Glossario Cyber & SOC

Fornisce una tassonomia standardizzata e definizioni autoritative per i termini tecnici, le organizzazioni e le vulnerabilità incontrate nel percorso SOC.

Fondamenti

#

• CIA Triad (Confidentiality, Integrity, Availability): I tre pilastri della sicurezza informatica.

  • Confidentiality (Riservatezza): solo chi è autorizzato può accedere all'informazione.
  • Integrity (Integrità): l'informazione non può essere modificata da chi non è autorizzato.
  • Availability (Disponibilità): l'informazione deve essere accessibile quando serve.

• SPOF (Single Point of Failure): componente unico il cui guasto causa il down dell'intero sistema. Tool esempio: identificato con analisi di ridondanza (RAID, clustering, NIC teaming). Caso reale: server con un solo disco — se il disco muore, il server muore. Hook mnemonico: SPOF = "se rompo questo, rompo tutto".

• PII (Personally Identifiable Information): qualsiasi dato che consente di identificare direttamente o indirettamente una persona fisica. Tool esempio: da proteggere con encryption (Confidentiality) e access controls. Caso reale: nome + cognome + codice fiscale, indirizzo email, numero di carta di credito, IP address in certi contesti. Hook mnemonico: PII = "dati che ti trovano" — se con quella info riesci a risalire a una persona, e' PII.

Organizzazioni e Standard

#

• OWASP (Open Web Application Security Project): Fondazione no-profit che produce documentazione, tool e standard gratuiti e open source sulla sicurezza delle web application. Tutto pubblico, chiunque può contribuire. Produce: Top 10 (lista aggiornata ogni 3-4 anni delle vulnerabilità web più critiche — SQL injection, XSS, ecc. — diventata standard di settore), ESAPI (libreria di sicurezza per developer con funzioni di input validation e output encoding), ZAP (Zed Attack Proxy, alternativa open source a Burp Suite), WSTG (Web Security Testing Guide, guida completa per testare una web app), ASVS (Application Security Verification Standard, checklist per verificare se un'app è sicura). Security+ cita OWASP Top 10 come framework di riferimento per le vulnerabilità applicative — SQL injection, XSS, directory traversal sono tutti nella Top 10. Analogia dev: OWASP sta alla web security come PSR sta a PHP — non vende nulla, produce standard che l'industria ha adottato come riferimento comune. Hook mnemonico: OWASP = "il manuale delle vulnerabilità web" — se Gibson cita un attacco su web app, c'è quasi sempre una voce OWASP Top 10 corrispondente.
• FHS (Filesystem Hierarchy Standard): Standard che definisce la struttura delle directory nei sistemi Linux (es: /etc, /var, /usr).
• MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge): Framework mondiale che cataloga oltre 600 tecniche usate dagli avversari negli attacchi reali, organizzate in tattiche (il "perché") e tecniche (il "come"). Tool: ATT&CK Navigator (navigator.attack.mitre.org) — mappa visiva interattiva per esplorare tecniche e costruire layer di copertura. Caso reale: dopo SolarWinds 2020, i ricercatori hanno mappato l'intero attacco su ATT&CK — T1195 (Supply Chain Compromise), T1078 (Valid Accounts), T1027 (Obfuscated Files). La mappa ha permesso ad altre organizzazioni di sapere esattamente cosa cercare nei propri ambienti. Hook: è il "libro delle mosse del nemico". Ogni tecnica ha un ID (es. T1059), esempi di malware che la usano e suggerimenti di detection. Se sai quale gruppo ti ha attaccato, sai quali T-code cercare.
• NIST (National Institute of Standards and Technology): Agenzia governativa USA che definisce framework di sicurezza. Produce due documenti chiave per l'IR:
  • NIST CSF 2.0 (Cybersecurity Framework): framework strategico a 6 funzioni — Govern, Identify, Protect, Detect, Respond, Recover. E' il linguaggio usato a livello CISO, audit e compliance aziendale.
  • NIST SP 800-61r3 (Special Publication 800-61 revision 3): guida tattica al processo di Incident Response — Preparation / Detection & Analysis / Containment+Eradication+Recovery / Post-Incident Activity. E' il "metamodello" IR con forte enfasi su integrazione col risk management e miglioramento continuo.
• SANS Institute: Organizzazione mondiale leader nella formazione e certificazione (GIAC) in cybersecurity. Nota per il framework operativo PICERL e i Critical Security Controls.
• CISA (Cybersecurity and Infrastructure Security Agency): Agenzia federale USA che coordina la difesa delle infrastrutture critiche e la risposta alle minacce cyber a livello nazionale. Finanzia e gestisce risorse chiave come il database CVE e il servizio AIS. Pubblica Malware Analysis Report con IoC dettagliati per aiutare i team security a rilevare attacchi specifici. Hook: il CERT nazionale americano, ma con poteri di coordinamento federale. Exam trap: CISA non e' un'agenzia investigativa (quello e' l'FBI) — e' l'agenzia di difesa e condivisione delle informazioni.
• IETF (Internet Engineering Task Force): Organizzazione che sviluppa e pubblica gli standard tecnici di Internet tramite i documenti RFC. Nessun membro formale — chiunque puo' partecipare e contribuire. Produce RFC (Request for Comments), il documento che definisce come funzionano i protocolli. Exam trap: IETF crea gli standard, NIST crea i framework di sicurezza — ruoli diversi.
• RFC (Request for Comments): Documento ufficiale pubblicato dall'IETF che definisce standard, protocolli e specifiche tecniche di Internet. Il nome storico — nei primi anni ARPANET, erano letteralmente richieste di feedback — ma oggi sono standard definitivi. Esempio: RFC 6749 = OAuth 2.0, RFC 793 = TCP, RFC 7230 = HTTP/1.1. Chiunque implementi lo stesso RFC puo' interoperare con chiunque altro. Hook: RFC = la ricetta ufficiale. Se segui la ricetta RFC 6749 per OAuth, il tuo server puo' parlare con Google, GitHub, qualsiasi altro OAuth server. Exam trap: un RFC pubblicato non e' necessariamente uno standard approvato — ha livelli: Informational, Experimental, Proposed Standard, Internet Standard.

Operazioni SOC & Incident Response

#

• SOC (Security Operations Center): Nucleo operativo che monitora, rileva, indaga e risponde agli incidenti di sicurezza. Centro di comando dove gli analisti presidiano l'infrastruttura 24/7, gestiscono gli alert e coordinano la risposta agli incidenti.

• CIRT (Computer Incident Response Team): Il team operativo responsabile della gestione degli incidenti. Due varianti con ruoli distinti:

  • CSIRT (Computer Security Incident Response Team): team interno creato per proteggere una specifica organizzazione — scope limitato, focalizzato sulla propria infrastruttura.
  • CERT (Computer Emergency Response Team): ruolo più ampio, rivolto al supporto di più enti — tipicamente nazionale o settoriale (es. CERT-AGID in Italia).

• Triage (Smistamento/Cernita): Processo di valutazione iniziale di un alert per determinarne la criticità e scartare i False Positive (falsi allarmi). Deriva dall'ambito medico (Pronto Soccorso) e serve a prioritizzare gli interventi in base all'impatto reale.

• Escalation: Procedura di passaggio di un incidente a un livello superiore (es: da Tier 1 a Tier 2) o a un team specializzato (es: Legal, IT).

• Playbook: Procedura operativa standard (SOP) che guida l'analista passo-passo nella gestione di uno specifico tipo di alert. Ogni tipo di incidente ha il suo playbook — ransomware, phishing, account compromise, C2 detection. Tool: TheHive (case management open source), Palo Alto XSOAR, Tines — piattaforme che eseguono playbook in modo automatizzato (SOAR). Esempio: Playbook phishing → ricevi alert → controlla header SPF/DKIM → sandbox allegato su Any.run → cerca IP su VirusTotal → se confermato: blocca mittente, isola host, escalate a Tier 2. Hook: la ricetta del cuoco. Stesso incidente, stessi passi, ogni volta — riduce errori e accelera i tempi di risposta.

• SIEM (Security Information and Event Management): Software centrale che raccoglie log da tutta l'infrastruttura, li correla e genera alert quando un pattern corrisponde a una regola. Tool: Wazuh (open source, quello che usi), Splunk (enterprise standard), Microsoft Sentinel (cloud-native). Caso reale: nel breach di Target (2013) il SIEM aveva generato l'alert corretto — ma nessuno lo aveva notato tra migliaia di falsi positivi. La breccia costò 200M$. Da quel caso nacque l'ossessione per il tuning. Hook: la sala di controllo centrale. Tutto arriva qui. Se non è nel SIEM, per il SOC non è successo.

• EDR (Endpoint Detection and Response): Agent installato su host/server che monitora processi, file system e connessioni in tempo reale — non solo rileva malware ma registra ogni azione per l'analisi forense. Tool: CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne, Wazuh agent. Caso reale: CrowdStrike ha rilevato SUNBURST (SolarWinds) analizzando comportamenti anomali del processo SolarWinds.Orion.exe — non tramite signature, ma tramite comportamento. Hook: non è un antivirus. L'antivirus confronta hash. L'EDR registra cosa fa il processo — anche se il malware è nuovo e sconosciuto.

• XDR (Extended Detection and Response): Evoluzione dell'EDR che integra telemetria da più fonti — endpoint, rete, cloud, email — in un'unica console con correlazione automatica. Tool: Palo Alto Cortex XDR, Microsoft Defender XDR, CrowdStrike Falcon XDR. Esempio: un XDR può correlare una email phishing ricevuta + un processo anomalo lanciato 10 minuti dopo + una connessione C2 dall'host come un'unica catena d'attacco. Un EDR da solo vede solo il terzo pezzo. Hook: EDR vede una stanza, XDR vede tutto l'edificio.

• DFIR (Digital Forensics and Incident Response): Disciplina che combina la raccolta e analisi di prove digitali (Forensics) con la risposta attiva all'incidente (Incident Response). Obiettivo: capire cosa è successo, come, e raccogliere prove legalmente valide. Tool: Volatility (analisi memoria RAM), Autopsy / FTK Imager (analisi disco), Wireshark (traffico di rete), KAPE (acquisizione artefatti Windows). Caso reale: dopo l'attacco a Equifax (2017, 147M record rubati), un team DFIR ha ricostruito 76 giorni di attività dell'attaccante dalle prove digitali — fondamentale per il procedimento legale. Hook: il CSI informatico. La regola d'oro è chain of custody — ogni prova deve essere acquisita senza contaminarla, o non vale in tribunale.

• MSSP (Managed Security Service Provider): Azienda esterna che fornisce servizi di SOC e sicurezza gestita per conto di terzi — analisti H24, SIEM, EDR, IR inclusi nel servizio. Esempi in Italia: Fastweb Security, TIM Enterprise Security, Yarix, Cyberoo, Spike Reply. Hook: il SOC in outsourcing. Per aziende che non possono permettersi un SOC interno H24, l'MSSP è la soluzione. Per chi vuole fare carriera nel SOC, gli MSSP sono il posto dove si impara più velocemente — volume altissimo di alert reali.

• MSP (Managed Service Provider): Azienda esterna che gestisce servizi IT generici per conto di un cliente — help desk, backup, server, email, rete. Non focalizzato sulla security. Spesso aggiunge servizi MSSP come add-on. Differenza chiave: MSP = IT in outsourcing, MSSP = SOC/security in outsourcing. Entrambi operano con SLA contrattuali (respond entro X ore, resolve entro Y ore) — non consulenza a progetto ma reparto esternalizzato con KPI misurabili.

• NOC (Network Operations Center): Centro operativo focalizzato sulla disponibilità e operatività della rete (router, switch, load balancer, uptime servizi). Non si occupa di sicurezza in senso stretto, ma può collaborare con il SOC — es. rileva un picco anomalo di traffico che il SOC indaga come potenziale attacco.

• IDS (Intrusion Detection System): Sistema che monitora il traffico di rete o gli host alla ricerca di attività sospette e genera alert. Rileva ma NON blocca. Varianti principali: HIDS (host-based) e NIDS (network-based).

• IPS (Intrusion Prevention System): Evoluzione dell'IDS — rileva le minacce e le blocca attivamente (inline nel traffico). La differenza pratica: IDS = guardia che avvisa, IPS = guardia che ferma.

