Sicurezza Informatica & Cybersecurity

La sicurezza informatica è diventata una priorità sempre più urgente nel corso
degli anni.
Dalle sue umili origini negli anni '60 alla sua attuale importanza nella protezione
dei dati e delle informazioni sensibili, la storia della sicurezza informatica ha visto
molte evoluzioni e sviluppi. La continua evoluzione delle tecnologie digitali
continuerà a portare nuove sfide nella battaglia per proteggere le informazioni,
quindi rimane importante continuare a sviluppare nuovi metodi e pratiche per
proteggere le nostre reti, le nostre organizzazioni e le nostre informazioni.

2
Definizione di Cybersecurity

La Cybersecurity è l'insieme di tecniche, processi e strumenti utilizzati per
proteggere i sistemi informatici da attacchi informatici, vincere le minacce alla
sicurezza informatica e mantenere la privacy dei dati e l'integrità delle
infrastrutture informatiche. Mentre la sicurezza informatica è un termine più
ampio che si riferisce alla protezione delle tecnologie dell'informazione da
qualsiasi tipo di minaccia, sia fisica che digitale.
La Cybersecurity si concentra sulla prevenzione di attacchi cibernetici, inclusi
spyware, malware, attacker basati su phishing, hacker, virus, ransomware,
attacchi DDoS e altre minacce. L'obiettivo principale della Cybersecurity è
garantire che le informazioni e le infrastrutture importanti siano al sicuro da
coloro che vorrebbero manipolarle o comprometterle.

Le tecniche di Cybersecurity includono la crittografia, l'autenticazione, la gestione
degli accessi, la sicurezza dei dati, la gestione delle vulnerabilità e la gestione
degli incidenti. La Cybersecurity è importante per le aziende e le organizzazioni
di ogni dimensione e settore, poiché il rischio di attacchi informatici è sempre
presente. Inoltre, la Cybersecurity è diventata ancora più importante a causa
della crescente adozione del lavoro remoto e della digitalizzazione dei processi
aziendali. La mancanza di una Cybersecurity adeguata può comportare perdite
finanziarie, reputazionali e di dati, nonché interruzioni dell'operatività aziendale.

Le tecniche di Cybersecurity possono essere implementate in vari modi, a
seconda delle esigenze dell'organizzazione. La crittografia implica la
trasformazione dei dati in una forma illeggibile, in modo che solo coloro che
3
hanno la chiave per decodificarli possano accedere alle informazioni fornite.

L'autenticazione prevede la verifica dell'identità dell'utente che cerca di accedere
ai dati, mentre la gestione degli accessi si occupa della definizione delle
autorizzazioni di accesso per gli utenti.

La sicurezza dei dati consiste nella protezione dei dati dell'organizzazione da
eventuali attacchi, come il furto di dati o la violazione di cyber-criminale. La
gestione delle vulnerabilità implica l'individuazione e la risoluzione di eventuali
debolezze del sistema, mentre la gestione degli incidenti prevede la definizione
dei piani di emergenza nel caso di attacchi informatici.

In definitiva, la Cybersecurity è fondamentale in un mondo sempre più digitale e
connesso. Investire in tecniche e strumenti di Cybersecurity può essere costoso
per le aziende, ma è uno dei fattori critici per il successo dell'organizzazione. Una
gestione oculata dei rischi informatici consente alle aziende di proteggere la loro
attività, la loro reputazione e i loro dati, riducendo i potenziali guasti operativi e
finanziari.

4
1. Malware: Il malware è un software dannoso che può corrompere i file,

rubare dati sensibili e danneggiare il sistema. Alcuni esempi di malware
includono virus, worm, trojan, ransomware e spyware.

2. Phishing: Si tratta di una tecnica fraudolenta in cui un criminale usa email,
messaggi di testo o chiamate telefoniche ingannevoli per rubare informazioni
personali o finanziarie. Ad esempio, il phishing potrebbe consistere in un'email
che sembra provenire dal tuo conto bancario chiedendoti di cliccare su un link
per "verificare" il tuo account, ma in realtà ti conduce a un sito web creato per
rubare le tue credenziali di accesso.

3. Attacchi di hacking: Si tratta di attacchi informatici in cui un hacker tenta di
violare la sicurezza di un sistema informatico o di una rete. Ci sono molte
tecniche di hacking, tra cui l'ingegneria sociale, l'estrazione di password e la
vulnerabilità del sistema.

4. Attacchi di DDoS: Si tratta di una forma di attacco informatico in cui un
criminale tenta di sovraccaricare un sito web o una rete con traffico in eccesso,
rendendoli inaccessibili.

5. Vulnerabilità del software: I software sono sviluppati da esseri umani, il che
significa che possono avere bug o vulnerabilità che i criminali possono sfruttare
per accedere al sistema.

5
6. Infiltrazioni da parte interna: Le infiltrazioni da parte interna possono essere

uno dei pericoli più difficili da rilevare e prevenire. Si tratta di una situazione in cui
qualcuno all'interno di un'organizzazione (ad es. dipendente o contractor) ruba,
distrugge o divulga informazioni sensibili.

7. Cyber-spionaggio: Si tratta dello spionaggio potenzialmente da parte di un
governo o di un'organizzazione criminale che usa computer e tecnologie
informatiche per rubare informazioni strategiche, tecnologie, disegni industriali,
segreti commerciali e altre informazioni riservate.

8. Attacchi zero-day: Si tratta di attacchi informatici che sfruttano le vulnerabilità
sconosciute o scoperte da poco nei sistemi operativi o nei software di una rete o
un'applicazione.

9. Cyberstalking e Cyberbullismo: Si tratta di un'altro problema molto diffuso,
dove un individuo utilizza la rete e altri strumenti di comunicazione digitali per
molestare, intimidire, calunniare, minacciare o diffamare, ad esempio, una vittima
di una relazione abusiva che deve subire anche nel mondo digitale.

10. Furti di identità: Si tratta dello sfruttamento di informazioni personali per
ottenere un beneficio finanziario o accesso a servizi bancari, di credito o di
servizi online che richiedono autenticazione dell'identità utente. Ad esempio, il
furto di un numero di carta di credito, un documento di identità, una patente di
guida o un passaporto.
6

Ci sono molte cose che si possono fare
per difendersi dagli attacchi informatici, tra cui:

1. Utilizzare software antivirus e firewall per proteggere il computer e la rete.

2. Aggiornare costantemente il software e i sistemi operativi per evitare
vulnerabilità.

3. Non utilizzare password facilmente indovinabili e cambiare regolarmente le
password.

4. Essere attenti alle email sospette e non aprire mai allegati o link provenienti da
fonti non fidate.

5. Non fornire mai informazioni personali, come username e password, a terze
parti.

6. Limitare l'accesso alla propria rete solo a utenti autorizzati ed avere procedure
di autenticazione solide.

7. Utilizzare software di sicurezza come VPN per criptare la connessione
internet.

8. Fare regolarmente il backup dei dati importanti.

7
9. Formare gli utenti a distinguere le email phishing o le inseguire tecniche.

10. Aggiornare l'infrastruttura tecnologica con attrezzature e procedure sicure.

11. Utilizzare un sistema di autenticazione a più fattori.

12. Evitare di utilizzare reti Wi-Fi pubbliche non sicure.

13. Essere consapevoli delle vulnerabilità delle applicazioni e siti web che si
utilizzano e scegliere quelli che offrono maggiori livelli di sicurezza.

14. Utilizzare tecnologie di crittografia e sicurezza nelle comunicazioni sensibili.

15. Avere un piano di emergenza in caso di attacco informatico per minimizzare i
danni e riprendere le normali attività in modo rapido.

16. Aggiornare regolarmente il proprio software e sistema operativo per
correggere eventuali falle di sicurezza.

17. Effettuare backup frequenti dei dati per garantire una facile ripristinazione in
caso di attacco.

18. Utilizzare software antivirus e firewall per proteggere il proprio dispositivo e la
rete.

8
19. Limitare l'accesso ai dati sensibili solo a personale autorizzato, utilizzando

controlli di accesso appropriati.

20. Essere attenti alle e-mail sospette o ai messaggi di phishing, evitando di
cliccare su link o allegati.

21. Utilizzare password complesse e cambiarle regolarmente.

22. Evitare l'utilizzo di reti Wi-Fi pubbliche non protette, come quelle presenti in
luoghi pubblici come bar o stazioni.

23. Proteggere i dispositivi mobili con password o riconoscimento biometrico.

24. Utilizzare solo applicazioni e software sicuri, evitando di scaricare da fonti
non ufficiali.

25. Fare attenzione a ciò che si condivide sui social network e evitare di postare
informazioni sensibili come dettagli personali o finanziari.

26. Utilizzare l'autenticazione a due fattori ogni volta che possibile, in modo da
rendere più difficile l'accesso non autorizzato.

27. Fare attenzione alle email sospette o ai messaggi di phishing e non cliccare
su link o file allegati che sembrano sospetti.

9
28. Verificare regolarmente gli estratti conto e le operazioni bancarie per

rilevare eventuali attività sospette.

29. Non condividere password con nessuno e non utilizzare la stessa password
per più account.

30. Utilizzare un software antivirus e mantenerlo sempre aggiornato per
proteggere da eventuali minacce online.

31. Evitare di effettuare transazioni finanziarie o fornire informazioni sensibili
tramite connessioni Wi-Fi pubbliche e non protette.

32. Utilizzare solo siti web sicuri e affidabili per le transazioni online, verificando
che abbiano un certificato SSL valido.

33. Non fornire mai informazioni personali, come il numero di previdenza sociale
o il passaporto, a siti web o società non affidabili o sconosciute.

34. Utilizzare sempre gli strumenti di sicurezza offerti dal proprio dispositivo
mobile, come la crittografia dei dati o il blocco schermo.

35. Prestare attenzione alla sicurezza degli account sui social media: utilizzare
password complesse e proteggere l'account con l'autenticazione a due fattori.
Inoltre, non condividere informazioni personali che potrebbero essere utilizzate
per il furto di identità.

10
31. Evitare di effettuare transazioni finanziarie o fornire informazioni sensibili

tramite connessioni Wi-Fi pubbliche e non protette.

32. Utilizzare solo siti web sicuri e affidabili per le transazioni online, verificando
che abbiano un certificato SSL valido.

33. Non fornire mai informazioni personali, come il numero di previdenza sociale
o il passaporto, a siti web o società non affidabili o sconosciute.

34. Utilizzare sempre gli strumenti di sicurezza offerti dal proprio dispositivo
mobile, come la crittografia dei dati o il blocco schermo.

35. Prestare attenzione alla sicurezza degli account sui social media: utilizzare
password complesse e proteggere l'account con l'autenticazione a due fattori.
Inoltre, non condividere informazioni personali che potrebbero essere utilizzate
per il furto di identità.

36. Evitare di cliccare su link sospetti o provenienti da fonti non affidabili o
sconosciute, anche se il messaggio sembra legittimo.

37. Controllare regolarmente i propri account finanziari e delle carte di credito per
individuare eventuali attività sospette.

38. Non utilizzare la stessa password per più account, in modo da limitare i danni
in caso di violazione della sicurezza.

11
39. Mantenere il proprio dispositivo mobile aggiornato con le ultime patch di

sicurezza e gli aggiornamenti del sistema operativo.

40. Utilizzare un software antivirus affidabile e aggiornato per proteggere il
dispositivo mobile da virus e malware.

41. Evitare di connettersi a reti WiFi pubbliche non protette o poco sicure, in
quanto possono essere facilmente violati da hacker.

42. Utilizzare un servizio di crittografia come una VPN quando si accede a
Internet attraverso una rete pubblica, rendendo più difficile ai criminali informatici
l'intercettazione dei dati.

43. Non rispondere a mail non richieste o sospette e non fornire informazioni
personali o finanziarie su siti web non sicuri.

44. Utilizzare sempre la funzione di autenticazione a due fattori per i servizi
importanti, come gli account bancari o di posta elettronica.

45. Evitare di dare il proprio numero di telefono o indirizzo email a siti non
affidabili e non utilizzare il login con Facebook o con altri account social per
impedire la diffusione delle proprie informazioni personali.

46. Utilizzare una password complessa e unica, che contenga lettere maiuscole
e minuscole, numeri e simboli.

12
47. Non installare app da fonti non ufficiali o sospette, ma solo da negozi
online affidabili come Google Play o App Store.

48. Non lasciare dispositivi mobili incustoditi in luoghi pubblici, poiché possono
essere facilmente rubati o manipolati.

49. Non condividere informazioni personali come l'indirizzo di casa, il luogo di
lavoro, il numero di telefono o il numero di carta di credito con sconosciuti o
attraverso social media.

50. Non utilizzare software crackati o piratati, in quanto potrebbero contenere
malware o virus in grado di violare la sicurezza del dispositivo.

51. Utilizzare password complesse e cambiare regolarmente le password dei
propri account online.

52. Abilitare l'autenticazione a due fattori per i propri account online per
aumentare la sicurezza.

53. Fare attenzione a eventuali richieste di informazioni personali da parte di fonti
non attendibili.

54. Evitare di cliccare su link sospetti o provenienti da mittenti non attendibili.

55. Utilizzare solo reti Wi-Fi sicure e di cui si conosce l'affidabilità.

13
56. Disabilitare la funzione di geolocalizzazione sui propri dispositivi quando

non è necessario.

57. Non condividere informazioni personali su social media che potrebbero
rendere facile la violazione della propria privacy.

58. Utilizzare programmi antivirus e antispyware per proteggere i propri
dispositivi da eventuali minacce online.

59. Evitare di utilizzare account social o di posta elettronica pubblici per scopi
sensibili come le transazioni finanziarie o l'invio di informazioni personali.

60. Mantenere sempre aggiornati i propri sistemi operativi e applicazioni con gli
ultimi aggiornamenti e patch di sicurezza.

61. Utilizzare password sicure e complesse per tutti gli account, evitando di
utilizzare la stessa password per più di un account.

62. Attivare la verifica a due fattori per i propri account online per aumentare la
sicurezza.

63. Accedere solo ai siti web sicuri e verificare che ci sia il lucchetto verde nella
barra degli indirizzi.

64. Disattivare il Wi-Fi pubblico quando non è necessario per evitare la
connessione a reti non sicure.
14

65. Utilizzare solo software e applicazioni da fonti affidabili. Evitare di scaricare
file da siti web sospetti e di aprire allegati da persone o mittenti sconosciuti.


sicurezza.





sicurezza.

15
63. Accedere solo ai siti web sicuri e verificare che ci sia il lucchetto verde
nella barra degli indirizzi.




sicurezza.




16

sicurezza.




Attacchi informatici: attaccanti e modalità di azione
Gli attacchi informatici sono ormai una minaccia crescente per la sicurezza di
aziende, governi e cittadini. Il panorama mondiale degli ultimi anni ha
registrato un’intensificazione degli attacchi informatici, incrementati nella
loro frequenza e portata. Nonostante il problema sia ormai diffuso, risulta
ancora estremamente complesso identificare gli attaccanti e distinguere le
varie sorgenti di un attacco prima che sia troppo tardi.
Questo articolo si propone di chiarire i diversi obiettivi che possono muovere

ad un attacco informatico, distinguendo varie tipologie di attaccanti e
minacce informatiche. Acquisire una migliore comprensione delle fonti degli
17
attacchi e delle loro modalità di azione, è essenziale per tutti gli utenti, dai
governi, alle organizzazioni, agli individui. Questa analisi, infatti, permette di
ragionare sulle misure appropriate da adottare per gestire i rischi relativi alla
sicurezza informatica.
Lo scopo è quello di aiutare gli analisti ad acquisire una migliore

comprensione circa l’origine delle minacce, il movente, la tecnica d’attacco, le
informazioni contenute nella codifica del malware e il modus operandi
dell’attaccante. Tutte queste informazioni, infatti, possono rivelarsi essenziali
per l’identificazione degli autori e per capire come muoversi in caso di
attacco.
Le categorie di attaccanti informatici
La maggior parte delle statistiche disponibili pubblicamente si concentra sugli

obiettivi degli attacchi e sul modo in cui essi vengono eseguiti, mentre
vengono condotte pochissime analisi sugli autori e sulle loro motivazioni.
Questo perché è più facile osservare le conseguenze degli attacchi
informatici, piuttosto che ipotizzare le fonti di tali eventi e i loro incentivi.
La crescente frequenza e gravità degli attacchi ha reso più importante che

mai capire la fonte, poiché sapere chi ha pianificato l’attacco rende più facile
identificare i file malevoli o strutturare una risposta appropriata.
18
Le fonti di attacco informatico possono essere suddivise in tre principali

categorie: attivisti, criminali informatici e governi. La classificazione di un
evento di sicurezza informatica in una delle categorie, dipende principalmente
dalle motivazioni legate all’attacco.
Ogni attaccante ed ogni modalità di attacco possiede caratteristiche tipiche,

che possono fornirci ulteriori informazioni sulla gestione della minaccia. Nei
casi in cui l’attacco sia motivato da fattori politici, gli attori coinvolti hanno
spesso un forte interesse a nascondere il reale motivo dietro di esso e a
dirottare l’attenzione pubblica su altro. Quando invece il motivo dell’attacco è
finanziario e perpetrato dagli hacker, questi sono meno interessati a
camuffare le motivazioni all’attacco, ma estremamente decisi a nascondere le
loro tracce.
19
Tipologie di attacchi informatici ed esempi
Gli attacchi informatici diretti alle organizzazioni (governative o private) e ai

singoli cittadini, rientrano quindi sotto tre categorie principali:
1. Guerra informatica: attaccare o destabilizzare Stati, Nazioni e

