diff --git a/backend/src/main/resources/get/documentazione/IntroduzioneCybersecurity.md b/backend/src/main/resources/get/documentazione/IntroduzioneCybersecurity.md index e78d4c7..028511b 100644 --- a/backend/src/main/resources/get/documentazione/IntroduzioneCybersecurity.md +++ b/backend/src/main/resources/get/documentazione/IntroduzioneCybersecurity.md @@ -1,162 +1,9 @@ -# La Sicurezza di un sistema informatico - -## 1. Introduzione alla Cybersecurity - -La **sicurezza informatica (cybersecurity)** è l'insieme di pratiche, tecnologie e processi utilizzati per proteggere reti, sistemi e programmi dagli attacchi digitali. - -Nel modello **DIKW** (Data, Information, Knowledge, Wisdom), la sicurezza informatica si colloca al di sopra della semplice informatica (livello 3): non si limita a elaborare dati, ma utilizza la conoscenza per comprendere le informazioni, identificare i rischi, mitigare i danni e garantire la continuità operativa. - -> **Nota sui personaggi convenzionali:** In crittografia e sicurezza si usano nomi standard per gli esempi: **Alice e Bob** (comunicanti legittimi), **Cindy/Trudy** (intrusi attivi che alterano i messaggi), ed **Eve** (eavesdropper, spia che si limita ad ascoltare). - -### I fondamenti: Il modello CIA -La sicurezza delle informazioni si basa su tre obiettivi principali, noti come **Triangolo CIA (o RID in italiano)**. Comprometterne anche solo uno causa un incidente informatico: -* **C - Confidentiality (Riservatezza):** Garantisce che le informazioni non siano accessibili a persone non autorizzate. -* **I - Integrity (Integrità):** Garantisce che le informazioni non vengano modificate in modo non autorizzato (tramite crittografia, controlli, backup). -* **A - Availability (Disponibilità):** Garantisce che i dati e i servizi siano sempre disponibili quando richiesti (es. tramite ridondanza). - ---- - -## 2. Il lato oscuro: Minacce e Attacchi - -Un **attacco informatico** è un atto volontario che sfrutta una minaccia per compromettere un sistema. -Una **minaccia (threat)** è un evento esterno che tende a violare un obiettivo di sicurezza. - -Le minacce si dividono principalmente in: -1. **Malware:** Software malevoli (virus, worm, trojan, ransomware, spyware, ecc.). -2. **Social Engineering (Ingegneria Sociale):** Manipolazione psicologica delle persone per spingerle a rivelare informazioni riservate (es. *Phishing*). - -### Tipologie di Attacchi Specifici - -* **APT (Advanced Persistent Threats):** Tecniche di hacking mirate e sofisticate, usate per sabotaggio o spionaggio a lungo termine. Prevedono fasi precise: identificazione, intrusione, creazione di backdoor, escalation dei privilegi ed esfiltrazione dei dati. - -**Attacchi ai protocolli TCP/IP:** -* **SYN Flood:** Sovraccarica il server di richieste (senza completare l'handshake) fino a farlo collassare. -* **Spoofing IP:** Falsifica l'indirizzo IP per far credere che il traffico provenga da una fonte fidata. -* **Man in the Middle (MitM):** L'hacker si interpone segretamente in una comunicazione tra due parti per intercettare o alterare i dati. -* **Teardrop:** Invio di frammenti di pacchetti IP corrotti che il sistema non riesce a riassemblare, mandandolo in tilt. -* **Botnet e DDoS:** Una rete di dispositivi infetti (botnet) controllati all'insaputa dei proprietari, usati per lanciare attacchi **DDoS (Distributed Denial of Service)**, mirati a disattivare un servizio sovraccaricandolo di richieste. - ---- - -## 3. Vulnerabilità e Incidenti - -Un **incidente di sicurezza** è un evento che mette a rischio l'integrità, la riservatezza o la disponibilità dei dati. Affinché si verifichi, devono esistere debolezza e vulnerabilità. - -* **Debolezza (Weakness):** Un difetto interno al sistema (errore di programmazione, hardware difettoso). È intrinseca e non dipende dall'uso. -* **Exploit:** Il codice o la tecnica usata per sfruttare una debolezza. -* **Vulnerabilità:** È la debolezza specifica che *può* essere effettivamente sfruttata da un exploit per compromettere il sistema. *(Vulnerabilità = Debolezza + Minaccia in grado di sfruttarla).* - -### Classificazione delle vulnerabilità -* **Intrinseche:** Legate alla natura aperta delle reti (porte fisiche, protocolli Internet nativamente insicuri, invecchiamento dei software, vulnerabilità sconosciute note come *zero-day*). -* **Tecnologiche:** Difetti hardware, software e di protocollo. -* **Umane:** L'anello debole è spesso l'utente (chiamato ironicamente *Layer 8* del modello OSI), che agisce d'impulso cliccando su link dubbi. - -### Classificazione standard: CWE e CVE -La MITRE Corporation gestisce database fondamentali per catalogare questi problemi: -* **CWE (Common Weakness Enumeration):** Un dizionario delle *debolezze* software/hardware (es. Buffer Overflow). Serve agli sviluppatori per non ripetere errori noti. -* **CVE (Common Vulnerabilities and Exposures):** Un catalogo delle *vulnerabilità* specifiche già identificate, a cui viene assegnato un ID unico. Ad ogni CVE è associato un punteggio di gravità da 0 a 10 chiamato **CVSS (Common Vulnerability Scoring System)**. - ---- - -## 4. Il Malware - -Il termine deriva da *malicious software*. È un codice malevolo progettato per penetrare illecitamente in un sistema per rubare, alterare dati, spiare o assumere il controllo del dispositivo. Spesso l'infezione richiede l'inconsapevole complicità dell'utente (social engineering). - -**Struttura di un malware:** -In generale, un malware è composto da due parti funzionali (assimilabili a un missile): -1. **Vettore (Carrier):** Il mezzo attraverso cui il malware si diffonde (un file allegato, un link, una chiavetta USB) e che serve a superare le difese del sistema sfruttando una vulnerabilità. -2. **Carico utile (Payload):** Le istruzioni specifiche (la "testata esplosiva") che il malware esegue una volta dentro il sistema bersaglio (es. cifrare i file, rubare password, attivare la fotocamera). - -### Tabella riassuntiva: Principali Tipologie di Malware -* **Virus:** Frammento di codice che si inserisce in altri programmi (host). Ha bisogno dell'intervento umano (es. apertura di un file) per attivarsi e diffondersi. -* **Worm:** Programma autonomo in grado di autoreplicarsi e diffondersi rapidamente sfruttando le reti e le vulnerabilità dei sistemi, senza bisogno dell'azione umana. -* **Trojan (Cavallo di Troia):** Software apparentemente utile e innocuo che nasconde al suo interno funzionalità malevole. Spesso installa backdoor. -* **Backdoor (Porta di servizio):** Metodo che consente di scavalcare le procedure di sicurezza standard per accedere illecitamente a un sistema. -* **Ransomware:** Malware che cifra i dati della vittima, rendendoli inaccessibili, per poi richiedere il pagamento di un riscatto (ransom) per fornire la chiave di decifratura. -* **Spyware:** Software progettato per spiare le attività dell'utente e raccogliere informazioni (password, dati bancari, abitudini) senza il suo consenso. -* **Rootkit:** Insieme di software che permette di ottenere privilegi di amministratore (root) su un sistema, nascondendo la propria presenza e quella di altri malware. -* **Adware:** Programma che mostra pubblicità indesiderata o pop-up in modo invasivo. - ---- ## 4. Politiche e Strategie di Sicurezza * **Difesa in profondità (Defense in Depth):** Approccio basato su livelli multipli di sicurezza (come gli strati di una cipolla). Se un attaccante supera una barriera, ne troverà subito un'altra. * **Zero Trust (Fiducia Zero):** Modello di sicurezza basato sul principio "mai fidarsi, verificare sempre". Non viene concessa fiducia predefinita a nessun utente o dispositivo, anche se si trova all'interno della rete aziendale. - -### Sicurezza Offensiva e Difensiva -La sicurezza si avvale di team specializzati che simulano attacchi per migliorare le difese: -* **Red Team:** Simula i criminali informatici effettuando attacchi mirati (Penetration Test) per scovare le vulnerabilità. -* **Blue Team:** È il team di difesa interno. Monitora l'infrastruttura, rileva le intrusioni e risponde agli attacchi. -* **Purple Team:** Coordina Red e Blue team per massimizzare l'apprendimento e migliorare l'efficacia complessiva della sicurezza. - --- - -## 5. Elementi di Crittografia - -La **crittologia** è la scienza che studia le scritture segrete e si divide in: -1. **Crittografia:** Studio degli algoritmi per offuscare (cifrare) le informazioni. -2. **Crittoanalisi:** Tecniche usate per violare i sistemi crittografici. - -*I concetti base:* Il **Testo in chiaro** (leggibile) viene trasformato in **Testo cifrato** tramite un **Algoritmo di cifratura** e una **Chiave** (una stringa di bit). -> **Principio di Kerckhoffs:** La sicurezza di un sistema crittografico non deve dipendere dalla segretezza dell'algoritmo (che deve poter essere pubblico), ma esclusivamente dalla segretezza della chiave. - -### Tipi di Crittografia -* **Crittografia Simmetrica (a chiave segreta):** Mittente e destinatario usano la *stessa chiave* sia per cifrare che per decifrare. - * *Pro:* Molto veloce. - * *Contro:* Il problema dello scambio sicuro della chiave (come farla avere al destinatario senza che venga intercettata). - * *Esempi:* DES, AES. -* **Crittografia Asimmetrica (a chiave pubblica):** Ogni utente possiede una *coppia di chiavi*: - 1. **Chiave Pubblica:** Conosciuta da tutti, usata per cifrare i messaggi rivolti al proprietario. - 2. **Chiave Privata:** Segreta e nota solo al proprietario, usata per decifrare. - * *Pro:* Risolve il problema dello scambio delle chiavi. - * *Contro:* Molto lenta, richiede molta potenza di calcolo. - * *Esempi:* RSA, Curve Ellittiche. - -### Integrità e Firma Digitale -* **Funzioni Hash:** Algoritmi matematici che prendono in input un file e restituiscono una stringa di lunghezza fissa chiamata *digest* (l'impronta digitale del file). È un processo unidirezionale (non si può tornare al file originale) e serve a garantire l'integrità dei dati. -* **Firma Digitale:** Garantisce *Autenticità, Integrità e Non Ripudio*. Si ottiene cifrando l'hash del messaggio con la **chiave privata** del mittente. Il destinatario userà la **chiave pubblica** del mittente per decifrare l'hash e verificarlo. -* **Certificati Digitali:** Documenti elettronici rilasciati da una **CA (Certification Authority)** che garantiscono l'identità del proprietario di una chiave pubblica. - ---- - -## 6. Autenticazione e Controllo degli Accessi - -* **Identificazione:** Dichiarare chi si è (es. inserire l'username). -* **Autenticazione:** Dimostrare chi si è (es. inserire la password). -* **Autorizzazione:** Stabilire a quali risorse l'utente autenticato ha diritto di accedere. - -### Fattori di Autenticazione -L'autenticazione si basa su tre paradigmi: -1. **Something you know** (Qualcosa che sai): Password, PIN. -2. **Something you have** (Qualcosa che hai): Token hardware, Smartcard, Smartphone. -3. **Something you are** (Qualcosa che sei): Biometria (impronta digitale, riconoscimento facciale). - -* **MFA (Multi-Factor Authentication):** L'utilizzo combinato di due o più di questi fattori per aumentare drasticamente il livello di sicurezza. - ---- - -## 7. Strumenti di Difesa delle Reti - -* **Firewall:** Dispositivo hardware o software che filtra il traffico di rete in entrata e in uscita, agendo come un "muro tagliafuoco" tra una rete interna sicura e una rete esterna (Internet) in base a regole predefinite. Tipi principali: *Packet filtering*, *Stateful inspection*, *Application gateway (Proxy)*. -* **DMZ (Demilitarized Zone):** Sottorete isolata posta tra Internet e la rete locale (LAN). Contiene i server pubblici dell'azienda (es. server web) in modo che, se compromessi, gli attaccanti non abbiano accesso diretto alla rete aziendale interna. -* **IDS e IPS:** - * **IDS (Intrusion Detection System):** Monitora il traffico di rete e "lancia l'allarme" se rileva anomalie o firme di attacchi noti. - * **IPS (Intrusion Prevention System):** Simile all'IDS, ma blocca attivamente il traffico malevolo. -* **VPN (Virtual Private Network):** Crea un "tunnel" cifrato e sicuro attraverso una rete pubblica (come Internet), permettendo di comunicare o accedere alla rete aziendale in totale sicurezza. -* **Honeypot:** Sistema informatico configurato intenzionalmente con vulnerabilità per attirare gli hacker, allo scopo di studiarne i comportamenti e le tecniche. - ---- - -## 8. Backup e Continuità Operativa - -Il **Backup** è la creazione di copie di sicurezza