Un tempo la terminologia della sicurezza informatica apparteneva agli addetti ai lavori
Ma oggi purtroppo questi termini fanno parte del nostro vocabolario quotidiano
Perché un glossario della cybersecuirty? Districarsi tra le centinaia di acronimi, termini specifici e sigle della sicurezza informatica non è semplice, abbiamo quindi pensato di creare una mini-guida che potesse spiegare i termini più usati. Un comodo e semplice bignami a portata dei nostri lettori, da aggiungere ai segnalibri e consultare secondo necessità.
E che aggiorneremo nel tempo!
Dovresti consultare un glossario della cybersecurity?
Indipendentemente dal tuo ruolo in un’organizzazione, dovresti conoscere le basi della sicurezza informatica della tua azienda. E questo parte forzosamente dalla conoscenza del lessico e della terminologia. Almeno per comprendere cosa tu stia leggendo!
Lo scopo di questo glossario della cybersecurity è proprio questo: fornire una base che ti permetta di leggere consapevolmente articoli di cronaca, report divulgativi, e poter partecipare a aggiornamenti e meeting a tema.
Questo glossario della cybersecurity non è pensato per addetti ai lavori; abbiamo quindi privilegiato la chiarezza espositiva rispetto alla completezza tecnica di diverse voci, che, da sole, richiederebbero pagine di approfondimento.
L’inglese è la lingua che domina questo settore. Abbiamo quindi mantenuto tutti gli acronimi e i termini in inglese, integrandoli comunque con la traduzione in italiano laddove ne beneficiasse la comprensione del termine.
Glossario della Cybersecurity
A
Accesso: la possibilità di comunicare e interagire con un sistema e le informazioni in esso contenute, anche sfruttando le risorse del sistema stesso.
Access Control: [controllo dell’accesso] la metodologia di gestione degli accessi e delle risorse accessibili agli utenti di un sistema. A sua volta sottoclassificato secondo la metodologia utilizzata, DAC (discretionary), MAC (mandatory), RBAC (role-based).
Adware: [pubblicità malevola] un tipo di malware che invia banner, pop-up e pubblicità sul tuo sistema, spesso in modo insistente e estremamente invasivo.
Air Gap: [sotto vuoto] si dice di un sistema fisicamente isolato da altri sistemi o network, e quindi, in teoria, difficilmente raggiungibile e penetrabile.
Allow-list: [lista di permessi] una lista di utenti che gode di privilegi di amministratore o comunque di permessi specifici. Può essere usato anche genericamente per risorse e asset (es. indirizzi IP, domini, mittenti email, numeri di telefono, ecc.)
Anti-Malware \ Anti-Virus: nell’accezione generica, si tratta di software in grado di contrastare e\o rimuovere malware (spettro ampio, includendo quindi spyware, phishing, spam) o virus. In via semplicistica si basano sulla consultazione di un database di minacce note, aggiornato costantemente, e su un’attività di anomaly detection\pattern recognition: un comportamento anomalo di un software viene segnalato e potenzialmente bloccato o isolato.
Asset: qualsiasi elemento (sistema, persona, struttura, record, file, informazione) che abbia valore nell’ecosistema da monitorare o proteggere.
APT (Advanced Persistent Threat): [minaccia persistente avanzata] una violazione della sicurezza che permette a un attaccante di ottenere l’accesso o il controllo di un sistema per un periodo di tempo prolungato, di solito senza che il proprietario del sistema sia consapevole della violazione. Spesso un APT sfrutta numerose vulnerabilità sconosciute o attacchi zero day, che permettono all’attaccante di mantenere l’accesso all’obiettivo anche se alcuni vettori di attacco sono bloccati.
B
Backdoor: [entrata sul retro] è un metodo per aggirare il normale iter di autenticazione di un sistema, sfruttando vulnerabilità non note o non fixate.
Back-up: una copia del dato. Può essere eseguita localmente, in cloud, su un diverso dispositivo fisico, o meglio, su più supporti e location (concetto di ridondanza).
Baseline security: [sicurezza base] requisiti base di un sistema o di un’infrastruttura che dovrebbero essere garantiti e verificati da un’organizzazione.
Blackhat hacker: [hacker con il cappello nero] è un soggetto che utilizza le sue skill in ambito informatico, reti, e sociali con intento malevolo, per generare danno alle sue vittime o per arricchirsi, o entrambe le cose. Contrapposto al Whitehat hacker.
BC\BCP\BCA: [continuità del business] parliamo di Business Continuity\Planning\Analysis pensando al piano che assicura la continuità dei servizi core di un’azienda.