Istituzioni. In molti casi, questi eventi sono veri atti di guerra, camuffati
da azioni più indirette, finalizzate a diffondere allarmi o malcontenti.
Inoltre, in questa categoria rientrano anche gli attacchi informatici
effettuati dai terroristi e finalizzati a generare panico e sconvolgimento.
2. Crimine: rubare denaro a privati, società o enti, in modo diretto o
indiretto, utilizzando metodi digitali.
3. Attivismo: protestare contro azioni intraprese dai governi, società o altri
enti; spronare verso nuovi ideali e nuovi cambiamenti sociali.
Data la diversità degli attacchi, è necessario applicare approcci diversi per

compiere il primo passo verso la difesa ed identificare gli attori dietro ad un
evento di sicurezza informatica.
Analizziamo più da vicino queste tipologie di attacchi informatici,
soffermandoci su alcuni esempi.
20
1. L’evoluzione della guerra cibernetica
Le definizioni di Guerra Informatica variano notevolmente a seconda della

cultura e della zona geografica. Alcuni paesi adottano una definizione ristretta,
riferendosi all’hacking e al danneggiamento dei sistemi, finalizzati alla
destabilizzazione di Stati, Nazioni e Istituzioni. Altri la considerano parte di
un sistema più ampio che include non solo l’hacking, ma anche la
disinformazione e la falsa propaganda.
Tra gli esempi di eventi di sicurezza informatica che rientrano nella categoria
di CyberWarfare, si potrebbe citare il cosiddetto BlackEnergy del dicembre
2016. Si è trattato di un attacco malware, presumibilmente effettuato da
hacker legati al governo russo, che ha temporaneamente bloccato parte della
rete elettrica ucraina, costringendo alla chiusura di una società mineraria e di
un grande operatore ferroviario.
2. La problematica del crimine informatico
Attualmente, il termine hacker è entrato nel vocabolario comune con

accezione negativa e utilizzato per indicare i criminali informatici. In realtà,
andrebbe fatta una distinzione tra i termini Hacker e Cracker. Gli hacker sono
esperti di informatica e programmazione, contraddistinti da una cultura ed
un’etica legata all’idea del software libero. Nella loro categoria rientrano ad
esempio gli attivisti, ma anche gli informatici che lavorano nell’ambito della
sicurezza e si servono eticamente delle tecniche di hacking per individuare le
debolezze di un sistema e che vengono definiti White Hat Hacker .
Il Cracker, invece, è un pirata informatico in grado di introdursi in reti di
21
computer senza autorizzazione, allo scopo di danneggiare un sistema

informatico. Questi criminali vengono spesso identificati anche con il termine
Black Hat Hacker. Nonostante questa differenziazione tra i termini, oggi il
termine hacker si usa spesso con l’accezione negativa di “criminale”.
I crimini informatici assumono una serie di forme diverse, ma uno dei più
diffusi, riguarda il furto di informazioni identitarie e finanziarie (numeri di
carte di credito, altri dati bancari, informazioni personali private, ecc.). Questo
tipo di criminalità informatica include l’hacking di conti personali, aziendali o
anche nazionali, con la finalità di eseguire trasferimenti di denaro. Inoltre, i
Cracker usano queste informazioni personali e bancarie non solo per
impossessarsi di denaro altrui, ma anche per aprire falsi conti bancari,
richiedere prestiti o mutui, ecc.
Un esempio potrebbe essere l’attacco perpetrato nel luglio 2017 contro

UniCredit, in cui da 400.000 account sono stati rubati dati biografici e di
prestito dei clienti.
3. Il CyberActivism
L’attivismo informatico include tutti gli eventi di protesta ad azioni perpetrate

da governi, società o altre organizzazioni e tutte le azioni che spronano verso
nuovi ideali e nuovi cambiamenti sociali. La maggior parte degli attacchi
eseguiti da questa categoria, vengono perpetrati utilizzando ciò viene definito
come Distributed Denial of Service (DDoS). Questo attacco implica l’utilizzo di
un insieme di computer/dispositivi, precedentemente dirottati per dirigere
traffico verso un singolo sito web di destinazione. Lo scopo è quello di
22
saturare la rete o bloccare le capacità computazionali del target, rendendo

il sito web non raggiungibile.
In casi meno frequenti, l’hacktivism viene perpetrato con attacchi di

defacement con cui deturpano siti web o pubblicando informazioni private su
siti pubblici. L’attacco procede hackerando l’infrastruttura di hosting dei siti
web pubblici e caricando contenuti diversi dai soliti o pubblicando
informazioni private. Esistono diverse linee di azione che per mettono di
acquisire tali informazioni, compreso l’utilizzo di tecniche di social
engineering.
Esempi recenti includono il movimento indipendentista catalano che nel 2017

ha preso di mira i siti web gestiti dal Ministero Spagnolo dei Lavori Pubblici e
dei Trasporti. Gli attivisti hanno deturpato alcuni siti per fare spazio allo
slogan “Catalogna libera” e ne hanno bombardati altri con attacchi DDoS.
Nell’anno precedente, in Thailandia, un gruppo di attivisti informatici ha
lanciato attacchi DDoS a diversi siti web del governo thailandese, per
protestare contro le leggi che consentirebbero al governo di censurare i siti
web ed intercettare comunicazioni private senza ordine del tribunale.
23
Il problema dell’attribuzione
Molte delle difficoltà che insorgono durante la classificazione di un evento di

sicurezza informatica, sono collegate al fatto che gli aggressori si impegnano
a nascondere la propria vera identità, per evitare condanne o scomode
ritorsioni, come nel caso dei governi e dei criminali informatici.
Una problematica fondamentale in Cybersecurity e Digital Forensics è che,

dopo l’attacco informatico, risulta estremamente difficile identificare l’autore.
Gli hacker hanno a disposizione innumerevoli strumenti tecnici per coprire le
loro tracce e persino quando gli analisti sono in grado di identificare l’origine
24
di un attacco, questo non significa automaticamente che siano in grado di

indicarne anche l’autore.
Questo problema è noto come “attribution problem”. Il crescente numero di

attacchi informatici degli ultimi anni, ha fatto sì che aumentasse l’attenzione
dedicata alle difficoltà di identificazione dei reali responsabili di un attacco e
delle cause.
Chiaramente, ci sono casi nella Digital Forensics in cui è impossibile giungere

ad una conclusione chiara, data la scarsa quantità di informazioni disponibili.
Tuttavia, l’esperienza suggerisce che nella maggior parte dei casi, si può
trovare un’attribuzione relativamente certa sulla base delle informazioni
disponibili, anche se risulta sempre difficile averne la totale certezza. In certi
casi poi, un accesso parziale alle prove rende difficile poter valutare le
attribuzioni.
Il presidente Trump nel dicembre 2016 ha citato il problema dell’attribuzione,

riferendosi alle voci relative all’hacking politico presunto durante la campagna
presidenziale. Parlando con FOX News, ha affermato: “Una volta che
hackerano, se non li cogli sul fatto, non c’è modo di incastrarli. [Le agenzie di
intelligence americane] non hanno idea se sia colpa della Russia, della Cina o di
qualcun’altro. Potrebbe essere qualcuno seduto in un letto da qualche parte. Io
non penso davvero che sia il governo russo, ma chissà? Non lo sanno loro e
non lo so io”.
25
Come tracciare l’origine degli attacchi informatici
Per tracciare l’origine di un crimine informatico e classificarlo correttamente,

gli attacchi informatici devono essere analizzati da differenti di punti di vista.
Le analisi comprendono:
1. Motivazione:
Indagare su quale possa essere per l’attaccante l’incentivo che lo
sprona ad eseguire l’attacco. Una volta identificato, è importante
convalidare l’ipotesi, valutando se l’attività possa effettivamente
corrispondere allo specifico incentivo.
2. Origine tecnica:
Include informazioni come la posizione dei dispositivi utilizzati,
qualsiasi command-and-controll-IPaddress, indirizzo email o altri canali
richiesti per il pagamento del riscatto.
3. Informazioni incluse in data files, codici binari e script:
Applicabile solo in casi in cui venga utilizzato un malware exploit
specifico o personalizzato. Queste informazioni possono includere il
compilatore utilizzato, le librerie ed altre informazioni tecniche. Gli script
di solito forniscono più dati, poiché possono includere commenti e altre
informazioni sul linguaggio usato dall’attaccante (inclusi dialetti e
slang). L’analisi dello stile di programmazione degli script potrebbe
aiutare a capire se lo script sia stato prodotto da un programmatore
noto. Inoltre, i nomi dei file possono fornire informazioni rivelatrici (dal
26
linguaggio naturalmente utilizzato dall’attaccante, spesso dipende lo

stile di scrittura come programmatore).
4. Modus operandi:
Questa analisi include la valutazione di:

– Ore in cui l’hacker è attivo, per fare inferenze sulla sua posizione.
– Commenti allo script che, se disponibili, possono fornire informazioni
sulla lingua o addirittura sullo slang usato dall’aggressore.
– Tattiche malware, che se risultano simili a quelle utilizzate da un
attore noto, potrebbero indicare un coinvolgimento dello stesso
nell’attacco.
A volte è possibile identificare gli attaccanti analizzando accuratamente la

combinazione di tattiche, l’utilizzo del malware e gli obiettivi. Inoltre, le
27
vulnerabilità di solito seguono dei modelli d’azione: un gruppo di hacker

può concentrarsi sullo sfruttamento delle vulnerabilità dei file di font; mentre
un altro potrebbe preferire lo sfruttamento delle vulnerabilità di diverse
tecnologie, come ad esempio Adobe Flash.
Detto questo, bisogna comunque rimanere critici e considerare che, in molti

casi, le informazioni che possono essere contraffatte dagli Stati o dai
criminali stessi, al fine di coprire le proprie tracce e spostare le ipotesi di
colpevolezza su altri attori.
La catena di approvvigionamento degli attacchi informatici è complessa e le

informazioni che un investigatore può raccogliere dai file e dalle
comunicazioni utilizzate possono essere fuorvianti. In questi casi per evitare
errori di attribuzione, è importante identificare e trattare i singoli elementi
dell’attacco tenendo in considerazione che la loro origine potrebbe essere di
differente natura.
La lotta contro gli attacchi informatici si intensificherà sempre di più,

arrivando a triplicare il numero di posti di lavoro in questo settore. Già
attualmente, la domanda di persone con competenze in ambito di sicurezza
informatica supera l’offerta.
Negli ultimi anni si è sviluppato un mercato nero in cui gli hacker offrono i
loro servizi, facendosi pagare per perpetrare attacchi informatici. In questo
mercato, disponibile sul Dark Web, attori diversi vendono servizi o strumenti
software necessari per eseguire un attacco informatico. Questi includono ad
esempio: compravendita di e-mail aziendali, credenziali, carte di credito,
28
exploit, vulnerabilità zero-day, malware e kit di phishing progettati per

fornire un’interfaccia user friendly per personalizzare e inoculare i malware o
eseguire una campagna di phishing.
La natura delle minacce sta cambiando rapidamente e allo stesso modo i

principali attori informatici cambiano le loro tecniche e strategie. Questo
rende ancora più importante capire la fonte del rischio e i modi in cui può
verificarsi un attacco informatico.
Virus e Antivirus: come difendersi dalle minacce informatiche
A volte, la distinzione tra i diversi tipi di attacchi informatici può non essere
sempre netta. La loro classificazione, infatti, dipende anche dall’hacker che li
struttura e dagli aspetti che si considerano prioritari. Tuttavia, capire il
funzionamento delle principali minacce informatiche e degli strumenti di
difesa, aiuta ad implementare la sicurezza di un sistema informatico. In
questo articolo analizzeremo tre tipi di malware, i principali accorgimenti da
adottare per difendersi dai virus e le caratteristiche degli antivirus e i loro
limiti.
29
Virus, Worms e Trojan
Un virus informatico è un programma che si diffonde infettando file o aree del

sistema ospite. Una volta all’interno del sistema, i virus si moltiplicano
eseguendo copie di sé stessi. Alcuni virus sono progettati per danneggiare
deliberatamente i file, altri possono semplicemente diffondersi da un
computer ad un altro. Questi malware generalmente richiedono interazione da
parte dell’utente per attivarsi, ad esempio l’apertura di un allegato di posta
elettronica o la visita di una pagina web dannosa.
Un worm è un tipo di virus che può diffondersi senza interazione umana. I

worm spesso si diffondono da un computer all’altro e occupano memoria
preziosa e larghezza di banda di rete, causando un blocco del dispositivo. I
worm possono anche consentire agli aggressori di accedere ad un device da
remoto.
Un Cavallo di Troia è un malware che nasconde un virus o altri programmi

potenzialmente dannosi. Generalmente i Trojan Horses fingono di eseguire
azioni funzionali, quando in realtà stanno agendo in modo da danneggiare il
pc. I Trojan si trovano soprattutto in software scaricati gratuitamente o in
allegati dei messaggi di posta elettronica.
30
Suggerimenti per proteggersi dai virus
Esistono alcuni accorgimenti utili da adottare per proteggersi dai Malware, tra
i più importanti:
● Scaricare gli ultimi aggiornamenti per il sistema operativo, così come i

programmi e le applicazioni. Le ultime versioni degli aggiornamenti,
infatti, contengono patch che puntano ad eliminare le vulnerabilità
rilevate nella sicurezza del relativo sistema/software/firmware.
31
● Installare un software antivirus da un fornitore affidabile come

Kaspersky, Malwarebites o Bitdefender. Ricorda di aggiornalo e avvia
regolarmente una scansione antivirus.
● Abilitare una “scansione all’esecuzione” (inclusa nella maggior parte
dei pacchetti software antivirus) e configurarla in modo che venga
eseguita ad ogni avvio del computer. Questo proteggerà il tuo sistema,
controllando la presenza di virus ogni volta che apri o decidi di eseguire
un determinato file.
● Avviare una scansione antivirus prima di aprire nuovi programmi o file
che potrebbero contenere codice eseguibile.
● Attenzione ai messaggi di posta elettronica: non aprire mail e allegati
da mittenti di cui non ti fidi, imposta la visualizzazione dei messaggi
come solo testo, non HTML.
● Evitare di scaricare software gratuiti di cui non si conosce la
provenienza, poiché potrebbero contenere malware.
● Anche se sei un membro di una comunità online o di una chat room, fai
molta attenzione ai file che scarichi e ai collegamenti link che trovi o
che le persone ti inviano all’interno della comunità.
● Assicurarsi di eseguire il backup dei dati (documenti, file, messaggi di
posta elettronica importanti, ecc.) su disco esterno, in modo da non
perdere il lavoro e i file importanti in caso di infezione da virus.
32
Principali veicoli di infezione informatica: i rischi della

posta elettronica
Tra i principali canali di diffusione dei malware troviamo: il download di

software o file corrotti da siti internet; l’utilizzo di supporti portatili infetti
(chiavette USB, CD, Hard Disk) e, soprattutto, l’utilizzo improprio di app di
messaggistica ed e-mail.
Tra questi, ad oggi, il principale canale di diffusione dei virus risultano essere i
messaggi di posta elettronica. La maggior parte di Virus, Cavalli di Troia e
Worm, infatti, vengono attivati quando si apre un allegato o si clicca su un link
contenuto in un messaggio di posta. Per questo, si sconsiglia di aprire gli
allegati dei messaggi di posta elettronica di cui non si conosce la
provenienza o l’esatto contenuto. Anche quando ricevi un allegato da un
indirizzo email familiare, ma che non ti aspettavi, sarebbe meglio contattare il
mittente prima di aprire l’allegato. Inoltre, se il tuo client di posta elettronica
consente l’esecuzione di script , è possibile scaricare un virus semplicemente
aprendo un messaggio. Per questo, si consiglia di limitare il contenuto HTML
disponibile nei messaggi di posta elettronica, in modo da leggere i messaggi
in maggiore sicurezza, visualizzandoli solo come testo normale.
33
Cosa sono i Software Antivirus e cosa fanno
Sebbene ci siano dettagli variabili a seconda dei pacchetti, in genere, i

software antivirus funzionano eseguendo la scansione dei file o della
memoria del computer, alla ricerca di determinati codici che potrebbero
indicare la presenza di software dannosi (ad esempio malware). I software di
sicurezza informatica, antivirus o antimalware, ricercano quindi sul pc i codici
memorizzati nel loro database, che indicano tipologie di malware già noti.
34
I fornitori di antivirus trovano quotidianamente nuovi malware e nuove

minacce, con cui aggiornano continuamente i software per renderli capaci di
riconoscere anche i virus più recenti. Molti pacchetti antivirus includono
un’opzione per abilitare la ricezione automatica dei nuovi codici dei malware
aggiornati. Poiché le nuove informazioni vengono aggiunte frequentemente,
sfruttare questa opzione di aggiornamento automatico potrebbe essere una
buona soluzione. Questa opzione, tuttavia, può variare a seconda del prodotto
scelto, quindi consigliamo di analizzare le richieste del particolare software
antivirus e familiarizzare con le sue funzioni, prima di utilizzarlo. Per i software
antimalware che non dispongono di questa funzionalità, è essenziale che sia
l’utente a ricordarsi di installare gli ultimi aggiornamenti rilasciati ed
eseguire periodicamente la scansione dell’intero computer.
Sebbene l’installazione di un software antivirus sia uno dei modi più semplici
ed efficaci per proteggere il tuo computer, questa soluzione ha comunque dei
limiti. Essa infatti si basa sull’individuazione di codici già noti: il software
antivirus può rilevare solo i malware già identificati come tali. Il tuo pc sarà
quindi comunque suscettibile ai nuovi malware che circolano prima che siano
identificati come tali e che i fornitori degli antivirus aggiungano i loro codici al
sistema. Acquistare soluzioni antivirus è quindi un investimento necessario,
tuttavia non sufficiente a garantire la completa sicurezza dei sistemi. La
Sicurezza Informatica, infatti, è un processo complesso, la cui efficacia
richiede interventi basati sulla specifica struttura di rete e sul particolare
ambiente su cui si interviene.
35
Quale antivirus scegliere?
I fornitori che producono software antivirus sono molteplici e decidere quale

scegliere può creare confusione. I software antivirus, in genere, eseguono gli
stessi tipi di funzioni, quindi la scelta potrebbe essere guidata da consigli,
funzionalità particolari, disponibilità o prezzo. Indipendentemente dal
pacchetto scelto, l’installazione di qualsiasi software antivirus aumenterà il
livello di protezione. Tra i fornitori più affidabili troviamo: Kaspersky,
Malwarebites o Bitdefender.
36
Per quanto riguarda la scelta dell’antivirus aziendale, un’ottima scelta

risulta essere l’opzione fornita da Kaspersky Endpoint Security. Questo
antivirus professionale è adatto alla sicurezza di livello aziendale ed è stato
sviluppato in due versioni:
● “Kaspersky Endpoint Security Cloud”: antivirus per aziende che

dispongono solo di personale IT generico, coinvolto su un’ampia
gamma di task IT tra cui la sicurezza;
● “Kaspersky Endpoint Security for Business”: antivirus per
organizzazioni con infrastrutture miste e un dipartimento IT.
In generale, gli antivirus procedono eseguendo scansioni, che è possibile

impostare in due modi:
Scansioni automatiche: la maggior parte dei software antivirus può essere

configurata per eseguire automaticamente la scansione di file o directory
specifici in tempo reale e richiedere all’utente di eseguire scansioni complete
a intervalli prestabiliti.
Scansioni manuali: se il software antivirus non esegue automaticamente la

scansione, è necessario eseguire, prima di aprirli, la scansione manuale dei
nuovi file e dei supporti ricevuti da una fonte esterna. Questo processo
include:
37
● Salvataggio e scansione di allegati e-mail o download dal Web,

anziché aprirli direttamente dall’origine.
● Scansione dei supporti, inclusi CD e DVD, alla ricerca di malware prima
di aprire i file.
Alcuni software quando rilevano un malware, aprono automaticamente una

finestra di dialogo che avvisa di aver rilevato una minaccia, chiedendo se si
desidera “pulire” il file per rimuovere il malware. In altri casi, il software
potrebbe tentare di rimuovere il malware senza domandarlo all’utente.
Quando selezioni un pacchetto antivirus, familiarizza con le sue funzionalità
in modo da sapere cosa aspettarti.
Ethical Hacking: il lavoro degli esperti di sicurezza informatica
Nei nostri articoli abbiamo parlato spesso di come difendersi dagli attacchi
informatici, prendendo in analisi le modalità di azione dei cyber criminali e i
diversi tipi di attacco informatico. Spesso abbiamo affrontato argomenti
relativi agli hacker e alle loro strategie, ma non abbiamo ancora preso in
considerazione i ruoli di chi si occupa della difesa, quindi degli esperti di
38
Questo articolo si propone di fornire una panoramica delle professioni

nell’ambito della sicurezza informatica, spiegando i ruoli delle diverse figure
professionali in Cyber Security.
Quando si parla di cyber attacchi è necessario fare una precisazione.