• HIDS (Host-based Intrusion Detection System): IDS installato direttamente sull'host (workstation o server). Il traffico analizzato passa attraverso la NIC dell'host — quindi vede solo ciò che entra ed esce da quella macchina. Monitora: traffico di rete via NIC, file critici del sistema operativo, log, applicazioni server (web, mail, DB), risorse locali. Può rilevare malware che l'antivirus tradizionale non individua perché analizza comportamenti applicativi e modifiche a file di sistema, non solo signature. Tool esempio: Wazuh agent (HIDS open source), OSSEC, Tripwire (integrità file). Caso reale: un admin installa HIDS su un database server con dati proprietari — il HIDS monitora non solo il traffico di rete verso il DB, ma anche query anomale a livello applicativo e modifiche ai file di configurazione. Hook mnemonico: NIDS guarda il corridoio (la rete), HIDS guarda dentro la stanza (il singolo host). Exam trap: HIDS non sostituisce l'antivirus — è un layer aggiuntivo. Molte organizzazioni installano entrambi su ogni workstation.

• NIDS (Network-based Intrusion Detection System): IDS posizionato sul perimetro di rete che analizza il traffico che transita — non quello interno a un singolo host. Non è inline: riceve una copia del traffico (port mirroring o TAP) e genera alert senza interferire con il flusso. Blind spot: traffico cifrato (TLS senza inspection), tutto quello che succede dentro l'host. Tool esempio: Suricata in modalità af-packet. Caso reale: un NIDS sul perimetro aziendale rileva un port scan da un IP esterno — Suricata genera alert T1595, il SOC indaga. Hook mnemonico: NIDS guarda il corridoio tra le stanze, HIDS guarda dentro ogni stanza. Exam trap: NIDS vede il traffico di rete ma è cieco a quello che succede sui singoli host — per la visibilità completa servono entrambi.

• HIPS (Host-based Intrusion Prevention System): HIDS con capacità di blocco attivo. Non è inline — i pacchetti arrivano all'host, il HIPS li analizza e poi blocca i tentativi futuri tramite iptables/nftables. Tool esempio: Wazuh + Active Response, fail2ban. Caso reale: Hydra lancia un brute force SSH — fail2ban conta 5 tentativi falliti in 60 secondi e banna l'IP dell'attaccante con una regola iptables. I pacchetti già arrivati li ha già ricevuti; blocca solo quelli successivi. Hook mnemonico: HIPS = HIDS che reagisce, non solo che guarda. Exam trap: HIPS non è inline — intercetta dopo l'arrivo, non prima.

• NIPS (Network-based Intrusion Prevention System): NIDS inline — il traffico di rete PASSA ATTRAVERSO il dispositivo prima di arrivare a destinazione. Può droppare i pacchetti malevoli prima che raggiungano l'host. Tool esempio: Suricata in modalità nfqueue. Caso reale: hping3 --flood da Kali verso Ubuntu — Suricata in modalità IPS intercetta il SYN flood e droppa i pacchetti; curl verso lo stesso Ubuntu da un altro terminale va in timeout. Hook mnemonico: NIPS = checkpoint sul corridoio — il pacchetto deve passarci prima di entrare nella stanza. Exam trap: inline = IPS, non inline = IDS. La posizione nel flusso del traffico è la distinzione chiave.

• CVE (Common Vulnerabilities and Exposures): Database pubblico di vulnerabilità note, mantenuto da MITRE e finanziato da CISA. Ogni voce ha un ID univoco nel formato CVE-ANNO-NUMERO, una descrizione, e un CVSS score che indica la gravità. Tool esempio: Wazuh Vulnerability Detection confronta automaticamente i pacchetti installati contro il database CVE e segnala le vulnerabilità attive. Caso reale: Log4Shell era CVE-2021-44228, CVSS 10.0 — una stringa nel campo User-Agent causava RCE su qualsiasi server Log4j. Hook mnemonico: CVE = targa di una vulnerabilità. Senza CVE ID non puoi cercarla, parlarci tra team, o tracciarla nel tempo.

• IH (Incident Handling): Il contenitore più ampio della gestione degli incidenti — include processi, procedure, persone e strumenti. IR (Incident Response) è il sottoinsieme operativo di IH focalizzato sulla risposta tecnica all'incidente.

• Telemetria: Dati raccolti automaticamente da sistemi remoti e inviati a un punto centrale per l'analisi. In ambito security: log, eventi, processi attivi, connessioni di rete, modifiche al file system — tutto quello che un agent registra e manda al SIEM/XDR.

• OSINT (Open Source Intelligence): Raccolta di informazioni da fonti pubbliche per supportare l'analisi di un incidente. Tool comuni: VirusTotal (analisi file/URL/IP), Any.run (sandbox online), Shodan (motore di ricerca per dispositivi esposti su internet).

• NVD (National Vulnerability Database): Database pubblico di vulnerabilita' noto mantenuto dal NIST. Ogni vulnerabilita' ha un CVE ID, una descrizione, il CVSS score e le informazioni di remediation. E' il riferimento ufficiale del governo USA — quando CISA emette una direttiva di patching obbligatoria, i CVE ID vengono da qui. Hook: NVD = lo scaffale dove ogni vulnerabilita' ha la sua etichetta CVE. NIST gestisce lo scaffale, MITRE assegna le etichette.

• IoC (Indicator of Compromise): Evidenza che un attacco e' in corso o e' gia' avvenuto su un sistema. Puo' essere ovvia (alert confermato da AV) o sottile (hash di un file specifico, URL di C2, nome di un processo anomalo). CISA pubblica Malware Analysis Report con IoC che i team security usano per cercare retroattivamente nei log — se trovi l'URL del C2 nei proxy log, qualcuno ha visitato quel sito. Tool: threat intel feed (VirusTotal, MISP), SIEM con regole IoC, EDR con hash lookup. Hook: IoC e' la "targa del criminale" — il codice fiscale dell'attacco. Senza IoC sai che qualcosa e' successo; con gli IoC sai cosa cercare e dove. Exam trap: IoC != vulnerabilita'. Una CVE e' un punto debole, un IoC e' traccia di sfruttamento.

• TAXII (Trusted Automated eXchange of Intelligence Information): Standard aperto che definisce il protocollo per condividere threat intelligence — come i dati viaggiano, quali servizi esistono, come autenticarsi. Non definisce il formato dei dati — quello lo fa STIX. Analogia: TAXII e' come HTTP (il protocollo di trasporto), STIX e' come JSON (il formato del contenuto). Hook: TAXII = il camion che trasporta la merce. STIX = la forma delle scatole dentro il camion.

• STIX (Structured Threat Information eXpression): Standard aperto che definisce il formato dei dati di threat intelligence — come descrivere malware, campagne, threat actor, IoC, TTP in modo strutturato e machine-readable. I dati STIX viaggiano via TAXII. Hook: STIX = la lingua comune. Due organizzazioni che usano STIX possono scambiarsi threat intelligence senza traduzione manuale. Exam trap: STIX definisce COSA condividere, TAXII definisce COME condividerlo — non confonderli.

• AIS (Automated Indicator Sharing): Servizio gratuito gestito da CISA per lo scambio in tempo reale di threat indicator e defensive measure tra organizzazioni. Usa STIX come formato e TAXII come protocollo. Disponibile a qualsiasi organizzazione US — governo, privato, infrastrutture critiche. Hook: AIS e' il mercato dove si portano gli IoC — STIX li descrive, TAXII li consegna, AIS e' la piazza dove avviene lo scambio.

• Tassonomia ENISA: Classificazione standard degli incidenti sviluppata dall'ENISA (European Union Agency for Cybersecurity) per dare un linguaggio comune tra organizzazioni europee. Copre categorie come: abusive content, malicious code, information gathering, intrusion, availability, information content security. Usata in forma ibrida: tassonomia interna per i dettagli operativi + ENISA per la comunicazione esterna (es. notifiche GDPR, CSIRT nazionali). Hook: senza tassonomia comune, due SOC di aziende diverse chiamano la stessa cosa in modo diverso — impossibile collaborare su un incidente cross-organizzazione.

Framework di riferimento IR

#

I principali framework che guidano le operazioni di sicurezza negli ultimi 30 anni:

Letture di approfondimento citate nel Blue Team Handbook:

• ISO/IEC 27035 — Information Security Incident Management
• ENISA Incident Management Guidelines
• ASD Strategies — Australian Signals Directorate, mitigazioni pratiche
• MITRE CWE — Common Weakness Enumeration, 600+ categorie hardware/software
• OWASP Top Ten — rischi piu' critici nelle web application, aggiornato periodicamente

• Incident Response (IR): Esistono due definizioni di riferimento usate nella pratica:

  • NIST: La remediation o mitigazione di violazioni delle policy di sicurezza e delle pratiche raccomandate.
  • SANS: Il processo strutturato di identificazione, gestione e mitigazione degli effetti di un incidente di sicurezza informatica, con l'obiettivo di minimizzare i danni, ripristinare le operazioni e prevenire ricorrenze future. La definizione SANS e' piu' operativa — quella usata nei SOC. La definizione NIST e' piu' formale — usata in compliance e governance. I framework non sono in alternativa: in un programma IR moderno si "parla NIST CSF" a livello policy e audit, si usa NIST SP 800-61 come processo tattico di riferimento, e si "parla PICERL" a livello operativo nei playbook e nella formazione analisti. Vedi tabella "Framework di riferimento IR" sopra e nota incident-response-lifecycle.

• PICERL: Framework SANS per la gestione strutturata degli incidenti in 6 fasi: Preparation → Identification → Containment → Eradication → Recovery → Lessons Learned. E' un ciclo — le Lessons Learned migliorano la Preparation del prossimo incidente. Standard de facto nei SOC operativi. Dettaglio completo: incident-response-lifecycle.

Indicatori e Metriche

#

• IOC (Indicator of Compromise): Tracce statiche di un attacco già avvenuto — artefatti lasciati dal malware o dall'attaccante. Esempi: hash SHA256 di un file malware, IP del server C2, dominio usato per il beaconing, chiave di registro creata per la persistenza. Limite: un IOC è utile solo dopo che l'attacco è già successo. Se l'attaccante cambia IP o usa un dominio nuovo, l'IOC non lo cattura.

• IOA (Indicator of Attack): Comportamenti che indicano un attacco in corso, anche prima che ci sia compromissione confermata. Esempi: processo cmd.exe lanciato da word.exe, PowerShell che contatta un IP esterno, creazione di un utente admin alle 3 di notte. Vantaggio: permette di intervenire prima — non serve aspettare un artefatto noto.

IOC — guarda indietro       IOA — guarda adesso
"qualcosa è già successo"   "qualcosa sta succedendo"
hash, IP, dominio noti      comportamento anomalo
reattivo                    proattivo

• TTP (Tactics, Techniques, and Procedures): Il modo di operare caratteristico di un attaccante — tattica (obiettivo: es. "persistenza"), tecnica (come: es. "cron job"), procedura (dettaglio specifico: es. "cron job in /etc/cron.d con questo nome file"). Mappato su MITRE ATT&CK. Più specifici degli IOC: un IP C2 cambia in ore, un TTP cambia in mesi. Caso reale: APT29 usa quasi sempre spearphishing + OAuth abuse per l'accesso iniziale. Sapere i loro TTP permette di cercare questi pattern nel proprio ambiente anche prima di un attacco confermato. Hook: IOC = impronta digitale (cambia con i guanti). TTP = modo di camminare (difficile da cambiare).

• Threat Actor: Qualsiasi entità che esegue o sponsorizza un attacco informatico. La categoria determina motivazione, risorse e TTP usati — sapere chi ti attacca aiuta a predire come.

  Tipo	Motivazione	Risorse	Esempio
  Nation-state	Spionaggio, sabotaggio, influenza politica	Altissime, zero-day budget	APT29 (Russia), APT41 (Cina), Lazarus (Nord Corea)
  Organized crime	Profitto economico, ransomware, frode	Medie-alte, RaaS	REvil, LockBit, Conti
  Hacktivist	Ideologia, visibilità, protesta	Basse-medie	Anonymous, KillNet
  Insider threat	Vendetta, profitto, errore inconsapevole	Accesso diretto — pericoloso	Edward Snowden (consapevole), dipendente che clicca phishing (inconsapevole)
  Script kiddie	Curiosità, ego, noia	Basse — usa tool altrui	La maggior parte degli attacchi automatizzati

  Caso reale: Lazarus Group (Nord Corea) — ha rubato 81M$ alla Bangladesh Bank (2016) via SWIFT compromesso, e ha bucato Sony Pictures (2014) per impedire l'uscita di un film. Nation-state con obiettivi sia finanziari che politici. Hook: per Security+ D2.1 devi conoscere tutti questi tipi. La domanda tipo è "quale threat actor usa APT con motivazione di spionaggio?" — nation-state.