dei dati per poterli recuperare in caso di perdita. -* **Backup Completo (Full):** Copia l'intero set di dati. Tempi lunghi, spazio elevato. -* **Backup Incrementale:** Copia solo i dati che sono stati modificati dall'ultimo backup (di qualsiasi tipo). Molto veloce da eseguire, ma lento in fase di ripristino. -* **Backup Differenziale:** Copia i dati modificati rispetto all'ultimo backup *completo*. È una via di mezzo per tempi e spazio. - -> **La regola del 3-2-1:** Avere almeno **3** copie dei dati, archiviate su **2** supporti di memorizzazione differenti, di cui almeno **1** copia conservata off-site (in un luogo fisico diverso o in Cloud). - ### Metriche per il ripristino * **RPO (Recovery Point Objective):** La quantità massima di dati (in termini di tempo) che l'azienda può permettersi di perdere in caso di disastro (indica la frequenza con cui fare i backup). * **RTO (Recovery Time Objective):** Il tempo massimo tollerato per ripristinare i sistemi ed essere nuovamente operativi. @@ -164,48 +11,3 @@ Il **Backup** è la creazione di copie di sicurezza dei dati per poterli recuper ### Pianificazione delle emergenze * **DRP (Disaster Recovery Plan):** Documento tecnico che definisce le procedure passo-passo per ripristinare l'infrastruttura IT e i dati dopo un evento catastrofico. * **BCP (Business Continuity Plan):** Piano strategico più ampio che definisce come l'intera organizzazione continuerà a erogare i propri servizi e mantenere la propria operatività durante e dopo una crisi. - -## 9. Sicurezza dei Protocolli di Rete - -Per garantire la sicurezza delle comunicazioni su Internet, sono stati sviluppati protocolli crittografici specifici per i diversi livelli della pila di rete (ISO/OSI o TCP/IP). - -### Sicurezza a Livello di Rete: IPsec -**IPsec (Internet Protocol Security)** è una suite di protocolli che protegge il traffico IP a livello di rete, garantendo autenticazione, integrità e riservatezza. È ampiamente utilizzato per creare connessioni VPN. -* **Modalità operative:** - * **Transport Mode (Modalità Trasporto):** Viene cifrato *solo* il carico utile (payload) del pacchetto IP. L'intestazione (header) originale rimane in chiaro. È usato per comunicazioni end-to-end (es. da un PC a un Server). - * **Tunnel Mode (Modalità Tunnel):** Viene cifrato *l'intero* pacchetto IP originale (sia header che payload) e viene incapsulato in un nuovo pacchetto con un nuovo header esterno. È ideale per le VPN Site-to-Site (es. tra i router di due sedi aziendali). -* **Protocolli principali:** - * **AH (Authentication Header):** Garantisce l'integrità dei dati e l'autenticazione del mittente, ma *non* cifra il contenuto (nessuna riservatezza). - * **ESP (Encapsulating Security Payload):** Offre cifratura (riservatezza), oltre all'integrità e all'autenticazione. È il protocollo più completo e utilizzato. - -### Sicurezza a Livello di Trasporto: SSL/TLS -**SSL (Secure Sockets Layer)** e il suo standard evolutivo **TLS (Transport Layer Security)** forniscono comunicazioni sicure posizionandosi tra il livello di trasporto (TCP) e quello applicativo. -Il funzionamento si divide in due fasi: -1. **Handshake Protocol:** Fase iniziale in cui client e server si autenticano (di solito il server tramite un Certificato Digitale), negoziano gli algoritmi crittografici supportati e generano le chiavi di sessione. -2. **Record Protocol:** Fase in cui i dati dell'applicazione vengono frammentati, compressi, cifrati (con crittografia simmetrica, più veloce) e trasmessi in modo sicuro. - -> **Nota:** L'applicazione più nota di TLS è l'**HTTPS**, che protegge la navigazione web cifrando il normale traffico HTTP. - ---- - -## 10. La Sicurezza delle Reti Wireless (WLAN) - -Le reti Wi-Fi (standard IEEE 802.11) sono intrinsecamente più vulnerabili delle reti cablate poiché il mezzo trasmissivo (l'etere) è accessibile a chiunque si trovi nel raggio di copertura radio. L'uso di protocolli di cifratura è quindi obbligatorio. - -### Evoluzione degli standard Wi-Fi: -* **WEP (Wired Equivalent Privacy):** Il primo standard introdotto. Utilizza l'algoritmo di cifratura simmetrica RC4. - * *Vulnerabilità:* Oggi è completamente obsoleto e insicuro. L'uso di una chiave statica (sempre uguale) e di un Vettore di Inizializzazione (IV) troppo breve permette a un attaccante di "craccare" la rete in pochi minuti analizzando il traffico. -* **WPA (Wi-Fi Protected Access):** Creato come soluzione rapida per sostituire il WEP senza dover cambiare l'hardware dei router esistenti. - * *Innovazione:* Introduce il protocollo **TKIP (Temporal Key Integrity Protocol)**, che cambia dinamicamente la chiave di cifratura per ogni pacchetto, risolvendo il problema principale del WEP. -* **WPA2 (Standard 802.11i):** Lo standard globale per molti anni. - * *Innovazione:* Abbandona RC4 e TKIP in favore del robusto algoritmo **AES** combinato con il protocollo **CCMP**. Risulta molto sicuro, sebbene rimanga vulnerabile ad attacchi di forza bruta offline (es. *dictionary attack*) se la password della rete è debole. -* **WPA3:** L'ultimo e più moderno standard. - * *Innovazioni:* Sostituisce la vecchia negoziazione delle chiavi con il protocollo **SAE (Simultaneous Authentication of Equals)**, rendendo l'handshake immune agli attacchi a dizionario offline. Introduce inoltre **OWE (Opportunistic Wireless Encryption)** per cifrare automaticamente il traffico anche sulle reti pubbliche aperte (quelle senza password di accesso). - ---- - -## 11. Sicurezza a Livello Applicativo - -Alcuni protocolli garantiscono la sicurezza e la riservatezza direttamente per specifiche applicazioni: -* **PGP (Pretty Good Privacy) e S/MIME:** Standard crittografici utilizzati per firmare digitalmente e cifrare i messaggi di posta elettronica (e-mail). Garantiscono l'identità del mittente e impediscono l'intercettazione del testo da parte di server o soggetti terzi. -* **SSH (Secure Shell):** Protocollo di rete crittografico utilizzato per accedere a distanza e amministrare sistemi informatici (es. riga di comando di un server Linux) in totale sicurezza. Ha sostituito i vecchi protocolli non cifrati come Telnet. \ No newline at end of file diff --git a/backend/src/main/resources/get/documentazione/attacchi_informatici.md b/backend/src/main/resources/get/documentazione/attacchi_informatici.md new file mode 100644 index 0000000..0d0a37a --- /dev/null +++ b/backend/src/main/resources/get/documentazione/attacchi_informatici.md @@ -0,0 +1,204 @@ +# Gli Attacchi Informatici + +Gli **attacchi informatici**, nell’ultimo decennio, hanno registrato, a livello globale, un incremento significativo, sia sotto il profilo della frequenza che dell’impatto e delle dimensioni. Al punto che risulta **estremamente complesso** riuscire a identificare chi c’è dietro tali azioni e distinguere immediatamente le sorgenti di un attacco informatico. + +L’attacco informatico viene definito dal **National Initiative For Cybersecurity Careers And Studies (NICCS)** come “il tentativo di ottenere un accesso non autorizzato a servizi, risorse o informazioni di sistema e/o di comprometterne l’integrità e, in generale, consiste nell’atto intenzionale di tentare di eludere uno o più servizi di sicurezza o i controlli di un sistema informativo digitale per alterare la riservatezza, l’integrità e la disponibilità dei dati”. + +Questi attacchi vengono condotti da figure dette **Black Hat Hackers** che sfruttano le loro conoscenze per attaccare i sistemi e trarne +un vantaggio personale + +La classificazione degli attacchi informatici dipende da quelle che sono le motivazioni che vi sono alla base. Motivazioni che, a loro volta, determinano le modalità stesse dell’azione malevola e le sue caratteristiche. + +## Classificazione degli Attacchi Informatici + +Come già specificato prima gli attacchi informatici sfruttano delle minacce tramite exploits per causare un impatto su un sistema. +Distinguiamo tre macro-tipologie di attacchi, derivanti da specifiche minacce: + +* **Malware** +* **Keylogger** +* **TCP/IP** +* **Errori Umani** + +Entriamo ora nello specifico di ognuno di questi +## I Malware + +Il termine deriva da *malicious software*. È un codice malevolo progettato per penetrare illecitamente in un sistema per rubare, alterare dati, spiare o assumere il controllo del dispositivo. Spesso l'infezione richiede l'inconsapevole complicità dell'utente (social engineering). + +**Struttura di un malware:** +In generale, un malware è composto da due parti funzionali (assimilabili a un missile): +1. **Vettore (Carrier):** Il mezzo attraverso cui il malware si diffonde (un file allegato, un link, una chiavetta USB) e che serve a superare le difese del sistema sfruttando una vulnerabilità. +2. **Carico utile (Payload):** Le istruzioni specifiche (la "testata esplosiva") che il malware esegue una volta dentro il sistema bersaglio (es. cifrare i file, rubare password, attivare la fotocamera). + +### Tipologie principali + +| Tipo | Descrizione | Esempio | +|---|---|---| +| **Virus** | Frammento di codice che si inserisce in altri programmi (host). Ha bisogno dell'intervento umano (es. apertura di un file) per attivarsi e diffondersi | ILOVEYOU | +| **Worm** | Programma autonomo in grado di autoreplicarsi e diffondersi rapidamente sfruttando le reti e le vulnerabilità dei sistemi, senza bisogno dell'azione umana | WannaCry | +| **Trojan** | oftware apparentemente utile e innocuo che nasconde al suo interno funzionalità malevole. Spesso installa backdoor | RAT (Remote Access Trojan) | +| **Ransomware** | Malware che cifra i dati della vittima, rendendoli inaccessibili, per poi richiedere il pagamento di un riscatto (ransom) per fornire la chiave di decifratura | Ryuk, LockBit | +| **Spyware** | Software progettato per spiare le attività dell'utente e raccogliere informazioni (password, dati bancari, abitudini) senza il suo consenso | FinFisher | +| **Adware** | Programma che mostra pubblicità indesiderata o pop-up in modo invasivo. | Fireball | +| **Rootkit** | Insieme di software che permette di ottenere privilegi di amministratore (root) su un sistema, nascondendo la propria presenza e quella di altri malware | Necurs | +| **Backdoor** | Metodo che consente di scavalcare le procedure di sicurezza standard per accedere illecitamente a un sistema | Mirai | +| **Botnet** | Rete di dispositivi infetti controllati da remoto | Mirai | + +### Vettori di infezione comuni +- Allegati email malevoli (phishing) +- Download da siti non affidabili +- Dispositivi USB infetti +- Vulnerabilità software non patchate + +--- +## I Keylogger + +Un **keylogger** è uno strumento — hardware o software — che **registra ogni tasto premuto** dall'utente a sua insaputa, con l'obiettivo di sottrarre credenziali, dati sensibili e informazioni riservate. + +### Tipologie di keyloggers + +I keylogger possono fare parte di due categorie: + +**Software** +- Si installa come processo di sistema nascosto +- Può catturare screenshot, appunti, form web +- Spesso distribuito come componente di trojan o spyware + +**Hardware** +- Dispositivo fisico inserito tra tastiera e PC (USB/PS2) +- Invisibile a qualsiasi antivirus +- Richiede accesso fisico alla macchina + +Le info più comuni che un keylogger cerca di estrapolare sono: +- Username e password +- Numeri di carte di credito +- Conversazioni private e messaggi +- Ricerche e URL visitati +- Codici OTP (se inseriti manualmente) + +### Contromisure +- Autenticazione a due fattori (2FA) +- Tastiere virtuali per dati sensibili +- Antimalware aggiornati con moduli anti-keylogger +- Controllo periodico delle porte USB sui dispositivi aziendali +## Minacce TCP/IP + +Il protocollo **TCP/IP** è la base della comunicazione su Internet. Proprio per la sua natura aperta e universale, è soggetto a numerosi attacchi che sfruttano debolezze nel design dei protocolli di rete. + +### Principali attacchi sul protocollo TCP/IP + +#### IP Spoofing +L'attaccante **falsifica l'indirizzo IP sorgente** dei pacchetti per impersonare un host fidato o nascondere la propria identità. + +#### SYN Flood (DoS/DDoS) +Sfrutta il meccanismo di **handshake a tre vie** di TCP: +1. Il client invia SYN +2. Il server risponde con SYN-ACK e alloca risorse +3. L'attaccante **non risponde mai** con l'ACK finale + +Il server accumula connessioni "semiaperte" fino all'esaurimento delle risorse. + +#### Man-in-the-Middle (MitM) +L'attaccante si **interpone nella comunicazione** tra due host, potendo intercettare, modificare