1997):** Il primo standard di sicurezza Wi-Fi. Utilizzava l'algoritmo RC4 con una chiave statica. **Oggi completamente obsoleto e crackabile in pochi minuti** con strumenti facilmente reperibili: il Vettore di Inizializzazione (IV) di soli 24 bit veniva riutilizzato frequentemente, permettendo analisi statistica del traffico per ricavare la chiave. Ne è vietato l'uso.
* **WPA (Wi-Fi Protected Access, 2003):** Creato come patch rapida per sostituire WEP senza richiedere la sostituzione dell'hardware esistente. Introduce il protocollo **TKIP (Temporal Key Integrity Protocol)**, che genera una nuova chiave di cifratura per ogni pacchetto trasmesso, risolvendo il problema principale del WEP. Oggi anch'esso considerato insufficiente.
* **WPA2 (Standard IEEE 802.11i, 2004):** Ha rappresentato lo standard globale per oltre un decennio. Abbandona completamente RC4 e TKIP in favore di **AES** con il protocollo **CCMP**, molto più robusto. La sua principale debolezza residua è la vulnerabilità ad **attacchi a dizionario offline** sull'handshake a 4 vie se la password della rete è debole o comune. Nel 2017 è stata scoperta anche la vulnerabilità **KRACK** (Key Reinstallation Attack).
* **WPA3 (2018):** Lo standard più recente e sicuro.
* **SAE (Simultaneous Authentication of Equals)** sostituisce il vecchio PSK (Pre-Shared Key): anche se un attaccante registra l'handshake e conosce la password, non può decifrare il traffico passato (*Forward Secrecy*). Rende i dictionary attack offline praticamente inutili.
* **OWE (Opportunistic Wireless Encryption):** Cifra automaticamente il traffico anche nelle reti aperte senza password (es. Wi-Fi pubblico di un bar), proteggendo gli utenti da chi ascolta passivamente la rete.
* **Protezione dalle forze brute:** WPA3 limita il numero di tentativi di autenticazione, rendendo gli attacchi a forza bruta molto più lenti.
---
## 12. Sicurezza a Livello Applicativo
Alcuni protocolli garantiscono la sicurezza direttamente per specifiche applicazioni, indipendentemente dal livello di trasporto:
* **PGP (Pretty Good Privacy) e S/MIME:** Standard crittografici per firmare digitalmente e cifrare i messaggi di posta elettronica. Garantiscono autenticità, integrità e riservatezza end-to-end delle email, impedendo che vengano lette da server di posta o terze parti intermediarie. PGP usa un modello di fiducia distribuita (*Web of Trust*), S/MIME si affida invece a CA centralizzate.
* **SSH (Secure Shell):** Protocollo crittografico per l'accesso remoto sicuro e l'amministrazione di sistemi (tipicamente tramite riga di comando su server Linux/Unix). Ha definitivamente sostituito i protocolli non cifrati **Telnet** e **rlogin**, che trasmettevano comandi e password in chiaro. SSH supporta autenticazione tramite password *o* tramite coppia di chiavi pubblica/privata (metodo consigliato, molto più sicuro).
* **DNSSEC (DNS Security Extensions):** Estensione del protocollo DNS che aggiunge firme digitali ai record DNS, prevenendo attacchi di *DNS Spoofing* e *Cache Poisoning* che reindirizzerebbero gli utenti verso siti malevoli.
* **SFTP / FTPS:** Versioni sicure del protocollo FTP per il trasferimento di file. SFTP opera su tunnel SSH; FTPS aggiunge TLS al classico FTP.
---
> **Conclusione:** La sicurezza informatica non è mai un prodotto finito o uno stato definitivamente raggiunto, ma un **processo continuo**. Il panorama delle minacce evolve costantemente, con nuove vulnerabilità scoperte ogni giorno. La difesa efficace richiede l'integrazione di tecnologie aggiornate, procedure organizzative solide e — soprattutto — utenti consapevoli e formati. Come recita un adagio del settore: *"La sicurezza è forte quanto il suo anello più debole"* — e quell'anello, il più delle volte, è umano.