• APT (Advanced Persistent Threat): Attaccante con risorse elevate — spesso nation-state o criminalità organizzata — che entra in un sistema e ci resta nascosto a lungo. Obiettivo: spionaggio o esfiltrazione dati, non rumore.

  Le tre parole spiegano tutto:

  • Advanced — usa exploit custom, zero-day, tecniche sofisticate per non essere rilevato
  • Persistent — resta nascosto per mesi o anni. Non colpisce e scappa: stabilisce foothold, muove lateralmente, esfiltra lentamente
  • Threat — è una minaccia reale e mirata, non casuale

  Scenario tipico: un attaccante APT entra via phishing su un account di un dipendente, installa una backdoor silenziosa, aspetta settimane per capire la rete, poi esfiltra dati sensibili a piccole dosi per non triggerare alert di volume. Il classico falso negativo che il SIEM non vede.

  Esempi reali: APT29 (Cozy Bear, Russia) — compromesso SolarWinds 2020, rimasto nascosto per mesi in reti governative USA. APT41 (Cina) — spionaggio industriale + ransomware.

• Nation-State Attacker: attaccante direttamente impiegato o sponsorizzato da un governo. Rappresenta la forma principale di APT. Ha risorse praticamente illimitate, personale altamente specializzato e obiettivi precisi (aziende, agenzie governative, infrastrutture critiche). Non attacca a caso: ha un mandato. I governi sponsor negano ufficialmente, ma le aziende di threat intelligence hanno documentato decine di gruppi: Fancy Bear e Cozy Bear (Russia), Lazarus Group e Ricochet Chollima (Nord Corea), Buckeye e Double Dragon (Cina), Elfin Team e Charming Kitten (Iran). Tool esempio: zero-day su misura, implant firmware, supply chain compromise. Budget per comprare vulnerabilita' non note. Caso reale: Lazarus Group (Nord Corea) ha rubato 81 milioni di dollari alla Bangladesh Bank (2016) via SWIFT compromesso, e ha bucato Sony Pictures (2014) per impedire l'uscita di un film. Due obiettivi diversi, stessa nazione sponsor. Hook: "un governo che attacca un altro governo (o un'azienda) tramite hacker prezzolati". La differenza con il crimine organizzato e' il mandato politico, non solo economico.

• Organized Crime (Crimine Organizzato): gruppo strutturato come una vera azienda con gerarchia (leader, manager, esecutori), focalizzato su attivita' criminali. Motivazione primaria: denaro. Qualsiasi attivita' puo' essere ricondotta alla cupidigia. Nel cybercrime, il modello dominante e' il ransomware (spesso via RaaS, Ransomware as a Service). Tool esempio: ransomware (Ryuk, LockBit, REvil/Sodinokibi, BlackCat), infostealer per rubare credenziali, phishing industrializzato. RaaS: il gruppo vende l'accesso al ransomware ad affiliati in cambio di una percentuale del riscatto. Caso reale: Wizard Spider (Russia) operava Ryuk ransomware contro ambienti enterprise. CrowdStrike ha documentato il gruppo con gerarchia, divisione dei ruoli e obiettivi economici. Ryuk ha colpito ospedali durante il COVID-19. Hook: "una mafia digitale con P&L". Funziona come un'azienda legittima, con recruiting, HR, prodotto (ransomware), clienti (affiliati), e contabilita' (wallet crypto).

• Script Kiddie / Unskilled Attacker: attaccante che usa script, tool e exploit gia' pronti senza capire come funzionano. Competenza tecnica bassa o nulla, budget minimo. Spesso citato come "teenager annoiato" ma l'eta' non e' il punto: e' la mancanza di comprensione, non l'anagrafe. Motivazione: noia, ego, curiosita', voler "vedere cosa succede". Tool esempio: Metasploit (framework exploit pre-configurati), scanner automatici (Nmap con script NSE), exploit trovati su GitHub o Exploit-DB, tool DDoS scaricati da forum. Caso reale: la maggior parte del rumore di fondo su Internet (port scan continui, brute force su SSH esposto, tentativi su porte 22/3389/80) e' generato da script kiddie che lanciano tool automatici senza supervisione. Hook: "il pericolo della democratizzazione degli strumenti". Un teenager con Metasploit puo' fare danni seri anche senza capire cosa sta facendo. Security+ vuole che tu sappia: bassa sofisticazione NON significa basso rischio.

• Hacktivist: attaccante che lancia attacchi come parte di un movimento attivista o per promuovere una causa. Non attacca per guadagno personale: l'obiettivo e' visibilita', protesta, danneggiare la reputazione di un'organizzazione per ragioni ideologiche o politiche. Tool esempio: DDoS (LOIC - Low Orbit Ion Cannon, spesso usato da gruppi coordinati), defacement di siti web, data leak per imbarazzare l'organizzazione target. Caso reale: The Yes Men (gennaio 2019) hanno creato un sito falso di BlackRock e rilasciato una lettera falsa del CEO Larry Fink con impegni climatici. Molte testate l'hanno riportata come vera. Nessun malware, pura disinformazione per una causa ambientale. Hook: "hacking come protesta". Legalmente e' comunque un attacco, indipendentemente dalla nobilta' della causa. Anonymous, KillNet e simili sono esempi noti.

• Insider Threat: chiunque abbia accesso legittimo alle risorse interne di un'organizzazione. La parola chiave e' "legittimo": non e' entrato bucando un firewall, era gia' dentro. Il rischio non e' determinato dal livello di competenza tecnica ma dall'accesso: un admin di sistema e' una minaccia piu' grave di un utente normale non perche' e' "esperto" ma perche' ha piu' accesso. Esistono due tipi: Malicious insider: motivato da vendetta, guadagno economico, ideologia. Sa cosa sta facendo (es. Edward Snowden, 2013). Non-malicious insider: utente che clicca su un allegato phishing, porta dati su una USB personale per lavorare da casa, commette errori in buona fede. Non sa di creare un rischio. Tool esempio: DLP (Data Loss Prevention) monitora e blocca l'esfiltrazione di dati via USB, email, cloud storage. Utile contro entrambi i tipi. Caso reale: Edward Snowden (2013) era un contractor NSA con accesso privilegiato. Ha esfiltrato milioni di documenti classificati. Insider threat malicioso con accesso altissimo. All'altro estremo: un dipendente che manda per errore un file con dati clienti a un indirizzo sbagliato e' ancora un insider threat, solo non malicioso. Hook: "il firewall non ti protegge da chi e' gia' dentro". La detection richiede strumenti diversi: DLP, UEBA (User and Entity Behavior Analytics), audit dei log interni.

• Competitor: un'organizzazione in competizione economica o commerciale con un'altra. La motivazione e' ottenere informazioni proprietarie per guadagnare vantaggio competitivo: roadmap di prodotto, lista clienti, prezzi, brevetti, strategie future. Non e' un attacco per soldi diretti o ideologia: e' spionaggio industriale. Raccogliere informazioni e' legale fino a un certo punto (OSINT su LinkedIn, comunicati stampa, database brevetti), poi diventa illegale. Metodi illegali tipici: dumpster diving (rovistare nei rifiuti fisici dell'azienda per trovare documenti non distrutti correttamente), assumere dipendenti di un competitor per farsi raccontare informazioni interne, hacking diretto, social engineering contro dipendenti. Tool esempio: OSINT (legale: Shodan, LinkedIn Sales Navigator, EDGAR per societari USA). Illegale: phishing mirato, accesso fisico non autorizzato. Caso reale: spionaggio industriale e' comune nel settore tech e farmaceutico. Aziende assumono ex-dipendenti di competitor con clausole che vengono poi ignorate. La Corte del Commercio USA ha casi di spionaggio industriale documentati ogni anno, spesso coinvolgendo imprese straniere. Hook: "la competizione sleale digitale". Se stai costruendo qualcosa di valore, qualcuno che compete con te potrebbe volerlo senza pagarlo.

• Lateral Movement (Movimento Laterale): Tecnica con cui l'attaccante si sposta da un host all'altro dentro la rete dopo l'accesso iniziale — cercando privilegi più alti e asset critici come il Domain Controller. Tecniche comuni: Pass-the-Hash (riuso hash NTLM con Mimikatz), PsExec, RDP, WMI, SMB. Caso reale: NotPetya (2017) si è diffuso lateralmente in pochi minuti nelle reti aziendali usando EternalBlue (MS17-010) + Mimikatz per raccogliere credenziali e muoversi. Maersk ha perso 300M$ in un giorno. Hook: "sei entrato nel lobby, ora trova la cassaforte". L'accesso iniziale è solo il primo passo — il danno reale viene dopo il movimento laterale.

• MTTD (Mean Time to Detect): Tempo medio tra l'inizio di un attacco e il suo rilevamento da parte del SOC. Benchmark reale: secondo IBM Cost of Data Breach Report 2023, il MTTD medio globale è 204 giorni. Gli APT contano su questo — 6 mesi di silenzio sono sufficienti per esfiltare tutto. Hook: il KPI che misura quanto sei cieco. Più è alto, più l'attaccante ha tempo.

• MTTR (Mean Time to Respond): Tempo medio tra il rilevamento e il contenimento dell'incidente. Benchmark reale: IBM 2023 — MTTR medio globale è 73 giorni dopo il rilevamento. MTTD + MTTR = 277 giorni di esposizione media. Hook: il KPI che misura quanto sei lento. MTTD e MTTR insieme sono le due metriche principali su cui un SOC viene valutato internamente e dai clienti MSSP.

Terminale e Processi

#

• Agent (security): Software che gira in background su un host, raccoglie dati (log, traffico, processi) e li invia a un sistema centrale (SIEM, NIDS console, EDR). Non è un agente AI — è un demone Linux con un ruolo specifico di raccolta e inoltro. Distinzione: daemon è il termine Unix per l'implementazione tecnica (processo background senza terminale); agent è il termine security per il ruolo funzionale. Tutti i security agent sono daemon, ma non tutti i daemon sono agent. Esempi: Wazuh agent (wazuh-agentd), OSSEC, Suricata, CrowdStrike Falcon. Hook mnemonico: agent security = daemon Linux con un lavoro specifico — spia che raccoglie informazioni e le manda al quartier generale.

• TTY (TeleTYpewriter): Nome storico che viene dai telescriventi fisici degli anni '70 collegati ai mainframe. Oggi indica qualsiasi terminale — fisico (tty1) o virtuale (pts/N). In ps aux, la colonna TTY mostra il terminale associato al processo: pts/N = sessione interattiva (SSH, tmux), ? = nessun terminale (demone o processo di sistema).

• pts (Pseudo-Terminal Slave): Terminale virtuale assegnato dalla shell a ogni sessione interattiva. Numerato progressivamente: pts/0, pts/1... Non ha relazione con le variabili PS1/PS2 della shell.

Sistemi e Infrastruttura

#

• BIOS — Basic Input/Output System: il firmware che fornisce a un computer le istruzioni base per avviarsi. E' sia hardware che software allo stesso tempo: un chip fisico saldato sulla scheda madre (puoi toccarlo), che contiene firmware — codice software inciso in memoria non volatile. Al boot, prima di qualsiasi SO, e' il BIOS a fare i controlli iniziali (POST), trovare il disco di avvio e passare il controllo al bootloader. L'interfaccia a cui accedi con DEL/F2/F12 e' la UI di quel firmware. Sostituito modernamente da UEFI sui sistemi nuovi. Exam tip: BIOS = firmware su chip, non solo "schermata di avvio".

• UEFI — Unified Extensible Firmware Interface: il successore moderno del BIOS. Fa le stesse cose (avvia il sistema, controlla l'hardware) ma con capacita' aggiuntive: supporta dischi oltre i 2TB (GPT invece di MBR), e' progettato per essere indipendente dalla CPU, ha un'interfaccia grafica, supporta Secure Boot. Secure Boot e' la funzionalita' chiave per la sicurezza: verifica che ogni componente del processo di avvio (bootloader, kernel) sia firmato crittograficamente da un'autorita' fidata — impedisce ai rootkit di inserirsi nel boot. Come il BIOS, risiede su un chip firmware sulla scheda madre e puo' essere aggiornato tramite flashing. Exam tip: UEFI e' la base su cui si costruisce la boot integrity moderna.

