Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


Appunti Sicurezza informatica, Appunti di Sicurezza Dei Sistemi Informativi

Il programma tratta la sicurezza informatica partendo dai principi generali di protezione dei sistemi, dei dati e delle comunicazioni. Approfondisce la crittografia simmetrica, la crittografia a chiave pubblica, le funzioni hash, l’autenticazione dei messaggi, la firma digitale e la gestione delle chiavi. Una parte rilevante è dedicata all’autenticazione degli utenti, tramite password, token, biometria e sistemi remoti, e al controllo degli accessi, con modelli DAC, RBAC, ABAC, ICAM e trust framework. Il corso analizza poi i principali crimini informatici e le minacce: malware, virus, worm, trojan, backdoor, rootkit, DoS/DDoS e buffer overflow. Vengono inoltre studiati sicurezza del software, database, sistemi operativi, cloud e IoT. Infine, si esaminano strumenti e protocolli difensivi come antivirus, firewall, IDS, sicurezza della posta elettronica, SSL/TLS, HTTPS, IPsec, Kerberos, X.509, PKI e sicurezza wireless.

Tipologia: Appunti

2025/2026

In vendita dal 28/05/2026

vincenzo-di-martino-15
vincenzo-di-martino-15 🇮🇹

4 documenti

1 / 35

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
Appunti rielaborati di Sicurezza
Informatica
Versione in prosa chiara, approfondita e organizzata per lo studio
Nota di lavoro. Il file OneNote conteneva appunti testuali e dispense/printout PDF
incorporati. Ho riorganizzato i contenuti in sezioni, trasformando gli appunti sintetici in
prosa e integrando i punti poco chiari con spiegazioni generali utili al ripasso. Il testo non
è una trascrizione delle dispense, ma una rielaborazione orientata allo studio e alla
preparazione dell’esame.
Indice delle sezioni
1. Introduzione alla sicurezza informatica
2. Cifratura simmetrica
3. Autenticazione dei messaggi e funzioni hash
4. Crittografia a chiave pubblica
5. Firma digitale e gestione delle chiavi
6. Principi di autenticazione
7. Autenticazione con password
8. Autenticazione con token, biometrica e remota
9. Principi di controllo degli accessi
10. Controllo degli accessi discrezionale - DAC
11. Controllo degli accessi basato sui ruoli - RBAC
12. Controllo degli accessi basato sugli attributi - ABAC
13. ICAM e trust framework
14. Crimini informatici
15. Malware
16. Virus
17. Worm
18. Trojan, backdoor e rootkit
19. Attacchi DoS e DDoS
20. Buffer overflow
21. Sicurezza del software
22. Sicurezza del database
23. Sicurezza del sistema operativo
24. Sicurezza del cloud
25. Sicurezza IoT
26. Antivirus
27. Firewall
28. Intrusion Detection System - IDS
29. Sicurezza della posta elettronica
Appunti Sicurezza Informatica - rielaborazione per studio personale
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff
pf12
pf13
pf14
pf15
pf16
pf17
pf18
pf19
pf1a
pf1b
pf1c
pf1d
pf1e
pf1f
pf20
pf21
pf22
pf23

Anteprima parziale del testo

Scarica Appunti Sicurezza informatica e più Appunti in PDF di Sicurezza Dei Sistemi Informativi solo su Docsity!

Appunti rielaborati di Sicurezza

Informatica

Versione in prosa chiara, approfondita e organizzata per lo studio

Nota di lavoro. Il file OneNote conteneva appunti testuali e dispense/printout PDF incorporati. Ho riorganizzato i contenuti in sezioni, trasformando gli appunti sintetici in prosa e integrando i punti poco chiari con spiegazioni generali utili al ripasso. Il testo non è una trascrizione delle dispense, ma una rielaborazione orientata allo studio e alla preparazione dell’esame.