o iniettare pacchetti in tempo reale. + +#### Teardrop +Invio di frammenti di pacchetti IP **corrotti** che il sistema non riesce a riassemblare, mandandolo in tilt. + +#### Botnet e DDoS +Una rete di **dispositivi infetti** (botnet) controllati all'insaputa dei proprietari, usati per lanciare attacchi **DDoS (Distributed Denial of Service)**, mirati a disattivare un servizio sovraccaricandolo di richieste. + +#### Session Hijacking +Furto del **token di sessione TCP** per impersonare un utente autenticato senza conoscerne le credenziali. + +#### DNS Poisoning / Spoofing +Corruzione della cache DNS per **reindirizzare l'utente** verso siti malevoli pur digitando un indirizzo legittimo. + +#### Packet Sniffing +Intercettazione passiva del traffico di rete. Particolarmente pericolosa su reti non cifrate (HTTP, FTP, Telnet). + +### Contromisure +- Utilizzo di **TLS/SSL** per cifrare le comunicazioni +- **Firewall** e sistemi IDS/IPS +- **IPSec** per autenticazione e cifratura a livello di rete +- **DNSSEC** per l'integrità delle risposte DNS + +--- +## Errori Umani + +Gli errori umani rappresentano storicamente la **causa principale** delle violazioni di sicurezza. Non si tratta di attacchi tecnici, ma di comportamenti che aprono vulnerabilità sfruttabili da attori malevoli — o che causano danni diretti senza alcun intervento esterno ai quali purtroppo non c'è una soluzione immediata. + +### Categorie di errori umani + +#### 🎣 Vittime di Phishing e Social Engineering +L'utente viene **manipolato psicologicamente** per rivelare credenziali, cliccare su link malevoli o eseguire azioni dannose. Include: +- Phishing via email +- Vishing (voice phishing) +- Smishing (SMS phishing) +- Pretexting e impersonificazione + +#### 🔑 Gestione inadeguata delle credenziali +- Password deboli o riutilizzate su più servizi +- Condivisione di credenziali tra colleghi +- Mancato aggiornamento delle password dopo una violazione +- Post-it con password attaccati al monitor + +#### ⚙️ Configurazioni errate (Misconfiguration) +- Permessi troppo permissivi su file, cartelle o database +- Servizi esposti su internet senza necessità +- Bucket cloud (S3, Azure Blob) lasciati pubblici per errore +- Default credentials non modificate + +#### 📦 Installazione di software non autorizzato +- Download di applicazioni da fonti non ufficiali +- Uso di software craccato contenente malware +- Estensioni browser malevole installate inconsapevolmente + +#### 🗑️ Smaltimento non sicuro dei dati +- Hard disk eliminati senza formattazione sicura +- Documenti sensibili cestinati senza distruzione +- Dispositivi aziendali venduti o donati senza sanificazione + +#### 🏠 Shadow IT +Utilizzo di strumenti, app o servizi cloud **non approvati dall'IT aziendale**, che sfuggono a qualsiasi controllo di sicurezza. + +### Contromisure + +| Errore | Contromisura | +|---|---| +| Phishing | Formazione continua, simulazioni di phishing | +| Password deboli | Password manager, policy aziendali, MFA | +| Misconfiguration | Audit periodici, principio del minimo privilegio | +| Software non autorizzato | Whitelist applicazioni, MDM | +| Smaltimento dati | Policy di data disposal, distruzione fisica | +| Shadow IT | Inventario asset, sensibilizzazione, alternative approvate | + +> 💡 **Il fattore umano** non si elimina con la tecnologia, ma con **formazione continua, cultura della sicurezza e processi chiari**. Il 95% delle violazioni di sicurezza ha una componente umana (fonte: IBM Cyber Security Intelligence Index). +## Gli Attacchi APT (Advanced Persistent Threats) + +Con il passare degli anni e l'avvento delle nuove tecnologie il modo per sferrare gli attacchi è mutato ed è diventato pìiù sofisticato, e così sono nate le gli **attacchi APT**. +Gli attacchi APT vengono definiti come tecniche di hacking mirate e sofisticate, usate per **sabotaggio o spionaggio a lungo termine** e sono solitamente basati sul **Social Engineering**. +Prevedono fasi precise: +* Identificazione +Vengono raccolte una serie di informazioni aggiornate e pubbliche riguardanti il target tramite **social engineering** per capire al meglio la struttura e il funzionamento del sistema che si vuole attaccare e le sue debolezze (spesso è proprio il lato umano la maggiore debolezza). +* Intrusione +Il target viene preso di mira tramite esche quali email infette, file malevoli, etc.. +Lo scopo è ottenere una prima intrusione nel sistema +* Creazione di backdoor +Vengono istanziate delle backdoor sulla macchina target e ciò permette agli attaccanti di prendere le info sensibili necessarie al proseguimento dell'attacco quali credenziali, registri di sistema etc... +* Escalation dei privilegi e Esfiltrazione dei dati +Tramite le credenziali rubate gli attaccanti accedono ai **dati riservati** del sistema e li esfiltrano, tutti i dati interessanti vengono inviati a server intermedi e crittografati prima di venire inviati al team esterno che usa questi dati per operazioni illecite +* Persistenza +Tutti i precedenti processi vengono "occultati" ai membri del sistema perchè lo scopo è rimanere dentro il più possibile in modo da poter captare una grande mole di dati, **è l'esatto motivo per cui questi attacchi sono così complicati da gestire !!** + +--- + +### Classificazione standard: CWE e CVE +La MITRE Corporation gestisce database fondamentali per catalogare tutti questi problemi: +* **CWE (Common Weakness Enumeration):** Un dizionario delle *debolezze* software/hardware (es. Buffer Overflow). Serve agli sviluppatori per non ripetere errori noti. +* **CVE (Common Vulnerabilities and Exposures):** Un catalogo delle *vulnerabilità* specifiche già identificate, a cui viene assegnato un ID unico. Ad ogni CVE è associato un punteggio di gravità da 0 a 10 chiamato **CVSS (Common Vulnerability Scoring System)**. + + +### Sicurezza Offensiva e Difensiva +La sicurezza si avvale di team specializzati che simulano attacchi per migliorare le difese: +* **Red Team:** Simula i criminali informatici effettuando attacchi mirati (Penetration Test) per scovare le vulnerabilità. +* **Blue Team:** È il team di difesa interno. Monitora l'infrastruttura, rileva le intrusioni e risponde agli attacchi. +* **Purple Team:** Coordina Red e Blue team per massimizzare l'apprendimento e migliorare l'efficacia complessiva della sicurezza. diff --git a/backend/src/main/resources/get/documentazione/ciclo_pdca.md b/backend/src/main/resources/get/documentazione/ciclo_pdca.md new file mode 100644 index 0000000..b997106 --- /dev/null +++ b/backend/src/main/resources/get/documentazione/ciclo_pdca.md @@ -0,0 +1,135 @@ +# La Progettazione della Sicurezza e il ciclo PDCA + +Per rendere sicuri i sistemi informatici c'è bisogno di un piano adeguato composto da politiche di sicurezza che coprano anche l'ambito organizzativo (includendo nel piano la formazione dei dipendenti dato che la maggior parte degli incidenti informatici parte da una falla umana e non tecnica) tramite modello PCDAA. + +Il modello **PDCA** (noto anche come **Ciclo di Deming**) è un approccio iterativo alla gestione e al miglioramento continuo dei processi. Applicato alla sicurezza informatica e all'educazione alle TIC, consente di progettare interventi strutturati, misurabili e migliorabili nel tempo. + +> 💡 Il ciclo PDCA non è lineare ma **circolare**: al termine di ogni ciclo, i risultati alimentano un nuovo ciclo di miglioramento. + +--- + +## Il Ciclo PDCA applicato all'Educazione alla Sicurezza Informatica + +## PLAN — Pianifica + +La fase di **pianificazione** è il punto di partenza del ciclo. Si definiscono obiettivi, contesto, risorse e strategie prima di agire. + +### Attività principali + +- **Analisi del contesto**: identificare il target (studenti, dipendenti, cittadini), il livello di competenze digitali esistenti e i rischi specifici +- **Definizione degli obiettivi**: stabilire cosa si vuole ottenere (es. ridurre gli incidenti di phishing, aumentare l'uso del 2FA, promuovere un uso consapevole dei social) +- **Mappatura dei rischi**: individuare le minacce più rilevanti per il contesto (malware, errori umani, violazioni privacy) +- **Progettazione del percorso formativo**: definire contenuti, metodologie didattiche, strumenti e tempistiche +- **Allocazione delle risorse**: personale, budget, strumenti tecnologici, materiali didattici +- **Definizione degli indicatori (KPI)**: stabilire metriche misurabili per valutare il successo + +### Output della fase PLAN + +| Output | Descrizione | +|---|---| +| Piano formativo | Struttura del percorso educativo | +| Analisi dei rischi | Mappa delle minacce per il contesto | +| KPI definiti | Indicatori misurabili di successo | +| Calendario attività | Tempistica delle azioni previste | +| Risorse assegnate | Budget, personale e strumenti | + +--- + +## DO — Esegui + +La fase **operativa**: si mettono in atto le azioni pianificate, si erogano i contenuti formativi e si implementano le misure di sicurezza. + +### Attività principali + +- **Erogazione della formazione**: lezioni frontali, e-learning, workshop, simulazioni (es. simulazioni di phishing) +- **Implementazione delle misure tecniche**: installazione antivirus, configurazione firewall, attivazione 2FA +- **Distribuzione di materiali**: guide, vademecum, infografiche, policy di sicurezza +- **Sensibilizzazione continua**: campagne di awareness, newsletter, poster informativi +- **Raccolta dati**: documentare le attività svolte per la fase di verifica + +### Esempi di attività formative + +| Tipologia | Esempio | +|---|---| +| **Simulazione** | Invio di email di phishing simulato per testare la reazione | +| **Workshop pratico** | Configurazione sicura di account e dispositivi | +| **Lezione teorica** | Normativa GDPR, reati informatici, triade CIA | +| **Esercitazione** | Riconoscimento di fake news e contenuti manipolati | +| **Role-playing** | Gestione di un incidente informatico simulato | + +--- + +## CHECK — Verifica + +La fase di **monitoraggio e valutazione**: si misurano i risultati ottenuti rispetto agli obiettivi pianificati, utilizzando i KPI definiti nella fase PLAN. + +### Attività principali + +- **Raccolta e analisi dei dati**: quanti utenti hanno completato la formazione? Quanti hanno superato i test? +- **Valutazione dell'apprendimento**: test di verifica, quiz, prove pratiche +- **Analisi degli incidenti**: si sono verificati incidenti di sicurezza durante il periodo? Di che tipo? +- **Confronto con i KPI**: i risultati raggiunti sono in linea con gli obiettivi? +- **Raccolta feedback**: questionari di gradimento, interviste, osservazioni + +### Strumenti di verifica + +| Strumento | Finalità | +|---|---| +| **Test e quiz** | Misurare l'apprendimento teorico | +| **Simulazioni di attacco** | Valutare il comportamento pratico | +| **Audit di sicurezza** | Verificare la corretta implementazione delle misure | +| **Report sugli incidenti** | Monitorare l'andamento degli eventi critici | +| **Questionari feedback** | Misurare efficacia percepita e soddisfazione | +| **Analisi dei log** | Controllare comportamenti anomali sui sistemi | + +### Domande chiave della fase CHECK + +- Gli obiettivi sono stati raggiunti? +- I KPI mostrano miglioramenti rispetto alla baseline? +- Ci sono aree in cui i risultati sono sotto le aspettative? +- Quali attività hanno funzionato meglio? +- Cosa non ha funzionato e perché? + +--- + +## ACT — Agisci (Migliora) + +La fase di **miglioramento continuo**: sulla base dei risultati della verifica, si apportano correzioni, si standardizzano le pratiche efficaci e si pianifica il ciclo successivo. + +### Attività principali + +- **Standardizzazione delle best practice**: ciò che ha funzionato bene diventa procedura standard +- **Correzione delle criticità**: modificare o eliminare le attività che non hanno prodotto i risultati attesi +- **Aggiornamento del piano formativo**: integrare nuove minacce emergenti, nuove normative, nuovi strumenti +- **Comunicazione dei risultati**: condividere i miglioramenti ottenuti con stakeholder e partecipanti +- **Avvio del nuovo ciclo PDCA**: i risultati di ACT diventano l'input della nuova fase PLAN + +### Tipi di azioni nella fase ACT + +| Tipo | Descrizione | +|---|---| +| **Azione correttiva** | Risolve una non conformità già verificatasi | +| **Azione preventiva** | Evita il ripetersi di problemi già identificati | +| **Azione di miglioramento** | Ottimizza processi già funzionanti | +| **Standardizzazione** | Formalizza le pratiche