• TPM — Trusted Platform Module: chip di sicurezza dedicato integrato nella scheda madre (o in alcuni casi implementato via firmware). Funziona come cassaforte hardware per operazioni crittografiche: genera e conserva chiavi di cifratura che non lasciano mai il chip, misura l'integrita' del boot (measured boot), fornisce numeri casuali hardware. Tool esempio: BitLocker usa il TPM per conservare la chiave di cifratura del disco — la chiave e' legata all'hardware, non alla password. Se qualcuno sposta il disco su un altro PC, il TPM non c'e' e il disco rimane cifrato. Caso reale: un laptop rubato con BitLocker + TPM — l'attaccante non puo' accedere ai dati anche smontando il disco e collegandolo altrove. Hook mnemonico: TPM = cassaforte hardware che conosce il tuo computer. Se cambi computer, la cassaforte non si apre. Exam tip: TPM e' spesso usato in coppia con UEFI Secure Boot per garantire boot integrity end-to-end.

• OS — Operating System: software che fa da intermediario tra hardware e applicazioni. Gestisce CPU, RAM, disco, rete tramite il kernel — il componente che parla direttamente con l'hardware. Il resto (shell, librerie, app) gira sopra il kernel nello userspace. Esempi: Linux, Windows, macOS. Tool esempio: uname -r mostra la versione del kernel in uso. Caso reale: nei container Docker il kernel e' condiviso con l'host — non c'e' un kernel separato per container. Una vulnerabilita' del kernel host e' una vulnerabilita' di tutti i container. Hook: kernel = cuore dell'OS, userspace = tutto il resto. Container condividono il kernel, VM no.

• Filesystem: il sistema che organizza e struttura i file su disco. Definisce come i dati vengono scritti, letti, nominati e organizzati in cartelle. La scelta del filesystem determina anche i permessi supportati. Tool esempio: df -Th mostra filesystem montati e tipo (ext4, tmpfs, ecc.). Caso reale: NTFS supporta permessi per utente (DACL/ACE) — FAT32 no. Un attaccante che accede a un disco FAT32 non incontra nessun controllo di accesso basato su identita'. Esempi: ext4 (Linux), NTFS (Windows), APFS (macOS), FAT32 (USB/compatibilita'). Hook: filesystem = cassetti del disco. Ogni container Docker ha i suoi cassetti isolati (layer OverlayFS), ma usa lo stesso kernel per aprirli.

• AD (Active Directory): Servizio di directory Microsoft che gestisce identità, permessi e policy in una rete aziendale Windows. Praticamente ogni azienda con più di 10 PC lo usa. La versione completa si chiama AD DS — Active Directory Domain Services — dove DS indica il servizio specifico dentro Windows Server che gestisce il dominio (autenticazione, Group Policy, database degli oggetti). "Active Directory" da solo è il nome generico, "AD DS" è il componente tecnico preciso. Tool offensivi: BloodHound (mappa i percorsi di attacco in AD), Mimikatz (dumping credenziali), Impacket. Caso reale: Colonial Pipeline (2021) — gli attaccanti si sono mossi lateralmente attraverso AD per raggiungere i sistemi OT che controllavano il gasdotto. Fermato per 6 giorni, carburante razionato sulla East Coast USA. Hook: "chi controlla AD controlla l'azienda". Il Domain Controller è la corona jewel — chi lo compromette ha le chiavi di tutto.

• DC (Domain Controller): Il server centrale di Active Directory. Autentica utenti e computer, autorizza l'accesso alle risorse, applica le Group Policy a tutti i PC del dominio. Contiene il database NTDS.dit con tutti gli hash delle password. Hook: se un attaccante ottiene accesso al DC, può estrarre gli hash di tutti gli utenti del dominio con un DCSync attack — game over per l'intera rete.

• SCADA (Supervisory Control and Data Acquisition): Sistema di controllo industriale per gestire infrastrutture critiche — centrali nucleari, reti elettriche, acquedotti, oleodotti. È una rete privata segmentata dall'intranet aziendale, con protocolli spesso proprietari e legacy. Accesso estremamente ristretto, difficile da aggiornare. Architettura tipica: sensori fisici → PLC (Programmable Logic Controller) → server SCADA. Il perimetro è protetto da firewall + NIPS (NIPS 2 nel modello Gibson). Target ad alto valore per APT e attori nation-state. Caso reale: Stuxnet (2010) — worm che ha sabotato le centrifughe di arricchimento dell'uranio in Iran attaccando i PLC Siemens via SCADA. Hook mnemonico: SCADA = "cervello degli impianti industriali" — se lo comprometti, controlli la centrale o l'acquedotto. Exam trap: SCADA/OT (Operational Technology) ha requisiti di availability altissimi — un patch che richiede downtime può essere inaccettabile, per cui i sistemi restano non aggiornati a lungo.

• Kerberos: Protocollo di autenticazione usato in Active Directory. Non manda la password in rete — usa ticket crittografati (TGT e TGS) emessi dal DC. E' la soluzione SSO per reti interne (AD, Unix realm) — ti loggi una volta, il TGT ti dà accesso a tutte le risorse del dominio senza reinserire la password. NON usato su Internet o tra organizzazioni diverse (per quello c'è SAML). Attacchi comuni: Kerberoasting (richiede ticket per service account e li cracka offline), Pass-the-Ticket, Golden Ticket (forgia ticket TGT usando il hash di KRBTGT). Hook: in un pcap, kerberos.CNameString contiene il nome utente autenticato — utile per identificare chi stava usando un host in un'analisi DFIR.

• Firmware: software memorizzato permanentemente in hardware dedicato — tipicamente flash memory o ROM. E' il livello piu' basso del software: gira prima del sistema operativo, controlla direttamente l'hardware. La parola nasce dall'unione di "hardware" (il chip fisico) e "software" (il codice dentro) — sta nel mezzo, da cui "firm" (solido, stabile). Esempi: BIOS/UEFI (firmware della scheda madre), firmware di router e switch, OS dei dispositivi mobili (conservato in flash memory integrata). Aggiornamento: tramite flashing (sovrascrive il chip) o OTA — Over-The-Air (wireless, usato sui dispositivi mobili). Caso reale: il firmware di un router non aggiornato contiene vulnerabilita' note — gli attaccanti le sfruttano perche' la maggior parte degli utenti non aggiorna mai il firmware del router. Hook mnemonico: firmware = "il software che non puoi cancellare facilmente" — vive nell'hardware. Exam trap: firmware != software applicativo. Il firmware non si installa, si flasha. Un errore durante il flashing puo' "brickare" il dispositivo (renderlo inutilizzabile).

• MDM — Mobile Device Management: tecnologia per gestire centralmente i dispositivi mobili di un'organizzazione (smartphone, tablet). Permette di applicare policy di sicurezza, distribuire app, monitorare lo stato dei device e intervenire da remoto. Funzionalita' chiave: application management (allow list), full device encryption, storage segmentation, containerization, screen lock policy, remote wipe, geofencing, GPS tagging, context-aware authentication. Tool esempio: Microsoft Intune, Jamf (iOS/macOS), VMware Workspace ONE. Caso reale: un dipendente perde lo smartphone aziendale — l'admin invia un remote wipe che cancella tutti i dati incluse le password cached prima che qualcuno possa accedervi. Hook mnemonico: MDM = "telecomando per tutti i telefoni aziendali". Exam trap: containerization in MDM non e' come Docker — e' isolare i dati aziendali in un'area cifrata sul device, utile soprattutto in BYOD dove non puoi cifrare l'intero dispositivo personale del dipendente.

• UEM — Unified Endpoint Management: evoluzione dell'MDM che gestisce qualsiasi endpoint — mobile, desktop, laptop, IoT — da un'unica piattaforma. Non solo smartphone: include PC Windows, Mac, dispositivi Linux. Esempio: Microsoft Configuration Manager (SCCM) con supporto iOS e Android. Hook: MDM = solo mobile. UEM = tutto. Exam trap: se la domanda dice "gestisce desktop E mobile da un'unica console" → UEM, non MDM.

• Accounting structure (sostantivo) — struttura contabile / meccanismo di tracciamento. In IT governance e change management: il sistema che documenta, registra e traccia ogni richiesta di modifica — chi l'ha richiesta, quando, cosa e' stato approvato, chi l'ha implementata, con quale esito. Non ha nulla a che fare con la contabilita' finanziaria: e' una metafora. Come un libro mastro tiene traccia di ogni transazione economica, l'accounting structure tiene traccia di ogni cambiamento ai sistemi IT. Tool esempio: ServiceNow, Jira Service Management (ticketing con workflow di approvazione), sistemi CMDB. Caso reale: un admin modifica la configurazione di un firewall senza passare per il change management — nessuna documentazione, nessuna approvazione. Se quella modifica causa un outage, nessuno sa cosa e' cambiato ne' come tornare allo stato precedente. L'accounting structure e' esattamente quella traccia che manca. Hook mnemonico: "ogni cambiamento lascia una firma". Exam tip: change management ha due obiettivi — evitare outage non pianificati e fornire una accounting structure per documentare ogni modifica.

Tool Offensivi e di Testing

#

• Burp Suite — tool standard per il testing della sicurezza delle web application. Sviluppato da PortSwigger (portswigger.net/burp). La funzione principale è il proxy intercettore: si posiziona tra il browser e il server, cattura ogni richiesta HTTP/HTTPS prima che parta e permette di modificarla a mano. Questo rende il bypass della client-side validation banale in pochi secondi — il motivo per cui Gibson dice che la validazione lato client non è sicurezza. Funzioni principali: Proxy (intercetta/modifica), Repeater (rimanda richieste modificate), Intruder (fuzzing automatico su un campo), Scanner (rileva XSS, SQLi, ecc.), Decoder (Base64, URL encoding). Versione Community gratuita, versione Pro a pagamento con scanner automatico. Tool standard nei lab BTL1 e in qualsiasi penetration test su web app. Hook mnemonico: Burp = ruttare — fa "uscire" quello che il server tiene dentro, intercettando e rivelando tutto il traffico.

Vulnerabilità Web (OWASP A01, A03)

#

• Path Traversal (o Directory Traversal): Vulnerabilità che permette di leggere file fuori dalla directory radice del server web usando sequenze ../. Esempio: https://sito.it/download?file=../../etc/passwd — il server legge il file delle password di sistema. Hook: il server non valida dove sta andando. La difesa è canonicalizzare il path e rifiutare tutto ciò che esce dalla directory consentita.

• LFI (Local File Inclusion): Come Path Traversal, ma il server esegue il file incluso invece di limitarsi a leggerlo. Se un attaccante riesce a caricare un file PHP e poi a includerlo via LFI, ottiene RCE. Hook: Path Traversal legge, LFI esegue. La differenza è critica per la severità.

• RCE (Remote Code Execution): Esecuzione di comandi arbitrari sul sistema target da remoto — il livello massimo di compromissione a livello applicativo. Caso reale: Log4Shell (CVE-2021-44228) — una stringa nel campo User-Agent causava RCE su qualsiasi server che usava Log4j. Colpì Amazon, Apple, Cloudflare, Tesla. CVSS 10.0. Hook: se un attaccante ha RCE, ha tutto. È il "game over" delle vulnerabilità web.

• Injection: Inserimento di input malevoli in un interprete (SQL, Bash, OS, LDAP) per alterarne il comportamento. Esempio SQLi: ' OR '1'='1 in un campo login bypassa l'autenticazione se la query non è parametrizzata. Caso reale: breach di Yahoo (2012) — 500M account rubati via SQL injection. È la A03 di OWASP da anni. Hook: l'interprete non distingue dati da comandi. La difesa è sempre parametrizzare — mai concatenare stringhe in una query.

• Ransomware: Malware che cifra i file della vittima e richiede riscatto per la chiave. Il moderno ransomware usa Double Extortion: cifra i dati E minaccia di pubblicarli se non paghi. Esempi: WannaCry (2017, 200k sistemi in 150 paesi, NHS UK offline), LockBit, REvil/Sodinokibi, BlackCat. Caso reale: WannaCry si propagò via EternalBlue (exploit NSA leaked da Shadow Brokers) su SMB — colpì sistemi Windows non aggiornati in ore. Patch disponibile da 2 mesi, ignorata. Hook: "encrypt then extort". La difesa principale è backup offline testato — senza backup, le opzioni sono pagare o perdere tutto.

IAM — Identity and Access Management

#

Flusso e Controllo Accessi

#

• AAA / IAAA — Authentication, Authorization, Accounting / + Identification. Il flusso base: dichiari chi sei (I), lo provi (A), il sistema decide cosa puoi fare (A), registra tutto (A). Exam trap: la I di Identification viene spesso omessa — ma senza identification non sai a chi attribuire le azioni nei log.