Indice delle sezioni

 1. Introduzione alla sicurezza informatica  2. Cifratura simmetrica  3. Autenticazione dei messaggi e funzioni hash  4. Crittografia a chiave pubblica  5. Firma digitale e gestione delle chiavi  6. Principi di autenticazione  7. Autenticazione con password  8. Autenticazione con token, biometrica e remota  9. Principi di controllo degli accessi  10. Controllo degli accessi discrezionale - DAC  11. Controllo degli accessi basato sui ruoli - RBAC  12. Controllo degli accessi basato sugli attributi - ABAC  13. ICAM e trust framework  14. Crimini informatici  15. Malware  16. Virus  17. Worm  18. Trojan, backdoor e rootkit  19. Attacchi DoS e DDoS  20. Buffer overflow  21. Sicurezza del software  22. Sicurezza del database  23. Sicurezza del sistema operativo  24. Sicurezza del cloud  25. Sicurezza IoT  26. Antivirus  27. Firewall  28. Intrusion Detection System - IDS  29. Sicurezza della posta elettronica

 30. SSL/TLS e HTTPS  31. IPsec  32. Kerberos, X.509 e PKI  33. Comunicazione wireless e wireless security

2. Cifratura simmetrica

Spiegazione in prosa

La cifratura simmetrica è una tecnica crittografica in cui mittente e destinatario condividono la stessa chiave segreta. La chiave viene usata sia per cifrare il messaggio in chiaro sia per decifrare il testo cifrato. Il vantaggio principale è l’efficienza: gli algoritmi simmetrici sono veloci e adatti alla protezione di grandi quantità di dati, come archivi, dischi, database o flussi di comunicazione. Un sistema di cifratura comprende normalmente cinque elementi: testo in chiaro, algoritmo di cifratura, chiave segreta, testo cifrato e algoritmo di decifratura. La sicurezza non dovrebbe dipendere dal segreto dell’algoritmo, ma dalla segretezza della chiave. Se un attaccante conosce l’algoritmo ma non la chiave, non dovrebbe riuscire a recuperare il testo originale in tempi realistici. Gli algoritmi simmetrici possono operare a blocchi o a flusso. Nella cifratura a blocchi il messaggio viene diviso in blocchi di dimensione fissa e ciascun blocco viene trasformato dall’algoritmo; è il caso di DES, 3DES e AES. DES usava una chiave effettiva di 56 bit, oggi insufficiente; 3DES ha aumentato la sicurezza applicando più volte DES, ma è meno efficiente; AES è lo standard moderno più usato. Nella cifratura a flusso, invece, la trasformazione avviene progressivamente su bit o byte, risultando utile in scenari di traffico dati continuo. La debolezza principale della cifratura simmetrica è la gestione della chiave: mittente e destinatario devono possedere la stessa chiave, ma lo scambio iniziale deve avvenire in modo sicuro. Se la chiave viene intercettata, l’intera comunicazione è compromessa. Per questo nei protocolli reali la cifratura simmetrica è spesso combinata con crittografia asimmetrica: la prima protegge i dati, la seconda aiuta nello scambio sicuro delle chiavi.

Concetti chiave da ricordare

 Stessa chiave per cifrare e decifrare.  Molto efficiente per grandi quantità di dati.  Algoritmi a blocchi: DES, 3DES, AES.  Problema centrale: distribuzione sicura della chiave.

Possibili domande d’esame

  1. Descrivi i cinque elementi di un sistema di cifratura.
  2. Differenza tra cifratura a blocchi e a flusso.
  3. Perché AES ha sostituito DES/3DES?