efficaci in procedure stabili | + +--- + +## Il Piano Completo: Schema Integrato + +| Fase | Domanda guida | Output | +|---|---|---| +| **PLAN** | Cosa vogliamo ottenere e come? | Piano formativo, KPI, analisi rischi | +| **DO** | Come mettiamo in pratica il piano? | Formazione erogata, misure implementate | +| **CHECK** | Abbiamo raggiunto gli obiettivi? | Report di valutazione, analisi scostamenti | +| **ACT** | Come miglioriamo per il prossimo ciclo? | Azioni correttive, nuovo piano aggiornato | + +--- + +## La Ciclicità del Modello + +Il punto di forza del PDCA è la sua natura **iterativa e adattiva**: + +> Ogni ciclo completato genera conoscenza, che alimenta il ciclo successivo rendendolo più efficace, più mirato e più rispondente ai cambiamenti del contesto digitale. + +In un settore in continua evoluzione come la sicurezza informatica — dove nuove minacce emergono quotidianamente — il PDCA garantisce che il piano educativo non sia mai statico, ma sempre **aggiornato, verificato e migliorato**. \ No newline at end of file diff --git a/backend/src/main/resources/get/documentazione/crittografia.md b/backend/src/main/resources/get/documentazione/crittografia.md deleted file mode 100644 index 5354290..0000000 --- a/backend/src/main/resources/get/documentazione/crittografia.md +++ /dev/null @@ -1,35 +0,0 @@ -## La Crittografia - -La **crittologia** è la scienza che studia le scritture segrete e si divide in due branche complementari: - -1. **Crittografia:** Studio e sviluppo degli algoritmi per offuscare (cifrare) le informazioni, rendendole incomprensibili a chi non possiede la chiave corretta. -2. **Crittoanalisi:** Tecniche e metodi usati per analizzare e violare i sistemi crittografici, senza necessariamente conoscere la chiave. - -**Concetti base:** Il **testo in chiaro** (*plaintext*, leggibile da chiunque) viene trasformato in **testo cifrato** (*ciphertext*, incomprensibile) tramite un **algoritmo di cifratura** e una **chiave** (una stringa di bit di lunghezza variabile). Il processo inverso si chiama **decifratura**. - -Tutta la **crittografia** si basa su un principio che è uno dei pilastri portanti di quest'ultima: il principio di Kerckhoffs - -> **Principio di Kerckhoffs (1883):** La sicurezza di un sistema crittografico non deve dipendere dalla segretezza dell'algoritmo (che deve poter essere pubblico e analizzabile dalla comunità scientifica), ma esclusivamente dalla segretezza della chiave. Un algoritmo segreto non può essere valutato né migliorato: è "security through obscurity", considerata una pratica discutibile. - -### Tipi di Crittografia - -* **Crittografia Simmetrica (a chiave segreta):** Mittente e destinatario usano la *stessa chiave* sia per cifrare che per decifrare. - * *Pro:* Estremamente veloce, adatta a cifrare grandi quantità di dati. - * *Contro:* Il **problema dello scambio della chiave** (key distribution problem): come consegnare la chiave al destinatario in modo sicuro, senza che venga intercettata? - * *Esempi:* **DES** (obsoleto, chiave a 56 bit, crackabile); **3DES** (miglioramento temporaneo); **AES** (Advanced Encryption Standard, lo standard attuale, chiavi da 128/192/256 bit). - -* **Crittografia Asimmetrica (a chiave pubblica):** Ogni utente possiede una coppia di chiavi matematicamente correlate: - 1. **Chiave Pubblica:** Conosciuta e condivisibile con chiunque. Viene usata da chi vuole inviare un messaggio cifrato al proprietario. - 2. **Chiave Privata:** Tenuta segreta e nota solo al proprietario. Viene usata per decifrare i messaggi cifrati con la propria chiave pubblica. - * *Pro:* Risolve elegantemente il problema dello scambio della chiave. - * *Contro:* Computazionalmente molto più lenta della crittografia simmetrica; non adatta a cifrare grandi moli di dati. - * *Utilizzo pratico:* In sistemi come TLS, la crittografia asimmetrica viene usata solo nella fase iniziale per scambiare in sicurezza una **chiave di sessione simmetrica**, con cui vengono poi cifrati i dati effettivi. - * *Esempi:* **RSA** (Rivest-Shamir-Adleman); **ECC** (Elliptic Curve Cryptography, più efficiente di RSA a parità di sicurezza). - -### Integrità e Firma Digitale - -* **Funzioni Hash Crittografiche:** Algoritmi matematici a senso unico che trasformano un input di qualsiasi dimensione in un output di lunghezza fissa e costante chiamato *digest* (o *impronta*). Le proprietà fondamentali sono: **determinismo** (stesso input → stesso output), **effetto valanga** (anche un solo bit modificato nell'input cambia radicalmente il digest), **resistenza alle collisioni** (quasi impossibile trovare due input diversi con lo stesso hash) e **irreversibilità** (impossibile risalire all'input conoscendo solo l'hash). Esempi: MD5 (obsoleto), SHA-1 (deprecato), **SHA-256/SHA-3** (standard attuale). - -* **Firma Digitale:** Meccanismo che garantisce simultaneamente *Autenticità* (il messaggio viene dal mittente dichiarato), *Integrità* (il messaggio non è stato modificato) e *Non Ripudio* (il mittente non può negare di averlo inviato). Il processo: il mittente calcola l'hash del messaggio e lo cifra con la propria **chiave privata** — questo è la firma. Il destinatario decifra la firma con la **chiave pubblica** del mittente per ottenere l'hash originale, e lo confronta con l'hash che calcola autonomamente sul messaggio ricevuto. Se coincidono, la firma è valida. - -* **Certificati Digitali (PKI):** Un **certificato digitale** (standard X.509) è un documento elettronico che associa una chiave pubblica all'identità del suo proprietario, rilasciato e firmato digitalmente da una **CA (Certification Authority)** fidata (es. DigiCert, Let's Encrypt). Il sistema gerarchico di CA e certificati costituisce la **PKI (Public Key Infrastructure)**, l'infrastruttura alla base di HTTPS e della firma digitale. diff --git a/backend/src/main/resources/get/documentazione/crittografia_asimmetrica.md b/backend/src/main/resources/get/documentazione/crittografia_asimmetrica.md new file mode 100644 index 0000000..0c5a181 --- /dev/null +++ b/backend/src/main/resources/get/documentazione/crittografia_asimmetrica.md @@ -0,0 +1,29 @@ +# La Crittografia Asimmetrica + +La crittografia **asimmetrica** nasce con il problema dello scambio delle chiavi + +* **Crittografia Asimmetrica (a chiave pubblica):** Ogni utente possiede una *coppia di chiavi*: + 1. **Chiave Pubblica:** Conosciuta da tutti, usata per cifrare i messaggi rivolti al proprietario. + 2. **Chiave Privata:** Segreta e nota solo al proprietario, usata per decifrare. + * *Pro:* Risolve il problema dello scambio delle chiavi. + * *Contro:* Molto lenta, richiede molta potenza di calcolo. + * *Esempi:* RSA, Curve Ellittiche. + +### Integrità e Firma Digitale +* **Funzioni Hash:** Algoritmi matematici che prendono in input un file e restituiscono una stringa di lunghezza fissa chiamata *digest* (l'impronta digitale del file). È un processo unidirezionale (non si può tornare al file originale) e serve a garantire l'integrità dei dati. +* **Firma Digitale:** Garantisce *Autenticità, Integrità e Non Ripudio*. Si ottiene cifrando l'hash del messaggio con la **chiave privata** del mittente. Il destinatario userà la **chiave pubblica** del mittente per decifrare l'hash e verificarlo. +* **Certificati Digitali:** Documenti elettronici rilasciati da una **CA (Certification Authority)** che garantiscono l'identità del proprietario di una chiave pubblica. + +## Autenticazione e Controllo degli Accessi + +* **Identificazione:** Dichiarare chi si è (es. inserire l'username). +* **Autenticazione:** Dimostrare chi si è (es. inserire la password). +* **Autorizzazione:** Stabilire a quali risorse l'utente autenticato ha diritto di accedere. + +### Fattori di Autenticazione +L'autenticazione si basa su tre paradigmi: +1. **Something you know** (Qualcosa che sai): Password, PIN. +2. **Something you have** (Qualcosa che hai): Token hardware, Smartcard, Smartphone. +3. **Something you are** (Qualcosa che sei): Biometria (impronta digitale, riconoscimento facciale). + +* **MFA (Multi-Factor Authentication):** L'utilizzo combinato di due o più di questi fattori per aumentare drasticamente il livello di sicurezza. \ No newline at end of file diff --git a/backend/src/main/resources/get/documentazione/crittografia_simmetrica.md b/backend/src/main/resources/get/documentazione/crittografia_simmetrica.md new file mode 100644 index 0000000..6374ee0 --- /dev/null +++ b/backend/src/main/resources/get/documentazione/crittografia_simmetrica.md @@ -0,0 +1,21 @@ +# La Crittografia Simmetrica + +La crittografia **simmetrica**, affonda le sue radici nell'antichità come prova che l'uomo ha sempre cercato +in qualche modo di **rendere incomprensibili** dall'esterno alcune delle sue informazioni. + +Il suo funzionamento è molto intuitivo, prevede due funzioni una di encrypt e una di decrypt (dette spesso cifrario +)che adoperano la medesima **chiave** nell'algoritmo, ciò significa quindi che l'intera sicurezza dei dati si fonda sulla +segretezza della chiave. + +Distinguiamo prima di addentrarci due tipi di cifrari: + +* Cifrari a **Sostituizione**: consistono nel sostituire ogni carattere del plaintext con un altro carattere di un determinato alfabeto, basandosi su un criterio dettato dall'algoritmo +* Cifrari a **Trasposizione**: consistono nel creare un **anagramma** del plaintext seguendo uno schema geometrico, senza modificare quindi i caratteri + +La prima nota di crittografia simmetrica risale al V secolo a.C, la **Scitale Spartana** + +* **Crittografia Simmetrica (a chiave segreta):** Mittente e destinatario usano la *stessa chiave* sia per cifrare che per decifrare. + * *Pro:* Molto veloce. + * *Contro:* Il problema dello scambio sicuro della chiave (come farla avere al destinatario senza che venga intercettata). + * *Esempi:* DES, AES. + diff --git a/backend/src/main/resources/get/documentazione/intro.md b/backend/src/main/resources/get/documentazione/intro.md new file mode 100644 index 0000000..dac7630 --- /dev/null +++ b/backend/src/main/resources/get/documentazione/intro.md @@ -0,0 +1,31 @@ +# Introduzione alla Cybersecurity + +La **sicurezza informatica (cybersecurity)** è l'insieme di pratiche, tecnologie e processi utilizzati per proteggere reti, sistemi e programmi dagli attacchi digitali. +Questa disciplina nasce dalla necessità di rendere **sicuro** il massiccio flusso di dati che trafficava sulla rete dopo un primo esperimento di virus informatico, il Creeper, nato nel 1971. + +Nel modello **DIKW** (Data, Information, Knowledge, Wisdom), la sicurezza informatica si colloca al di sopra della semplice informatica (livello 3): non si limita a elaborare dati, ma utilizza la conoscenza per comprendere le informazioni, identificare i rischi, mitigare i danni e garantire la continuità operativa. + +> **Nota sui personaggi convenzionali:** In crittografia e sicurezza si usano nomi standard per gli esempi: **Alice e Bob** (comunicanti legittimi), **Cindy/Trudy** (intrusi attivi che alterano i messaggi), ed **Eve** (eavesdropper, spia che si limita ad ascoltare). + +--- + +### Il modello CIA - Il triangolo della Cybersecurity + +La sicurezza delle informazioni si basa su tre obiettivi principali, noti come **Triangolo CIA (o RID in italiano)**, che ci permettono di focalizzare l'attenzione sugli aspetti da considerare per rendere una rete sicura. +Essi sono: + +* **C - Confidentiality (Riservatezza):** Garantisce che le informazioni non siano **accessibili** e manipolabili da persone **non autorizzate**. Viene realizzata tramite meccanismi come la cifratura dei dati, il controllo degli accessi (autenticazione e autorizzazione) e la gestione delle identità. + +* **I - Integrity (Integrità):** Garantisce che le informazioni non vengano **alterate** durante il loro ciclo di vita (tramite crittografia, controlli, backup). Questo aspetto è strettamente legato anche al concetto di **Non Ripudio**, che invece garantisce che tutte le azioni in rete siano tracciate e che da esse si possa risalire al nodo che le ha effettuate. Strumenti tipici sono le funzioni di hash crittografico (es. SHA-256) e le firme digitali. + +* **A - Availability (Disponibilità):** Garantisce che i dati e i servizi siano sempre disponibili quando richiesti dimostrando di essere resilienti ai guasti (es. tramite ridondanza, load balancing e piani di disaster recovery). Le minacce principali a questo pilastro sono gli attacchi **DoS/DDoS** (Denial of Service), che mirano a saturare