Block-List: [lista di blocco] la lista di utenti o risorse bloccate, per motivi di sicurezza, spam, contatti indesiderati o policy aziendali in genere (es. anche un social network potrebbe figurare nella block list di un’azienda, sebbene la risorsa in sé sia perfettamente valida e sana). Anche nota come “Black List”.
Blue Team: per definizione il gruppo di esperti cybersec a guardia di un asset\istituzione\infrastruttura. Contrapposto al Red Team in esercitazioni operative, fa parte della cultura generale del mondo cybersecurity.
Boot Malware: [malware dell’avvio] un tipo di malware che si insinua nella sezione di avvio di un sistema, con il vantaggio quindi di attivarsi prima ancora che il sistema operativo e le eventuali funzioni di difesa siano attive.
Bot: un sistema che compie azioni in modo automatico, in via programmatica o attivato da specifiche eventi o istanze. I bot sono alla base di attacchi di grandi dimensioni. Un intero computer compromesso a disposizione degli attaccanti viene ugualmente definito bot, o zombie.
Bot master: un’entità o soggetto che controlla una rete di sistemi infetti e ne dispone quindi della potenza di calcolo.
Botnet: un network di computer controllati da un bot master, con lo scopo di perpetuare attacchi su larga scala.
Browser Hijacking: [compromissione del browser] è un attacco che mira a cambiare la pagina iniziale o il comportamento di un browser (es. modificando il motore di ricerca predefinito). É considerato un attacco di basso livello, ma che può essere il preludio a attacchi di maggiore entità.
Brute Force: un attacco che non sfrutta processi analitici o di intelligenza (artificiale o umana), ma prevalentemente sfrutta la potenza di rete o di calcolo a disposizione degli attaccanti. Consiste nel generare un gran numero di password o keyword o combinazioni di stringhe alfanumeriche per accedere a sistemi o reperire informazioni sugli stessi.
Bug: un difetto del software.
BYOD: [porta il tuo dispositivo] acronimo per Bring Your Own Device, riguarda una policy aziendale che consente agli utenti di portare in azienda i propri dispositivi e collegarli alla rete. Questo fenomeno è salito agli onori della cronaca proprio in concomitanza con il lock-down e l’adozione in massa dello smart working.
C
Catfishing: assumere false identità con lo scopo di ingannare un soggetto e indirizzarlo a compiere azioni a proprio vantaggio.
Cache: una sezione di memoria estremamente rapida ma di limitata capienza. Utilizzata tipicamente per rendere rapida e fluida la navigazione di contenuto online. Ma allo stesso tempo utilizzata anche per compiere attacchi malevoli.
Cipher: [algoritmo di criptatura] è un algoritmo per eseguire la crittografia o la decrittografia, attraverso passaggi ben definiti eseguiti in una procedura.
CISO: Chief Information Security Officer, è il responsabile apicale per la sicurezza informatica di un’azienda.
CND: Computer Network Defense, il perimetro di sicurezza adottato da un’entità contro gli attacchi informatici. É normalmente definito da un protocollo e una policy di sicurezza.
Cracker: il termine appropriato per riferirsi a un aggressore non autorizzato di computer, reti e tecnologia al posto dell’abusato termine “hacker”. Tuttavia, questo termine non è così ampiamente usato nei media; pertanto oggi hacker è usato come sinonimo di cracker.
CTI: Cyber Threat Intelligence, il processo di ricerca, analisi, studio delle informazioni e dati con lo scopo di strutturare una strategia di mitigazione, controllo, difesa nei rispetti di una minaccia informatica.
CVE: Common Vulnerabilities and Exposure [Criticità e Vulnerabilità Note] è un dizionario di vulnerabilità e falle di sicurezza note pubblicamente. È mantenuto dalla MITRE Corporation ed è finanziato dalla National Cybersecurity FFRDC del Dipartimento della Sicurezza interna degli Stati Uniti.
Cyber-*: con il prefisso cyber- vengono indicate comunemente le attività inerenti il mondo dell’information technology e delle reti.
Cybersecurity: la sicurezza informatica è l’insieme dei mezzi, delle tecnologie e delle procedure tesi alla protezione dei sistemi informatici in termini di disponibilità, confidenzialità e integrità dei beni o asset informatici.
D
Data Breach\Leak: un dato riservato (o comunque interno) viene reso disponibile a soggetti non autorizzati. O addirittura reso pubblico.
Dark Web: siti web e contenuti online che esistono al di fuori della portata dei motori di ricerca e dei browser tradizionali. Questi contenuti sono protetti da metodi di crittografia e possono essere accessibili solo con software specifici, impostazioni di configurazione o in attesa di approvazione da parte dei loro amministratori. Da non confondere con il deep web.