3. Autenticazione dei messaggi e funzioni hash

Spiegazione in prosa

L’autenticazione dei messaggi serve a garantire che un messaggio provenga da una fonte attendibile e che il suo contenuto non sia stato modificato durante la trasmissione. Non coincide necessariamente con la segretezza: un messaggio può essere leggibile ma comunque autenticato, oppure cifrato ma non verificabile. In sicurezza informatica è quindi importante distinguere riservatezza e integrità/autenticità. Una funzione hash prende un input di lunghezza arbitraria e produce un output di lunghezza fissa, chiamato digest o impronta. L’hash deve essere deterministico, rapido da calcolare e resistente: non deve essere praticabile risalire al messaggio originario partendo dal digest, né trovare due messaggi diversi con lo stesso hash. Per questo l’hash viene spesso paragonato a un’impronta digitale del file o del messaggio. Il MAC, Message Authentication Code, combina un messaggio con una chiave segreta condivisa e produce un codice di autenticazione. Mittente e destinatario calcolano il MAC sullo stesso messaggio: se i risultati coincidono, il destinatario ha una forte evidenza che il messaggio non sia stato alterato e che provenga da chi possiede la chiave. Diversamente dalla semplice cifratura, il MAC non serve principalmente a nascondere il contenuto, ma a verificarlo. Le famiglie SHA sono tra le più note per il calcolo degli hash. SHA-1 oggi è considerato superato per usi critici; SHA-2 e SHA-3 sono preferibili negli scenari moderni. Nella pratica, hash e MAC sono usati per verificare l’integrità di file scaricati, proteggere messaggi, controllare password memorizzate in forma non reversibile e costruire firme digitali.

Concetti chiave da ricordare

 Hash = impronta a lunghezza fissa.  MAC = autenticazione tramite messaggio + chiave segreta.  La cifratura protegge la riservatezza; hash/MAC proteggono integrità e autenticità.  Resistenza a collisioni e preimmagini è essenziale.

Possibili domande d’esame

  1. Che differenza c’è tra hash e MAC?
  2. Perché un hash non dovrebbe essere reversibile?
  3. Perché cifrare un messaggio non basta sempre per autenticarlo?

5. Firma digitale e gestione delle chiavi

Spiegazione in prosa

La firma digitale è un meccanismo crittografico che consente di verificare l’autenticità, l’integrità e il non ripudio di un documento o messaggio. In genere non si firma l’intero documento con la chiave privata, perché sarebbe inefficiente: prima si calcola l’hash del documento, poi si firma l’hash. Il destinatario ricalcola l’hash e verifica la firma usando la chiave pubblica del firmatario. La firma digitale non coincide con la cifratura. Cifrare significa rendere il contenuto non leggibile a soggetti non autorizzati; firmare significa rendere verificabile l’origine e l’integrità. Un documento firmato può anche essere in chiaro: chiunque può leggerlo, ma può anche controllare se è stato alterato e se la firma corrisponde al soggetto dichiarato. La gestione delle chiavi è un punto critico. Le chiavi private devono essere protette da furto, copia e uso non autorizzato; le chiavi pubbliche devono essere associate in modo affidabile all’identità dei soggetti. Qui entrano in gioco certificati digitali, autorità di certificazione e infrastrutture a chiave pubblica. Se una chiave privata viene compromessa, i certificati collegati devono poter essere revocati. Nel ciclo di vita delle chiavi rientrano generazione, distribuzione, archiviazione, uso, rotazione, revoca e distruzione. Una cattiva gestione delle chiavi può rendere inutile anche un algoritmo molto robusto: in crittografia, spesso l’anello debole non è l’algoritmo, ma la protezione operativa della chiave.

Concetti chiave da ricordare

 Firma = hash del documento firmato con chiave privata.  Garantisce integrità, autenticità e non ripudio.  Non protegge automaticamente la riservatezza.  Gestione delle chiavi: generazione, custodia, rotazione, revoca.

Possibili domande d’esame

13.Come funziona una firma digitale? 14.Firma digitale e cifratura sono la stessa cosa? 15.Perché la revoca dei certificati è importante?