• MFA — Multi-Factor Authentication — autenticazione a piu' fattori. Richiede due o piu' fattori di categorie diverse (Know / Have / Are / Somewhere). Exam trap: due fattori della stessa categoria (es. impronta + iris = Are + Are) NON e' MFA — e' single factor authentication con due metodi.

• SSO — Single Sign-On — un unico login per accedere a piu' risorse senza riautenticarsi. Il sistema emette un token alla prima autenticazione, presentato automaticamente alle risorse successive. Rischio: password compromessa = accesso a tutto. Hook: "il passaporto aziendale" — lo mostri una volta, entri ovunque.

• KBA — Knowledge-Based Authentication — autenticazione basata su conoscenza. Tre varianti: Static KBA (domande preimpostate — "nome del primo cane"), Dynamic KBA (domande da dati pubblici — credit report, veicoli), Identity Proofing (verifica identita' alla creazione account).

• OTP — One-Time Password — password monouso valida per una sola autenticazione. Due implementazioni: HOTP (counter-based) e TOTP (time-based).

• HOTP — HMAC-based One-Time Password — OTP generato premendo un bottone fisico (incrementa un counter). Non scade finche' non viene usato. Non richiede connessione al server.

• TOTP — Time-based One-Time Password — OTP generato automaticamente ogni 30-60 secondi basandosi sull'ora corrente. Scade alla fine della finestra temporale. Usato da Google Authenticator.

Modelli di Autorizzazione

#

• RBAC — Role-Based Access Control — i permessi sono assegnati ai ruoli, non agli utenti. L'utente eredita i permessi del ruolo. Esempi: Windows AD Groups. Hook: "sei quello che fai" — il ruolo definisce l'accesso.

• Rule-BAC — Rule-Based Access Control — i permessi sono definiti da un insieme di regole approvate in una ACL (Access Control List). Le regole definiscono cosa e' permesso o negato. Exam trap: non confondere con RBAC — Rule-BAC usa Regole, RBAC usa Ruoli.

  Tre casi da ricordare:

  Tipo	Esempio	Statica/Dinamica
  Firewall/router ACL	Blocca Facebook, permetti solo HTTP/HTTPS uscente	Statica — l'admin la crea, resta finche' non la cambia
  IPS anti-attacco	Rileva brute force → aggiunge regola blocco IP attaccante automaticamente	Dinamica — l'attacco triggera la modifica della regola
  Applicazione	Se Marge e' assente → Homer ottiene permessi extra sul DB	Dinamica — un evento triggera un cambio di permessi

  Caso reale: il firewall aziendale blocca Facebook con una regola DENY outbound to facebook.com port 443 — Rule-BAC statico. Quando l'IPS rileva un attacco e aggiorna l'ACL automaticamente per bloccare quell'IP — Rule-BAC dinamico.

• DAC — Discretionary Access Control — il proprietario dell'oggetto decide chi puo' accedervi. NTFS Windows usa DAC. Ogni file ha un proprietario (SID) e una DACL con le ACE.

• MAC — Mandatory Access Control — il sistema assegna label di sicurezza (Top Secret, Secret, Confidential) a oggetti e soggetti. L'accesso dipende dal confronto tra label — il proprietario non puo' cambiare i permessi. Implementato da SELinux su Linux. Exam trap: MAC ha tre significati in Security+: Mandatory Access Control, MAC address, Message Authentication Code.

• ABAC — Attribute-Based Access Control — valuta Subject + Object + Action + Environment per decidere l'accesso. Piu' granulare di RBAC. Comune in SDN e cloud zero-trust. Hook: "non chi sei, ma tutto il contesto di chi sei".

• ACL — Access Control List — lista di regole che definiscono chi puo' fare cosa su una risorsa. Usata da firewall (Rule-BAC) e filesystem (DAC/NTFS). Ogni voce e' un ACE.

• ACE — Access Control Entry — singola riga dentro una DACL che definisce i permessi di un utente o gruppo su un oggetto. Es: "Homer — Full Control" e' un ACE. Analogia Linux: ogni ACE e' come una singola riga di permesso in chmod — ma piu' granulare perche' puoi averne una diversa per ogni utente invece delle tre categorie fisse (owner/group/others).

• DACL — Discretionary Access Control List — la lista delle ACE associata a un oggetto NTFS. Determina chi puo' leggere, scrivere, eseguire o avere Full Control su quel file o cartella.

• SID — Security Identifier — identificatore numerico univoco di un utente o gruppo in Windows AD. Formato: S-1-5-21-399187189-223218. Analogia Linux: equivalente del UID (uid=1000). Il sistema usa il SID internamente, non il nome account — rinominare un utente non cambia il SID, esattamente come su Linux rinominare un utente non cambia il suo UID e quindi non cambia i permessi sui file.

Biometria

#

• FAR — False Acceptance Rate — percentuale di volte che il sistema biometrico accetta un NON autorizzato. Alto FAR = sistema permissivo = pericoloso. Hook: "Falso Allarme Verde".

• FRR — False Rejection Rate — percentuale di volte che il sistema rifiuta un utente AUTORIZZATO. Alto FRR = sistema rigido = scocciatura per gli utenti legittimi. Hook: "Falso Allarme Rosso".

• CER — Crossover Error Rate — il punto in cui FAR = FRR. Piu' basso e' il CER, piu' accurato e' il sistema biometrico. E' la metrica principale per confrontare sistemi biometrici. Hook: "CER basso = campione del mondo".

Federation e Protocolli

#

• IdP — Identity Provider — entita' che crea, mantiene e gestisce le identita' degli utenti ed emette assertion di autenticazione. Es: la centrale nucleare di Homer nel contesto SAML, o Google/Okta/Azure AD nel mondo reale.

• SP — Service Provider — il servizio o applicazione a cui l'utente vuole accedere. Si fida dell'IdP per verificare l'identita' dell'utente senza gestire direttamente le credenziali. Es: la scuola di Springfield nel contesto SAML.

• SAML — Security Assertion Markup Language — standard XML per SSO su web browser. Scambia assertion di autenticazione e autorizzazione tra organizzazioni diverse (IdP e SP). Hook: "SAML = SSO per il web tra organizzazioni diverse". Exam trap: SAML usa XML, OAuth usa JSON/token.

• OAuth — Open Authorization — standard per l'AUTHORIZATION (non authentication). Permette a un'app di accedere a risorse di un altro servizio per conto dell'utente senza condividere le credenziali. Exam trap: "Auth" in OAuth = Authorization, non Authentication.

• LDAP — Lightweight Directory Access Protocol — protocollo (non un linguaggio di programmazione) per interrogare e modificare servizi di directory come Active Directory. Un protocollo definisce le regole di comunicazione tra due sistemi in rete — come HTTP definisce come browser e server si parlano, LDAP definisce come un client e una directory service si scambiano dati. Non si scrive codice in LDAP: si usano librerie (es. symfony/ldap in PHP) che costruiscono i messaggi secondo le sue regole. LDAPS = versione cifrata su TLS, porta 636. Exam trap: LDAP in chiaro (porta 389) trasmette credenziali non cifrate — usare sempre LDAPS.

• SDN — Software-Defined Network — architettura di rete in cui il piano di controllo e' separato dal piano dati e gestito via software. Comune in cloud. Permette policy ABAC granulari applicate dinamicamente al traffico.

Account e Accesso Privilegiato

#

• PAM — Privileged Access Management — sistema che gestisce e monitora l'accesso agli account privilegiati. Funzionalita': just-in-time permissions, password vault (l'admin non vede la password), auto-rotation, full logging. Hook: "PAM = custode delle chiavi dei super-admin".

• GPO — Group Policy Object — oggetto in Active Directory che contiene policy di configurazione distribuite automaticamente a utenti e computer del dominio. Esempi: blocco USB, screensaver con password, configurazione firewall. Hook: le "circolari" che il DC manda a tutti i PC del dominio.

• NTFS — New Technology File System — filesystem di Windows introdotto con Windows NT (1993). "NT" = New Technology, il nome del progetto Microsoft che sostituì il vecchio kernel DOS. Solo NTFS supporta permessi per utente (DACL, ACE, SID) — FAT32 e exFAT non li supportano. Analogia Linux: NTFS sta a Windows come ext4 + chmod/chown sta a Linux. Exam trap: quando una domanda parla di permessi file su Windows, il filesystem sottostante e' sempre NTFS.

Segnaposto — Cap 5 (Encryption e PKI)

#

• TPM — Trusted Platform Module — chip fisico sulla scheda madre del PC che gestisce chiavi crittografiche, misura l'integrita' del boot e protegge credenziali. NON e' un metodo MFA per l'utente. Approfondimento: Cap 5 Gibson.

• HSM — Hardware Security Module — dispositivo fisico aziendale (rack o USB) per generare, proteggere e gestire chiavi crittografiche su larga scala. Piu' potente e costoso del TPM — usato in banche, CA, ambienti enterprise. NON e' un metodo MFA per l'utente. Approfondimento: Cap 5 Gibson.

• RADIUS — Remote Authentication Dial-In User Service — protocollo di autenticazione centralizzata per l'accesso alla rete: VPN, Wi-Fi aziendale, switch, router. Il server RADIUS verifica le credenziali e autorizza l'accesso alla rete. Non e' per applicazioni web o federation tra organizzazioni. Approfondimento: Cap 3-4 Gibson.

• IEEE 802.1X — standard per il controllo degli accessi basato su porta (port-based NAC). IEEE e' solo il nome dell'ente che ha pubblicato lo standard (Institute of Electrical and Electronics Engineers) — come "ISO" in ISO 27001. In pratica tutti dicono "802.1X" senza il prefisso: sono la stessa cosa. Definisce il framework di autenticazione usato in WPA2/WPA3 Enterprise: l'AP (authenticator) passa le credenziali al RADIUS server (authentication server) che decide se concedere l'accesso.

• EAP — Extensible Authentication Protocol — framework di autenticazione che definisce come due sistemi creano una chiave di cifratura condivisa (PMK). Non e' un protocollo completo ma una struttura su cui si costruiscono metodi specifici (PEAP, EAP-TLS, ecc.). Gibson: "A key point to remember for each EAP method is if they support or require certificates." — e' la domanda chiave dell'esame.

• EAPOL — EAP over LAN — incapsulamento di EAP usato direttamente su reti locali (Ethernet o wireless) senza IP. I 4 messaggi del WPA2 4-way handshake sono frame EAPOL. Il client (supplicant) e l'AP (authenticator) si scambiano EAPOL per derivare le chiavi di sessione prima che inizi il traffico cifrato.

• PMK — Pairwise Master Key — chiave "master" derivata dalla passphrase WPA2-PSK (o dal processo 802.1X/EAP in Enterprise mode). Non viene mai usata direttamente per cifrare il traffico — serve come input per generare la PTK tramite il 4-way handshake. Unica per ogni coppia client-AP. Hook: Master = genitore. La PMK genera la PTK, non cifra direttamente.

• PTK — Pairwise Transient Key — chiave di sessione effimera derivata durante il 4-way handshake da: PMK + ANonce + SNonce + MAC client + MAC AP. Usata da CCMP/AES per cifrare il traffico unicast tra client e AP. Diversa per ogni sessione anche se la passphrase non cambia. Distrutta alla fine della sessione. Exam trap: catturare il 4-way handshake non rivela la PTK — permette solo di verificare guess sulla passphrase offline. Hook: Transient = temporanea. Nasce e muore con la sessione.

• GTK — Group Temporal Key — chiave separata usata per cifrare il traffico broadcast e multicast (pacchetti inviati a tutti i client contemporaneamente). Trasmessa nel messaggio M3 del 4-way handshake, cifrata con la PTK. Condivisa tra tutti i client associati allo stesso AP — per questo non può essere usata per il traffico unicast (un client potrebbe decifrare il traffico degli altri). Hook: Group = condivisa dal gruppo. PTK è privata, GTK è di tutti.

• ANonce / SNonce — Authenticator Nonce / Supplicant Nonce. Numeri casuali usa-e-getta (number used once) generati rispettivamente dall'AP (M1) e dal client (M2) durante il 4-way handshake. Combinati con PMK e MAC address per derivare la PTK. Garantiscono che la PTK sia unica per ogni sessione anche se la PMK rimane la stessa. Hook: Nonce = numero usato una volta sola. Se venisse riusato, la PTK sarebbe prevedibile (→ attacco KRACK).