DART: Detection And Response Team, il team che nelle grandi aziende si occupa di monitorare e prevenire gli attacchi informatici.
DDoS: Distributed Denial of Service [Negazione del Servizio Distribuita], è una tipologia di attacco che mira, attraverso l’utilizzo di una rete di risorse (vedi Botnet), a esaurire le disponibilità di un sistema rendendolo indisponibile. Tipicamente questo avviene inviando grandi quantità (nell’ordine di gigabit al secondo, o addirittura terabit al secondo) di dati al sistema oggetto dell’attacco.
Deep Web: si tratta semplicemente di tutto il contenuto web non indicizzato dai motori di ricerca (ad esempio una lista privata di oggetti su Amazon). In questo macro insieme esistono anche siti e contenuti (e individui) che volutamente rifiutano di essere indicizzati, per maggiore privacy o segretezza.
DNS: Domain Name System [Sistema dei nomi di dominio], è un sistema utilizzato per assegnare nomi ai nodi della rete, o host.
Drive-by download\attack: [download\attacco automatico] si tratta di un attacco che si innesca semplicemente visitando una risorsa web. É ad esempio alla base dell’Angler Kit.
E
Encryption: [Criptatura] un processo che usa la crittografia per rendere un dato non leggibile nel modo standard.
End-to-End: [dall’inizio alla fine] si tratta di un dato (o di un’azione) che parte dall’origine e arriva al termine, ad esempio di un sistema, di un network, di un flusso o di un processo.
Exploit: [sfruttare a proprio vantaggio] si tratta di uno script, codice, software in grado di causare un comportamento inatteso dagli utenti ma utilizzabile a proprio vantaggio, per fini spesso legati al cybercrime. Spesso gli exploit sfruttano bug e vulnerabilità.
Exploit Kit: software che scansiscono risorse (reti, sistemi, computer) in cerca di potenziali debolezze o vulnerabilità.
F
Firewall: un sistema di sicurezza di rete progettato per impedire l’accesso non autorizzato alle reti pubbliche o private. Il suo scopo è quello di controllare le comunicazioni in entrata e in uscita sulla base di un insieme di regole.
Forensic: termine usato in diversi contesti in ambito cybersecurity, ma che riportano all’utilizzo di una metodologia scientifica e indiziaria per il reperimento di informazioni e la loro analisi, conservazione, interpretazione, convalida.
Fuzzing: è una tecnica di test automatico che cerca di trovare bug di software hackerabili alimentando casualmente input e dati non validi e inaspettati in un programma per computer, al fine di trovare errori di codifica e falle di sicurezza. Si tratta di un processo sempre più comune sia per gli hacker che cercano vulnerabilità da sfruttare che per i difensori che devono tutelarsi da tali minacce.
H
Hacker: una persona che ha conoscenza e abilità nell’analizzare il codice di un programma o un sistema informatico, modificando le sue funzioni o operazioni e alterando le sue abilità e capacità. Per estensione e in parte erronea interpretazione, oggi il termine viene usato per indicare un criminale informatico.
Hacktivism: una forma di attivismo che usa attività di hacking per perseguire un obiettivo politico o sociale, spesso contro gruppi multinazionali, partiti, ideologie ecc.
Honeypot: [vaso del miele] si tratta di una trappola per hacker, spesso posta sotto forma di un sistema vulnerabile (es. una porta o un server o una macchina non protetta da password o similari). L’honeypot è configurato per registrare quante più info possibili sugli attaccanti, e creare quindi una strategia di difesa.
Hash: un algoritmo che trasforma un qualsivoglia input in una stringa di lunghezza costante. Le funzioni hash sono deterministiche (stesso input uguale stesso output), producono un output di lunghezza fissa, hanno un effetto valanga (minime modifiche nell’input causano modifiche drastiche nell’output). A differenza inoltre delle funzioni crittografiche, le funzioni hash non sono reversibili (ma possono essere comunque, talvolta, decodificate ricorrendo a tavole dette Rainbow Table).
I
Information Security: è il reparto che si occupa del mantenimento dell’integrità dei sistemi e dei dati aziendali
INFOSEC: Information System Security, l’insieme di mezzi tecnologie protocolli dediti al mantenimento e protezione dei dati e dei sistemi informativi.
Insider\Insider Threat: [minaccia interna] un soggetto con intenzioni malevole che appartiene però all’organizzazione stessa.