6. Principi di autenticazione

Spiegazione in prosa

L’autenticazione è il processo con cui un sistema verifica l’identità dichiarata da un utente, dispositivo o servizio. È diversa dall’identificazione: l’identificazione consiste nel dichiarare chi si è, ad esempio inserendo uno username; l’autenticazione verifica che la dichiarazione sia attendibile, ad esempio tramite password, token o biometria. I fattori di autenticazione si dividono in tre categorie classiche: qualcosa che si sa, come una password o un PIN; qualcosa che si possiede, come un token hardware, una smart card o un’app di autenticazione; qualcosa che si è, cioè caratteristiche biometriche come impronta digitale o volto. L’uso combinato di più fattori aumenta la sicurezza perché un attaccante dovrebbe comprometterne più di uno. Un sistema di autenticazione efficace deve ridurre il rischio di impersonificazione, furto di credenziali, replay attack e accessi non autorizzati. Tuttavia deve anche essere utilizzabile: meccanismi troppo complessi possono spingere gli utenti verso comportamenti insicuri, come riutilizzare password o annotarle in luoghi non protetti. L’autenticazione è solo il primo passo. Dopo aver verificato chi è l’utente, il sistema deve stabilire cosa può fare: questa fase è l’autorizzazione. Un utente correttamente autenticato non deve necessariamente avere accesso a tutte le risorse.

Concetti chiave da ricordare

 Identificazione = dichiaro chi sono; autenticazione = lo dimostro.  Fattori: conoscenza, possesso, inerenza.  MFA riduce il rischio di compromissione.  Autenticazione e autorizzazione sono fasi diverse.

Possibili domande d’esame

16.Spiega i tre fattori di autenticazione. 17.Differenza tra autenticazione e autorizzazione. 18.Perché l’usabilità è importante nella sicurezza?

8. Autenticazione con token, biometrica e remota

Spiegazione in prosa

I token di autenticazione rappresentano il fattore “qualcosa che si possiede”. Possono essere dispositivi hardware, smart card, chiavi USB di sicurezza o applicazioni che generano codici temporanei. L’idea è che l’accesso richieda non solo una conoscenza, come la password, ma anche il possesso fisico o logico di un oggetto controllato dall’utente. I codici OTP, one-time password, sono validi una sola volta o per una finestra temporale molto breve. Riducendo il valore di una credenziale intercettata, mitigano alcuni attacchi di replay. Tuttavia non eliminano ogni rischio: phishing avanzato, malware sul dispositivo o attacchi man-in-the-middle possono ancora compromettere il processo se l’utente viene ingannato in tempo reale. La biometria usa caratteristiche fisiche o comportamentali, come impronte, volto, iride o voce. Il vantaggio è la comodità; il limite è che un dato biometrico non può essere cambiato facilmente se compromesso. Inoltre i sistemi biometrici lavorano per probabilità, quindi possono produrre falsi positivi e falsi negativi. Nell’autenticazione remota il problema principale è verificare un soggetto che non è fisicamente presente. Per questo si usano protocolli sicuri, canali cifrati, challenge- response, certificati e MFA. L’obiettivo è ridurre il rischio che un attaccante intercetti, replichi o manipoli le credenziali durante la comunicazione.

Concetti chiave da ricordare

 Token = possesso; password = conoscenza; biometria = inerenza.  OTP riduce il valore delle credenziali intercettate.  La biometria è comoda ma non facilmente revocabile.  Autenticazione remota richiede protocolli e canali sicuri.

Possibili domande d’esame

22.Vantaggi e limiti della biometria. 23.Che cos’è un OTP? 24.Perché l’MFA è utile ma non infallibile?