Oggi il termine “hacker” è entrato nel vocabolario comune con accezione
negativa e lo si usa per riferirsi ai criminali informatici. In realtà, andrebbe
fatta una distinzione tra i termini Cracker e Hacker.
– Hacker
Gli hacker, in generale, sono esperti di informatica e programmazione, mossi
da valori che vanno contro le logiche capitalistiche e politiche, che agiscono
secondo principi etici. Nella loro categoria rientrano gli attivisti, così come gli
informatici che lavorano nell’ambito della sicurezza e si servono delle tecniche
di hacking per individuare le vulnerabilità di un sistema informatico e
rafforzarne la sicurezza. Questi hacker vengono definiti White Hat o Ethical
Hacker.
– Cracker
I Cracker sono invece pirati informatici. Sono in grado di violare reti di
computer senza autorizzazione e agiscono con lo scopo di danneggiare e
frodare. Questi hacker malevoli sono noti come Black Hat o Unethical Hacker.
La distinzione sostanziale dipende quindi dalla finalità con cui si utilizzano le
competenze informatiche e di hacking in proprio possesso.
39
I veri hacker, dunque, non agiscono con scopi malevoli, ma anzi spesso si
mettono al servizio delle aziende per aiutarle a potenziare i loro sistemi di
sicurezza. Questo utilizzo delle tecniche di hacking per rafforzare la sicurezza
dei sistemi, rientra sotto la definizione di Ethical Hacking (Hacking Etico). Gli
hacker etici sono informatici che, seguendo dei principi etici e morali, mettono
le loro capacità al servizio di altri per aumentare la sicurezza collettiva ed
implementare la difesa informatica.
Il lavoro nell’ambito Cyber Security
La sicurezza informatica non è un prodotto, ma un processo complesso che

richiede l’intervento di più figure professionali esperte. Gli specialisti di
sicurezza informatica attuano diverse misure di sicurezza finalizzate a
40
proteggere sistemi e reti: monitorano, analizzano e risolvono violazioni del

sistema che potrebbero essere sfruttate dai criminali informatici.
Solitamente, a seconda delle competenze possedute, le figure professionali

della sicurezza informatica lavorano in Team, servendosi di tecniche
specifiche di attacco (offensive) e di difesa (defensive) per garantire la
sicurezza informatica. Le Aziende di Sicurezza Informatica solitamente
strutturano un Team di Sicurezza Informatica che costruisca una strategia
completa, selezionando tecniche efficaci a garantire la sicurezza generale.
Team Offensive
Implementa un approccio proattivo alla sicurezza, utilizzando tecniche di
Hacking Etico per limitare gli attacchi informatici. I metodi e le tecniche
utilizzate dal Team Offensive sono le stesse dei criminali informatici e
sfruttano le vulnerabilità effettivamente presenti nella sicurezza, verificando
ciò che accadrebbe in caso di attacco.
Team Defensive
Utilizza un approccio reattivo alla sicurezza, con metodi più tradizionali
incentrati su prevenzione, rilevamento e risposta agli incidenti informatici. Si
basa sull’utilizzo di abilità analitiche, finalizzate a rilevare potenziali difetti di
rete, e pratiche di analisi forense digitale. Le tattiche si basano su conoscenze

41
specifiche dell’ambiente e del sistema, che influenzeranno lo sviluppo e
l’implementazione di misure preventive e protettive specifiche.
Ruoli e professioni degli Esperti di Sicurezza Informatica
Oltre alla specificità delle modalità d’azione adottate, esistono anche specifici
ruoli professionali, che collaborano sinergicamente per garantire la sicurezza
dei sistemi. Chi si occupa della sicurezza informatica in azienda o
privatamente, ricopre quindi il ruolo di esperto di sicurezza informatica.
42
Esperto di Sicurezza Informatica

Quando si parla di esperti di sicurezza informatica ci si riferisce ad una
categoria di informatici in grado di prevenire le minacce digitali, ma anche di
mitigare gli effetti dannosi che conseguono ad attacchi hacker ed intrusioni
non autorizzate. Un esperto cyber security è quindi un professionista che
opera sfruttando capacità di programmazione e tecniche informatiche
avanzate, assieme alle capacità di ragionamento critico e competenze di
analisi. Un esperto in sicurezza informatica si occupa inoltre di fornire
consulenza sui temi della sicurezza. In particolare, aiuterà a valutare la
necessità di nuove misure di cyber security, creare soluzioni di sicurezza su
misura per l’utente e promuovere la formazione dei dipendenti nell’ambito
della sicurezza informatica.
Sotto questa categoria, rientrano differenti figure professionali che si

occupano di mantenere i sistemi in sicurezza. Per fare chiarezza, analizziamo
alcuni specifici ruoli, essenziali nell’ambito della sicurezza informatica.
Sistemista
Un System Administrator è un tecnico specializzato che si occupa di
installare, configurare e gestire le reti informatiche, assicurando il corretto
funzionamento di hardware e software.
Il sistemista getta le basi per la sicurezza dei sistemi. Deve possedere infatti
43
competenze di sicurezza informatica, per garantire che nessuno possa
introdursi nei sistemi senza autorizzazione. In particolare, deve possedere
conoscenze approfondite e capacità di configurare e controllare: firewall,
sistemi di autenticazione/login e accessi alla rete (internet /intranet). Infine,
deve assicurarsi che i database dei sistemi vengano trattati nel rispetto della
normativa sulla privacy e siano effettuati i periodici backup dei dati, essenziali
per il ripristino in caso di attacco informatico.
ICT Security Manager

Il responsabile della sicurezza informatica utilizza le sue competenze per
verificare e garantire la sicurezza. Un ICT Security Specialist ha il compito di
controllare e supervisionare l’intera infrastruttura tecnologica in azienda. Deve
definire la policy di sicurezza del sistema e valutare i rischi connessi
all’utilizzo dei diversi strumenti informatici. Lo scopo ultimo è sempre quello
di proteggere i dati e le informazioni, individuando e applicando processi e
politiche di prevenzione e sicurezza.
Il responsabile della sicurezza informatica si occupa quindi della gestione del
rischio e della governance, ma anche del disaster recovery e del tema del
44
rispetto della privacy in conformità alle normative. Può operare sia
esternamente, sia interamente all’azienda.
Consulente Cyber Security

Il Consulente di Sicurezza Informatica si occupa di valutare software, reti e
sistemi per rilevare le debolezze del sistema ed individuare le migliori
strategie di gestione e risoluzione delle minacce. Chi occupa il ruolo di
Security Consultant deve avere competenze in ambito di attacco e di difesa,
per studiare e garantire la completa sicurezza.
Solitamente si tratta di figure esterne all’azienda, che lavorano in sinergia con i
clienti per sviluppare piani di difesa strutturati a seconda delle specifiche
necessità.
Intrusion Detection Specialist

Questa figura specialistica si occupa di monitorare reti, computer e
applicazioni per analizzare eventi e indicatori che possano rivelare possibili
intrusioni e conseguenti danni. Lo specialista in questione si occupa di
individuare le vulnerabilità, offrendo consulenze per opportune modalità di

45
mitigazione del danno.
Tra le figure che si occupano di rilevazione delle intrusioni, la più diffusa è
quella del Malware Analyst. L’analista di Malware ha competenze di sicurezza
relativamente agli attacchi di questa tipologia (virus, worm, ransomware…). Si
tratta di un lavoro di indagine, ricerca e analisi, in cui vengono individuate,
isolate e studiate le minacce rilevate. Nel lavoro di ricerca rientra lo studio e
l’infiltrazione in botnet dove, tramite tecniche di social engineering, si cerca di
collezionare informazioni sugli attacchi. La fase di analisi consiste nel
determinare la struttura e le azioni malevole compiute dal malware. Questa
operazione è fondamentale per strutturare la successiva procedura di
eliminazione del virus.
Analista Informatico Forense

L’informatico forense si occupa della raccolta di prove digitali tramite
investigazioni con dispositivi digitali. Si impegna ad esaminare le tracce,
identificando, recuperando ed analizzando informazioni relative ad un attacco
informatico. L’analisi forense si occupa quindi dell’esame dei dispositivi
digitali, servendosi di tecniche specifiche (come quelle di recupero dei dati),
per individuare, acquisire, analizzare e correlare i dati dell’attacco. Le

46
metodologie tecniche utilizzate saranno differenti in base alla tipologia di
dispositivo con cui si interagisce.
DPO - Data Protection Officer

A maggio 2018 è entrato in vigore il nuovo regolamento europeo sulla privacy
e sul trattamento dei dati personali, il GDPR (General Data Protection
Regulation). Il Responsabile della protezione dei dati si occupa di informare
dipendenti, titolari e responsabili del trattamento dati circa gli obblighi del
regolamento, impegnandosi per sorvegliarne la sua osservanza e fornire
consulenza sulle tematiche di protezione dei dati. Il Data Protection Officer si
occupa inoltre di condurre DPIA (Data Protecion Impact Assessment), cioè
valutazioni d’impatto sulla protezione dei dati personali.
CISO - Chief Information Security Officer

Il direttore della sicurezza informatica è la figura che in azienda si occupa di
sviluppare una strategia che permetta di proteggere rete e dati. Solitamente il
CISO lavora assieme ad una squadra con cui identifica, sviluppa ed
implementa gli asset aziendali, con la finalità di ridurre al minimo i rischi. Il

47
responsabile della sicurezza informatica si occupa di rispondere agli
incidenti informatici, gestendo la sicurezza e implementando politiche e
misure di protezione. In uno scenario come quello moderno, in cui le minacce
si evolvono rapidamente, il direttore della sicurezza informatica rappresenta
una figura fondamentale per la sicurezza aziendale.
Il Chief Information Security Officer si occupa inoltre di garantire una perfetta
compliance dell’azienda al Regolamento GDPR.
Il direttore della sicurezza informatica è la figura che in azienda si occupa di

sviluppare una strategia che permetta di proteggere rete e dati. Solitamente il
CISO lavora assieme ad una squadra con cui identifica, sviluppa ed
implementa gli asset aziendali, con la finalità di ridurre al minimo i rischi. Il
responsabile della sicurezza informatica si occupa di rispondere agli incidenti
informatici, gestendo la sicurezza e implementando politiche e misure di
protezione. In uno scenario come quello moderno, in cui le minacce si
evolvono rapidamente, il direttore della sicurezza informatica rappresenta una
figura fondamentale per la sicurezza aziendale.
Il Chief Information Security Officer si occupa inoltre di garantire una perfetta
compliance dell’azienda al Regolamento GDPR.
48
Ulteriori ruoli
Questo elenco descrive alcune delle figure professionali essenziali per la
strutturazione di adeguati livelli di sicurezza informatica. Tuttavia, bisogna
comunque tenere presente che la garanzia di un efficace sistema di
protezione, si raggiunge solo se esiste una sinergica collaborazione tra
queste ed altre figure che contribuiscono a limitare i rischi in azienda. Ad
esempio, contribuiscono a mantenere la sicurezza aziendale anche ingegneri
informatici (security engineer), data security administrator (amministratori di
dati) network security architect (architetti delle informazioni) e
programmatori (che strutturano software di sicurezza informatica).
49
Il lavoro da Ethical Hacker
Lo scopo degli Ethical Hacker è quello di migliorare i livelli di sicurezza ed

implementare la difesa informatica di un sistema. I White Hat verificano
l’efficacia delle misure di sicurezza, testando periodicamente sistemi, reti e
software per individuare vulnerabilità e possibili rischi per la sicurezza.
Per valutare lo stato di un sistema, il metodo più efficace consiste nel testarlo
con gli stessi strumenti e attacchi che utilizzerebbe un Cracker. Infatti, il
lavoro dell’Hacker Etico consiste nel simulare attacchi hacker maligni, per
identificate tutte le debolezze che gli attaccanti potrebbero sfruttare per
introdursi nel sistema ed impossessarsi dei dati. Questa valutazione permette
di rispondere a domande come “Da dove arriverà il prossimo attacco? Quali
sono le falle nel sistema? Ci sono comportamenti a rischio per la sicurezza? In
che settore le difese non sono adeguate?”.
Le analisi sulla sicurezza possono essere condotte utilizzando tecniche

differenti.
Vulnerability Assessment (VA)

I Vulnerability Assessment (VA) sono uno scan approfondito e complessivo
delle vulnerabilità di un sistema, finalizzati ad individuare tutti i punti deboli
della difesa adottata. I test di vulnerabilità scansionano sistematicamente il

50
sistema per stilare un elenco completo delle debolezze presenti e
strutturare delle soluzioni da adottare per rafforzare la difesa informatica.
Penetration Test (PT)

Un’altra tecnica utilizzata dagli Hacker Etici è il Pentest. Consiste nello
sfruttamento delle vulnerabilità rilevate per determinare se le difese siano
effettivamente sufficienti. Il PT è quindi un’analisi approfondita delle
capacità di difesa, che verifica il livello di penetrazione raggiungibile
attraverso le vulnerabilità interne ed esterne al sistema. I problemi di
sicurezza vengono valutati anche in base al loro impatto sul sistema e sul
business, fornendo soluzioni tecniche o proposte di mitigazione del danno.
Incident Case
Nel panorama italiano, dove non c’è ancora abbastanza consapevolezza sul
tema della sicurezza informatica, gli esperti di Cyber Security vengono
chiamati perlopiù nel momento in cui l’attacco informatico si è già verificato.
In questo caso, si tratta di interventi su Incident Case. Gli esperti di sicurezza
informatica procedono identificando le attività malevole e collezionando più

51
informazioni possibili sull’incidente informatico, in modo da agire
velocemente per ripristinare il sistema e mitigare il danno.
Come diventare Esperti di Sicurezza Informatica e

lavorare nella Cyber Security
La crescente evoluzione tecnologica che accompagna la nostra società, sta

contribuendo a migliorare l’efficienza produttiva, ma contemporaneamente sta
aumentando i rischi per le imprese. Per questo motivo, la richiesta di figure
professionali che si occupino di sicurezza informatica sta aumentando
sempre più. Le analisi condotte da Cybersecurity Ventures indicano che nel
2021 ci saranno 3,5 milioni di posizioni aperte, a livello globale, per questi
ambiti.
Ma qual è la formazione necessaria per lavorare in Cyber Security?