• MIC — Message Integrity Code — firma crittografica allegata ai messaggi M2 e M3 del 4-way handshake. Dimostra che chi ha inviato il messaggio conosce la PMK (e quindi la passphrase), senza rivelarla. L'attacco WPA2-PSK offline funziona provando passphrase → calcolando PMK → calcolando PTK → verificando se il MIC combacia.

• PEAP — Protected EAP — incapsula EAP in un tunnel TLS. Richiede certificato solo sul server (non sul client). Caso reale: ufficio Windows con Active Directory — il laptop usa username/password AD, solo il server RADIUS ha il certificato. Implementazione comune: MS-CHAPv2.

• EAP-TLS — variante EAP piu' sicura: richiede certificati sia sul server che sul client. Caso reale: banca o governo con PKI interna — l'azienda emette un certificato al device dell'utente. Entrambi si autenticano con cert.

• EAP-TTLS — EAP Tunneled TLS — come EAP-TLS ma il certificato e' richiesto solo sul server, non sul client. Permette protocolli legacy (PAP) dentro il tunnel TLS. Ambienti misti Linux/Windows.

• EAP-FAST — EAP Flexible Authentication via Secure Tunneling — progettato da Cisco come sostituto di LEAP. Usa PAC (Protected Access Credential) invece di certificati. Specifico per ambienti Cisco.

  Metodo	Cert server	Cert client	Hook
  PEAP	Sì	No	Password AD, solo server ha cert
  EAP-TLS	Sì	Sì	Entrambi hanno cert — massima sicurezza
  EAP-TTLS	Sì	No	Come TLS ma legacy dentro il tunnel
  EAP-FAST	No (PAC)	No (PAC)	Cisco, niente cert

Kerberos

#

• KDC — Key Distribution Center — il componente di Active Directory che implementa Kerberos. Emette i ticket di autenticazione. Sul Domain Controller ci sono due parti: AS (Authentication Service) che emette il TGT, e TGS (Ticket Granting Service) che emette i Service Ticket.

• TGT — Ticket Granting Ticket — il "master ticket" emesso dal KDC dopo il primo login. Valido circa 10 ore. Presentato al KDC per ottenere Service Ticket senza reinserire la password. Non contiene la password — contiene una chiave di sessione cifrata e il PAC.

• PAC — Privileged Attribute Certificate — struttura dati dentro il ticket Kerberos che contiene: SID dell'utente, gruppi di appartenenza, diritti e restrizioni. La risorsa legge il PAC e sa gia' cosa puo' fare l'utente senza fare query aggiuntive al DC.

Wireless e NAC

#

• Rogue device — dispositivo non autorizzato collegato alla rete aziendale, non gestito dall'IT. Esempi: laptop personale portato da un dipendente, Raspberry Pi nascosto dietro una scrivania, switch non autorizzato collegato a una presa libera. 802.1X blocca i rogue device tenendo la porta in stato "unauthorized" finché non c'è autenticazione valida. Hook: "rogue" = fuorilegge — un device che non dovrebbe essere lì.

• Wall jack / RJ-45 port — presa RJ-45 fisica nel muro di un ufficio, collegata a una porta dello switch di rete. Con 802.1X, ogni wall jack è una porta controllata: chiunque si colleghi deve autenticarsi prima che la porta venga aperta. Senza 802.1X, chiunque raggiunga fisicamente una presa può connettersi alla rete. Caso reale: un visitatore o attaccante trova una presa RJ-45 libera in una sala riunioni e collega un laptop rogue. 802.1X blocca la connessione; senza 802.1X ha accesso immediato alla rete interna.

• Captive portal — pagina web di login che intercetta il traffico di un client prima di dargli accesso alla rete. Il gateway blocca tutto il traffico tranne porta 80/443 verso il server del captive portal; l'utente viene reindirizzato al login. Dopo l'autenticazione o accettazione dei ToS, il gateway sblocca il traffico per quell'IP/MAC. Tool: pfSense (built-in), OpenWRT con nodogsplash, soluzioni cloud (Cisco Meraki, Aruba Clearpass). Caso reale: WiFi di hotel, aeroporti, caffè — l'utente si connette, apre il browser, viene reindirizzato alla pagina dell'hotel con codice stanza o email. Hook: il browser è "catturato" (captive) e non può uscire finché non fa login.

• Rogue Access Point (Rogue AP) — AP installato nella rete aziendale senza autorizzazione, da un dipendente o da un attaccante. Si collega fisicamente a una presa RJ-45 libera (wall jack) in un armadio di rete o sala riunioni. Funge da bridge tra wired e wireless: cattura il traffico della rete cablata e lo ritrasmette wireless (l'attaccante nel parcheggio riceve tutto), oppure permette all'attaccante di accedere alla rete interna da remoto. Tool: qualsiasi AP economico (TP-Link, Raspberry Pi con hostapd). Hook: "rogue" = infiltrato fisico nella rete.

• Evil Twin — Rogue AP con lo stesso SSID (o simile) di un AP legittimo. I client ignari si connettono pensando sia il WiFi del bar/aeroporto. L'attaccante fa da proxy trasparente: la vittima naviga normalmente ma tutto il traffico HTTP passa in chiaro davanti all'attaccante. Non richiede hardware speciale — basta un laptop con scheda wireless e hostapd. Tool: hostapd, airbase-ng, WiFi Pumpkin. Hook: il gemello cattivo ha la stessa faccia (SSID) ma intenti diversi.

• Disassociation attack — Attacco che disconnette forzatamente un client wireless inviando un disassociation frame con il MAC spoofato della vittima all'AP. In 802.11 pre-WPA3, i management frame non sono autenticati: l'AP accetta il frame senza verificarne l'origine. La vittima viene disconnessa e deve riautenticarsi. Usato come DoS o per forzare la riconnessione (es. per catturare l'handshake WPA2). Tool: aireplay-ng (--deauth), mdk4. Protezione: WPA3 con Management Frame Protection (MFP) firma i management frame. Hook: qualcuno manda un "ciao, mi disconnetto" firmato con il tuo nome — l'AP ci crede.

• Jamming — Attacco DoS wireless che trasmette rumore radio (o segnale forte) sulla stessa frequenza della rete WiFi, rendendo illeggibili i pacchetti. Opera al Layer 1 (fisico). Non ruba dati — blocca il servizio. Analogia: urlare in una stanza dove altri cercano di parlare. Hook: come far crashare un segnale radio con il rumore — non serve hackerare, basta sovrastare.

• NFC (Near Field Communication) — Standard wireless a cortissimo raggio (~4 cm, 13.56 MHz). Sottoinsieme di RFID. Bidirezionale. Usato in: pagamenti contactless (carte, Apple Pay, Google Pay), pairing Bluetooth, condivisione dati. Attacco tipico: eavesdropping con antenna potenziata per catturare dati della transazione in spazi affollati. Carte moderne usano token one-time — il numero reale non viene trasmesso. Hook: "near" = vicinissimo. Se l'attaccante deve stare a 4 cm da te, è difficile ma non impossibile in metropolitana.

• RFID (Radio-Frequency Identification) — Tecnologia che usa onde radio per identificare oggetti tramite tag. Range e frequenza variano molto (125 kHz per microchip animali, 13.56 MHz per badge accesso, 900 MHz+ per container). Tag passivi: nessuna batteria, si alimentano dal campo RF del reader. Tag attivi: hanno batteria, range maggiore, possono iniziare la comunicazione (es. Telepass). NFC è un sottoinsieme di RFID. Attacchi: sniffing, cloning (copia il tag), DoS (jamming della frequenza). Caso reale: badge HID usati in milioni di uffici trasmettono ID in chiaro — clonabili con hardware da $50 in meno di 1 secondo di prossimità.

• PAN (Personal Area Network) — Rete di device attorno a una singola persona, tipicamente entro 10 metri. Tecnologie: Bluetooth (cuffie, mouse, tastiera), NFC (pagamenti), ZigBee (IoT). Diverso da LAN (rete locale aziendale/casalinga) per scope e distanza.

• Bluejacking — Invio non richiesto di messaggi (testo, immagini, suoni) a device Bluetooth vicini. Non ruba dati — è fastidioso ma relativamente innocuo. Sfrutta Discovery mode per trovare device raggiungibili. Hook: "jack" = prendere di sorpresa. Qualcuno ti manda un messaggio senza che tu lo aspetti.

• Bluesnarfing — Accesso non autorizzato ai dati di un device Bluetooth: rubrica, email, calendario, SMS. Sfrutta vulnerabilità nel protocollo di pairing di Bluetooth pre-moderno per accedere senza conferma utente. Hook: "snarf" = arraffare, prendere di nascosto. Più grave di bluejacking — ruba dati reali.

• Bluebugging — Va oltre bluesnarfing: accede al device + installa backdoor. L'attaccante può far chiamare il telefono per ascoltare conversazioni nella stanza, intercettare chiamate, abilitare call forwarding, inviare SMS. Il device diventa un microfono remoto. Hook: "bug" = microspie. Il telefono buggato lavora per l'attaccante.

• War driving — Tecnica di ricognizione: guidare (o camminare, volare con drone) raccogliendo dati su reti WiFi visibili: SSID, MAC dell'AP, tipo di cifratura, potenza segnale, coordinate GPS. Usato sia dagli attaccanti (per trovare reti vulnerabili) sia dagli amministratori (wireless audit). Non è illegale il semplice rilevamento; catturare il traffico lo è. Tool: Kismet, NetStumbler, Wigle.net (database globale di reti rilevate).

Autenticazione e Crittografia

#

• PKI — Public Key Infrastructure (infrastruttura a chiave pubblica): il sistema completo di tecnologie, processi e policy che gestisce la creazione, distribuzione, revoca e verifica dei certificati digitali. Non e' un singolo prodotto — e' un'infrastruttura. I componenti chiave:

  • CA (Certificate Authority): l'ente che emette e firma i certificati (es. DigiCert, Let's Encrypt, o una CA interna aziendale)
  • Certificato digitale: file che associa una chiave pubblica a un'identita' (sito web, persona, azienda), firmato dalla CA per garantirne l'autenticita'
  • CRL / OCSP: meccanismi per revocare certificati compromessi prima della loro scadenza Tool esempio: OpenSSL (genera chiavi e certificati), Windows Certificate Services (CA interna), Let's Encrypt (CA pubblica gratuita). Caso reale: quando accedi a https://banca.it, il tuo browser verifica che il certificato del sito sia firmato da una CA fidata — e' la PKI che rende TLS possibile. Senza PKI, non potresti verificare che stai parlando davvero con la banca e non con un MITM. Hook mnemonico: PKI = "il sistema dei passaporti digitali". La CA e' il governo che emette il passaporto (certificato), tu sei il controllo frontiera che lo verifica. Exam tip: PKI non e' solo HTTPS — si usa anche per firmare email (S/MIME), autenticare dispositivi di rete, firmare codice (code signing) e per le smart card aziendali.

• MITM (Man In The Middle): Interposizione di un attaccante tra client e server — intercetta, legge e può modificare il traffico senza che nessuno dei due se ne accorga. Tool: Ettercap, Bettercap (ARP poisoning + SSL stripping), mitmproxy. Caso reale: su Wi-Fi pubblici non cifrati, un MITM passivo può catturare tutto il traffico HTTP. Fu il motivo principale del push globale verso HTTPS — l'iniziativa "HTTPS Everywhere" di EFF (2010) nacque proprio per rendere il MITM inutile sul web. Hook: stai parlando con la banca, ma in realtà parli con l'attaccante che gira i messaggi. TLS previene il MITM — per questo il lucchetto verde nel browser conta.

• TOFU (Trust On First Use): Meccanismo SSH per cui la chiave pubblica di un host sconosciuto viene accettata alla prima connessione senza verifica esterna — e salvata in ~/.ssh/known_hosts. Rischio: se la prima connessione avviene già durante un MITM, la chiave salvata è quella dell'attaccante. Hook: "fidati una volta, verifica poi". Le connessioni successive usano la chiave salvata — se cambia, SSH avvisa con un warning rosso. Non ignorarlo.

VPN e Accesso Remoto

#

• VPN — Virtual Private Network — tunnel cifrato attraverso Internet che permette l'accesso a una rete privata come se si fosse fisicamente connessi. Flusso: connessione ISP → connessione al VPN server (screened subnet) → autenticazione (RADIUS) → tunnel stabilito → traffico privato nel tunnel. Tool: OpenVPN, WireGuard, IPsec, L2TP, Cisco AnyConnect. Hook: come un tubo invisibile dentro Internet — dall'esterno si vede solo traffico cifrato, dentro c'è la rete privata.