IP address: Internet Protocol Address [Indirizzo IP], è un numero che identifica univocamente un dispositivo collegato a una rete informatica all’interno della rete stessa, a livello globale.
IP Spoofing: [camuffare l’indirizzo IP] è una tecnica di attacco che prevede di falsificare l’indirizzo IP del mittente, e quindi superare tecniche difensive come quelle che prevedono l’autenticazione di un indirizzo IP.
K
Keylogger: un software o hardware che tiene traccia dei tasti premuti sulla tastiera dall’utente, spesso in modo celato con lo scopo di carpire informazioni riservate.
L
LAN: Local Area Network, dispositivi connessi all’interno di una rete o di un network in un’area limitata (es. un ufficio o un’abitazione).
Logic Bomb: uno script o malware che si attiva solo al verificarsi di specifiche condizioni o eventi, spesso innescati dal comportamento dell’utente.
M
Malware: qualsiasi script\software\codice creato con l’intento di generare un danno o violare comunque la sicurezza o stabilità di un sistema. Malware è l’accezione più generica che quindi raccoglie virus, trojan, worm, ecc. Si parla di Malware-as-a-service quando il servizio viene offerto a pacchetto da cyber criminali.
MIM: Man in the Middle [soggetto nel mezzo] si tratta di un attacco dove il soggetto malevolo si posiziona tra la vittima e un servizio web (o comunque all’interno del network in posizione in grado di captare i flussi dati scambiati da diversi soggetti). MIM può dirottare le info, catturarle, o alterarle, o compiere un insieme di azioni non desiderate da parte dell’utente.
Multifactor Authentication: [autenticazione a più fattori] (talvolta indicata anche come 2FA, Two Factor Authentication). Si tratta di un processo di identificazione di un utente che si basa su più parametri, e non solo l’accoppiata classica username + password. La prassi attuale vede un processo del genere (qualcosa che l’utente conosce AND qualcosa che l’utente ha AND\OR qualcosa che l’utente è). In tal caso, ad esempio (password AND token AND\OR impronta digitale).
P
Patch: [toppa] un piccolo update rilasciato dal creatore o manutentore del software o del sistema.
Payload: [carico utile] è il dato trasportato da un’entità all’interno della rete informatica.
Pentesting: Penetration Testing, ossia un tipo di attacco eseguito al fine di verificare punti deboli di un sistema e porvi rimedio. É quindi parte del lavoro del whitehat hacker, ad esempio.
Phishing: un tipo di attacco che utilizza tecniche di ingegneria sociale per carpire info e dati dalle vittime.
Phreaker: un hacker specializzato nell’utilizzo di reti telefoniche e cellulari.
Plaintext: testo in chiaro, non criptato.
Proxy server: server intermedio tra il computer dell’utente e il server web, che conserva in memoria i file e le pagine Internet maggiormente visitate, rendendo in tal modo più rapida la loro consultazione. Sono anche un baluardo di difesa intermedio posto tra utente e network centrale verso attacchi informatici.
R
Ransomware: [malware che chiede riscatto] un tipo di malware che rende indisponibili le informazioni e i dati aziendali (ad esempio criptandoli). Successivamente il criminale informa la vittima del fatto, chiedendo un riscatto. É uno delle tipologie di attacco più frequente.
Red Team: per definizione il gruppo di esperti cybersec che simulano un attacco hacker a un asset\istituzione\infrastruttura. Contrapposto al Blue Team in esercitazioni operative, fa parte della cultura generale del mondo cybersecurity.
Rogueware: [malware canaglia] un malware celato sotto spoglie di programmi di utilità (es. antivirus, programmi di pulizia del pc).
Root Access: [accesso alla radice] si usa per indicare i privilegi di amministratore su un sistema.
Rootkit: un insieme di strumenti software con privilegi di accesso a livello di amministratore installati su un sistema informativo e progettati per nascondere la presenza degli strumenti, mantenere i privilegi di accesso e nascondere le attività condotte dagli strumenti.
S
Scavenging: [sciacallaggio] o anche Dumpster Dive [tuffo nei rifiuti], l’atto di reperire info riservate e confidenziale cercando tra i rifiuti di un individuo o di un’organizzazione.
Script Kid: un hacker che esegue semplicemente script e programmi altrui senza conoscerne il funzionamento nel dettaglio. Usato, nella cultura hacker, anche in modo dispregiativo verso chi non ha conoscenza della materia.
Smishing: operazione di ingegneria sociale eseguita mediante sms
Sniffing: [fiutare] intercettare informazioni riservate all’interno di una rete (es. packet sniffing).