Attualmente il mercato è particolarmente sensibile all’argomento e stanno
nascendo sempre più corsi e certificazioni di sicurezza informatica.
Quest’ultima parte dell’articolo fornirà informazioni relative alla formazione in
Cyber Security, suggerendo alcuni tra i corsi di Sicurezza Informatica
maggiormente validi e attualmente frequentabili.
52
Formazione in sicurezza informatica – Corsi e certificazioni Cyber

Security
– CEH – Certified Ethical Hacker

Promossa dall’EC-Council, la certificazione CEH per Hacker Etici è al momento
una delle più richieste, in quanto attesta non solo le abilità tecniche acquisite,
ma anche l’impegno a livello etico.
– CISSP – Certified Information Systems Security Professional

Si tratta di una certificazione che attesta competenze tecniche e gestionali
essenziali per sviluppare un piano di sicurezza complessivo.
– CISM – Certified Information Security Manager

Questa certificazione, a cui si affianca anche un corso di preparazione,
permette di attestare un elevato livello di competenze tecniche e qualifica per
ruoli di gestione del rischio ad alti livelli.
– CHFI – Computer Hacking Forensics Investigator

Il corso permette di acquisire skill essenziali per rilevare attacchi di hacking.
Aiuta a sviluppare capacità di ricerca e abilità analitiche, insegnando strategie
efficaci per raccogliere informazioni sugli attacchi e strutturare piani di
prevenzione.
53
– CISSP – Certified Information Systems Security Professional

Certificazione di sicurezza informatica che attesta il possesso di capacità
progettuali finalizzate ad implementare e gestire un efficace programma di
– OSCP – Offensive Security Certified Professional

Questo corso di sicurezza informatica permette di acquisire skill utili per
condurre un attacco informatico e fornisce una certificazione che attesta le
capacità in ambito Offensive Security.
– GIAC – Global Information Assurance Certification Penetration Tester

La certificazione per Penetration Tester convalida la capacità di condurre
correttamente un Pen Test. Attesta inoltre conoscenze e capacità utili per
condurre exploit e ricognizioni dettagliate.
Potete trovare questi ed altri corsi e certificazioni, sui siti come Offensive
Security ed EC-Council.
Al di là dei corsi e delle certificazioni presentate, si consiglia di procedere con

una formazione costante. È essenziale mantenersi costantemente aggiornati
e continuare a ricercare informazioni e documentazioni prodotte da enti di
ricerca, università e fornitori di tecnologie per la sicurezza. Inoltre, in questo
ambito è fondamentale anche la partecipazione ad incontri e conferenze sulla
sicurezza informatica, che possono ampliare la visione su determinati scenari.
La formazione è essenziale, ma anche l’esperienza e la continua ricerca di
54
informazioni contribuiscono a migliorare le competenze operative per

diventare dei reali esperti di sicurezza informatica.
Monitorare le vulnerabilità e il livello di sicurezza complessiva di un sistema è

essenziale per garantire la protezione necessaria. Investire sulla Sicurezza
Informatica, significa prevenire attacchi hacker e infezioni da virus informatici,
mettendo al sicuro i dati aziendali e l’intera produzione.
Non investire nella sicurezza informatica costituisce un doppio svantaggio. Un
attacco informatico può generare un’ingente perdita ed un pesante
rallentamento della produzione, ma anche una spesa elevata per la gestione
del danno. Inoltre, interrompe il rapporto di fiducia tra cliente e fornitori,
generando una perdita anche a livello di clientela. Un attacco informatico,
infatti, può condizionare negativamente l’immagine e la reputazione aziendale,
portando gli utenti a dubitare dell’affidabilità.
Investire nella sicurezza informatica al giorno d’oggi, quindi, non solo è
essenziale, ma risulta essere una vera e propria necessità.
Sicurezza informatica e vulnerabilità – Penetration

Test e Vulnerability Assessment
Con il termine “sicurezza informatica” si intende la protezione dei sistemi e

delle reti informatiche, con l’obiettivo di tutelare confidenzialità, integrità,
disponibilità ed autenticazione. Quando una di queste caratteristiche viene
compromessa, si riscontra una vulnerabilità nel sistema.
55
Nell’ambito dell’Information Security, le vulnerabilità sono elementi di

debolezza rilevati in un particolare settore e possono arrivare a
compromettere la sicurezza informatica dell’intero sistema. L’analisi delle
vulnerabilità si rivela quindi indispensabile perché permette di individuare le
debolezze e verificare le problematiche del sistema informatico, in modo da
strutturare successivamente un piano di intervento adeguato, finalizzato alla
strutturazione e al mantenimento della protezione a 360°.
L’importanza dell’analisi delle vulnerabilità
Spesso, valutare le problematiche senza un’analisi approfondita spinge ad

implementare soluzioni provvisorie e spesso inutili, che non riescono
realmente a mitigare i danni. Le attuali statistiche sugli incidenti informatici
rivelano che più della metà degli attacchi vengono realizzati con tecniche già
note. In questi casi, basterebbe un Penetration Test per valutare queste
vulnerabilità e mitigarle/eliminarle efficacemente.
L’analisi di vulnerabilità prevede la sollecitazione del sistema in particolari

condizioni, utilizzando tecniche di Ethical Hacking, con la finalità di verificarne
i punti deboli e lo scostamento rispetto alle attese di protezione. Questa
analisi permette quindi di fornire una visione completa di quelle che sono le
problematiche presenti nell’intero sistema informatico. Questo passaggio
56
dovrebbe essere necessariamente eseguito dopo la strutturazione

dell’architettura, la definizione degli obiettivi e la valutazione dei beni aziendali.
Le imprese sono restie ad affidarsi agli specialisti di sicurezza per verificare le

vulnerabilità del proprio sistema attraverso Vulnerability Assessment
(intervento base che individua alcune vulnerabilità) o Penetration Test
(intervento avanzato che sfrutta le vulnerabilità rilevate). Questo problema
deriva spesso dalla scarsa conoscenza delle tematiche di sicurezza o dal
budget necessario per l’intervento. Tuttavia, spesso le imprese non tengono
conto che un attacco informatico potrebbe costituire un doppio svantaggio,
poiché genererebbe un blocco dell’intera produzione oltre ad una ingente
perdita economica ed una spesa decisamente più impegnativa per sostenere
l’intervento di specialisti della sicurezza in una fase ormai critica. Come
sempre, anche in informatica, prevenire è meglio che curare.
57
I livelli di sicurezza e le relative problematiche
Le vulnerabilità informatiche sono individuabili principalmente in tre diversi

livelli: la rete, i sistemi e gli applicativi. Diventa quindi essenziale analizzare
questi tre elementi, per essere sicuri che il sistema non sia esposto e
vulnerabile ad attacchi informatici.
58
– Vulnerabilità di Rete
L’analisi delle vulnerabilità di rete ha come obiettivo quello di analizzare tutte

le problematiche relative appunto alla rete. Per rete si intende tutta
l’infrastruttura di comunicazione di un sistema informatico: cablaggio,
apparati concentratori (hub/switch), router firewall, protocolli per il trasporto,
ecc. In modo particolare, si prendono in considerazione le vulnerabilità a
livello fisico (sniffing) e vulnerabilità ad alto livello network (attacchi a
protocolli di autenticazione, attacchi DOS…).
– Vulnerabilità dei Sistemi
Per “sistema” si intende il software che controlla un apparato hardware dotato

di processore e memoria. Rientrano quindi in questa definizione i sistemi
operativi dei server, i sistemi operativi dei firewall, i software di controllo router
e switch, i software di controllo di apparati mobili e wireless…
La tipica funzione di un sistema operativo è quella di controllare l’hardware e

gestire memoria e processi. I problemi di sicurezza nascono dal momento in
cui tali sistemi accettano connessioni dall’esterno o scambiano informazioni
utilizzando la rete. Le relative vulnerabilità sono spesso causate da buffer
overflow, scripting o malfunzionamenti del sistema di autenticazione, che
permettono accesso al sistema da remoto, con tecniche conosciute come
“exploit”.
59
– Vulnerabilità delle Applicazioni
Per applicazione si intende un software funzionante su un sistema. Fanno

parte della categoria applicazioni tutti i tools di posta elettronica e web, i
programmi di autenticazione ed accesso ai sistemi ed applicativi gestionali,
servizi web server, file server, mail server, ecc. Si definisce “servizio”
un’applicazione che renda disponibili determinate informazioni via rete
oppure in locale. Un hardware può supportare uno o più sistemi operativi ed
un sistema può supportare più applicativi.
Le vulnerabilità maggiori e più pericolose sono relative ai servizi disponibili

via rete, che possono permettere ai pirati informatici di accedere al sistema
tramite backdoors. In questa categoria rientrano, come soggetto di analisi
anche le problematiche legate a Virus, Trojan, Worms, Ransomware… Tra le
problematiche di interesse, viene dedicata particolare attenzione alle
backdoor che possono essere aperte verso l’esterno, generando importanti
problematiche di sicurezza, concentrandosi sull’analisi dei servizi attivi e dei
processi fantasma.
60
Vulnerability Assessment (VA)
Il Vulnerability Assessment costituisce il primo dei livelli tra i Servizi di

Sicurezza Proattiva. La procedura di un VA prevede l’esecuzione di scansioni
automatizzate e semi-automatizzate, non invasive, condotte avvalendosi di
strumenti software open source (come OpenVas), al fine di rilevare la
presenza di vulnerabilità. Tali scansioni sono successivamente integrate a
verifiche manuali eseguite da esperti della Cybersecurity, volte ad eliminare i
61
falsi positivi e negativi che potrebbero essere stati introdotti dagli

strumenti di analisi automatica.
Nei paesi anglosassoni la frequenza di un V.A. varia tra i 3 e i 6 mesi, mentre in

Italia questa tipologia di prevenzione è così poco diffusa, che non è possibile
definire una stima esaustiva ed essa varia particolarmente da settore a
settore. La frequenza, comunque, dovrebbe variare in relazione alle nuove
vulnerabilità note, in particolare per la rete e per i sistemi. Quando si valuta un
servizio offerto è fondamentale discriminare a quale livello si necessita la
verifica, se quello più limitato del VA o quello più approfondito previsto nei
Penetration Test.
Penetration Test (PT)
Il Penetration Test è un servizio di verifica della sicurezza informatica che

prevede l’esecuzione di test approfonditi, utilizzando tecniche di Ethical
Hacking. Il Pen Test viene svolto utilizzando tecniche di attacco inferenziali
finalizzate ad identificare le vulnerabilità non note o non rilevabili tramite gli
strumenti di scansione ed analisi automatica. Solitamente il P.T. si avvale di un
V.A. preliminare e permette la valutazione delle vulnerabilità riscontrate dal
Vulnerabilty Assessment e dalle verifiche manuali, estendendosi a sistemi e
applicazioni ulteriori. Il PT viene condotto ad un livello più approfondito, dove
le vulnerabilità non vengono solamente rilevate, ma vengono sfruttate per
dimostrare e valutare le conseguenze di un ipotetico attacco informatico.
62
L’attività di Penetration Testing viene condotta da specialisti informatici in

possesso di approfondite competenze tecniche di Ethical Hacking. Lo scopo è
quello di simulare nel modo più esaustivo e completo possibile, le operazioni
comunemente eseguite da un agente di minaccia esterno o interno, facendo
uso degli strumenti e delle tecniche proprie di uno scenario reale.
La frequenza tipica è minore di un V.A. e dovrebbe comunque essere eseguita

in coincidenza di una variazione della configurazione di rete, sistemi e
applicazioni. Nei paesi anglosassoni oscilla tra i 6 mesi e 1 anno, mentre in
Italia la frequenza tipica di un PenTest non è definita ed è variabile da settore
a settore. A volte i revisori di bilancio sollecitano lo svolgimento della analisi al
momento dell’Audit più esteso sull’azienda PMI.
63
Commissionare una verifica delle vulnerabilità
Tutte le aziende rischiano di essere vittima di un attacco informatico, a

prescindere dalle loro dimensioni. Diverse aziende credono di non essere a
rischio, data la ridotta dimensione aziendale e del patrimonio informativo. La
tendenza generale è quella di credere che solo le grandi società, con un
patrimonio di rilievo, siano a rischio. Purtroppo questa non è la realtà. Innanzi
tutto, le informazioni acquistano importanza in base alla loro sensitività, non
alla quantità. Inoltre, le PMI sono maggiormente esposte, in quanto non
hanno risorse o personale necessari per affrontare la sicurezza in maniera
intensiva, come le società più grandi. Di fatto, le nuove tecnologie e i sistemi
informativi utilizzati dalle aziende, a prescindere dalla loro grandezza, sono le
stesse ed espongono agli stessi rischi.
Gli attacchi informatici mettono a rischio l’intera produzione aziendale e
spesso il recupero del danno diventa impossibile. Ammettere i rischi e
implementare la sicurezza è un passaggio necessario per la sopravvivenza
aziendale.
La commissione di un VA e di un PenTest da parte di un’azienda permette di

effettuare una verifica oggettiva delle barriere difensive dell’intero sistema
informatico. Schedulare nel tempo diverse attività di Penetration Testing
64
permette inoltre di standardizzare il processo, con l’obiettivo di verificare

continuativamente la sicurezza dell’intero perimetro aziendale e implementare
efficacemente le difese. Gli stessi fornitori del PT se qualificati e competenti,
saranno in grado di fornire indicazioni per miglioramenti dell’infrastruttura di
sicurezza. Nonostante il Pen Test sia in sé un’analisi oggettiva della sicurezza,
si può richiedere al fornitore un servizio aggiuntivo finalizzato al
miglioramento della protezione. In questo caso, la prima parte del servizio
sarebbe svolta da Specialisti della Sicurezza Informatica che fanno parte del
Red Team, orientato all’attacco: questo team implementa un approccio
proattivo alla sicurezza, utilizzando tecniche di Hacking Etico per limitare gli
attacchi informatici. Metodi e tecniche utilizzati sono gli stessi dei criminali
informatici e sfruttano le vulnerabilità effettivamente presenti, verificando ciò
che accadrebbe in caso di attacco.
L’implementazione della sicurezza sarebbe invece svolta dal Blue team,
orientato alla difesa: utilizza un approccio reattivo alla sicurezza, con metodi
incentrati su prevenzione, rilevamento e risposta agli incidenti informatici. Si
basa su abilità analitiche, finalizzate a rilevare potenziali difetti di rete, e
pratiche di analisi forense digitale. Le tattiche si basano su conoscenze
specifiche dell’ambiente e del sistema.
I Report
Ogni operazione di Vulnerability Assessment e Penetration Test dovrebbero

sempre essere seguite da una stesura di report che descrivano l’attività
65
svolta e le relative ripercussioni. Questo permette di tenere traccia delle

vulnerabilità rilevate e dei processi eseguiti per rilevarle, fornendo
informazioni importanti relativamente alle debolezze nella difesa e alle
possibilità di implementazione della sicurezza.
Sintesi per la direzione

Documento destinato allo staff dirigenziale. A seguito dell’analisi, fornisce
indicazioni strategiche e di facile lettura sullo stato della sicurezza
complessiva. Evidenzia i livelli di rischio economico e di immagine, i danni
potenziali che potrebbero derivarne, la facilità di sfruttamento delle
vulnerabilità riscontrate, i rischi legali, le contromisure organizzative e
tecnologiche nell’ottica di un piano correttivo di rientro. Il documento
dovrebbe presentare un elenco numerico delle problematiche riscontrate,
suddivise per livello di gravità. Infine, la sintesi per la direzione dovrebbe
presentare un riassunto delle raccomandazioni principali, maggiormente
dettagliate nel report tecnico.
Report Tecnico
Il Report Tecnico dovrebbe riportare in modo particolareggiato i risultati delle
attività di analisi, con relativi dettagli tecnici e descrizione delle vulnerabilità

66
rilevate in ordine di importanza. Il report dovrà riportare in maniera più
dettagliata le raccomandazioni, sottolineando i requisiti necessari per
l’attuazione del piano correttivo e di rientro. Deve riportare evidenze
significative reperite nel corso del test (output di comandi, dati di business,
immagini…) e le procedure seguite per acquisirle (URL, attacchi o exploit…). La
valutazione deve essere assolutamente oggettiva ed evitare considerazioni
soggettive. Le problematiche dovrebbero essere suddivise su tre livelli di
attenzione:
1. Alta: Il sistema è/sembra vulnerabile ad un particolare attacco o

presenta limitazioni di sicurezza che possono compromettere
affidabilità, confidenzialità o integrità del sistema à Necessaria la
verifica dell’esistenza di tale vulnerabilità e la ricerca di una soluzione.
2. Media: Il sistema sembra in pericolo di possibile vulnerabilità à
Necessaria la verifica dei servizi e delle eventuali vulnerabilità.
3. Bassa: Le informazioni relative alla sicurezza del sistema che
potrebbero non essere conosciute dagli amministratori, ma che
risultano potenziali vettori di attacco per ottenere informazioni sul
sistema.
67
Penetration Testing Report

Il report deve articolarsi nella descrizione delle vulnerabilità, specificando
beni/sistemi coinvolti. La Vulnerabilità deve essere descritta nella sua
completezza, descrivendo l’impatto generato da una possibile violazione.
Deve essere proposta una mitigazione valida ed applicabile, che dia al cliente
la possibilità di seguire le istruzioni per correggerla in autonomia. Per
completezza, sarebbe utile che il report avesse all’interno un link di riferimento
per reperire maggiori informazioni relative alle vulnerabilità individuate.
Vulnerability Assessment: tipi di VA e Tool
Il Vulnerablity Assessment (VA) è un processo di valutazione delle

vulnerabilità, che si articola attraverso definizione, identificazione,
classificazione e assegnazione di priorità alle vulnerabilità in sistemi
informatici, applicazioni e infrastrutture di rete. Le valutazioni delle
vulnerabilità sono essenziali perché forniscono all’organizzazione una
conoscenza più approfondita ed una consapevolezza maggiore rispetto al
rischio e alle implementazioni necessarie per reagire alle minacce insite nel
proprio sistema, consigliando interventi, mitigazioni e/o workaround
(soluzioni alternative), se e quando necessario.
68
Le vulnerabilità di sicurezza possono consentire agli hacker di accedere ai

sistemi e alle applicazioni IT, per questo è essenziale per le aziende
identificare e correggere i punti deboli prima che possano essere sfruttati. Una
valutazione completa delle vulnerabilità, insieme ad un programma di
gestione, può aiutare le aziende a migliorare la sicurezza dei loro sistemi.
L’importanza delle valutazioni di vulnerabilità
L’analisi delle vulnerabilità permette di ricavare informazioni sui punti deboli

della sicurezza, nello specifico ambiente testato. Fornisce inoltre indicazioni
su come valutare i rischi associati a tali punti deboli. Questo processo offre
all’organizzazione una migliore comprensione e visione delle sue risorse, dei
difetti di sicurezza e del rischio complessivo, riducendo la probabilità che un
criminale informatico possa violarne i sistemi e cogliere di sorpresa l’azienda.
Un processo di valutazione delle vulnerabilità ha lo scopo di identificare le

minacce e i rischi. In genere implicano l’uso di strumenti di test automatizzati,
gli scanner di sicurezza (security scanner), i cui risultati vengono
successivamente elencati in un rapporto di valutazione delle vulnerabilità.
Le organizzazioni e le imprese, di qualsiasi dimensione esse siano, così come

i singoli utenti esposti ai rischi degli attacchi informatici, possono trarre
vantaggio dal Vulnerability Assessment, in quanto l’analisi delle vulnerabilità,
permette di comprendere il livello generale della propria sicurezza
69
informatica ed adottare misure adeguate per garantire una più strutturata

sicurezza dei sistemi.
Vulnerability Assessment e Penetration Test (VAPT)
La Valutazione delle Vulnerabilità spesso si affianca ai Test di Penetrazione,