le risorse di un sistema fino a renderlo irraggiungibile. + +--- + +### Il principio del minimo privilegio e la difesa in profondità + +Due principi cardine nella progettazione di sistemi sicuri sono: + +* **Principio del minimo privilegio (Least Privilege):** ogni utente, processo o componente deve disporre **solo** dei permessi strettamente necessari per svolgere la propria funzione. Ridurre la superficie di attacco limita il danno potenziale in caso di compromissione. + +* **Difesa in profondità (Defense in Depth):** la sicurezza non deve affidarsi a un unico meccanismo di protezione, ma a **più livelli sovrapposti** (firewall perimetrali, sistemi IDS/IPS, antivirus, segmentazione della rete, cifratura, monitoraggio SIEM). In questo modo, se un livello viene compromesso, gli altri continuano a proteggere il sistema. diff --git a/backend/src/main/resources/get/documentazione/intro_crittografia.md b/backend/src/main/resources/get/documentazione/intro_crittografia.md new file mode 100644 index 0000000..2c03308 --- /dev/null +++ b/backend/src/main/resources/get/documentazione/intro_crittografia.md @@ -0,0 +1,9 @@ +# Introduzione alla Crittografia + +La **crittologia** è la scienza che studia le scritture segrete e si divide in: +1. **Crittografia:** Studio degli algoritmi per offuscare (cifrare) le informazioni. +2. **Crittoanalisi:** Tecniche usate per violare i sistemi crittografici. + +*I concetti base:* Il **Testo in chiaro** (leggibile) viene trasformato in **Testo cifrato** tramite un **Algoritmo di cifratura** e una **Chiave** (una stringa di bit). + +> **Principio di Kerckhoffs:** La sicurezza di un sistema crittografico non deve dipendere dalla segretezza dell'algoritmo (che deve poter essere pubblico), ma esclusivamente dalla segretezza della chiave. \ No newline at end of file diff --git a/backend/src/main/resources/get/documentazione/sicurezza_informatica.md b/backend/src/main/resources/get/documentazione/sicurezza_informatica.md deleted file mode 100644 index 44ded9f..0000000 --- a/backend/src/main/resources/get/documentazione/sicurezza_informatica.md +++ /dev/null @@ -1,267 +0,0 @@ -# La Sicurezza di un Sistema Informatico - -## 1. Introduzione alla Cybersecurity - -La **sicurezza informatica (cybersecurity)** è l'insieme di pratiche, tecnologie e processi progettati per proteggere reti, sistemi, programmi e dati dagli attacchi digitali, dai danni accidentali e dall'accesso non autorizzato. - -Nel modello **DIKW** (Data, Information, Knowledge, Wisdom), la sicurezza informatica si colloca al di sopra della semplice informatica (livello 3): non si limita a elaborare dati, ma utilizza la conoscenza per comprendere le informazioni, anticipare i rischi, mitigare i danni e garantire la continuità operativa. - -> **Nota sui personaggi convenzionali:** In crittografia e sicurezza si usano nomi standard per gli esempi: **Alice e Bob** (comunicanti legittimi), **Cindy/Trudy** (intrusi attivi che alterano i messaggi) ed **Eve** (eavesdropper, spia passiva che si limita ad ascoltare senza modificare nulla). - -### I fondamenti: Il modello CIA - -La sicurezza delle informazioni si basa su tre obiettivi principali, noti come **Triangolo CIA** (o **RID** in italiano). Compromettere anche solo uno di questi tre pilastri costituisce un incidente informatico: - -* **C – Confidentiality (Riservatezza):** Garantisce che le informazioni siano accessibili esclusivamente a soggetti autorizzati. Si realizza tramite crittografia, controllo degli accessi e classificazione dei dati. -* **I – Integrity (Integrità):** Garantisce che le informazioni non vengano alterate in modo non autorizzato, né accidentalmente né intenzionalmente. Gli strumenti principali sono le funzioni hash, le firme digitali e i meccanismi di controllo delle versioni. -* **A – Availability (Disponibilità):** Garantisce che i dati e i servizi siano sempre accessibili quando richiesti dagli utenti autorizzati. Si realizza tramite ridondanza hardware, clustering, bilanciamento del carico e piani di disaster recovery. - -Negli ultimi anni il modello CIA è stato esteso con ulteriori proprietà: - -* **Non Ripudio:** L'impossibilità per il mittente di negare di aver inviato un messaggio (garantita dalla firma digitale). -* **Autenticità:** La certezza che un'entità sia effettivamente chi dichiara di essere. -* **Accountability:** La tracciabilità delle azioni compiute dagli utenti tramite log di sistema. - ---- - -## 2. Il Lato Oscuro: Minacce e Attacchi - -Un **attacco informatico** è un atto volontario che sfrutta una minaccia per compromettere un sistema. Una **minaccia (threat)** è un evento potenziale — interno o esterno — che tende a violare uno o più obiettivi di sicurezza. - -Gli **attori della minaccia (threat actors)** si classificano in base a motivazioni e capacità: - -* **Script Kiddie:** Attaccanti con scarse competenze tecniche che usano strumenti preconfezionati. -* **Hacker (Black/Grey/White Hat):** Rispettivamente malintenzionati, figure ambigue e professionisti etici. -* **Insider Threat:** Dipendenti o collaboratori interni che abusano dei propri privilegi, volontariamente o per negligenza. -* **Hacktivisti:** Attaccano per motivazioni politiche o ideologiche (es. Anonymous). -* **Cybercriminali organizzati:** Gruppi strutturati mossi da interessi economici. -* **Nation-State Actors:** Servizi di intelligence o agenzie governative che conducono operazioni di cyber-spionaggio o sabotaggio su scala nazionale (es. attacchi alle infrastrutture critiche). - -Le minacce si concretizzano principalmente tramite: - -1. **Malware:** Software malevoli (virus, worm, trojan, ransomware, spyware, ecc.). -2. **Social Engineering (Ingegneria Sociale):** Manipolazione psicologica delle persone per spingerle a rivelare informazioni riservate o a compiere azioni dannose (es. *phishing*, *vishing*, *smishing*). - -### Tipologie di Attacchi Specifici - -* **APT (Advanced Persistent Threats):** Tecniche di hacking mirate e sofisticate, tipicamente attribuite a gruppi nation-state, usate per spionaggio o sabotaggio a lungo termine. Seguono un ciclo strutturato: ricognizione → intrusione iniziale → escalation dei privilegi → movimento laterale nella rete → creazione di backdoor → esfiltrazione dei dati → mantenimento dell'accesso nel tempo. - -**Attacchi ai protocolli TCP/IP:** - -* **SYN Flood:** Sfrutta il meccanismo di three-way handshake di TCP: l'attaccante invia migliaia di richieste SYN senza mai completare la connessione, esaurendo le risorse del server fino a renderlo irraggiungibile (attacco DoS). -* **Spoofing IP:** Falsifica l'indirizzo IP sorgente di un pacchetto per far credere che il traffico provenga da una fonte fidata, eludendo i controlli di accesso basati sull'indirizzo IP. -* **Man in the Middle (MitM):** L'attaccante si interpone segretamente nella comunicazione tra due parti (es. tramite ARP Poisoning o DNS Spoofing), potendo intercettare, leggere o alterare i messaggi senza che le vittime se ne accorgano. -* **DNS Spoofing / Cache Poisoning:** Corruzione della cache di un server DNS per reindirizzare gli utenti verso siti malevoli pur digitando l'indirizzo corretto. -* **Teardrop:** Invio di frammenti di pacchetti IP artatamente malformati e sovrapposti che il sistema vittima non riesce a riassemblare correttamente, causandone il crash. -* **Botnet e DDoS:** Una **botnet** è una rete di dispositivi infetti (*bot* o *zombie*) controllati da remoto tramite un server C2 (Command & Control). Vengono usati per lanciare attacchi **DDoS (Distributed Denial of Service)**, che mirano a saturare la banda o le risorse di un servizio distribuendo il traffico su migliaia di macchine diverse, rendendo il blocco selettivo quasi impossibile. -* **SQL Injection:** Inserimento di codice SQL malevolo in campi di input di un'applicazione web per manipolare il database sottostante, estrarne dati o ottenere accesso amministrativo. -* **Cross-Site Scripting (XSS):** Iniezione di codice JavaScript malevolo in pagine web visualizzate da altri utenti, per rubare cookie di sessione o reindirizzare le vittime. - ---- - -## 3. Vulnerabilità e Incidenti - -Un **incidente di sicurezza** è un evento che mette a rischio l'integrità, la riservatezza o la disponibilità dei dati. Affinché si verifichi, devono esistere contemporaneamente una debolezza e la capacità di sfruttarla. - -* **Debolezza (Weakness):** Un difetto interno al sistema (errore di programmazione, hardware difettoso, configurazione errata). È intrinseca al sistema e non dipende dall'uso che se ne fa. -* **Exploit:** Il codice, lo strumento o la tecnica usata per sfruttare attivamente una debolezza. -* **Vulnerabilità:** La debolezza specifica che *può essere effettivamente sfruttata* da un exploit per compromettere il sistema. Si può esprimere come: **Vulnerabilità = Debolezza + Minaccia in grado di sfruttarla**. - -### Classificazione delle Vulnerabilità - -* **Intrinseche:** Legate alla natura aperta e distribuita delle reti (porte fisiche esposte, protocolli Internet nati senza requisiti di sicurezza, invecchiamento del software, vulnerabilità ancora sconosciute ai vendor dette *zero-day*). -* **Tecnologiche:** Difetti nell'hardware, nel software applicativo o nei protocolli di comunicazione. -* **Umane:** L'essere umano rimane l'anello più debole della catena. Viene ironicamente chiamato *Layer 8* del modello OSI: agisce d'impulso, clicca su link sospetti, riusa password deboli o cade in truffe di social engineering. -* **Organizzative:** Mancanza di policy aziendali, procedure inadeguate, assenza di formazione sulla sicurezza del personale. - -### Classificazione Standard: CWE e CVE - -La **MITRE Corporation** gestisce due database fondamentali per catalogare e comunicare questi problemi in modo standardizzato a livello globale: - -* **CWE (Common Weakness Enumeration):** Un dizionario sistematico delle *debolezze* software e hardware (es. CWE-119: Buffer Overflow, CWE-89: SQL Injection). È uno strumento per gli sviluppatori, utile a non ripetere errori già noti e categorizzati. -* **CVE (Common Vulnerabilities and Exposures):** Un catalogo delle *vulnerabilità specifiche* già identificate e rese pubbliche in prodotti reali, a cui viene assegnato un identificatore unico (es. `CVE-2021-44228`, la celebre vulnerabilità Log4Shell). Ad ogni CVE è associato un punteggio di gravità da 0 a 10 chiamato **CVSS (Common Vulnerability Scoring System)**, che ne misura l'impatto, la facilità di sfruttamento e altri fattori. - -> **La differenza in sintesi:** CWE descrive *classi generali di problemi di programmazione*, mentre CVE identifica *istanze specifiche di vulnerabilità in prodotti reali*. - ---- - -## 4. Il Malware - -Il termine deriva da *malicious software*. È un codice malevolo progettato per penetrare illecitamente in un sistema al fine di rubare dati, spiare l'utente, assumere il controllo del dispositivo o causare danni. Spesso l'infezione richiede l'inconsapevole complicità dell'utente attraverso tecniche di social engineering. - -**Struttura di un malware:** Un malware è generalmente composto da due parti funzionali: - -1. **Vettore (Carrier):** Il mezzo attraverso cui il malware si diffonde e si introduce nel sistema bersaglio (un allegato email, un link malevolo, una chiavetta USB, uno script su una pagina web). Il vettore sfrutta una vulnerabilità per superare le difese perimetrali. -2. **Carico utile (Payload):** Le istruzioni malevole specifiche che vengono eseguite una volta guadagnato l'accesso al sistema (es. cifrare i file, rubare le credenziali, aprire una backdoor, attivare la fotocamera). - -**Ciclo di vita di un malware (Cyber Kill Chain):** -Concettualmente, un attacco malware segue fasi precise: **Ricognizione → Armamento → Consegna → Sfruttamento → Installazione → Comando e controllo (C2) → Azioni sull'obiettivo**. - -### Principali Tipologie di Malware - -* **Virus:** Frammento di codice che si inserisce all'interno di file o programmi legittimi (host). Richiede l'intervento umano (es. apertura del file infetto) per attivarsi e replicarsi su altri file. Analogia biologica: infetta un ospite e si moltiplica usando le sue risorse. -* **Worm:** Programma autonomo in grado di autoreplicarsi e diffondersi autonomamente su reti e sistemi, sfruttando vulnerabilità di servizi esposti in rete, senza alcuna azione da parte dell'utente. Famoso esempio: *WannaCry* (2017), che sfruttava la vulnerabilità EternalBlue di Windows. -* **Trojan (Cavallo di Troia):** Software apparentemente legittimo e innocuo che nasconde al suo interno funzionalità malevole. A differenza di virus e worm, non si autoreplica, ma viene attivamente scaricato e installato dall'utente ignaro. Spesso installa backdoor o altri malware. -* **Backdoor (Porta di servizio):** Meccanismo che consente di accedere a un sistema bypassando le normali procedure di autenticazione e sicurezza. Spesso installata da trojan o da attaccanti dopo aver ottenuto l'accesso iniziale. -* **Ransomware:** Uno dei malware più devastanti e redditizi degli ultimi anni. Cifra i dati della vittima rendendoli inaccessibili, e richiede il pagamento di un riscatto (spesso in criptovaluta, per garantire l'anonimato) in cambio della chiave di decifratura. Modello di business evoluto: oggi esistono veri e propri servizi **RaaS (Ransomware as a Service)** venduti nel dark web. -* **Spyware:** Software progettato per monitorare le attività dell'utente e raccogliere informazioni sensibili (password digitate, dati bancari, abitudini di navigazione) trasmettendole all'attaccante senza che la vittima se ne accorga. Un caso particolare è il **Keylogger**, che registra ogni tasto premuto sulla tastiera. -* **Rootkit:** Insieme di strumenti software che consentono a un attaccante di mantenere accesso privilegiato (root/amministratore) a un sistema compromesso, nascondendo attivamente la propria presenza e quella degli altri malware al sistema operativo e agli antivirus. Tra i più difficili da rilevare e rimuovere. -* **Adware:** Programma che visualizza pubblicità indesiderata. Generalmente meno pericoloso degli altri, ma può aprire la porta a malware più seri o raccogliere dati sull'utente. -* **Fileless Malware:** Tipologia moderna che non scrive file su disco, ma opera direttamente nella memoria RAM sfruttando strumenti legittimi del sistema operativo (es. PowerShell). Questo lo rende quasi invisibile ai tradizionali antivirus basati su firma. - ---- - -## 5. Politiche e Strategie di Sicurezza - -* **Difesa in profondità (Defense in Depth):** Approccio basato su livelli multipli e sovrapposti di controlli di sicurezza (tecnologici, fisici e procedurali), come gli strati di una cipolla. L'idea è che se un attaccante riesce a superare una barriera, ne troverà immediatamente un'altra. Nessun singolo strumento di sicurezza è considerato infallibile. -* **Zero Trust (Fiducia Zero):** Modello di sicurezza moderno basato sul principio **"never trust, always verify"** (non fidarsi mai, verificare sempre). Non viene concessa fiducia implicita a nessun utente o dispositivo, indipendentemente dal fatto che si trovi all'interno o all'esterno della rete aziendale. Ogni accesso richiede autenticazione, autorizzazione e verifica continua. -* **Principio del Minimo Privilegio (Least Privilege):** Ogni utente, processo o sistema deve avere solo i permessi strettamente necessari per svolgere la propria funzione, e nulla di più. Limita il danno in caso di compromissione di un account. -* **Security by Design:** La sicurezza viene integrata fin dalle prime fasi di progettazione di un sistema o di un'applicazione, anziché essere aggiunta come strato successivo. - -### Sicurezza Offensiva e Difensiva - -La sicurezza si avvale di team specializzati con ruoli complementari: - -* **Red Team:** Simula i criminali informatici effettuando attacchi mirati e realistici (*Penetration Test* o *Ethical Hacking*) per identificare vulnerabilità reali prima che lo facciano gli attaccanti. Opera con la stessa mentalità e gli stessi strumenti di un attaccante reale. -* **Blue Team:** Il team di difesa interno. Monitora l'infrastruttura in tempo reale, analizza i log, rileva anomalie e intrusioni tramite sistemi SIEM, e coordina la risposta agli incidenti. -* **Purple Team:** Non è un team separato, ma una modalità collaborativa in cui Red e Blue team lavorano insieme e condividono informazioni in tempo reale, massimizzando l'apprendimento reciproco e migliorando l'efficacia complessiva delle difese. - -> **Penetration Test vs Vulnerability Assessment:** Un *Vulnerability Assessment* identifica e cataloga le vulnerabilità presenti in un sistema. Un *Penetration Test* va oltre: tenta attivamente di sfruttarle per valutare l'impatto reale di una compromissione. - ---- - -## 7. Autenticazione e Controllo degli Accessi - -I tre concetti fondamentali del controllo degli accessi sono: - -* **Identificazione:** Dichiarare la propria identità al sistema (es. inserire il nome utente). -* **Autenticazione:** *Dimostrare* di essere chi si dice di essere, presentando una prova verificabile (es. la password, un'impronta digitale). -* **Autorizzazione:** Dopo l'autenticazione, il sistema stabilisce a quali risorse e con quali permessi l'utente autenticato può accedere. - -### Fattori di Autenticazione - -L'autenticazione si basa su tre categorie fondamentali (*paradigmi*): - -1. **Something you know** (Qualcosa che sai): Password, PIN, domande di sicurezza. Fattore più debole: soggetto a furto, indovinazione e phishing. -2. **Something you have** (Qualcosa che hai): Token hardware (es. YubiKey), smartcard, OTP (One-Time Password) via app autenticatore o SMS. Più robusto del precedente. -3. **Something you are** (Qualcosa che sei): Biometria — impronta digitale, riconoscimento facciale, iride, voce. Il problema principale è l'irrevocabilità: se una password viene compromessa si può cambiare, ma un'impronta digitale no. - -* **MFA (Multi-Factor Authentication):** L'utilizzo combinato di **due o più fattori appartenenti a categorie diverse** aumenta drasticamente il livello di sicurezza, perché un attaccante che ruba la password non ha comunque accesso senza il secondo fattore fisico. - -### Modelli di Controllo degli Accessi - -* **DAC (Discretionary Access Control):** Il proprietario della risorsa decide chi può accedervi (es. permessi sui file in Unix/Windows). -* **MAC (Mandatory Access Control):** Il sistema assegna etichette di classificazione alle risorse e ai soggetti; gli accessi sono regolati da policy centrali non modificabili dall'utente (usato in ambito militare e governativo). -* **RBAC (Role-Based Access Control):** I permessi vengono assegnati a *ruoli* (es. "amministratore", "operatore", "sola lettura"), e gli utenti sono assegnati ai ruoli. È il modello più comune nelle aziende. - ---- - -## 8. Strumenti di Difesa delle Reti - -* **Firewall:** Dispositivo hardware o software che filtra il traffico di rete in entrata e in uscita in base a regole predefinite (ruleset), agendo come primo "muro" tra una rete interna sicura e una rete esterna non fidata (Internet). - * *Packet Filtering:* Analizza ogni pacchetto singolarmente (IP sorgente/destinazione, porta). Semplice e veloce ma non tiene conto del contesto. - * *Stateful Inspection:* Tiene traccia dello stato delle connessioni attive, consentendo solo i pacchetti che appartengono a connessioni legittime già stabilite. - * *Application Gateway (Proxy / NGFW):* Analizza il traffico a livello applicativo, riconosce specifici protocolli e può bloccare contenuti malevoli anche all'interno di connessioni cifrate (SSL inspection). - -* **DMZ (Demilitarized Zone):** Sottorete isolata, posta *tra* Internet e la rete locale interna (LAN), separata da due firewall distinti. Ospita i server raggiungibili dall'esterno (web server, mail server, DNS pubblico). Se un server in DMZ viene compromesso, l'attaccante si trova ancora dietro un secondo firewall e non ha accesso diretto alla rete interna. - -* **IDS e IPS:** - * **IDS (Intrusion Detection System):** Monitora il traffico e genera allarmi al rilevamento di pattern sospetti o firme di attacchi noti. È passivo: *vede* ma non blocca. - * **IPS (Intrusion Prevention System):** Come l'IDS, ma agisce attivamente bloccando o scartando il traffico identificato come malevolo in tempo reale. È inline nella rete. - * Entrambi possono operare tramite **rilevamento basato su firma** (confronto con database di attacchi noti) o **rilevamento basato su anomalie** (deviazione dal comportamento normale di rete). - -* **SIEM (Security Information and Event Management):** Sistema centralizzato che raccoglie, correla e analizza i log provenienti da tutti i dispositivi della rete (firewall, server, endpoint, IDS…) in tempo reale. Permette di rilevare schemi di attacco distribuiti che sarebbero invisibili analizzando le singole sorgenti separatamente. È il cuore operativo di un SOC (Security Operations Center). - -* **VPN (Virtual Private Network):** Crea un *tunnel* cifrato attraverso una rete pubblica (Internet), garantendo riservatezza e integrità delle comunicazioni. Usata sia per collegare filiali aziendali (*site-to-site VPN*) sia per consentire l'accesso remoto sicuro ai dipendenti (*remote-access VPN*). - -* **Honeypot:** Sistema configurato intenzionalmente con vulnerabilità apparenti per attirare e intrappolare gli attaccanti, allo scopo di studiarne le tecniche, raccogliere intelligence sulle minacce e distoglierli dai sistemi reali. Una rete di honeypot è detta **honeynet**. - ---- - -## 9. Backup e Continuità Operativa - -Il **Backup** è la creazione pianificata di copie di sicurezza dei dati per consentirne il recupero in caso di perdita, corruzione o attacco (es. ransomware). - -* **Backup Completo (Full):** Copia l'intero set di dati selezionato. Richiede molto tempo e spazio, ma il ripristino è semplice e rapido. -* **Backup Incrementale:** Copia solo i dati modificati o creati dall'ultimo backup eseguito (di qualsiasi tipo). Molto veloce da eseguire e spazio ridotto, ma il ripristino richiede l'intero storico della catena di backup (1 full + tutti gli incrementali successivi). -* **Backup Differenziale:** Copia i dati modificati rispetto all'ultimo backup *completo*, indipendentemente dai backup successivi. Il ripristino richiede solo 2 elementi (1 full + l'ultimo differenziale), con un buon compromesso tra spazio e velocità. - -> **La regola 3-2-1:** Avere almeno **3** copie dei dati, su **2** supporti o tecnologie di memorizzazione differenti, di cui almeno **1** copia conservata *off-site* (in sede fisicamente separata o su cloud). Una versione aggiornata è la **3-2-1-1-0**: aggiunge 1 copia *air-gapped* (fisicamente isolata da qualsiasi rete) e 0 errori verificati nei backup tramite test periodici di ripristino. - -### Metriche per il Ripristino - -* **RPO (Recovery Point Objective):** La quantità massima di dati che l'organizzazione può permettersi di perdere (in termini di tempo). Risponde alla domanda: *"Fino a quando nel passato possiamo tornare?"* Determina la frequenza minima dei backup. -* **RTO (Recovery Time Objective):** Il tempo massimo tollerato per ripristinare completamente i sistemi e tornare operativi dopo un disastro. Risponde alla domanda: *"Quanto possiamo stare fermi?"