• VPN Concentrator — dispositivo dedicato per VPN in organizzazioni grandi. Include cifratura forte, autenticazione, supporto di centinaia/migliaia di client. Si posiziona nella screened subnet (DMZ). Alternativa scalabile rispetto a un server generico con ruolo VPN. Hook: "concentratore" — aggrega molte connessioni VPN su un solo punto dedicato.

• LDAP — Lightweight Directory Access Protocol — protocollo per accedere e interrogare directory di utenti (es. Active Directory). Backend dove vivono gli account utente e le password. RADIUS gli delega la verifica delle credenziali durante l'autenticazione VPN/802.1X. In ambienti Microsoft il server LDAP è il Domain Controller (AD DS). Porta: 389 (plaintext), 636 (LDAPS — cifrato). Hook: LDAP è la rubrica telefonica degli utenti — RADIUS la consulta per verificare chi sei.

• AAA — Authentication, Authorization, Accounting — triade dei servizi di controllo accessi di rete. Authentication: chi sei (verifica identità). Authorization: cosa puoi fare (permessi, VLAN, policy). Accounting: cosa hai fatto (log, durata sessione, traffico). RADIUS implementa tutti e tre. Hook: le tre A — autenticami, autorizzami, registra cosa faccio.

• IPsec — Internet Protocol Security — suite di protocolli che cifra e autentica i pacchetti IP. Opera a Layer 3. Due modalità: Tunnel Mode (cifra tutto il pacchetto incluso header — usato nelle VPN) e Transport Mode (cifra solo il payload — usato host-to-host in rete privata). Due sotto-protocolli: AH (autenticazione/integrità) e ESP (confidenzialità + auth + integrità).

• AH — Authentication Header — sotto-protocollo IPsec che fornisce autenticazione e integrità, ma non cifratura. IP Protocol number 51 (non una porta). Garantisce che il pacchetto non sia stato alterato e provenga da chi dice di essere. Exam trap: AH non cifra — solo ESP cifra. Se la domanda chiede confidenzialità → ESP.

• ESP — Encapsulating Security Payload — sotto-protocollo IPsec che fornisce confidenzialità (cifratura), autenticazione e integrità. IP Protocol number 50. Il più usato nelle VPN IPsec perché cifra effettivamente il payload. Hook: "Encapsulating" = avvolge il payload in uno strato cifrato.

• IKE — Internet Key Exchange — protocollo IPsec per la negoziazione delle chiavi. Porta UDP 500. Autentica i due host e crea le Security Associations (SA) prima che inizi il traffico cifrato. L'unico componente IPsec che usa una porta tradizionale.

• SA — Security Association — accordo negoziato da IKE tra due host IPsec: algoritmo di cifratura da usare, chiavi, durata della sessione, parametri di integrità. Ogni SA è unidirezionale — servono due SA per una comunicazione bidirezionale.

• SSTP — Secure Socket Tunneling Protocol — protocollo VPN Microsoft che usa TLS su porta 443. Nonostante il nome contenga "SSL", usa TLS (SSL è deprecato). Vantaggio: porta 443 attraversa quasi tutti i firewall e NAT senza configurazione. Alternativa a IPsec quando il NAT rompe ESP. Hook: nome dice SSL, funziona con TLS. Porta 443 = passa ovunque come HTTPS.

• NAC — Network Access Control — sistema di controllo accessi alla rete che ispeziona la "salute" del client (antivirus aggiornato, patch OS correnti, firewall attivo) prima di autorizzare la connessione. I client che non soddisfano i requisiti vengono inviati a una remediation network (quarantena) con risorse per rimettersi a posto. Si applica sia ai client VPN che ai client interni. Usa health agent (permanenti, dissolvibili o agentless) per raccogliere il statement of health. Prodotti: Cisco ISE, Aruba ClearPass, Microsoft NPS+NAP. Exam trap: NAC agent dissolvibile ≠ agentless — i vendor li chiamano entrambi "agentless" ma sono diversi. Hook: medico che fa la visita prima di farti entrare in ospedale — se sei malato vai in quarantena.

• Remediation Network (quarantine network) — segmento di rete isolato dove NAC manda i client che non soddisfano i requisiti di salute. Contiene solo le risorse necessarie per rimettersi a posto: server con patch approvate, antivirus aggiornato, virus signature correnti. Il client si aggiorna e poi riprova l'accesso normale.

• Statement of Health — documento generato dall'health agent NAC che riporta lo stato del client: versione antivirus, patch installate, stato firewall. Viene inviato al NAC server per la valutazione.

• Site-to-Site VPN — modello VPN in cui due VPN server/gateway creano un tunnel tra due reti geograficamente separate. Gli utenti non devono fare nulla — il tunnel è trasparente. Contrasto con remote access VPN (host-to-gateway): in quel caso è l'utente finale a iniziare la connessione. Caso tipico: HQ ↔ sede remota connesse tramite due VPN gateway. Hook: gateway-to-gateway = trasparente agli utenti. Host-to-gateway = l'utente avvia.

• Always-On VPN — VPN che mantiene il tunnel attivo continuamente, invece di connettersi on-demand. In site-to-site: i gateway mantengono il tunnel 24/7. In direct access: il dispositivo si connette automaticamente alla VPN aziendale non appena ha Internet — anche su Wi-Fi pubblici. Garantisce che tutto il traffico passi sempre sotto il controllo aziendale (UTM, URL filter). Exam trap: always-on e on-demand si applicano sia a site-to-site che a remote access.

• L2TP — Layer 2 Tunneling Protocol — protocollo di tunneling che opera a Layer 2. Non fornisce cifratura da solo — crea solo il tunnel (il "tubo"). Per le VPN sicure viene sempre abbinato a IPsec: L2TP/IPsec. L2TP trasporta, IPsec cifra. Come TCP è il trasporto e TLS è la cifratura. Versione corrente: L2TPv3. Exam trap: L2TP da solo = nessuna cifratura. Se la domanda chiede "quale tunneling protocol non cifra?" → L2TP.

• HTML5 VPN Portal — accesso VPN via browser web, senza client VPN installato. Usa TLS (HTTPS) per la cifratura. Resource-intensive sul server — non scalabile per tutta l'organizzazione. Usato per accesso occasionale/limitato (es. consulenti che accedono a una sola risorsa). Alternativa leggera per utenti che non possono installare software. Hook: VPN nel browser — comodo per pochi, lento per tutti.

• PAP — Password Authentication Protocol — protocollo di autenticazione usato con PPP (Point-to-Point Protocol). Invia la password in cleartext sulla rete — vulnerabile allo sniffing. Nato per le connessioni dial-up anni '90 quando la sicurezza era un ripensamento. Oggi si usa solo come ultima risorsa. Exam trap: PAP = cleartext = sniffabile. Se la domanda chiede "quale protocollo di auth non cifra le credenziali?" → PAP.

• CHAP — Challenge Handshake Authentication Protocol — protocollo di autenticazione che usa PPP ma non invia mai la password in chiaro. Funzionamento: server invia un nonce (challenge) → client calcola hash(shared_secret + nonce) → invia solo l'hash → server verifica indipendentemente. Protegge da replay attack perché il nonce cambia ad ogni sessione. Ripete il handshake periodicamente durante la connessione. Hook: "prova che conosci il segreto senza dirmi qual è" — come HMAC.

• TACACS+ — Terminal Access Controller Access-Control System Plus — alternativa a RADIUS sviluppata da Cisco. Vantaggi su RADIUS: cifra l'intera sessione (non solo la password), usa TCP (guaranteed delivery), supporta multiple challenges durante la sessione, interagisce con Kerberos (Active Directory). Usato anche per autenticare admin su dispositivi di rete (router, switch) oltre che per VPN. Confronto chiave: RADIUS cifra solo password + UDP. TACACS+ cifra tutto + TCP. Exam trap: TACACS+ è Cisco ma non è solo per Cisco — può integrarsi con AD via Kerberos.

• Diameter — evoluzione di RADIUS, protocollo AAA completo. Usa TCP (non UDP), supporta più funzionalità. Spesso usato in reti mobile (4G/5G) e in ambienti più moderni rispetto a RADIUS classico. Come RADIUS e TACACS+, fornisce Authentication + Authorization + Accounting.

• PPP — Point-to-Point Protocol — protocollo data link per connessioni dirette tra due nodi (originariamente dial-up). Layer 2. Non fornisce cifratura — era il carrier di PAP e CHAP per l'autenticazione. Oggi usato raramente, principalmente con PPPoE (DSL) o come base per altri protocolli.

Protocolli di Rete

#

• NIC (Network Interface Card): Componente hardware che connette un dispositivo a una rete. Il termine è generico — include qualsiasi tipo di interfaccia di rete:

  • Ethernet (cablata) — eth0 su Linux
  • Wi-Fi (wireless) — wlan0 su Linux
  • Bluetooth — protocollo separato, stack diverso
  • LTE/5G (modem integrati) — wwan0 o simili
  • Fiber (SFP adapter) — Ethernet ad alta velocità su fibra ottica Tool: ip link show su Linux mostra tutte le NIC del sistema. Tool offensivo: NIC in promiscuous mode cattura tutto il traffico sul segmento, non solo quello indirizzato al proprio MAC — base tecnica di sniffer e IDS passivi. Caso reale: Wireshark richiede che la NIC sia in promiscuous mode per catturare il traffico degli altri host sul segmento. Hook mnemonico: NIC = "porta di accesso alla rete" — ogni dispositivo ha almeno una. Exam trap: nel contesto HIDS, il traffico analizzato passa attraverso la NIC dell'host — quindi un HIDS vede solo ciò che entra ed esce da quella specifica macchina, non il traffico tra altri host.

• DORA (Discover, Offer, Request, Acknowledge): Ciclo di assegnazione indirizzi IP del protocollo DHCP.

• MSS (Maximum Segment Size): Payload massimo di un segmento TCP (tipicamente 1460 bytes).

• PDU (Protocol Data Unit): Unita' di dati a un dato livello OSI. Ogni layer ha il proprio nome: Layer 4 = Segment (TCP) / Datagram (UDP), Layer 3 = Packet (IP), Layer 2 = Frame (Ethernet), Layer 1 = Bit.

• Frame: PDU del Layer 2 (Ethernet). Contiene MAC sorgente, MAC destinazione, tipo e payload (il pacchetto IP incapsulato dentro). Lo switch legge solo i MAC del frame — non guarda mai l'IP nel payload.

• STARTTLS: Comando per aggiornare una connessione in chiaro a una cifrata (TLS) sulla stessa porta.

• AS (Autonomous System): Una grande rete o gruppo di reti gestita da un'unica entità (es. Google, un ISP) con una politica di routing comune.

• ASN (Autonomous System Number): Identificativo numerico unico a livello mondiale assegnato a ogni AS per permettere l'instradamento del traffico tramite protocollo BGP.

• BGP (Border Gateway Protocol): Il protocollo di routing "delle autostrade" di Internet. Gestisce lo scambio di rotte tra diversi Autonomous Systems.

• eBGP / iBGP: L'External BGP scambia rotte tra AS diversi; l'Internal BGP scambia rotte internet all'interno dello stesso AS.

• IGP (Interior Gateway Protocol): Protocolli usati per il routing dentro una città-stato/azienda (es: OSPF, RIP). Non si usano su Internet globale.

Attori DNS

#

• Registrar: Azienda accreditata dove si acquista e registra un nome dominio (es. Namecheap, Aruba, GoDaddy). Sa che quel dominio e' tuo — niente di piu'. Non gestisce i record DNS a meno che tu non glielo dica esplicitamente.
• Authoritative Nameserver: Il server che detiene i record DNS reali di un dominio. E' l'ultima tappa della catena — risponde con l'informazione definitiva. Se compri un dominio e punti i NS record al tuo VPS, quel VPS diventa il tuo authoritative nameserver. Rilevanza attacco: nel DNS tunneling il C2 dell'attaccante e' un authoritative server — riceve tutte le query verso *.evilhacker.com.
• Recursive Resolver (o DNS Resolver): Il "postino" della risoluzione DNS. Riceve la query del client, interroga la gerarchia (root → TLD → authoritative) e restituisce la risposta. Di solito e' il DNS dell'ISP o un pubblico come 8.8.8.8. E' l'attore ignaro nel DNS tunneling: inoltra il traffico C2 senza sapere cosa trasporta.
• Root DNS Server: Vertice della gerarchia DNS. Non conosce gli IP dei domini, sa solo dove sono i nameserver TLD. Esistono 13 indirizzi root (gestiti da ICANN e organizzazioni partner), replicati in centinaia di server fisici.
• TLD Nameserver (Top-Level Domain): Gestisce un'estensione (.com, .it, .org). Sa quali nameserver sono autoritativi per ogni dominio registrato sotto quell'estensione.