per avere un quadro più completo che identifichi le vulnerabilità anche a
livello del personale di un’organizzazione, delle procedure o dei processi.
Queste vulnerabilità, potrebbero non essere rilevabili con le scansioni di rete o
70
di sistema, per questo i due processi di analisi vengono solitamente

condotti assieme, tanto che tale processo a volte viene indicato proprio come
“Valutazione della vulnerabilità e test di penetrazione” o “VAPT”. Mentre il
Vulnerability Assessment è automatizzato per un’ampia varietà di vulnerabilità
prive di patch, i Penetration Test generalmente combinano tecniche
automatizzate e manuali, per aiutare i tester ad approfondire la ricerca delle
vulnerabilità e sfruttarle, in modo da ottenere l’accesso alla rete in un
ambiente controllato, simulando difatti un reale attacco informatico.
Un Vulnerability Assessment (VA) mira a scoprire le vulnerabilità in una rete e

suggerire una mitigazione o un intervento appropriato, finalizzato a ridurre o
eliminare i rischi. Per condurre un VA si utilizzano strumenti di scansione
automatica della sicurezza della rete. I risultati emersi vengono elencati nel
report di valutazione delle vulnerabilità, finalizzato a fornire alle aziende che
hanno effettuato la verifica l’elenco delle vulnerabilità individuate da risolvere.
In questo esame, non rientra necessariamente la valutazione di obiettivi o
scenari di attacco specifici.
Le organizzazioni dovrebbero effettuare i test di vulnerabilità regolarmente,

per garantire la sicurezza delle loro reti. Ci sono momenti particolari in cui
dovrebbero essere eseguite scansioni approfondite, in particolare quando
vengono apportate modifiche, ad esempio: quando vengono aggiunti servizi,
installate nuove soluzioni (hardware o software) o aperte nuove porte/servizi.
71
Per quanto riguarda il funzionamento del PenTest (PT), invece, esso si

articola nell’identificazione delle vulnerabilità in una rete, che vengono
sfruttate per attaccare il sistema, simulando difatti un attacco informatico. Di
solito viene eseguito assieme ai VA, con lo scopo di verificare se una
determinata vulnerabilità informatica sia effettivamente sfruttabile e che tipo
di danno potrebbe derivarne, dimostrando con tecniche di Ethical Hacking fino
a che punto lo sfruttamento di una vulnerabilità potrebbe danneggiare
l’applicazione o la rete.
72
Tipi di Vulnerability Assessment
L’esecuzione di un VA è quindi finalizzata all’individuazione di diversi tipi di

vulnerabilità presenti nel sistema o nella rete. Il processo di valutazione, per
poter essere esaustivo, deve includere l’utilizzo di una varietà di strumenti,
scanner e metodologie, finalizzati ad identificare vulnerabilità, minacce e
rischi.
Tra i diversi tipi di scansioni finalizzate al Vulnerability Assessment, le più

importanti includono:
● Scansioni della rete (Network scan): vengono utilizzate per identificare

possibili attacchi alla sicurezza della rete. Questo tipo di scansione
rileva vulnerabilità anche su reti cablate o wireless.
● Scansioni degli host (Host scan): vengono utilizzate per individuare ed
identificare le vulnerabilità in server, workstation o altri host di rete e
dispositivi. Questo tipo di scansione esamina le porte e i servizi,
offrendo una maggiore profondità di analisi delle impostazioni di
configurazione e della cronologia delle patch dei sistemi scansionati.
● Scansioni della rete wireless (Wireless Network scan): l’analisi delle reti
Wi-Fi di un’organizzazione di solito si concentra sull’individuazione dei
punti di più facile intrusione e attacco nell’infrastruttura di rete wireless.
Oltre ad identificare i punti di accesso non autorizzati, una scansione
della rete wireless verifica anche che la rete aziendale sia configurata in
73
modo sicuro, valutando politiche e pratiche per prevenire l’accessi

non autorizzati al sistema e alle risorse di rete.
● Scansioni delle applicazioni (Application Scan): possono essere
utilizzate per testare i siti Web, per rilevare le vulnerabilità dei software,
per le configurazioni errate della rete o delle applicazioni Web.
L’identificazione delle vulnerabilità di sicurezza nelle applicazioni web e
nel loro codice sorgente, viene eseguita mediante scansioni
automatiche sul front-end o analisi statiche e dinamiche del codice
sorgente.
● Scansioni del database (Database Scan): utilizzate per identificare i
punti deboli in database o in sistemi di big data. Sono orientate alla
verifica delle vulnerabilità, delle configurazioni errate, degli ambienti di
sviluppo non sicuri e alla classificazione dei dati sensibili
nell’infrastruttura.
74
Il Processo di Vulnerability Assessment
Il processo di verifica delle vulnerabilità si articola in 4 fasi: test, analisi,

valutazione e remediation.
1. Test: Identificazione delle vulnerabilità
L’obiettivo di questo passaggio è redigere un elenco completo delle

vulnerabilità di un’applicazione. Gli analisti della sicurezza informatica testano
l’integrità della sicurezza di applicazioni, server e altri sistemi, scansionandoli
75
con strumenti automatizzati o testandoli e valutandoli manualmente (nel

caso dell’implementazione di un VAPT). Per identificare i punti deboli della
sicurezza gli esperti di sicurezza informatica si affidano anche a database di
vulnerabilità, annunci di vulnerabilità dei fornitori, sistemi di gestione delle
risorse e feed di intelligence sulle minacce.
2. Analisi delle vulnerabilità
L’obiettivo di questo passaggio è quello di identificare l’origine e la causa

principale delle vulnerabilità emerse durante il test.
3. Valutazione del rischio (assessment)
L’obiettivo di questo passaggio è la definizione, la classificazione e

l’assegnazione delle priorità alle diverse vulnerabilità emerse. In questa fase
gli analisti della sicurezza assegnano un punteggio di gravità a ciascuna
vulnerabilità, in base a diversi fattori:
● Quali sistemi sono interessati;

● Quali dati sono a rischio;
● Quali funzioni aziendali sono a rischio;
● Facilità di attacco o compromissione;
● Gravità di un attacco;
● Potenziale danno a causa della vulnerabilità.
76
4. Remediation
L’obiettivo di questa fase è quello di colmare le lacune di sicurezza,

determinando il percorso più efficace finalizzato alla riparazione o alla
mitigazione di ciascuna vulnerabilità. Si tratta, genericamente, di un lavoro
sinergico, condotto dal personale di sicurezza assieme ai team di sviluppo e
operativi. Le fasi di remediation nello specifico potrebbero includere:
● Introduzione di nuove procedure, misure o strumenti di sicurezza;

● Aggiornamento delle modifiche operative o di configurazione;
● Sviluppo e implementazione di patch di vulnerabilità.
Il Vunerability Assessment non può essere considerata un’attività da svolgere

una tantum. Si consiglia di pianificare scansioni regolari e automatizzate di
tutti i sistemi IT critici. I risultati di queste scansioni aiuteranno a condurre la
valutazione delle vulnerabilità. Le organizzazioni devono rendere operativo
questo processo e ripeterlo ad intervalli regolari, per poterlo rendere
effettivamente efficace. È inoltre fondamentale promuovere la cooperazione
tra i team di sicurezza, operativi e di sviluppo, ottimizzando il processo noto
come DevSecOps, che prevede un’integrazione della sicurezza delle
applicazioni e dell’infrastruttura fin dall’inizio del ciclo di sviluppo,
automatizzando alcune attività della sicurezza.
77
Tool per il Vulnerability Assessment
I test di vulnerabilità preservano la riservatezza, l’integrità e la disponibilità del

sistema. Per farlo, vengono utilizzati tool specifici per il VA, progettati per
scansionare automaticamente le minacce nuove ed esistenti, che potrebbero
colpire un sistema informatico.
Ci sono molti scanner di vulnerabilità disponibili sul mercato (gratuiti, a

pagamento, open source). La maggior parte degli strumenti gratuiti e open
source sono disponibili su GitHub. Decidere quale strumento utilizzare
78
dipende da alcuni fattori come: il tipo di vulnerabilità, il budget, la frequenza

con cui lo strumento viene aggiornato, ecc.
Tra gli strumenti più utilizzati e conosciuti per la conduzione del VA, sette tra i
più diffusi sono:
1. Nmap è uno dei più noti strumenti di scansione di rete gratuiti e open
source, diffuso tra i professionisti della sicurezza. Nmap utilizza diverse
tecniche per individuare gli host nella rete, i servizi in esecuzione le
porte aperte, il rilevamento del sistema operativo, implementando
inoltre molteplici script per il rilevamento di numerose vulnerabilità.
2. Nikto2 è un software di scansione delle vulnerabilità open source che si
concentra sulla sicurezza delle applicazioni web. È in grado di
individuare minacce dovute a configurazioni errate, software vulnerabili,
patch mancanti, file sensibili in chiaro.
3. OWAS Zed Attack Proxy (ZAP) è uno strumento di vulnerabilità delle
applicazioni web open-source. Disponibile sia per Windows che per
Linux. Quando utilizzato come proxy server, permette di manipolare il
traffico, incluso quello https.
4. OpenVAS è un potente strumento che supporta scansioni su larga
scala, adatte alle organizzazioni. È possibile utilizzare questo strumento
per individuare le vulnerabilità in applicazioni Web o nei server Web, ma
anche in database, sistemi operativi, reti e macchine virtuali. Questo tool
per il VA riceve aggiornamenti giornalieri, che ne ampliano la copertura
79
per il rilevamento delle vulnerabilità. Aiuta anche nella valutazione del

rischio e suggerisce contromisure per le vulnerabilità rilevate.
5. w3af Tra le molte applicazioni web e framework di audit disponibili,
w3af si colloca fra i migliori. Sebbene progettato per aiutare le aziende a
scansionare il proprio sito per individuare e risolvere eventuali problemi,
gli hacker white-hat lo utilizzano per i test di penetrazione e gli hacker
black-hat per trovare dati e informazioni da rubare. I plugin, ne fanno
inoltre un ricco strumento in grado di evolversi ed adattarsi a seconda
delle esigenze.
6. Burf Suit Scanner Uno dei preferiti tra i professionisti della sicurezza e i
criminali, è un potente strumento di scansione della sicurezza web
Portswigger. È possibile utilizzare Burp Suite in versione gratuita ma con
feature limitate.
7. Vega è uno scanner di vulnerabilità gratuito, open source. È
personalizzabile attraverso JavaScript. Inoltre permette l’individuazione
di informazioni nascoste o dati sensibili, esposti all’esterno a causa di
errori di configurazione o bug del sistema. È basato su interfaccia
grafica (GUI) per facilità d’uso ed è disponibile sia per sistemi operativi
Windows, Linux o OS-X. L’ Ethical hacker professionista può rinunciare
all’automazione e utilizzare manualmente questo strumento per
scansionare obiettivi specifici.
80
Penetration Test (PT): cos’è e come si esegue
La Cybersecurity è un aspetto cruciale della progettazione e

dell’implementazione dei Sistemi IT. Esiste infatti un’ampia gamma di rischi
che potrebbero rendere vulnerabile l’intera infrastruttura. I cracker sono alla
ricerca proprio di questi punti deboli per ottenere il controllo dell’applicazione
e accedere, alterare o rubare i dati. Considerando quanto le aziende
dipendono dalla tecnologia, le conseguenze di un attacco informatico
potrebbero essere letali per l’organizzazione. Testare la sicurezza delle
applicazioni è essenziale, perché permette di identificare rischi, minacce e
vulnerabilità che i cyber criminali potrebbero sfruttare per addentrarsi nel
sistema.
Il Penetration Test (PT), chiamato anche Pen Test, è una tecnica di sicurezza
informatica utilizzata per identificare ed esaminare le vulnerabilità del sistema
e le possibili conseguenze derivabili da un’intrusione. I PT sono eseguiti da
Hacker Etici che utilizzano mentalità e tecniche degli attaccanti, sfruttando
quelle che vengono definite tecniche di Ethical Hacking. Gli esperti di
sicurezza si servono quindi delle strategie e delle azioni solitamente messe in
atto dagli aggressori per valutare l’hackability dei sistemi informatici, della
rete o delle applicazioni web di un’organizzazione. Il Penetration Test sfrutta
la prospettiva degli hacker per identificare i rischi e mitigarli prima che
vengano sfruttati. Il termine “Penetration” si riferisce al grado in cui un
81
ipotetico cracker, può penetrare nelle misure e nei protocolli di sicurezza

informatica di un’organizzazione.
Gli hacker etici sono quindi esperti di tecnologia dell’informazione (IT) che
utilizzano metodi di hacking per aiutare le aziende ad identificare possibili
punti di ingresso nella loro infrastruttura. Utilizzando diverse metodologie,
strumenti e approcci, le aziende possono eseguire questi attacchi informatici
simulati per testare i punti di forza e di debolezza dei loro sistemi di
sicurezza. Ciò aiuta i leader IT ad implementare aggiornamenti, pratiche e
soluzioni alternative, di sicurezza informatica per ridurre al minimo la
possibilità di successo degli attacchi. Ricorrendo ad abili hacker etici, le
organizzazioni possono identificare, aggiornare/modificare e sostituire in
modo rapido ed efficace le parti esposte e vulnerabili del loro sistema.
Penetration Test: che cos’è?
Questo tipo di analisi si focalizza sull’individuazione delle vulnerabilità.

Innanzitutto, raccoglie informazioni dalle fonti disponibili per l’esecuzione del
Penetration Test, quindi si concentra su una serie di analisi finalizzate ad
individuare le vulnerabilità del software di destinazione. Il Pen Test è
considerato una misura proattiva di sicurezza informatica perché comporta
miglioramenti coerenti, auto-avviati, che si basano sui report generati dal
test. Ciò differisce dagli approcci non proattivi, che mancano della
lungimiranza per migliorare le debolezze man mano che si presentano. Un
82
approccio non proattivo alla sicurezza informatica, ad esempio,

implicherebbe che un’azienda aggiorni il proprio firewall solo dopo che si
verifica una violazione dei dati. L’obiettivo delle misure proattive, come il PT
invece, è quello di ridurre al minimo il numero di aggiornamenti retroattivi e
massimizzare la sicurezza di un’organizzazione.
Il lavoro deve essere attentamente documentato con dei report, che tangano
traccia dei mezzi utilizzati dai Pen Tester per ottenere le informazioni, dei
passaggi e dei processi effettivi utilizzati per eseguire i test e, infine, dei
risultati osservati. In questo modo, gli sviluppatori possono riprodurre in un
secondo momento le vulnerabilità e sfruttarle, nell’ottica di studiarle e
risolverle.
In definitiva, i Penetration Test richiedono che i professionisti della sicurezza

pensino e agiscano come veri hacker, comportandosi in modo tale da
supportare gli interessi aziendali.
Differenze tra PT e VA
I PenTest differiscono dai Vulnerability Assessment soprattutto per un

elemento importante: forniscono un elenco prioritario dei punti deboli della
sicurezza e suggerimenti su come modificarli. Spesso questi PT e VA
83
vengono eseguiti insieme. Il Penetration Test viene spesso condotto con un

obiettivo particolare, solitamente:
● Identificare i sistemi hackerabili

● Tentare di hackerare un sistema specifico
● Effettuare una violazione dei dati
Ciascun obiettivo si concentra su micro-obiettivi specifici che i leader IT

vogliono raggiungere. I risultati di un PenTest daranno un riscontro rispetto
alla validità degli attuali protocolli di sicurezza informatica di
un’organizzazione, ma presenteranno anche i metodi di hacking utilizzabili per
penetrare nei sistemi.
84
Rischi per la Sicurezza Informatica
I difetti che possono mettere a rischio un’applicazione e minacciare la

sicurezza delle informazioni sono innumerevoli. Le vulnerabilità
maggiormente individuate dai Pen Tester si ritrovano a livello di:
● Sistema operativo
● Codice dell’applicazione
● File di configurazione
● Esposizione dei propri sistemi e software
85
Le applicazioni fanno affidamento sul sistema operativo per le risorse,

l’interfaccia utente, l’accesso allo storage e l’interfaccia di rete. I punti deboli
del sistema operativo possono potenzialmente fornire ad un cyber criminale il
controllo del comportamento dell’applicazione o un accesso allo storage. Il PT
permette di analizzare la modalità con cui il sistema operativo gestisce le
porte per la comunicazione, da e verso la rete. Un cracker può utilizzare la
scansione delle porte per rilevare le porte aperte ed attaccare sistema e
software. Per questo, si consiglia sempre di installare tutte le patch di
sicurezza del sistema operativo per proteggere applicazioni e dati.
Le sviste dello sviluppo e i difetti involontari nel codice dell’applicazione
possono interrompere la produttività, esporre i dati e persino bloccare il
software.
Infine, i file di configurazione del software spesso descrivono in dettaglio
variabili importanti, come le directory di archiviazione dati e le informazioni di
comunicazione di rete. Gli aggressori solitamente cercano i file di
configurazione per identificare le vie di attacco o addirittura utilizzano le loro
informazioni per apportare modifiche al software, in modo da aprire la porta a
un’intrusione.
86
Tipi di Penetration Test
Attraverso i Penetration Test le organizzazioni testano la loro infrastruttura,

facendo lavorare i Pen Tester direttamente sul sistema o sul software. Queste
analisi possono essere strutturate su diversi livelli di consapevolezza: la
conoscenza degli hacker rispetto al sistema o al software da attaccare può
variare notevolmente. Si può decidere di strutturare l’analisi da diversi punti di
vista di un hacker, ad esempio senza alcuna consapevolezza dei controlli di
sicurezza di un’applicazione oppure decidere di fornire informazioni sulla
struttura e sulla misura di sicurezza su cui si interviene. A seconda del livello
87
di informazioni di cui il team è in possesso nel momento dell’intervento, si

distinguono tre diversi tipi di Pen Test.
Black Box Penetration Test: In uno scenario “Black Box” (Scatola nera), gli
hacker non hanno a disposizione nessuna informazione sul sistema o sul
software che attaccano. Non sono disponibili informazioni sull’hardware del
server, sulla rete, sulla configurazione dello storage o sull’applicazione
software in esecuzione sull’infrastruttura. Questo scenario identifica il
bersaglio come una scatola nera, cioè un’entità sconosciuta. Solitamente
vengono utilizzate tecniche di scansione automatiche per una prima analisi ed
un successivo implemento di tecniche manuali specifiche.
I Penetration tester, esattamente come i cracker, in genere si affidano a un