* - -### Pianificazione delle Emergenze - -* **DRP (Disaster Recovery Plan):** Piano tecnico operativo che definisce le procedure passo-passo per ripristinare l'infrastruttura IT, i dati e i servizi tecnologici dopo un evento catastrofico (guasto hardware, incendio, attacco informatico, calamità naturale). -* **BCP (Business Continuity Plan):** Piano strategico più ampio che descrive come l'intera organizzazione — non solo l'IT — continuerà a erogare i propri servizi critici durante e dopo una crisi, garantendo la sopravvivenza del business. Il DRP è tipicamente una componente del BCP. - ---- - -## 10. Sicurezza dei Protocolli di Rete - -Per garantire la sicurezza delle comunicazioni su Internet, sono stati sviluppati protocolli crittografici specifici per i diversi livelli della pila di rete. - -### Sicurezza a Livello di Rete: IPsec - -**IPsec (Internet Protocol Security)** è una suite di protocolli che opera a livello di rete (Layer 3) per proteggere il traffico IP, garantendo autenticazione, integrità e riservatezza. È la tecnologia alla base delle VPN aziendali. - -**Modalità operative:** - -* **Transport Mode:** Viene cifrato *solo il payload* del pacchetto IP, mentre l'header originale (con gli indirizzi IP reali) rimane in chiaro. Adatto per comunicazioni end-to-end tra due host specifici. -* **Tunnel Mode:** Viene cifrato *l'intero* pacchetto IP originale (header + payload), e il tutto viene incapsulato in un nuovo pacchetto con un header esterno. Gli indirizzi IP reali sono completamente nascosti. Ideale per VPN site-to-site tra due gateway (router di sedi diverse). - -**Protocolli principali:** - -* **AH (Authentication Header):** Garantisce l'integrità dei dati e l'autenticazione della fonte, ma *non* cifra il contenuto (non offre riservatezza). Protegge anche l'header IP. -* **ESP (Encapsulating Security Payload):** Il protocollo più utilizzato. Offre cifratura (riservatezza), integrità e autenticazione del contenuto. Nella maggior parte dei casi sostituisce AH da solo. - -### Sicurezza a Livello di Trasporto: TLS - -**SSL (Secure Sockets Layer)** e il suo successore moderno **TLS (Transport Layer Security)** operano tra il livello di trasporto (TCP) e quello applicativo, proteggendo le comunicazioni di qualsiasi protocollo applicativo. SSL è oggi considerato obsoleto e insicuro; TLS 1.3 (2018) è lo standard corrente. - -Il funzionamento avviene in due fasi: - -1. **Handshake Protocol:** Il client e il server si autenticano (tipicamente il server presenta il proprio certificato digitale X.509), negoziano le versioni e gli algoritmi crittografici supportati (*cipher suite*), e stabiliscono le chiavi di sessione in modo sicuro tramite meccanismi come **ECDHE** (Elliptic Curve Diffie-Hellman Ephemeral). -2. **Record Protocol:** I dati applicativi vengono cifrati simmetricamente (con la chiave di sessione stabilita nella fase precedente), garantendo efficienza e sicurezza per la durata della connessione. - -> **HTTPS** è semplicemente il protocollo HTTP trasportato su una connessione TLS. Il lucchetto nel browser indica che la comunicazione è cifrata e che il certificato del server è stato verificato. - ---- - -## 11. La Sicurezza delle Reti Wireless (WLAN) - -Le reti Wi-Fi (standard IEEE 802.11) sono intrinsecamente più vulnerabili delle reti cablate: il mezzo trasmissivo è l'etere, fisicamente accessibile a chiunque si trovi nel raggio di copertura radio. Non è possibile "recintare" il segnale. L'uso di solidi protocolli di cifratura è pertanto obbligatorio. - -### Evoluzione degli Standard di Sicurezza Wi-Fi - -* **WEP (Wired Equivalent Privacy, 1997):** Il primo standard di sicurezza Wi-Fi. Utilizzava l'algoritmo RC4 con una chiave statica. **Oggi completamente obsoleto e crackabile in pochi minuti** con strumenti facilmente reperibili: il Vettore di Inizializzazione (IV) di soli 24 bit veniva riutilizzato frequentemente, permettendo analisi statistica del traffico per ricavare la chiave. Ne è vietato l'uso. - -* **WPA (Wi-Fi Protected Access, 2003):** Creato come patch rapida per sostituire WEP senza richiedere la sostituzione dell'hardware esistente. Introduce il protocollo **TKIP (Temporal Key Integrity Protocol)**, che genera una nuova chiave di cifratura per ogni pacchetto trasmesso, risolvendo il problema principale del WEP. Oggi anch'esso considerato insufficiente. - -* **WPA2 (Standard IEEE 802.11i, 2004):** Ha rappresentato lo standard globale per oltre un decennio. Abbandona completamente RC4 e TKIP in favore di **AES** con il protocollo **CCMP**, molto più robusto. La sua principale debolezza residua è la vulnerabilità ad **attacchi a dizionario offline** sull'handshake a 4 vie se la password della rete è debole o comune. Nel 2017 è stata scoperta anche la vulnerabilità **KRACK** (Key Reinstallation Attack). - -* **WPA3 (2018):** Lo standard più recente e sicuro. - * **SAE (Simultaneous Authentication of Equals)** sostituisce il vecchio PSK (Pre-Shared Key): anche se un attaccante registra l'handshake e conosce la password, non può decifrare il traffico passato (*Forward Secrecy*). Rende i dictionary attack offline praticamente inutili. - * **OWE (Opportunistic Wireless Encryption):** Cifra automaticamente il traffico anche nelle reti aperte senza password (es. Wi-Fi pubblico di un bar), proteggendo gli utenti da chi ascolta passivamente la rete. - * **Protezione dalle forze brute:** WPA3 limita il numero di tentativi di autenticazione, rendendo gli attacchi a forza bruta molto più lenti. - ---- - -## 12. Sicurezza a Livello Applicativo - -Alcuni protocolli garantiscono la sicurezza direttamente per specifiche applicazioni, indipendentemente dal livello di trasporto: - -* **PGP (Pretty Good Privacy) e S/MIME:** Standard crittografici per firmare digitalmente e cifrare i messaggi di posta elettronica. Garantiscono autenticità, integrità e riservatezza end-to-end delle email, impedendo che vengano lette da server di posta o terze parti intermediarie. PGP usa un modello di fiducia distribuita (*Web of Trust*), S/MIME si affida invece a CA centralizzate. - -* **SSH (Secure Shell):** Protocollo crittografico per l'accesso remoto sicuro e l'amministrazione di sistemi (tipicamente tramite riga di comando su server Linux/Unix). Ha definitivamente sostituito i protocolli non cifrati **Telnet** e **rlogin**, che trasmettevano comandi e password in chiaro. SSH supporta autenticazione tramite password *o* tramite coppia di chiavi pubblica/privata (metodo consigliato, molto più sicuro). - -* **DNSSEC (DNS Security Extensions):** Estensione del protocollo DNS che aggiunge firme digitali ai record DNS, prevenendo attacchi di *DNS Spoofing* e *Cache Poisoning* che reindirizzerebbero gli utenti verso siti malevoli. - -* **SFTP / FTPS:** Versioni sicure del protocollo FTP per il trasferimento di file. SFTP opera su tunnel SSH; FTPS aggiunge TLS al classico FTP. - ---- - -> **Conclusione:** La sicurezza informatica non è mai un prodotto finito o uno stato definitivamente raggiunto, ma un **processo continuo**. Il panorama delle minacce evolve costantemente, con nuove vulnerabilità scoperte ogni giorno. La difesa efficace richiede l'integrazione di tecnologie aggiornate, procedure organizzative solide e — soprattutto — utenti consapevoli e formati. Come recita un adagio del settore: *"La sicurezza è forte quanto il suo anello più debole"* — e quell'anello, il più delle volte, è umano. diff --git a/backend/src/main/resources/get/documentazione/sicurezza_reti.md b/backend/src/main/resources/get/documentazione/sicurezza_reti.md new file mode 100644 index 0000000..f86d7cf --- /dev/null +++ b/backend/src/main/resources/get/documentazione/sicurezza_reti.md @@ -0,0 +1,60 @@ +# La Sicurezza nelle Reti: Protocolli e Strumenti di Difesa + +--- + +## Sicurezza dei Protocolli di Rete + +Per garantire la sicurezza delle comunicazioni su Internet, sono stati sviluppati protocolli crittografici specifici per i diversi livelli della pila di rete (ISO/OSI o TCP/IP). + +### Sicurezza a Livello di Rete: IPsec +**IPsec (Internet Protocol Security)** è una suite di protocolli che protegge il traffico IP a livello di rete, garantendo autenticazione, integrità e riservatezza. È ampiamente utilizzato per creare connessioni VPN. +* **Modalità operative:** + * **Transport Mode (Modalità Trasporto):** Viene cifrato *solo* il carico utile (payload) del pacchetto IP. L'intestazione (header) originale rimane in chiaro. È usato per comunicazioni end-to-end (es. da un PC a un Server). + * **Tunnel Mode (Modalità Tunnel):** Viene cifrato *l'intero* pacchetto IP originale (sia header che payload) e viene incapsulato in un nuovo pacchetto con un nuovo header esterno. È ideale per le VPN Site-to-Site (es. tra i router di due sedi aziendali). +* **Protocolli principali:** + * **AH (Authentication Header):** Garantisce l'integrità dei dati e l'autenticazione del mittente, ma *non* cifra il contenuto (nessuna riservatezza). + * **ESP (Encapsulating Security Payload):** Offre cifratura (riservatezza), oltre all'integrità e all'autenticazione. È il protocollo più completo e utilizzato. + +### Sicurezza a Livello di Trasporto: SSL/TLS +**SSL (Secure Sockets Layer)** e il suo standard evolutivo **TLS (Transport Layer Security)** forniscono comunicazioni sicure posizionandosi tra il livello di trasporto (TCP) e quello applicativo. +Il funzionamento si divide in due fasi: +1. **Handshake Protocol:** Fase iniziale in cui client e server si autenticano (di solito il server tramite un Certificato Digitale), negoziano gli algoritmi crittografici supportati e generano le chiavi di sessione. +2. **Record Protocol:** Fase in cui i dati dell'applicazione vengono frammentati, compressi, cifrati (con crittografia simmetrica, più veloce) e trasmessi in modo sicuro. + +> **Nota:** L'applicazione più nota di TLS è l'**HTTPS**, che protegge la navigazione web cifrando il normale traffico HTTP. + +--- + +## La Sicurezza delle Reti Wireless (WLAN) + +Le reti Wi-Fi (standard IEEE 802.11) sono intrinsecamente più vulnerabili delle reti cablate poiché il mezzo trasmissivo (l'etere) è accessibile a chiunque si trovi nel raggio di copertura radio. L'uso di protocolli di cifratura è quindi obbligatorio. + +### Evoluzione degli standard Wi-Fi: +* **WEP (Wired Equivalent Privacy):** Il primo standard introdotto. Utilizza l'algoritmo di cifratura simmetrica RC4. + * *Vulnerabilità:* Oggi è completamente obsoleto e insicuro. L'uso di una chiave statica (sempre uguale) e di un Vettore di Inizializzazione (IV) troppo breve permette a un attaccante di "craccare" la rete in pochi minuti analizzando il traffico. +* **WPA (Wi-Fi Protected Access):** Creato come soluzione rapida per sostituire il WEP senza dover cambiare l'hardware dei router esistenti. + * *Innovazione:* Introduce il protocollo **TKIP (Temporal Key Integrity Protocol)**, che cambia dinamicamente la chiave di cifratura per ogni pacchetto, risolvendo il problema principale del WEP. +* **WPA2 (Standard 802.11i):** Lo standard globale per molti anni. + * *Innovazione:* Abbandona RC4 e TKIP in favore del robusto algoritmo **AES** combinato con il protocollo **CCMP**. Risulta molto sicuro, sebbene rimanga vulnerabile ad attacchi di forza bruta offline (es. *dictionary attack*) se la password della rete è debole. +* **WPA3:** L'ultimo e più moderno standard. + * *Innovazioni:* Sostituisce la vecchia negoziazione delle chiavi con il protocollo **SAE (Simultaneous Authentication of Equals)**, rendendo l'handshake immune agli attacchi a dizionario offline. Introduce inoltre **OWE (Opportunistic Wireless Encryption)** per cifrare automaticamente il traffico anche sulle reti pubbliche aperte (quelle senza password di accesso). + +--- + +## Sicurezza a Livello Applicativo + +Alcuni protocolli garantiscono la sicurezza e la riservatezza direttamente per specifiche applicazioni: +* **PGP (Pretty Good Privacy) e S/MIME:** Standard crittografici utilizzati per firmare digitalmente e cifrare i messaggi di posta elettronica (e-mail). Garantiscono l'identità del mittente e impediscono l'intercettazione del testo da parte di server o soggetti terzi. +* **SSH (Secure Shell):** Protocollo di rete crittografico utilizzato per accedere a distanza e amministrare sistemi informatici (es. riga di comando di un server Linux) in totale sicurezza. Ha sostituito i vecchi protocolli non cifrati come Telnet. + +## Strumenti di Difesa delle Reti + +Per rendere possibile la difesa delle reti dalle minacce, sono stati sviluppati una serie di strumenti: + +* **Firewall:** Dispositivo hardware o software che filtra il traffico di rete in entrata e in uscita, agendo come un "muro tagliafuoco" tra una rete interna sicura e una rete esterna (Internet) in base a regole predefinite. Tipi principali: *Packet filtering*, *Stateful inspection*, *Application gateway (Proxy)*. +* **DMZ (Demilitarized Zone):** Sottorete isolata posta tra Internet e la rete locale (LAN). Contiene i server pubblici dell'azienda (es. server web) in modo che, se compromessi, gli attaccanti non abbiano accesso diretto alla rete aziendale interna. +* **IDS e IPS:** + * **IDS (Intrusion Detection System):** Monitora il traffico di rete e "lancia l'allarme" se rileva anomalie o firme di attacchi noti. + * **IPS (Intrusion Prevention System):** Simile all'IDS, ma blocca attivamente il traffico malevolo. +* **VPN (Virtual Private Network):** Crea un "tunnel" cifrato e sicuro attraverso una rete pubblica (come Internet), permettendo di comunicare o accedere alla rete aziendale in totale sicurezza. +* **Honeypot:** Sistema informatico configurato intenzionalmente con vulnerabilità per attirare gli hacker, allo scopo di studiarne i comportamenti e le tecniche. \ No newline at end of file diff --git a/backend/src/main/resources/get/documentazione/standard_sicurezza.md b/backend/src/main/resources/get/documentazione/standard_sicurezza.md new file mode 100644 index 0000000..dc94db5 --- /dev/null +++ b/backend/src/main/resources/get/documentazione/standard_sicurezza.md @@ -0,0 +1,178 @@ +# Standard di Riferimento per la Sicurezza Informatica + + + +## Introduzione + +Gli **standard di sicurezza informatica** sono insiemi di linee guida, best practice e requisiti tecnici definiti da organismi internazionali, nazionali o settoriali. Il loro scopo è fornire un **linguaggio comune** e un **framework condiviso** per progettare, implementare, gestire e migliorare la sicurezza delle informazioni e dei sistemi digitali. + +Adottare uno standard significa: +- Ridurre i rischi in modo strutturato e misurabile +- Dimostrare conformità normativa a clienti, partner e autorità +- Migliorare la fiducia degli stakeholder +- Facilitare l'interoperabilità tra organizzazioni + +--- + +## Principali Organismi di Standardizzazione + +| Organismo | Nome completo | Ambito | +|---|---|---| +| **ISO** | International Organization for Standardization | Standard internazionali trasversali | +| **IEC** | International Electrotechnical Commission | Standard per sistemi elettronici | +| **NIST** | National Institute of Standards and Technology (USA) | Framework e linee guida tecniche | +| **ENISA** | European Union Agency for Cybersecurity | Standard e raccomandazioni UE | +| **CIS** | Center for Internet Security | Best practice pratiche e controlli | +| **ISACA** | Information Systems Audit and Control Association | Governance IT e audit | +| **ISF** | Information Security Forum | Standard of Good Practice | +| **PCI SSC** | Payment Card Industry Security Standards Council | Sicurezza dei pagamenti digitali | + +--- + +## ISO/IEC 27000 + +La famiglia **ISO/IEC 27000** è il riferimento internazionale per i **Sistemi di Gestione della Sicurezza delle Informazioni (ISMS — Information Security Management System)**. +I principali Standard appartenenti alla famiglia sono: + +| Standard | Contenuto | +|---|---| +| **ISO/IEC 27000** | Vocabolario e panoramica della famiglia | +| **ISO/IEC 27001** | Requisiti per l'implementazione di un ISMS,requisiti sicurezza organizzazione | +| **ISO/IEC 27002** | Linee guida pratiche per i controlli di sicurezza | +| **ISO/IEC 27003** | Guida all'implementazione dell'ISMS | +| **ISO/IEC 27004** | Misurazione e metriche dell'ISMS | +| **ISO/IEC 27005** | Gestione del rischio per la sicurezza delle informazioni | +| **ISO/IEC 27006** | Requisiti per gli enti di certificazione | +| **ISO/IEC 27017** | Controlli di sicurezza per i servizi cloud | +| **ISO/IEC 27018** | Protezione dei dati personali nel cloud | +| **ISO/IEC 27032** | Linee guida per la cybersecurity | +| **ISO/IEC 27035** | Gestione degli incidenti di sicurezza | +| **ISO/IEC 27701** | Estensione per la privacy (PIMS) — collegato al GDPR | + +--- + +## 🇺🇸 NIST — Framework e Pubblicazioni Speciali + +Il **National Institute of Standards and Technology** statunitense produce standard e linee guida di riferimento globale, liberamente accessibili per individuare e ridurre i rischi relativi alla sicurezza informatica. + +### NIST Cybersecurity Framework (CSF) + +Pubblicato nel 2014, aggiornato alla versione **2.0 nel 2024**, è organizzato attorno a **6 funzioni core** cicliche dette Incident Response LifeCycle: + +| Funzione | Descrizione | +|---|---| +Fase di Preparazione all'Incidente +| **GOVERN** (nuovo in v2.0) | Definire la strategia, le policy e i ruoli di cybersecurity | +| **IDENTIFY** | Comprendere il contesto, gli asset e i rischi | +| **PROTECT** | Implementare misure di protezione | +Fase di Gestione degli Incidenti +| **DETECT** | Identificare eventi di sicurezza | +| **RESPOND** | Agire in risposta a un incidente rilevato | +| **RECOVER** | Ripristinare le capacità operative dopo un incidente | + +### NIST Special Publications (SP) più rilevanti + +| Pubblicazione | Argomento | +|---|---| +| **NIST SP 800-53** | Controlli di sicurezza per sistemi federali USA | +| **NIST SP 800-61** | Guida alla gestione degli incidenti informatici | +| **NIST SP 800-63** | Linee guida per l'identità digitale e l'autenticazione | +| **NIST SP 800-115** | Guida ai test di sicurezza tecnica | +| **NIST SP 800-171** | Protezione delle informazioni controllate non classificate | +| **NIST SP 800-207** | Architettura Zero Trust | + +--- + +## CIS Controls + +I **CIS Critical Security Controls** (sviluppati dal Center for Internet Security) sono un insieme di **18 controlli prioritizzati** per la difesa informatica, progettati per essere immediatamente applicabili. + +### I 18 CIS Controls (v8) + +| # | Controllo | +|---|---| +| 1 | Inventario e controllo degli asset hardware | +| 2 | Inventario e controllo degli asset software | +| 3 | Protezione dei dati | +| 4 | Configurazione sicura degli asset aziendali | +| 5 | Gestione degli account | +| 6 | Gestione del controllo degli accessi | +| 7 | Gestione continua delle vulnerabilità | +| 8 | Gestione dei log di audit | +| 9 | Protezione della posta elettronica e del browser | +| 10 | Difese contro i malware | +| 11 | Recupero dati | +| 12 | Gestione dell'infrastruttura di rete | +| 13 | Monitoraggio e difesa della rete | +| 14 | Formazione e sensibilizzazione sulla sicurezza | +| 15 | Gestione dei fornitori di servizi | +| 16 | Sicurezza del software applicativo | +| 17 | Gestione della risposta agli incidenti | +| 18 | Test di penetrazione | + +### Gruppi di implementazione (IG) + +I controlli CIS sono organizzati in tre livelli di maturità: +- **IG1**: protezione essenziale, adatta a piccole organizzazioni +- **IG2**: protezione intermedia, per organizzazioni con risorse IT dedicate +- **IG3**: protezione avanzata, per organizzazioni con alta esposizione al rischio + +## SIEM, SOC e CERT + +Nel panorama della sicurezza informatica moderna, la capacità di **rilevare, analizzare e rispondere** alle minacce in tempo reale è fondamentale. Tre elementi chiave costituiscono l'ossatura operativa della difesa cyber: + +- **SIEM** — il sistema tecnologico di raccolta e correlazione degli eventi +- **SOC** — il centro operativo che monitora e gestisce la sicurezza H24 +- **CERT** — il team specializzato nella risposta agli incidenti informatici + +Questi tre componenti non sono indipendenti: si integrano in un **ecosistema coordinato** dove la tecnologia, i processi e le persone lavorano insieme. + +--- + +### SIEM — Security Information and Event Management + +Il **SIEM** è una piattaforma tecnologica che raccoglie, normalizza, correla e analizza in tempo reale i **log e gli eventi di sicurezza** provenienti da tutta l'infrastruttura IT di un'organizzazione, con l'obiettivo di rilevare anomalie, minacce e incidenti. + +> Il SIEM è gli permette al SOC di operare: senza di esso, analizzare milioni di eventi al giorno sarebbe impossibile. + + +### SOC — Security Operations Center + +Il **SOC** è il centro operativo — fisico o virtuale — in cui un team dedicato di professionisti della sicurezza **monitora, analizza, rileva e risponde** agli eventi e agli incidenti di sicurezza informatica, tipicamente in modalità **24/7/365**. + +> Il SOC è la mente della sicurezza: interpreta i dati del SIEM, prende decisioni e coordina le risposte. + + +### CERT — Computer Emergency Response Team + +Il **CERT** (anche detto **CSIRT** — Computer Security Incident Response Team) è un'unità specializzata nella **risposta coordinata agli incidenti informatici**. A differenza del SOC — che opera in modo continuo e reattivo — il CERT si attiva in modo più strutturato su incidenti specifici, spesso di maggiore complessità o impatto. + +> Il CERT è progettato per gestire le crisi: interviene quando l'incidente supera la capacità di gestione ordinaria del SOC. + +--- +## 🇪🇺 Standard e Normative Europee + +### NIS2 — Direttiva sulla Sicurezza delle Reti e dei Sistemi Informativi + +La **Direttiva NIS2 (UE 2022/2555)**, recepita in Italia nel 2024, aggiorna la precedente NIS e si applica a **operatori di servizi essenziali e importanti**. + +**Obblighi principali:** +- Implementare misure di gestione del rischio cyber +- Notificare gli incidenti significativi entro **24 ore** (notifica preliminare) e **72 ore** (notifica completa) +- Garantire la sicurezza della supply chain +- Formare il personale e il management sulla cybersecurity +- Adottare politiche di crittografia e controllo degli accessi + +### GDPR e Sicurezza dei Dati + +Il **Regolamento Generale sulla Protezione dei Dati (GDPR — Reg. UE 679/2016)** impone requisiti di sicurezza specifici: + +| Articolo | Contenuto | +|---|---| +| **Art. 25** | Privacy by design e privacy by default | +| **Art. 32** | Misure tecniche e organizzative adeguate | +| **Art. 33** | Notifica violazione al Garante entro 72 ore | +| **Art. 34** | Comunicazione della violazione agli interessati | +| **Art. 35** | Valutazione d'impatto (DPIA) | + +--- \ No newline at end of file diff --git a/backend/src/main/resources/get/documentazione/vulnerabilità_minacce.md b/backend/src/main/resources/get/documentazione/vulnerabilità_minacce.md new file mode 100644 index 0000000..c94e94d --- /dev/null +++ b/backend/src/main/resources/get/documentazione/vulnerabilità_minacce.md @@ -0,0 +1,42 @@ +## Vulnerabilità, Minacce ed Exploit + +Per comprendere a fondo la cybersecurity è essenziale distinguere tre concetti spesso confusi tra loro: **vulnerabilità**, **minaccia** ed **exploit**. + +### Vulnerabilità + +Una **vulnerabilità** è una debolezza o un difetto presente in un sistema, un'applicazione o un processo che può essere sfruttata per comprometterne la sicurezza. Le vulnerabilità possono essere di natura: + +* **Software:** bug nel codice, configurazioni errate, librerie obsolete o mancanza di validazione degli input (es. *buffer overflow*, *SQL injection*, *Cross-Site Scripting – XSS*). +* **Hardware:** difetti fisici nei componenti o nelle architetture dei processori (es. le vulnerabilità *Spectre* e *Meltdown* del 2018, legate all'esecuzione speculativa della CPU). +* **Umana (Human Factor):** comportamenti scorretti degli utenti, come l'uso di password deboli, la caduta in truffe di *phishing* o la condivisione involontaria di credenziali. Questo è spesso il vettore di attacco più sottovalutato e più efficace. +* **Procedurale:** assenza o inadeguatezza di policy di sicurezza, mancata applicazione di patch, assenza di piani di risposta agli incidenti. + +Le vulnerabilità vengono catalogate a livello internazionale attraverso il sistema **CVE (Common Vulnerabilities and Exposures)**, un registro pubblico mantenuto dal MITRE che assegna a ogni vulnerabilità nota un identificatore univoco (es. `CVE-2021-44228` per *Log4Shell*). La gravità di ciascuna viene misurata tramite il punteggio **CVSS (Common Vulnerability Scoring System)**, su una scala da 0 a 10. + +### Minacce ed Exploit + +Una **minaccia** è qualsiasi evento o agente – interno o esterno – potenzialmente in grado di sfruttare una vulnerabilità e causare un danno. Le minacce possono essere **intenzionali** (attacchi mirati, malware, insider threat) o **accidentali** (errori umani, guasti hardware, calamità naturali). + +Le minacce vengono classificate principalmente in: +* **Malware** +* **Keylogger** +* **TCP/IP** +* **Errori Umani** + +Un **exploit** è invece il meccanismo tecnico concreto – spesso un frammento di codice – che sfrutta una specifica vulnerabilità per eseguire azioni non autorizzate. Esistono exploit di tipo **zero-day** quando vengono utilizzati prima che il produttore abbia rilasciato una patch correttiva, rendendoli particolarmente pericolosi. + +La relazione tra questi tre elementi può essere sintetizzata così: + +> *Una **minaccia** sfrutta una **vulnerabilità** tramite un **exploit** per causare un impatto sul sistema.* + + +#### Il processo di gestione delle vulnerabilità + +La gestione proattiva delle vulnerabilità (Vulnerability Management) prevede un ciclo continuo articolato in quattro fasi: + +1. **Identificazione:** tramite strumenti di *vulnerability scanning* (es. Nessus, OpenVAS) e *penetration testing*. +2. **Valutazione:** prioritizzazione in base al punteggio CVSS, al contesto aziendale e all'esposizione reale. +3. **Remediation:** applicazione di patch, aggiornamenti, modifiche di configurazione o introduzione di *compensating controls*. +4. **Verifica:** ri-scansione del sistema per confermare che la vulnerabilità sia stata effettivamente risolta. + +--- \ No newline at end of file diff --git a/backend/src/main/resources/get/materiale.html b/backend/src/main/resources/get/materiale.html index 7f704fd..7a54a0f 100644 --- a/backend/src/main/resources/get/materiale.html +++ b/backend/src/main/resources/get/materiale.html @@ -32,7 +32,15 @@