Tecniche di Attacco

#

• DoS (Denial of Service): Attacco da un singolo attaccante verso un singolo target. Obiettivo: resource exhaustion — saturare CPU, memoria o banda fino a rendere il servizio irraggiungibile. Nei casi estremi: crash del sistema. Tool esempio: hping3, LOIC. Caso reale: attacchi DoS su singoli server web negli anni '90. Hook mnemonico: uno contro uno — come bloccare l'ingresso di un edificio da soli.

• DDoS (Distributed Denial of Service): Variante distribuita del DoS — da molti attaccanti (o da una botnet controllata da uno) verso un singolo target. Il volume aggregato è impossibile da filtrare per IP singolo. Indicatori: traffico NIC anormalmente alto, CPU/RAM al massimo senza carico applicativo. Nel cloud: autoscaling gonfia i costi, bandwidth billing esplode.

  • Reflected DDoS — l'attaccante spoofa l'IP sorgente (mette IP vittima), manda richieste a server terzi. I server terzi rispondono alla vittima (che non ha chiesto nulla). La vittima viene sommersa da risposte non richieste.
  • Amplified DDoS — combina reflection con protocolli che generano risposte enormi per richieste piccole: DNS (~50x), NTP monlist (~500x), Memcached (fino a 50.000x). Pochi byte mandati → megabyte diretti alla vittima. Tool esempio: Mirai botnet (2016) — abbattuto Dyn DNS rendendo irraggiungibili Twitter, Netflix, Reddit per ore. Mitigazione: rate limiting, ACL, AWS Shield, Cloudflare Magic Transit. Hook mnemonico: distributed = esercito vs un castello.

• Flood (DoS/DDoS flooding): Invio massiccio e continuo di traffico verso un target per saturarlo e renderlo non disponibile — attacco alla Availability della CIA triad. Varianti principali:

  • SYN flood — apre migliaia di connessioni TCP a metà (SYN senza ACK finale), esaurendo le risorse del server. Pattern preciso e noto → rilevato da IDS signature-based.
  • ICMP flood (ping storm) — inonda il target di pacchetti ICMP echo request.
  • UDP flood — inonda porte UDP casuali, forzando il target a rispondere con "port unreachable" fino all'esaurimento.
  • DDoS flood distribuito — stesso meccanismo ma da migliaia di IP diversi (botnet). Ogni singolo IP manda pochi pacchetti → nessuna firma per singolo IP → rilevato da IDS anomaly-based (il traffico aggregato si discosta dalla baseline). Tool: rilevato da IDS/IPS, mitigato da rate limiting, firewall ACL, DDoS protection (Cloudflare, AWS Shield). Caso reale: il SYN flood è uno degli attacchi DoS più documentati dagli anni '90 — Mirai botnet (2016) ha usato UDP/ICMP flood per abbattere Dyn DNS e rendere irraggiungibili Twitter, Netflix, Reddit per ore. Hook mnemonico: flood = alluvione di pacchetti. Il server annega e non riesce più a rispondere alle richieste legittime.

• Supply Chain: L'insieme dei fornitori, produttori, distributori e partner che contribuiscono alla creazione e consegna di un prodotto o servizio. In ambito security, è un vettore di attacco: un attaccante compromette un anello della catena (hardware, software, aggiornamenti) per raggiungere il target finale senza attaccarlo direttamente. Esempi reali: SolarWinds (aggiornamento software trojanizzato), hardware con backdoor inserite in fabbrica. Sul Security+: compare in scenari di counterfeit hardware, third-party risk e vendor management. La mitigazione principale è l'analisi della supply chain + right to audit nei contratti vendor.

• Spoofing: Falsificazione dell'identità in una comunicazione di rete. L'attaccante manipola un campo identificativo (indirizzo IP, MAC, email, numero di telefono, display name) per sembrare una fonte legittima. Non implica accesso reale all'account o al dispositivo impersonato — è solo un'etichetta falsa sul pacchetto/messaggio. Varianti comuni: IP spoofing, ARP spoofing, email spoofing (display name ≠ indirizzo reale), DNS spoofing. Sul Security+: compare spesso in scenari BEC ("executive's name in the display field") e attacchi di rete (ARP poisoning, MITM).

• Vettore di attacco: Il mezzo con cui il malware arriva sulla vittima. Esempi: phishing email con allegato, link malevolo, exploit di vulnerabilita', USB drop, supply chain compromise.

• C2 (Command and Control): infrastruttura (tipicamente uno o più server) che funge da canale di comunicazione tra il malware installato sulla vittima e l’attaccante. Consente all’attaccante di inviare comandi, ricevere risultati ed eventualmente aggiornare configurazioni o scaricare nuovi payload. Il traffico C2 può viaggiare su HTTP/S, DNS, ICMP o praticamente qualsiasi altro protocollo/servizio che permetta di instaurare un canale bidirezionale (es. reverse shell, DNS tunneling, ecc.).

  • Esempio: una macchina vittima infetta apre una connessione HTTPS verso l’IP 203.0.113.10, appartenente all’infrastruttura dell’attaccante. Da quel momento:
    • la vittima è il client compromesso;
    • l’IP 203.0.113.10 viene etichettato come server C2 dell’infostealer, perché è l’endpoint che riceve i dati rubati e da cui partono i comandi di controllo remoto.

• Beaconing: Il malware contatta il C2 a intervalli regolari (es. ogni 60 secondi) per ricevere nuovi comandi, anche quando non sta eseguendo nulla. Riconoscibile in un dfir da connessioni periodiche verso lo stesso host con payload simile.

• DNS Poisoning (DNS cache poisoning): Attacco che inietta record DNS falsi nella cache di un resolver. L'attaccante sfrutta la finestra temporale in cui il server aspetta la risposta del server autoritativo — manda una risposta falsa prima che arrivi quella vera. Scope ampio: tutti gli utenti che usano quel resolver vengono colpiti. Indicatore: l'utente digita un URL corretto ma viene portato su un sito diverso. Difesa: DNSSEC (firma crittografica dei record DNS). Hook mnemonico: avvelenare il pozzo del villaggio — tutti bevono acqua contaminata.

• Pharming: Portmanteau di "phishing" + "farming". Attacco che manipola la risoluzione DNS a livello locale — modifica il file hosts del sistema operativo (Windows: C:\Windows\System32\drivers\etc\hosts, Linux: /etc/hosts, macOS: /private/etc/hosts). Il file hosts ha priorità assoluta sul DNS: se contiene una entry per google.com, il sistema va a quell'IP senza interrogare nessun server DNS. Scope locale: colpisce solo quella macchina. Stesso indicatore del DNS poisoning (URL corretto → sito sbagliato) ma causa diversa. Difesa: protezione accesso file hosts, EDR, monitoraggio integrità file di sistema. Hook mnemonico: avvelenare il bicchiere di una sola persona — non il pozzo.

• TOCTOU (Time of Check to Time of Use): Tipo di race condition sfruttabile come attacco. Il sistema controlla i permessi su una risorsa (time of check), poi la usa (time of use) — ma tra i due momenti esiste una finestra temporale. Se l'attaccante riesce a modificare la risorsa in quella finestra (es. sostituire un file legittimo con uno malevolo via symlink), il sistema usa la versione compromessa pur avendo validato quella originale. Chiamato anche state attack. Il sistema colpito si chiama TOE (Target of Evaluation). Difesa: transazioni atomiche, locking, double-check al time of use, evitare symlink su path critici. Hook mnemonico: come prenotare un posto aereo — l'app controlla che il posto sia libero (check), ma se due persone lo selezionano nello stesso istante e non c'è un lock, entrambe lo ottengono (use).

• TOE (Target of Evaluation): Il sistema soggetto a valutazione di sicurezza o, nel contesto TOCTOU, il sistema bersaglio di un attacco di race condition. Termine usato nel contesto dei Common Criteria (standard internazionale per la certificazione della sicurezza dei prodotti IT).

• DNS Filtering: Tecnica difensiva che usa blocklist di domain name malevoli noti. Quando un client chiede l'IP di un dominio in lista, il server risponde con NXDOMAIN (dominio non esistente) o con un IP errato. Nota: non è una lista di URL completi — il DNS vede solo il dominio, non il path. Un dominio bloccato blocca tutto ciò che ci gira sotto. Usato da Cisco Umbrella, Cloudflare Gateway, firewall aziendali.

• DNS Sinkhole: Variante del DNS filtering — invece di rispondere con NXDOMAIN, il sinkhole risponde con un IP controllato dal defender. "Sinkhole" = buco del lavandino: il traffico scorre verso il buco e non arriva a destinazione. Vantaggio rispetto al semplice blocco: si può osservare chi si connette al sinkhole (identificare macchine infette), loggare il comportamento dei malware, e disarmare una botnet senza toccare i client. Caso tipico: autorità reverse-engineerano malware → trovano i domain name C2 hardcodati → coordinano con i DNS owner per redirectare quei domini verso un sinkhole → i bot continuano a "chiamare casa" ma parlano con le autorità. Hook mnemonico: lavandino tappato — l'acqua (traffico malevolo) non va nello scarico ma torna su e si accumula dove la vedi.

• DNS Tunneling: Tecnica che usa il protocollo DNS per trasportare dati C2. L'exfiltration viaggia nei sottodomini (base64 nell'URL), i comandi viaggiano nei record TXT/CNAME/NULL della risposta. Bypassa i firewall perche' UDP 53 e' quasi sempre permesso.

• RAT (Remote Access Trojan): Malware che installa una backdoor sul sistema della vittima e dà all'attaccante controllo remoto completo — shell, webcam, keylogger, download/upload file. Si installa tipicamente tramite phishing o documento malevolo. Una volta attivo, l'attaccante opera dall'interno della rete vittima. Tool esempio: njRAT, QuasarRAT, Cobalt Strike (usato sia in red team che da attaccanti). Caso reale: APT installano RAT tramite phishing per poi muoversi lateralmente — anche un sistema interno autorizzato (es. PC di Homer) può diventare punto di lancio verso reti critiche (SCADA). Hook mnemonico: RAT = "topo nel sistema" — è nascosto, silenzioso, controlla tutto dall'interno. Exam trap: non confondere RAT con un reverse shell grezzo — il RAT è persistente, si reinstalla al riavvio, e ha funzionalità complete di controllo remoto.

Email Security

#

I tre "buttafuori" dell'email — lavorano insieme per verificare che chi manda sia chi dice di essere:

• SPF (Sender Policy Framework): Record DNS che elenca gli IP autorizzati a inviare email per quel dominio. Se l'email arriva da un IP non in lista, SPF fallisce. Hook: whitelist degli IP mittenti. Facile da bypassare da solo (spoofing del display name) — serve DMARC per farlo valere.

• DKIM (DomainKeys Identified Mail): Firma crittografica nell'header dell'email. Il server mittente firma con la chiave privata, il destinatario verifica con la chiave pubblica pubblica sul DNS. Garantisce che l'email non sia stata modificata in transito. Hook: la firma notarile sull'email. Anche se l'IP è corretto (SPF ok), senza firma valida il contenuto potrebbe essere stato manomesso.

• DMARC (Domain-based Message Authentication Reporting and Conformance): Policy DNS che dice al destinatario cosa fare se SPF o DKIM falliscono — none (solo report), quarantine (spam folder), reject (blocca). Genera anche report aggregati sulle email inviate a nome del tuo dominio. Hook: il regista che decide cosa succede quando i buttafuori dicono no. Senza DMARC, SPF e DKIM falliti vengono spesso ignorati dal server ricevente.

• BEC (Business Email Compromise): Truffa via email che impersona figure aziendali (CEO, CFO, legale) per indurre trasferimenti di denaro o invio di dati sensibili. Non usa malware — pura ingegneria sociale. Caso reale: Ubiquiti Networks (2015) — truffata di 46,7M$ via BEC. Un dipendente credette di eseguire ordini del CEO e trasferì fondi su conti dell'attaccante in Asia. FBI ne recuperò solo una parte. Hook: nessun allegato, nessun malware, nessun antivirus che suona. FBI riporta che il BEC ha generato oltre 50 miliardi di dollari di perdite globali dal 2013.