approccio per tentativi ed errori con la finalità di individuare difetti e
vulnerabilità. Tra tutti i metodi di Penetration Test del software, i tentativi
manuali di Black Box richiedono più tempo per essere completati.
White Box Penetration Test: In un approccio White Box, al team del PT

vengono fornite tutte le informazioni e i dettagli sul sistema o sul software
sottoposto a test. Le informazioni possono includere il codice sorgente del
software, i diagrammi dell’architettura del server e della rete. A differenza dei
cracker che attaccano nella realtà, i Penetration Tester White Box hanno una
88
visione quasi completa del sistema, che facilita la loro ricerca di difetti e
vulnerabilità.
Essere in possesso di maggiori informazioni, permette di eseguire PT manuali

specifici, che accelerano il processo di testing, poiché maggiormente mirati.
Tuttavia, spesso diventa difficile trovare vulnerabilità più nascoste, quando si è
in possesso di tutte le informazioni.
Gray Box Penetration Test: L’approccio Gray Box Testing fornisce ad un team
di penetration testing una conoscenza incompleta o parziale del sistema o
del software sottoposto a test. Gli Hacker Etici impegnati in un test Gray Box
potrebbero ottenere il codice sorgente o i dettagli di configurazione del
sistema, ma solitamente non entrambi.
Queste informazioni parziali richiedono l’attuazione di tecniche di test miste. I

penetration tester di solito concentrano i loro attacchi simulati dapprima sulle
informazioni conosciute, espandendo poi sistematicamente gli attacchi per
cercare vulnerabilità e difetti meno noti.
89
Come eseguire un Penetration Test
Il Pen Test è unico rispetto ad altri metodi di valutazione della sicurezza

informatica, in quanto può essere adattato a qualsiasi settore o
organizzazione, selezionando tecniche e strumenti di hacking efficaci per lo
specifico caso. I PenTest raramente sono attività solitarie. Alcuni progetti
software più ampi potrebbero richiedere l’intervento sinergico di diversi team,
90
concorrenti in una fase di test. Ad esempio, un team di hacker per eseguire

l’attacco e i test di penetrazione (Red Team), ed un team di sicurezza IT che
identifica e risponde ai loro attacchi (Blue Team).
L’organizzazione del Pen Test in genere segue un processo in quattro fasi che
include:
● Pianificazione
● Scoperta
● Attacco
● Segnalazione
Il ciclo di vita del test di penetrazione potrebbe ripetersi per ogni target, o
semplicemente quando è richiesta una prospettiva diversa.
Pianificazione. La pianificazione del Pen Test definisce l’ambito, l’approccio,

gli obiettivi e i limiti del progetto. Immagina come un team di sviluppo
eseguirà il test su una versione del software pre-rilascio, per garantire che
aderisca alle politiche di sicurezza esistenti e soddisfi anche le esigenze di
conformità. A seconda delle esigenze dell’organizzazione, questo passaggio
può essere una procedura semplice o elaborata. Se l’organizzazione non ha
deciso quali vulnerabilità valutare, una quantità significativa di tempo e risorse
91
dovrebbero essere dedicati a setacciare il sistema per individuare possibili

punti di ingresso.
Scoperta. In questa fase, i Penetration Tester raccolgono e valutano quante

più informazioni possibili sul software e sui relativi sistemi. Scansionano le
porte aperte, controllano le vulnerabilità e utilizzano tecniche di social
engineering per raccogliere nomi utente e password.
La fase di scoperta è particolarmente importante per i Black Box PT, dove i
tester non hanno molte informazioni per iniziare la valutazione.
Attacco. Questa fase, di durata limitata, si verifica nel momento in cui un team
utilizza le informazioni ricavate per convalidare e sfruttare i difetti del
software. L’obiettivo è imitare le azioni di un potenziale cracker per addentrarsi
nel sistema sfruttando le vulnerabilità rilevate. I Pen tester tentano così di
accedere a risorse, funzionalità e dati. Sebbene i test di penetrazione non
siano intenzionalmente dannosi, l’attacco potrebbe provocare conseguenze
indesiderate, come l’interruzione del software e la perdita di dati.
Segnalazione. I PT forniscono feedback sull’infrastruttura, utili per i team di

sviluppo software e per altre parti interessate. La segnalazione delle
vulnerabilità rilevate è una conclusione fondamentale per il ciclo di
Penetration Test. I report restituiscono risultati dettagliati e informazioni
importanti relativamente a:
92
● L’entità della scoperta;

● Vulnerabilità e difetti individuati;
● Exploit convalidati/scritti/modificati;
● Raccomandazioni dettagliate per le mitigazioni.
93
Tools per Penetration Test
Il Penetration Test è un’attività che comprende un’ampia gamma di tecniche,

in particolare tecniche di Ethical Hacking. Questa modalità di intervento si
basa sull’utilizzo della mentalità e delle modalità di azione utilizzate anche dai
cracker nella realtà.
Esistono numerosi strumenti e servizi di Vulnerability Assessment e
Penetration Test, tra cui:
● Esempi di Strumenti per Analisi delle vulnerabilità sulle Web App
Burp Suite: strumenti PortSwigger in grado di scansionare le app Web alla

ricerca di vulnerabilità e mappare contenuti e funzionalità;
Nikto: Progetto Open Source per scansioni di app Web e firewall, oltre a
certificati SSL digitali e test di sicurezza mobile;
w3af: uno scanner di vulnerabilità della sicurezza open source e uno
strumento di sfruttamento per le app web.
● Esempi di Scanner di rete e vulnerabilità
Nmap: software open source fra i più popolari, che rappresenta la base anche
di molti strumenti a pagamento.
94
Wireshark: software open source di sniffing e packet analyze

Nessus: prodotto commerciale di scansione delle vulnerabilità;
● Esempi di strumenti per l’ SQL Injection
sqlmap: strumento open source che automatizza l’SQL Injection

sqlninja: strumento per sfruttare SQL injection per app che utilizzano
Microsoft SQL Server.
● Esempi di tool per il Password Cracking
Hashcat: password recovery tool, o più esplicitamente un password cracker.

John the Ripper: password recovery tool, o più esplicitamente un password
cracker.
● Un esempio di un motore di ricerca per la sicurezza informatica
Spyse: un motore di ricerca per la sicurezza informatica che fornisce dettagli

sui componenti web.
● Un Esempio di Framework, completi di exploit database e post

exploitation tool
95
Cobalt Strike: Un software di penetration test a pagamento.

Metasploit: un framework di penetration testing open source – Rapid7
produce anche una versione commerciale a pagamento.
Sicurezza Informatica: Tecnologia e Smartworking
La Sicurezza Informatica ha assunto oramai primaria importanza a livello

globale, non solo per quel che riguarda strettamente la protezione
dell’ambiente tecnologico, ma anche per la sua rilevanza a livello economico.
La nostra società è ormai quasi completamente informatizzata e questo
ricorso alle tecnologie non riguarda solo le nostre postazioni di lavoro e lo
smartworking, ma si espande a tutta la nostra vita quotidiana.
L’importanza della Sicurezza Informatica
Vi siete mai fermati a riflettere su quante cose della vita affidate ai dispositivi
elettronici?
Viviamo in un mondo ormai totalmente informatizzato, in cui non si può più
prescindere dall’uso delle tecnologie. Basti pensare che l’Internet of Things
(IoT) si sta diffondendo così rapidamente che secondo alcune indagini (di
Statista.com) il numero di dispositivi collegati dovrebbe raggiungere i 75
miliardi entro il 2025. L’IoT comprende tutti i dispositivi connessi alla rete:
laptop e tablet, ma anche router, webcam, elettrodomestici, smartwatch,
dispositivi medici, apparecchiature di produzione, automobili e persino sistemi
96
di sicurezza domestica. Un numero maggiore di dispositivi connessi

fornisce sicuramente un vantaggio nell’utilizzo, ma allo stesso tempo genera
maggiori rischi: i numerosi dispositivi connessi contribuiscono a rendere la
rete più vulnerabile ad attacchi informatici, spostando l’attenzione anche sulla
sicurezza IoT.
Considerando anche solo queste riflessioni, risulta evidente come la sicurezza

informatica sia ormai una necessità di primaria importanza. Se poi a questi
elementi aggiungiamo anche le transazioni bancarie e le attività lavorative
delle imprese, si intuisce come la Cybersecurity sia ormai diventato un
argomento tecnologico ed economico di primaria importanza.
97
Big Data – Il nuovo petrolio
Il massiccio ricorso alle tecnologie, genera sempre più dati relativi al loro
all’utilizzo. A livello economico, questi i big data vengono definiti il “nuovo
petrolio”: come la fonte di energia nell‘800 derivava dal petrolio, allo stesso
modo, la materia prima di oggi è costituita proprio dai dati prodotti dagli
utenti. Ma come mai questi dati sono così importanti? Le informazioni che
forniamo quando utilizziamo un dispositivo elettronico, un’applicazione o un
programma, servono a profilare gli utenti e forniscono indicazioni di mercato
utili sia per apportare modifiche funzionali a prodotti già esistenti, sia per
analizzare ed ipotizzare future tendenze e oscillazioni di mercato.
Ma i dati non sono essenziali solo dal punto di vista dell’andamento di

mercato. Essi rappresentano una vera e propria opportunità anche per i
criminali informatici. Provate a pensare alla quantità di dati sensibili che
immagazzinate sui vostri dispositivi elettronici e a quanti di questi potrebbero
tornare utili per una frode: informazioni bancarie, dati personali da usare per
furti di identità e ricatti, password e username per accedere a piattaforme
private. Il panorama delle minacce informatiche, tuttavia, non si ferma ai
privati cittadini, ma riguarda anche le realtà aziendali, dove generalmente i
ricavi sono più ingenti. Un Cracker che si infiltra in una rete aziendale, infatti,
può criptare le informazioni di valore e richiedere il pagamento di un riscatto,
generando intanto un blocco dell’intera produzione e pesanti perdite a livello
economico.
98
Ricapitolando…vi siete mai chiesti quante delle vostre informazioni

personali e di lavoro inserite nei vostri dispositivi elettronici e quanti dati
create ad ogni utilizzo? E soprattutto, ritenete che queste informazioni e
questi dati siano realmente al sicuro?
L’evoluzione della tecnologia e della Sicurezza

Informatica
La futura crescita globale dipende dalla tecnologia, ma senza l’adeguata

sicurezza dei sistemi informatici non si potrà garantire tale sviluppo. La
comunità globale rischia di creare un ecosistema che non è resiliente al
panorama delle minacce emergenti. In questo scenario, la sicurezza
99
informatica potrebbe diventare una barriera che impedisce di sbloccare il

pieno potenziale della tecnologia e del cyberspazio.
L’ambiente tecnologico che si sta sviluppando in questi anni, renderà

obsolete la maggior parte delle tecniche di mitigazione del rischio
attualmente presenti.
Per questo, sta diventando sempre più essenziale entrare nell’ottica degli
attaccanti e ragionare dal loro punto di vista, sviluppando competenze di
Ethical Hacking. L’hacking etico si prefigge come scopo quello di entrare nella
mentalità degli hacker e di adottare i loro approcci e le loro tecniche, per
valutare l’efficacia della protezione del proprio sistema. Infatti, il lavoro
dell’Hacker Etico consiste nel simulare attacchi hacker maligni, per
identificate tutte le debolezze che gli attaccanti potrebbero sfruttare per
introdursi nel sistema ed impossessarsi dei dati.
Le trasformazioni tecnologiche critiche su cui si basa la prosperità futura –

connettività onnipresente, intelligenza artificiale, informatica quantistica e
approcci di nuova generazione per la gestione di identità e accessi – saranno
vere e proprie sfide per la comunità. Esse, infatti, genereranno rischi nuovi e
sistemici per l’ecosistema globale. Ciò suggerisce l’urgente necessità di
un’azione collettiva e un intervento politico, che non solo aumentino la
responsabilità del governo e delle imprese sul tema della Cybersecurity, ma
che aumentino anche la consapevolezza dei cittadini sul tema del rischio
informatico.
100
Senza intervenire ora, sarà difficile mantenere l’integrità e la fiducia nella

tecnologia emergente da cui dipenderà la futura crescita globale.
Sicurezza Informatica in azienda
A maggio 2018 è entrato in vigore il nuovo regolamento europeo sulla privacy

e sul trattamento dei dati, il GDPR (General Data Protection Regulation). Si
tratta di norme e protocolli di sicurezza informatica atti a mantenere il rischio
informatico entro un livello tollerabile e sostenibile.
Nelle aziende la gestione del rischio informatico rappresenta una grande

sfida, anche perché costruire e mantenere in sicurezza un’infrastruttura di rete
è costoso e il ritorno dell’investimento è percepito come “incerto”. I rischi
associati alle minacce informatiche, infatti, sono spesso sentiti come distanti
ed è difficile rendersi conto del reale pericolo, prima di cadere vittima di un
attacco informatico. Inoltre, questi rischi si intensificano a causa di
un’insufficiente consapevolezza. La maggior parte degli utenti non è a
conoscenza neppure degli accorgimenti base da adottare per la protezione
dei propri dispositivi elettronici (firewall, password sicure, aggiornamento dei
sistemi…). Per questo, i dipendenti vengono considerati l’anello debole della
sicurezza aziendale e dovrebbero essere spinti ad intraprendere, almeno per i
concetti base, corsi di formazione in Sicurezza Informatica.
Le imprese devono prestare attenzione alle vulnerabilità dei loro sistemi e al

modo in cui le nuove tecnologie influenzano la loro esposizione al rischio
informatico. Un attacco informatico può generare un’ingente perdita ed un
101
pesante rallentamento della produzione, ma anche una spesa elevata per

la gestione del danno. Inoltre, interrompe il rapporto di fiducia tra cliente e
fornitori, generando una perdita anche a livello di clientela.
Riassumendo, per le aziende la Cybersecurity non è più solo una semplice

questione di protezione di reti e sistemi. È necessario un cambiamento
nell’approccio: le aziende non devono pensare alla sicurezza informatica solo
in termini di difesa, ma anche nell’ottica di una garanzia dell’integrità e della
resilienza dei processi che garantiscono la sopravvivenza dell’organizzazione.
102
Smartworking e telelavoro: l’evoluzione della

tecnologia a lavoro
La diffusione del Coronavirus ha introdotto un cambio di paradigma nella

cultura del lavoro. Sempre più realtà, per poter continuare a soddisfare le
richieste aziendali, hanno dovuto adottare la soluzione del telelavoro, definito
anche lavoro agile o smart working. Questa nuova era del “lavoro da casa” ha
richiesto alle organizzazioni una ricalibrazione degli ambienti di lavoro, per
garantire sicurezza, produttività e connessione digitale.
Lo smartwork richiede una riorganizzazione lavorativa, finalizzata a proseguire

da casa le attività che prima venivano svolte in ufficio. Il lavoro agile risulta
quindi una sfida sia per le aziende, che per i lavoratori stessi, poiché richiede
di fronteggiare diverse novità da assorbire in pochissimo tempo. Inoltre, sarà
necessario prestare sempre maggiore attenzione a tutto ciò che riguarda la
Cyber Security e la protezione dei propri dati.
Il lavoro da remoto rappresenta una grande opportunità, ma allo stesso tempo

costituisce anche una nuova fonte di rischi per aziende e dipendenti. Le
minacce informatiche a cui ci si espone lavorando da casa aumentano
esponenzialmente, soprattutto a causa dei dispositivi personali non
adeguatamente protetti (incluse connessioni di rete: ADSL, WiFi, ecc.),
utilizzati per accedere ai sistemi aziendali. Spesso infatti, quando si utilizzano
strumenti non forniti dall’azienda, le misure di sicurezza vengono trascurate e
si sottovalutano i rischi connessi alla navigazione in rete.
103
I rischi dello Smartowrking durante il COVID-19
In uno scenario di crisi come quello generato dall’attuale pandemia globale, la

possibilità di utilizzare computer infetti da malware, di cadere vittima di
intercettazioni di comunicazioni o di perdere i dati a causa di attacchi
informatici, incrementa particolarmente. Mentre gli hacker tentano di trarre
vantaggio dalla situazione di crisi globale, i team di sicurezza ICT devono
affrontare l’escalation delle minacce e delle loro nuove implementazioni
cloud. Il 71% dei professionisti della sicurezza ha segnalato un aumento delle
minacce informatiche dall’inizio dei lockdown.
In questo panorama generato dal coronavirus, con l’esponenziale aumento

degli attacchi cyber e il frettoloso ricorso allo smartworking, le precedenti
politiche di sicurezza aziendale non sono più sufficienti. A Novembre 2020 il
World Economic Forum ha pubblicato un documento in cui delinea rischi ed
104
opportunità dell’attuale situazione mondiale. Suggerisce alle aziende di

adattare le loro politiche IT il più rapidamente possibile per mantenere
produzione e dipendenti al sicuro da attacchi informatici. Tra i rischi più
diffusi in questo periodo di crisi dovuta al COVID-19 si annoverano:
Attacchi di Social Engeneering

Questi attacchi sfruttano la paura, l’incertezza e il dubbio. Gli attacchi di
“ingegneria sociale” sfruttano le reti sociali, le abitudini e le reazioni emotive
dei lavoratori per estorcere e divulgare informazioni critiche. La pandemia ha
reso i dipendenti sempre più vulnerabili ai rischi informatici.
Da una recente analisi condotta da Check Point, è e merso che il 71% degli
intervistati ha segnalato un aumento degli attacchi informatici durante il
periodo della pandemia. La principale minaccia citata è stata il phishing (41%)
seguito da siti Web dannosi che fingevano di offrire informazioni o consigli sul
coronavirus (28%). Sono stati notati anche aumenti di malware (22%) e
attacchi ransomware (9%).