Social Engineering: [ingegneria sociale] l’insieme delle tecniche (e per estensione, l’attacco stesso) che sfrutta non la tecnologia ma la psicologia e la conoscenza dell’individuo e del suo comportamento, abitudini, cerchie sociali, al fine di manipolarlo e ottenere le informazioni o i comportamenti desiderati.
Spam: un messaggio o una comunicazione non desiderata, dall’intento spesso fraudolento, e comunque di valore nullo.
Spear phishing: [pesca con l’arpione] un tipo di attacco phishing che sfrutta l’esistenza di un reale rapporto tra vittima e entità online che viene emulata in modo fraudolento, ad esempio una banca o un social network. Questo tipo di attacco è molto preciso e spesso richiede un discreto effort per studiare le informazioni e abitudini della vittima.
Spoofing: [parodiare] falsificare l’identità di una fonte di comunicazione o interazione in un network (es. IP spoofing).
Spyware: [malware spia] un tipo di malware che ha lo scopo di monitorare il comportamento di un utente all’interno di una rete.
SQL Injection: [iniezione di codice SQL] un tipo di attacco che usa codice SQL iniettato all’interno del sistema mediante ad esempio nomi utenti, campi di testo, survey, e altri elementi che consentono data entry in un sito e non sono adeguatamente protetti contro tale minaccia.
Sysadmin: l’amministratore di sistema.
T
Threat: [minaccia] anche cyber threat, la minaccia informatica in generale.
Token: nel mondo della cybersecurity indica un dispositivo fisico in grado di generare codici autentificativi.
Tor: (acronimo di The Onion Router) è un software libero, che permette una comunicazione anonima per Internet basata sulla seconda generazione del protocollo di rete di onion routing: tramite il suo utilizzo è molto più difficile tracciare l’attività Internet dell’utente essendo finalizzato a proteggere la privacy degli utenti, la loro libertà e la possibilità di condurre delle comunicazioni confidenziali senza che vengano monitorate o intercettate.
Trojan: un tipo di malware dove il payload malevolo è camuffato all’interno di un contenuto legittimo (ad esempio un eseguibile di un videogame o di un programma).
V
VPN: Virtual Private Network [Rete Privata Virtuale] è una rete privata ad accesso controllato e dove le informazioni viaggiano criptate. Fornisce quindi un livello aggiuntivo di sicurezza a tutela degli utenti e dei dati.
Virus: una tipologia di malware programmata per causare danno e diffondersi rapidamente all’interno del network.
Vishing: un tipo di attacco che utilizza il VoIP, ossia il sistema di chiamate vocali fatte tramite internet. Tipicamente è usato per emulare un soggetto noto alla vittima che quindi fornisce le informazioni richieste.
Vulnerability: [vulnerabilità] una qualsiasi debolezza o punto debole in un sistema che permette all’attaccante di causare un danno.
W
Whitehat hacker: [hacker con il cappello bianco] è un soggetto che utilizza le sue skill in ambito informatico, reti, e sociali con l’intento di tutelare sistemi e reti e le informazioni in esso contenute.
Whitelist: [lista bianca] una lista che indica soggetti, domini, risorse liberamente accessibili o che hanno liberamente accesso a sistemi o risorse.
White Team: la squadra che supervisiona la competizione di simulazione di attacco tra team Red e Blue e giudica le sorti dell’evento.
Worm: un programma auto-replicante, auto-propagante e auto-contenuto che usa meccanismi di rete per diffondersi.
Z
Zero-Day: si dice di una vulnerabilità nota ma non ancora risolta dallo sviluppatore o manutentore del software, che quindi ha “zero giorni” per risolverla, in quanto già di dominio pubblico e quindi potenzialmente sfruttabile dagli attaccanti.
Zero-Trust: principio di sicurezza usato all’interno dell’organizzazione che assume livello di fiducia zero per qualsiasi tipologia di transazione tra i sistemi aziendali, anche laddove la stessa provenga da una fonte, apparentemente, nota e sicura (es. il computer di un dipendente).
Zombie: un computer connesso alla rete che all’occorrenza può venire controllato da un hacker o malintenzionato.
Fine del glossario della cybersecurity?
Per ora! Ma non credo che tarderemo ad allungarla con nuove tipologie di attacchi e minacce! Ti sembra manchi qualcosa di importante? Segnalacelo!
Ps. se ti stai chiedendo cosa ci faccia topolino nell’immagine di copertina, si tratta di un archeo meme leggendario (staccah staccah!)
Bibliografia
ENISA European Union Agency for Cybersecurity
NICCS National Initiative for Cybersecurity Careers & Studies