1
backend/src/main/resources/get/index.html
View File

@@ -28,6 +28,7 @@
<ul class="nav-links" id="nav-links">
<li><a href="rsa.html"><i class="fa-solid fa-key"></i>RSA</a></li>
<li><a href="cesare.html"><i class="fa-solid fa-arrow-right-arrow-left"></i> Cesare</a></li>
<li><a href="materiale.html"><i class="fa-regular fa-clipboard"></i></i>Materiale</a></li>
<li><a href="team.html"><i class="fa-solid fa-users"></i> Il Team</a></li>
</ul>
</nav>

60
backend/src/main/resources/get/materiale.html Normal file
View File

@@ -0,0 +1,60 @@
<!DOCTYPE html>
<html lang="it">
<head>
<meta charset="UTF-8">
<title>CryptoSeals - Sezione Divulgativa</title>
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<link rel="stylesheet" href="https://cdnjs.cloudflare.com/ajax/libs/font-awesome/6.4.0/css/all.min.css">
<link rel="stylesheet" href="style.css">
<script src="https://cdn.jsdelivr.net/npm/marked/marked.min.js"></script>
</head>
<body>
<nav class="navbar">
<a href="index.html" class="nav-brand">
<img src="seal1.png" height="80" alt="🦭">
CryptoSeals
</a>
<div class="menu-toggle" onclick="toggleMenu()">
<i class="fa-solid fa-bars"></i>
</div>
<ul class="nav-links" id="nav-links">
<li><a href="rsa.html"><i class="fa-solid fa-key"></i>RSA</a></li>
<li><a href="cesare.html"><i class="fa-solid fa-arrow-right-arrow-left"></i> Cesare</a></li>
<li><a href="materiale.html"><i class="fa-regular fa-clipboard"></i></i>Materiale</a></li>
<li><a href="team.html"><i class="fa-solid fa-users"></i> Il Team</a></li>
</ul>
</nav>
<div class="container" style="margin-top: 100px;">
<h1>Area Divulgativa</h1>
<div class="sezioni-appunti">
<button class="btn-appunto" onclick="caricaAppunto('documentazione/sicurezza_informatica.md')">Introduzione</button>
<button class="btn-appunto" onclick="caricaAppunto('documentazione/crittografia.md')">Crittografia</button>
</div>
<div id="markdown-content" class="appunti-style">
<p>Seleziona un argomento per visualizzare gli appunti.</p>
</div>
</div>
<script>
async function showfile(filename) {
const container = document.getElementById('markdown-content');
container.innerHTML = "<p>Caricamento in corso...</p>";
try {
const response = await fetch(filename);
if (!response.ok) throw new Error("File non trovato");
const markdownRaw = await response.text();
container.innerHTML = marked.parse(markdownRaw);
container.scrollIntoView({ behavior: 'smooth' });
} catch (error) {
container.innerHTML = "<p style='color: red;'>Errore nel caricamento della pagina.</p>";
console.error(error);
}
}
</script>
</body>

1
backend/src/main/resources/get/rsa.html
View File

@@ -20,6 +20,7 @@
<ul class="nav-links" id="nav-links">
<li><a href="rsa.html"><i class="fa-solid fa-key"></i>RSA</a></li>
<li><a href="cesare.html"><i class="fa-solid fa-arrow-right-arrow-left"></i> Cesare</a></li>
<li><a href="materiale.html"><i class="fa-regular fa-clipboard"></i></i>Materiale</a></li>
<li><a href="team.html"><i class="fa-solid fa-users"></i> Il Team</a></li>
</ul>
</nav>

1
backend/src/main/resources/get/team.html
View File

@@ -22,6 +22,7 @@
<ul class="nav-links" id="nav-links">
<li><a href="rsa.html"><i class="fa-solid fa-key"></i>RSA</a></li>
<li><a href="cesare.html"><i class="fa-solid fa-arrow-right-arrow-left"></i> Cesare</a></li>
<li><a href="materiale.html"><i class="fa-regular fa-clipboard"></i></i>Materiale</a></li>
<li><a href="team.html"><i class="fa-solid fa-users"></i> Il Team</a></li>
</ul>
</nav>