105
Consigli per le aziende: come difendersi dalle minacce

informatiche in Smartworking
Le tendenze del coronavirus hanno cambiato radicalmente il modo di lavorare

e, probabilmente, questi cambiamenti sono destinati a perdurare anche dopo
la fine della pandemia. Le strategie di sicurezza informatica devono quindi
essere rinnovate per soddisfare questa nuova realtà e permettere di lavorare
in sicurezza.
Di seguito, alcuni accorgimenti che le organizzazioni dovrebbero adottare per

difendersi al meglio dalle minacce informatiche:
106
Prevenzione in tempo reale

Come i vaccini possono prevenire le malattie, allo stesso modo la prevenzione
delle minacce può mantenere al sicuro un sistema. Anche nella sicurezza
informatica la prevenzione delle minacce è la chiave per bloccare possibili
cyber attacchi. È meglio intervenire prima per adeguare i livelli di sicurezza
aziendale, piuttosto che dover intervenire su un attacco già in corso, che
sicuramente produrrà perdita di dati e perdite economiche. La prevenzione in
tempo reale è la chiave per proteggere organizzazioni e dipendenti. Le
organizzazioni dovranno implementare protezioni utente preventive ed
efficaci, che permettano di eliminare le minacce prima che raggiungano gli
utenti.
Protezione completa e consolidata

Le aziende odierne sono iper-distribuite, con applicazioni che risiedono
ovunque e utenti che si connettono da qualsiasi luogo. Ogni parte di questa
infrastruttura aziendale è importante. La “nuova normalità” richiede alle
organizzazioni di rivedere e controllare il livello di sicurezza globale e la
pertinenza delle infrastrutture, dei processi, della conformità dei dispositivi
mobili e dei PC connessi, dell’IoT, ecc. L’incremento di utilizzo del cloud genera
107
poi la necessità di un maggiore livello di sicurezza, soprattutto per le
tecnologie che proteggono carichi di lavoro, container e applicazioni
serverless su ambienti cloud multi e ibridi.
Protezione consolidata
ogni realtà aziendale ha le sue specifiche caratteristiche relativamente alla
struttura IT e al personale che la compone. Questi elementi sono essenziali e
devono essere presi in considerazione per la strutturazione di una strategia di
difesa efficace. Non esistono infatti soluzioni prefabbricate o patchwork da
applicare indistintamente ai sistemi per renderli sicuri. Ogni infrastruttura ha
delle caratteristiche peculiari, che devono essere analizzate e studiate da
specialisti di sicurezza informatica, nell’ottica di migliorare al massimo la
sicurezza e rendere la protezione il più efficace possibile.
Analisi delle vulnerabilità

I cambiamenti nell’infrastruttura aziendale rappresentano un’opportunità, ma
lasciano spazio a nuovi rischi e minacce. Per questo, bisogna monitorare che
l’infrastruttura IT abbia livelli di sicurezza adeguati, controllando e sistemando

108
le varie vulnerabilità del sistema nel suo complesso. Si suggerisce
pertanto, di condurre ciclicamente dei Vulnerability Assessment (soprattutto
a seguito di cambiamenti), per verificare i punti deboli della sicurezza e
implementare la protezione, tenendo presente che ogni sistema ha le sue
peculiarità. Per questo motivo, si suggerisce di richiedere l’intervento di uno
Specialista di Cybersecurity, che servendosi di tecniche di Ethical Hacking,
sarà in grado di individuare le falle che gli attaccanti potrebbero sfruttare per
introdursi illecitamente nel sistema.
Formazione Cybersecurity dei dipendenti

Il fattore umano è spesso considerato l’anello debole della sicurezza di
un’organizzazione. Spesso, infatti, la sicurezza implementata a livello
tecnologico non basta, poiché l’errore di un singolo utente (che apre
distrattamente una mail di phishing, lascia in giro le sue credenziali, utilizza
password troppo deboli…) può mettere a rischio l’intero sistema. Le aziende
dovrebbero quindi investire nella formazione e nell’istruzione dei dipendenti.

109
La formazione in cyber security dovrebbe includere la verifica delle
capacità di rilevazione di e-mail di phishing, la formazione su come evitare
attacchi di Social Engeneering e la reiterazione delle politiche di sicurezza dei
dati informatici aziendali.

110
In conclusione, soprattutto in questo periodo di crisi, le aziende devono

essere agili e agire rapidamente. Anche quando l’emergenza legata alla
pandemia svanirà, i suoi postumi dureranno e dovremo adattarci a questa
“nuova normalità” e a questi nuovi modi di lavorare. Per farlo, dobbiamo
essere pronti a cambiare e ad informarci per implementare la sicurezza dei
nostri sistemi.
Cinque tipi di Malware più diffusi
Gli attacchi informatici variano a seconda dell’attaccante e della tecnica

utilizzata. Tra i più diffusi ci sono i Malware, che possono essere di diversi
tipi.
Conoscere la differenza tra le diverse minacce informatiche aiuta a capire

come proteggere al meglio il proprio computer e i propri dati. Saper
distinguere le modalità di azione con cui viene perpetrato un attacco,
consente di adottare risposte e difese specifiche, efficaci per quella
particolare minaccia.
A volte, la distinzione tra i diversi tipi di cyber attacchi può non essere netta.
La loro classificazione, infatti, dipende anche dall’hacker che li struttura e
dagli aspetti che si considerano prioritari. Tuttavia, capire il funzionamento
delle principali minacce informatiche, ci aiuta ad individuare efficaci metodi
di difesa.
111
Tipi di Malware: Virus, Worms, Trojan, Backdoors e

Ransomware
Nella categoria dei Malware rientra qualsiasi forma di codice o programma

scritto ed usato per alterare il normale flusso logico delle informazioni.
Ne esistono diversi tipi che si differenziano per:
– Modalità di attacco e diffusione
– Comportamento
– Tipologia di danni prodotti.
Alcune categorie di malware prendono il nome dal modo in cui si diffondono
(es. Virus, Worm e Trojan), altre invece, da quello che fanno (es. Ransomware,
Backdoor, spyware, keylogger).
Questo articolo analizza 5 tipi di Malware più diffusi e le loro caratteristiche,

per fornire suggerimenti sulle modalità di difesa e le tecniche da adottare per
eleminarli.
112
Virus Informatico
Il Virus è un codice che, una volta eseguito, si diffonde infettando file o aree
del disco rigido di un computer o di un router di rete, senza farsi rilevare
dall’utente. I Virus informatici possono attaccare qualsiasi dispositivo dotato
di un software e sono progettati per riprodurre continuamente copie di sé, in
modo da moltiplicarsi ed infettare sempre più elementi. Un virus informatico
può infettare file, cartelle, registro di sistema ecc., rimanendo inattivo ed
avviandosi all’apertura di un programma o file infetto.

113
I danni possono essere di diversa entità e causare: rallentamento del
sistema, blocco del computer, sovrascrittura del codice, file corrotti. Alcuni
virus sono progettati principalmente per diffondersi ad altri computer. Altri si
infiltrano e si moltiplicano nella rete attaccata, al fine di danneggiare,
distruggere o rubare dati.
Precedentemente diffusi tramite periferiche esterne con file infetti (floppy
disk, hard disk, USB) e virus di boot (avvio), oggi i virus informatici si
diffondono prevalentemente grazie alla globale connessione ad Internet. Per
diffondersi i virus richiedono almeno un’azione da parte dell’utente (ad es.
l’apertura di un allegato di posta elettronica, la visita di una pagina Web
dannosa, l’esecuzione di un file). Oggi rappresentano veicolo preferenziale di
infezione i file scaricabili online, le comunicazioni e-mail (attraverso tecniche
di phishing) e le reti di peer to peer (es. eMule).
Per difendersi dai virus informatici bisogna adottare una serie di accorgimenti
nell’utilizzo del proprio dispositivo. Come prima mossa, sarebbe utile
installare un buon sistema antivirus (ad es. Antivirus Kaspersky), eseguendo

114
regolari aggiornamenti. Inoltre, anche l’utilizzo di un personal firewall può
incrementare la difesa, bloccando connessioni indesiderate.
Worm
Il worm (verme) è una tipologia di malware auto-replicante, che costituisce
una delle minacce informatiche più diffuse. I worm sfruttano la Rete Internet
per trasmettere repliche di sé stessi alla rete di computer connessi.
Solitamente, operano facendo modifiche al pc infetto ed impostano la loro
esecuzione dal momento dell’accensione fino all’arresto. A differenza dei
virus, possono diffondersi senza interazione umana, poiché non necessitano
di un programma ospite o di essere avviati dall’utente.
Spesso i Worms si diffondono da un computer all’altro, occupando memoria
preziosa e larghezza di banda di rete, con la finalità di rallentare le prestazioni
dei PC e delle reti, generare un blocco o prendere il controllo da remoto. I
worms possono anche essere portatori di codici Payloads, scritti solitamente
per rubare dati, cancellare file o creare botnet (reti di computer controllate da
hacker in remoto).
115
I Worms si introducono nei pc attraverso file malevoli o sfruttando
vulnerabilità nel sistema operativo. Una volta entrati si diffondono
autonomamente e rapidamente. Alcuni di essi restano per diverso tempo in
stato di “sonno” infettando un numero significativo di host, prima di diventare
distruttivi. Altri, come ad esempio i worm Warhol e i worm Flash, diventano
distruttivi appena penetrano nella rete, senza lasciare all’amministrazione il
tempo per attuare misure di controllo. Altri Worm famosi sono ILOVEYOU,
MSBlast e SQL Slammer.
I Worms vengono generalmente eliminati da specifici programmi di rimozione
malware (ad es. Malwarebytes). Si consiglia, inoltre, di aggiornare
costantemente software e firmware, di installare un software antivirus e
soprattutto di mantenersi aggiornati sulle minacce informatiche e di essere
sempre critici e cauti quando si naviga in rete.

116
Trojan Horse
Un cavallo di Troia è un programma che nasconde virus o elementi dannosi.
Si tratta di un malware mascherato da software utile, avviato da utenti che
credono di eseguire un normale programma. I Trojan quindi, fingono di
eseguire una determinata operazione mentre, in realtà, stanno diffondendo
elementi malevoli ed eseguendo azioni dannose sul pc. A differenza di Virus e
Worm, il malware Trojan non si riproduce ed una volta nel sistema può
generare danni di diversa entità.

117
In particolare, i Trojan Horse informatici possono creare backdoors che
consentano di accedere illegittimamente al computer da remoto, aggirando i
sistemi di protezione. Una volta all’interno, gli hacker possono installare altri
tipi di malware ed utilizzare il pc per compiere attività maligne sotto mentite
spoglie. Per questi motivi i Trojan, con le loro numerose varianti, sono
considerati tra i malware più popolari e pericolosi.
I malware Trojan si attivano su azioni dell’utente, solitamente convinto di
eseguire un normale programma o un file affidabile. Attualmente si diffondono
maggiormente attraverso software o file.exe scaricati gratuitamente online o
in allegati delle email. Si consiglia quindi, come sempre in informatica, di
essere estremamente prudenti, e scaricare ed eseguire solo i file di cui si è
ragionevolmente sicuri. Tra i Trojan più famosi ricordiamo Trojan-DDoS e
Trojan-Banker (progettato per il furto di dati bancari).
I Trojans possono essere rimossi manualmente, con dei Trojan Remover o
con programmi antivirus (es. Bitdefender). È buona prassi, inoltre, mantenere
aggiornate le patch di sicurezza del sistema operativo ed usare un firewall.
Navigare su internet con prudenza prestando attenzione ai link sconosciuti,

118
agli allegati di posta elettronica e ai programmi scaricati da fonti non
attendibili.
Backdoor
Una Backdoor permette agli hacker di accedere ad un PC e a tutte le sue
funzioni. Le Backdoor vengono settate in modo da superare le difese del
sistema ed accedere da remoto al computer, ottenendo con un sistema di
crittografia un’autenticazione che permetta di prendere il completo/parziale
possesso del terminale. Gli hacker in possesso del computer infetto,
utilizzano dei Bot (programmi automatici) che restano dormienti fino a
quando non viene eseguito uno specifico comando e che permettono ai
criminali informatici di sfruttare il pc per i propri scopi.
Le Backdoor permettono di impossessarsi di dati e file, ma anche di sfruttare
il pc per danneggiarne altri. I computer con backdoor entrano infatti a far
parte delle botnet, reti di migliaia di pc infetti che gli hacker utilizzano da
remoto. Solitamente, i bot vengono utilizzati per diverse azioni malevole:

119
inviare spam (tramite email, ma anche su siti web), compiere attacchi DoS
(Denial of Service), bloccare l’operatività di siti e server.
Le Backdoor vengono spesso installate tramite Worm e Trojan, che l’utente
può prendere inconsapevolmente tramite phinging o link malware. Senza
appropriate modifiche di sicurezza perfino le password di default possono
funzionare da backdoor ed anche determinate funzionalità di debugging
possono agire come falla.
Per proteggersi dalle Backdoor si consiglia di: monitorare l’attività di rete,
installare un antivirus, cambiare le password di default e, come sempre, fare
attenzione quando si installano software o plugin di cui non si conosce
l’origine.
Ransomware
Il ransomware è una forma di malware che impedisce all’utente di accedere a
determinate aree del proprio computer. Gli hacker si appropriano dei
database (di singoli individui o di intere organizzazioni) e criptano tutti i file in
essi contenuti, rendendoli inaccessibili senza chiave di decriptazione. Quando

120
il proprietario tenterà di accedere al database non potrà vederne il
contenuto, ma visualizzerà un messaggio che lo forza a pagare per riavere
accesso al computer. Per poter ottenere la chiave di decrittazione, gli
attaccanti richiedono il pagamento di un riscatto (“ransom”).
I ransomware si diffondono come Trojan e Worms ed entrano nel sistema
grazie a file malevoli scaricati o vulnerabilità nel servizio di rete. L’ascesa
delle criptovalute (es. Bitcoin) ha contribuito ad alimentare questi attacchi,
perché le monete virtuali facilitano il pagamento anonimo delle richieste di
riscatto. Tra i Ransomware più famosi ricordiamo Danabot (che ha colpito
numerose vittime in Italia) e tra i più recenti Clop Ransomware.
Per difendersi dai Ransomware sono validi tutti i suggerimenti
precedentemente forniti per gli altri tipi di malware, in particolare: utilizzare
antivirus e aggiornare software e firmware costantemente. Le vittime di un
attacco ransomware inoltre, dovrebbero evitare di pagare (più dell’80% delle
vittime che pagano il riscatto, comunque non riottengono i propri dati), ma
procedere con l’intervento di un esperto di Sicurezza Informatica.

121
Come difendersi dai Malware
Come anticipato precedentemente, i Malware si diffondono sia attraverso

supporti portatili (USB, CD, dischi di archiviazione esterni…), sia tramite
messaggi di posta elettronica, link malevoli, file-sharing e applicazioni di
messaggistica istantanea (WhatsApp, Telegram…). Attualmente, i canali più
utilizzati per la loro diffusione sono le applicazioni di file sharing e
messaggistica, comprese le email.
122
Quindi come difendersi dai Malware?
Consigli pratici
Innanzi tutto, esistono regole di buon senso comune che possono aiutarci a
proteggere il computer ed evitare di cadere vittima di crimini informatici.
In particolare, si consiglia di:
– Scaricare software solamente da siti fidati e certificati
– Non usare USB sconosciute
– Evitare di aprire allegati mail ricevuti da mittenti sconosciuti o sospetti
– Usare mail server che abbiano filtri spam
– Non cliccare su link sospetti o di provenienza sconosciuta
– Non fornire informazioni personali a persone non fidate
– Utilizzare VPN soprattutto quando ci si connette da Wi-Fi pubblici
– Eseguire sempre un backup periodico dei propri dati personali e
documenti, su dispositivi fissi e mobili
– Aggiornare il software del computer e i vari programmi che si utilizzano
– Limitare l’accesso alle risorse di rete
– Abilitare la visualizzazione delle estensioni in Windows

123
Anti-malware
Esistono diversi software di sicurezza informatica, ottimizzati per individuare
il malware ed eliminarlo.
Solitamente, i malware vengono individuati e rimossi con programmi antivirus
o antimalware. Si consiglia quindi, di installare un software antivirus di un
fornitore affidabile (ad esempio, un’ottima scelta potrebbe ricadere su
programmi per malware come gli Antivirus Kaspersky, Malwarebytes o
Bitdefender) ed aggiornarlo regolarmente. La scansione antivirus dovrà
essere eseguita sistematicamente e si consiglia di configurare lo scanner in
modo che si avvii ad ogni accensione del computer. Si consigliano scansioni
antivirus anche su programmi o file che potrebbero contenere codice
eseguibile, prima di aprirli.
Questo aiuterà a proteggere il sistema, monitorando e verificando la presenza
di malware.
Attenzione alla posta elettronica

Come sempre in Sicurezza Informatica, è importante essere a conoscenza
delle possibili minacce ed agire con cautela. Ad esempio, vista l’enorme

124
diffusione delle tecniche di Phishing, sarebbe buona regola non aprire mai
file o link contenuti in messaggi di un mittente sconosciuto o sospetto ed
usare mail server con filtri per lo spam. I messaggi infetti sono estremamente
rischiosi, perché se il client di posta elettronica consente lo scripting è
possibile infettare il pc semplicemente aprendone uno. Per questo, sarebbe
meglio limitare il contenuto HTML nei messaggi di posta elettronica,
visualizzandoli in maniera più sicura come solo testo.
Sicurezza in rete e affidabilità siti
Quando si naviga su Internet, è fondamentale controllare che un sito Web sia

sicuro prima di condividere le proprie informazioni personali. Le minacce che
si nascondono nel web sono innumerevoli e le truffe sono ormai all’ordine del
giorno, quindi è fondamentale controllare la sicurezza dei siti Web per non
mettere a rischio le informazioni personali sensibili. Le impostazioni di
sicurezza del browser sono particolarmente importanti non solo per la
sicurezza della navigazione in Internet, ma anche per garantire un
funzionamento sicuro di tutte quelle applicazioni che, per la loro esecuzione,
richiedono l’accesso ad elementi all’interno del browser.
125
Molte applicazioni web tentano di migliorare l’esperienza di navigazione

dell’utente abilitando diversi tipi di funzionalità. Queste funzionalità spesso
facilitano la navigazione e l’utilizzo dei programmi, ma allo stesso tempo
possono rendere il nostro computer più vulnerabile ad attacchi informatici.
Per questo motivo, si consiglia di disabilitare la maggior parte di queste
funzionalità a meno che non siano particolarmente necessarie. In ogni caso,
se durante la navigazione si determina che un sito è affidabile, è possibile
scegliere di abilitare temporaneamente le funzionalità richieste, per poi
disabilitarle nuovamente una volta terminata la visita del sito.
I browser hanno diverse opzioni e configurazioni di sicurezza, per questo è

essenziale familiarizzare con le opzioni, controllare la funzione di aiuto o fare
riferimento al sito web del fornitore. Ogni applicazione generalmente ha
impostazioni di default. Anche il browser quindi, come altri programmi, è
caratterizzato da impostazioni personalizzabili relativamente ai livelli di
sicurezza. Idealmente, la tua sicurezza andrebbe impostata al massimo
livello possibile. Tuttavia, limitare alcune funzionalità potrebbe ostacolare il
caricamento o il corretto funzionamento di alcune pagine Web. Per questo,
l’approccio migliore risulta quello di adottare il massimo livello di sicurezza
ed abilitare le funzionalità solo all’occorrenza.
Come verificare un sito web e capire se è un sito

affidabile
126
Uno dei dubbi più diffusi quando si naviga su Internet riguarda la sicurezza
dei siti web. Infatti, verificare l’affidabilità di un sito è essenziale, soprattutto
nel caso in cui si voglia procedere con acquisti online. Vediamo assieme 5
semplici passaggi che permettono di controllare se un sito è sicuro:
1. Icona lucchetto – HTTPS: i siti in formato https sono più sicuri in

quanto implementano SSL (Secure Sockets Layer) o TLS (Transport
Layer Security). Questi protocolli crittografici permettono una
comunicazione sicura dalla sorgente al destinatario (crittografia end to
end), aumentando la sicurezza del sito web e garantendo:
l’autenticazione del sito web visitato; la protezione della privacy
(riservatezza o confidenzialità); l’integrità dei dati scambiati tra le parti
comunicanti. Questi siti sono in genere facilmente identificabili, perché
presentano un’icona a forma di lucchetto prima del nome del sito e
generalmente garantiscono che i dati non cadranno nelle mani di utenti
malintenzionati.
Attenzione, ai siti e-commerce! Anche se il sito presenta il lucchetto e
può rientrare nella categoria dei “siti sicuri”, questo elemento comunque
non ci fornisce certezze in merito all’affidabilità del venditore o alla
qualità della merce.
2. Controllo del sito: Google ha creato uno strumento oggettivo per il
controllo dei livelli di sicurezza di un sito web, chiamato Google Safe
Browsing. Come spiegato sulla pagina “La tecnologia Navigazione sicura
di Google esamina miliardi di URL al giorno alla ricerca di siti web non
sicuri. Ogni giorno troviamo migliaia di nuovi siti non sicuri, molti dei quali
127
sono siti web legittimi che sono stati compromessi”. Per lo stesso
scopo si potrebbe utilizzare anche la pagina di Virus Total che si occupa
di controllare la sicurezza dei siti web, ispezionando le pagine tramite
scanner antivirus. Entrambi i browser funzionano allo stesso modo,
inserendo l’URL che si vuole verificare e premere invio.
3. Commenti di altri utenti: per farsi un’idea sull’affidabilità di un sito e del
venditore, si suggerisce di cercare recensioni, opinioni o commenti sui
forum. Generalmente chi ha già navigato sul sito e usufruito dei suoi
servizi, condivide la propria esperienza proprio per fornire indicazioni
ad altri utenti. Per procedere, basta cercare su Google il nome del sito
che interessa, inserendo parole quali “recensioni, opinioni, commenti”.
Uno dei forum attualmente più affidabili per la valutazione dei siti
e-commerce è Trustpilot.
4. Contatti social e chiamate: da valutare anche la possibilità di analizzare
le pagine social legate al sito principale, in modo da indagare
l’apprezzamento generale, le interazioni con il pubblico, ecc. Si potrebbe
anche pensare di provare ad inviare un messaggio o chiamare il
contatto telefonico, in modo da valutare il customer service e farsi
un’idea più approfondita del servizio.
5. Imposta la sicurezza del browser: ogni browser possiede funzionalità
per la sicurezza online. Si tratta di strumenti integrati che si occupano
di bloccare elementi come popup, disabilitare contenuti non sicuri,
bloccare i download automatici, bloccare l’accesso a microfono e
webcam, ecc. Impara a gestire queste funzionalità e se ne hai necessità,
128
scarica un browser pensato appositamente per la sicurezza, come

Firefox o Brave.
Impostare la sicurezza del Browser
Per proteggersi dagli attacchi informatici è essenziale familiarizzare con la

sicurezza informatica relativa agli elementi del web e le loro funzioni. Ogni
Browser ha delle impostazioni di sicurezza con cui l’utente può interagire per
impostare diversi livelli di protezione, in modo da rendere maggiormente
sicura la navigazione su Internet. Browser diversi utilizzano termini diversi per
129
riferirsi a determinate funzioni, ma generalmente esistono alcuni elementi

ed opzioni condivisi. Vediamo i più diffusi:
Zone: il browser potrebbe dare la possibilità di inserire i siti web in diversi

segmenti o zone, in modo da consentire di definire diverse restrizioni di
sicurezza per ciascuna zona.
Ad esempio, Internet Explorer identifica le seguenti zone:
Internet: questa è l’area generale in cui si trovano tutti i siti Web pubblici.
Quando navighi in Internet, le opzioni di sicurezza impostate per questa zona,
vengono applicate automaticamente a tutti i siti che vengono visitati. Per
garantire una migliore protezione durante la navigazione, si suggerisce di
impostare la sicurezza al livello più alto.
Intranet locale: una rete intranet (ad esempio all’interno di un ufficio) contiene
“pagine interne”, vale a dire che il contenuto web viene mantenuto su un Web
server interno. Di solito, per la zona intranet, si possono impostare opzioni
meno restrittive in termini di sicurezza, proprio perché si tratta di una rete
interna, maggiormente controllata. Tuttavia, attualmente sono aumentati i
casi i di intrusione anche nella rete Intranet, per questo motivo si consiglia di
non abbassare la guardia e tenere sempre presente quali siti sono in elenco e
quali privilegi vengono loro assegnati.
130
Sito attendibile: se ritieni che determinati siti garantiscano la sicurezza e

ritieni che il loro contenuto possa essere considerato affidabile, puoi
aggiungerlo alla categoria dei “siti attendibili” e applicare le impostazioni di
conseguenza. È inoltre possibile settare le impostazioni in modo che solo i siti
che implementano SSL (Secure Sockets Layer) o Transport Layer Security
(TLS) possano essere inseriti in questa zona. Solitamente, questi siti sicuri
che implementano l’HyperText Transfer Protocol over Secure Socket Layer
(HTTPS), presentano un lucchetto chiuso prima dell’URL. Anche se ti fidi di
loro, evita di applicare livelli di sicurezza estremamente bassi ai siti esterni: se
vengono attaccati, potresti diventare vittima dell’attacco anche tu.
Sito con restrizioni: se ci sono siti particolari che ritieni potrebbero non essere
sicuri, puoi identificarli e definire per loro delle impostazioni di sicurezza
avanzate. Dato che le impostazioni di sicurezza potrebbero non essere
sufficienti a proteggerti, la miglior precauzione rimane comunque quella di
evitare la navigazione su siti che fanno dubitare della loro sicurezza.
131
Rischi informatici legati agli script dei siti web
Inoltre, per implementare la loro funzionalità o aggiungere abbellimenti al

design, i siti Web spesso si basano su script che eseguono programmi
all’interno del browser. Questo contenuto attivo può essere utilizzato per
creare “pagine splash” o opzioni come i “menu a discesa” e quindi rendere più
facile e intuitiva la navigazione. Sfortunatamente, questi script vengono
spesso sfruttati dagli aggressori per scaricare o eseguire codici dannosi sul
132
computer di un utente.
Tra gli script che è possibile trovare nei siti web ricorrono:
Plug-in: a volte i browser richiedono di installare software aggiuntivi, noti

come “plug-in”, per fornire funzionalità aggiuntive. I plug-in possono essere
utilizzati dai criminali informatici per veicolare attacchi, quindi prima di
installarli, assicurati che siano necessari e che il sito da cui devi scaricarli sia
affidabile.
JavaScript: è uno dei tanti script web, probabilmente il più riconosciuto.

Utilizzato su quasi tutti i siti web, JavaScript e altri script permettono di
implementare funzionalità che facilitano la navigazione da parte degli utenti e
permettono di incorporare aspetti di layout.
Spesso i criminali informatici manipolano questi script per scopi malevoli. Un
tipo popolare di attacco basato su JavaScript, ad esempio, comporta il
reindirizzamento degli utenti da un sito Web legittimo ad uno dannoso, che
potrebbe scaricare automaticamente dei virus sul pc o raccogliere
informazioni personali.
Controlli Java e ActiveX: sono programmi che risiedono sul computer o

possono essere scaricati dal browser tramite rete. Se eseguiti da aggressori, i
controlli ActiveX inaffidabili potrebbero essere in grado di eseguire qualsiasi
operazione sul computer (come ad esempio eseguire spyware e raccogliere
informazioni personali, connettersi ad altri computer e potenzialmente
133
causare danni). Le applet Java di solito vengono eseguite in un ambiente

più limitato, ma se l’ambiente non risulta sicuro queste possono creare
opportunità di attacco per i cracker.
JavaScript, plug-in e altre forme di contenuto attivo non sono sempre

pericolosi, ma rimangono strumenti comunemente utilizzati dagli aggressori.
Prima di fare clic su un collegamento ad un sito Web che non conosci o di cui
non ti fidi, prendi come precauzione quella di disabilitare il contenuto attivo.
Setta le impostazioni in modo da impedire l’esecuzione automatica del
contenuto attivo nella maggior parte dei browser, tenendo comunque
presente che impostare maggiori livelli di sicurezza potrebbe limitare le
funzionalità e interrompere l’esecuzione di alcuni siti.
Ricorda, inoltre, che questi stessi rischi possono applicarsi anche a

programmi di posta elettronica. Molti client di posta elettronica, infatti,
utilizzano gli stessi programmi dei browser Web per visualizzare pagine
HTML, quindi le vulnerabilità che influenzano il contenuto attivo come
JavaScript e ActiveX si applicano spesso anche alla posta elettronica. Per
questo, impostare la visualizzazione dei messaggi come semplice testo può
risolvere il problema.
Cosa sono i Cookies e cosa fare

134
Quando navighiamo in Internet, le informazioni sul nostro computer

possono essere raccolte e memorizzate dai browser che visitiamo. Queste
informazioni potrebbero essere informazioni generali sul computer (indirizzo
IP, dominio (.edu, .com, .net), tipo di browser utilizzato), ma spesso anche
informazioni più specifiche sulle abitudini di navigazione (l’ultima volta che
hai visitato un particolare sito, le preferenze personali per la visualizzazione di
quel sito,ecc.).
I cookie possono essere salvati per periodi di tempo variabili:
Cookie di sessione: memorizzano le informazioni solo finché si utilizza il

browser e una volta chiuso il browser, le informazioni vengono cancellate. Lo
135
scopo principale dei cookie di sessione è quello di aiutare e facilitare la

navigazione. Ad esempio, indicano se hai già visitato una determinata pagina
e conservano le informazioni sulle tue preferenze una volta visitato un sito
web.
Cookie persistenti: vengono memorizzati sul tuo computer in modo che le tue
preferenze personali possano essere conservate. È proprio grazie a questi
cookie che il tuo indirizzo email appare in maniera predefinita quando apri i
tuoi account di posta elettronica o le tue credenziali vengono precompilate in
altri siti web che richiedono l’accesso. Nella maggior parte dei browser, è
possibile regolare la durata della memorizzazione dei cookie persistenti. Se un
utente malintenzionato ottiene l’accesso al tuo computer, potrebbe essere in
grado di raccogliere informazioni personali su di te proprio attraverso questi
file.
Per aumentare i livelli di sicurezza, considera la possibilità di modificare le

impostazioni di privacy e sicurezza, in modo da bloccare o limitare i cookie nel
tuo browser web. Per assicurarti che altri siti non raccolgano informazioni
personali su di te a tua insaputa, scegli di consentire i cookie solo per il sito
web che stai visitando e bloccare o limitare i cookie di terze parti. Se utilizzi
un computer pubblico, assicurati che i cookie siano disabilitati, per impedire
ad altre persone esterne di accedere o utilizzare le tue informazioni personali.
136
Durante la navigazione, potresti quindi impostare opzioni che ti consentono

di adottare le seguenti misure di sicurezza:
Gestione dei cookie: è possibile disabilitare, limitare o consentire i cookie in

base alle esigenze. In generale, è meglio disabilitare i cookie e abilitarli solo se
si visitano siti affidabili.
Blocco finestre popup: sebbene l’attivazione di questa opzione possa limitare

la funzionalità di alcuni siti Web, servirà a ridurre il numero di annunci popup
ricevuti, alcuni dei quali potrebbero rivelarsi dannosi per il proprio dispositivo.

Sicurezza Informatica & Cybersecurity

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Sicurezza Informatica & Cybersecurity

Caricato da

Copyright:

Formati disponibili

​

hanno la chiave per decodificarli possano accedere alle informazioni fornite.

​ 1. Malware: Il malware è un software dannoso che può corrompere i file,

​ 6. Infiltrazioni da parte interna: Le infiltrazioni da parte interna possono essere

​ 9. Formare gli utenti a distinguere le email phishing o le inseguire tecniche.

​ 19. Limitare l'accesso ai dati sensibili solo a personale autorizzato, utilizzando

​ 28. Verificare regolarmente gli estratti conto e le operazioni bancarie per

​ 31. Evitare di effettuare transazioni finanziarie o fornire informazioni sensibili

​ 39. Mantenere il proprio dispositivo mobile aggiornato con le ultime patch di

​ 56. Disabilitare la funzione di geolocalizzazione sui propri dispositivi quando

Attacchi informatici: attaccanti e modalità di azione

Questo articolo si propone di chiarire i diversi obiettivi che possono muovere

Lo scopo è quello di aiutare gli analisti ad acquisire una migliore

Le categorie di attaccanti informatici

La maggior parte delle statistiche disponibili pubblicamente si concentra sugli

La crescente frequenza e gravità degli attacchi ha reso più importante che

Le fonti di attacco informatico possono essere suddivise in tre principali

Ogni attaccante ed ogni modalità di attacco possiede caratteristiche tipiche,

Tipologie di attacchi informatici ed esempi

Gli attacchi informatici diretti alle organizzazioni (governative o private) e ai

1. Guerra informatica: attaccare o destabilizzare Stati, Nazioni e

Data la diversità degli attacchi, è necessario applicare approcci diversi per

1. L’evoluzione della guerra cibernetica

Le definizioni di Guerra Informatica variano notevolmente a seconda della

2. La problematica del crimine informatico

Attualmente, il termine hacker è entrato nel vocabolario comune con

computer senza autorizzazione, allo scopo di danneggiare un sistema

Un esempio potrebbe essere l’attacco perpetrato nel luglio 2017 contro

L’attivismo informatico include tutti gli eventi di protesta ad azioni perpetrate

saturare la rete o bloccare le capacità computazionali del target, rendendo

In casi meno frequenti, l’hacktivism viene perpetrato con attacchi di

Esempi recenti includono il movimento indipendentista catalano che nel 2017

Molte delle difficoltà che insorgono durante la classificazione di un evento di

Una problematica fondamentale in Cybersecurity e Digital Forensics è che,

di un attacco, questo non significa automaticamente che siano in grado di

Questo problema è noto come “attribution problem”. Il crescente numero di

Chiaramente, ci sono casi nella Digital Forensics in cui è impossibile giungere

Il presidente Trump nel dicembre 2016 ha citato il problema dell’attribuzione,

Come tracciare l’origine degli attacchi informatici

Per tracciare l’origine di un crimine informatico e classificarlo correttamente,

linguaggio naturalmente utilizzato dall’attaccante, spesso dipende lo

Questa analisi include la valutazione di:

A volte è possibile identificare gli attaccanti analizzando accuratamente la

vulnerabilità di solito seguono dei modelli d’azione: un gruppo di hacker

Detto questo, bisogna comunque rimanere critici e considerare che, in molti

La catena di approvvigionamento degli attacchi informatici è complessa e le

La lotta contro gli attacchi informatici si intensificherà sempre di più,

exploit, vulnerabilità zero-day, malware e kit di phishing progettati per

La natura delle minacce sta cambiando rapidamente e allo stesso modo i

Virus e Antivirus: come difendersi dalle minacce informatiche

Virus, Worms e Trojan

Un virus informatico è un programma che si diffonde infettando file o aree del

Un worm è un tipo di virus che può diffondersi senza interazione umana. I

Un Cavallo di Troia è un malware che nasconde un virus o altri programmi

Suggerimenti per proteggersi dai virus

● Scaricare gli ultimi aggiornamenti per il sistema operativo, così come i

● Installare un software antivirus da un fornitore affidabile come

Principali veicoli di infezione informatica: i rischi della

Tra i principali canali di diffusione dei malware troviamo: il download di

Cosa sono i Software Antivirus e cosa fanno

Sebbene ci siano dettagli variabili a seconda dei pacchetti, in genere, i

I fornitori di antivirus trovano quotidianamente nuovi malware e nuove

Quale antivirus scegliere?

1. Malware: Il malware è un software dannoso che può corrompere i file,

6. Infiltrazioni da parte interna: Le infiltrazioni da parte interna possono essere

9. Formare gli utenti a distinguere le email phishing o le inseguire tecniche.

19. Limitare l'accesso ai dati sensibili solo a personale autorizzato, utilizzando

28. Verificare regolarmente gli estratti conto e le operazioni bancarie per

31. Evitare di effettuare transazioni finanziarie o fornire informazioni sensibili

39. Mantenere il proprio dispositivo mobile aggiornato con le ultime patch di

56. Disabilitare la funzione di geolocalizzazione sui propri dispositivi quando