9. Principi di controllo degli accessi

Spiegazione in prosa

Il controllo degli accessi stabilisce quali soggetti possono accedere a quali oggetti e con quali operazioni. Il soggetto può essere un utente, un processo o un servizio; l’oggetto può essere un file, un database, una rete o una funzione applicativa; le operazioni possono includere lettura, scrittura, modifica, esecuzione o cancellazione. Il controllo accessi segue alcuni principi fondamentali. Il principio del minimo privilegio prevede che ogni soggetto riceva solo i permessi necessari per svolgere il proprio compito. La separazione dei compiti impedisce che un singolo soggetto possa completare da solo attività critiche senza controlli. Il need-to-know limita l’accesso alle informazioni effettivamente necessarie. La gestione dei permessi deve essere coerente con il ciclo di vita degli utenti: creazione dell’account, assegnazione dei privilegi, modifica in caso di cambio ruolo, sospensione e revoca quando l’utente lascia l’organizzazione. Molte violazioni derivano da account dimenticati, privilegi eccessivi o mancata rimozione di autorizzazioni obsolete. Il controllo degli accessi è strettamente collegato ad autenticazione e audit. Prima si verifica l’identità dell’utente, poi si autorizzano le azioni consentite, infine si registrano le operazioni svolte per garantire responsabilità e tracciabilità.

Concetti chiave da ricordare

 Soggetto, oggetto, operazione.  Minimo privilegio, need-to-know, separazione dei compiti.  Account e privilegi devono seguire il ciclo di vita dell’utente.  Audit e logging completano il controllo degli accessi.

Possibili domande d’esame

25.Spiega il principio del minimo privilegio. 26.Perché i privilegi eccessivi sono pericolosi? 27.Differenza tra autenticazione, autorizzazione e auditing.

11. Controllo degli accessi basato sui ruoli - RBAC

Spiegazione in prosa

Il modello RBAC assegna i permessi ai ruoli e non direttamente ai singoli utenti. L’utente riceve uno o più ruoli in base alla funzione svolta nell’organizzazione, e attraverso tali ruoli ottiene i permessi necessari. Questo rende più semplice amministrare ambienti complessi, perché è più facile gestire ruoli come “amministratore”, “operatore”, “revisore” o “utente standard” rispetto a centinaia di permessi individuali. RBAC favorisce il principio del minimo privilegio: i ruoli devono essere progettati in modo da includere solo le autorizzazioni necessarie. Inoltre permette di applicare la separazione dei compiti, impedendo che ruoli incompatibili siano assegnati alla stessa persona, per esempio chi autorizza una spesa e chi la controlla. Un rischio del RBAC è la proliferazione dei ruoli. Se i ruoli diventano troppi o troppo specifici, il modello perde semplicità. È quindi importante progettare una gerarchia chiara, revisionare periodicamente i ruoli e rimuovere assegnazioni non più coerenti con la posizione dell’utente. RBAC è molto usato in aziende, sistemi informativi, database e piattaforme cloud perché rispecchia la struttura organizzativa. È particolarmente efficace quando i compiti sono stabili e riconducibili a profili funzionali ben definiti.

Concetti chiave da ricordare

 Permessi assegnati ai ruoli, non ai singoli utenti.  Semplifica la gestione in organizzazioni complesse.  Supporta minimo privilegio e separazione dei compiti.  Rischio: proliferazione eccessiva dei ruoli.

Possibili domande d’esame

31.Come funziona RBAC? 32.Perché RBAC è utile nelle organizzazioni? 33.Che cosa si intende per role explosion?

12. Controllo degli accessi basato sugli attributi - ABAC

Spiegazione in prosa

ABAC autorizza l’accesso in base ad attributi del soggetto, dell’oggetto, dell’azione e del contesto. Per esempio, un sistema può consentire a un utente di leggere un documento solo se appartiene a un determinato reparto, il documento ha un certo livello di classificazione, l’accesso avviene durante l’orario di lavoro e da un dispositivo conforme. Rispetto a RBAC, ABAC è più flessibile e granulare. Non si limita al ruolo dell’utente, ma considera condizioni dinamiche come posizione, ora, rischio, rete di provenienza, stato del dispositivo o classificazione del dato. Questo lo rende adatto ad ambienti cloud, mobile e zero trust, dove il perimetro tradizionale è meno definito. La difficoltà principale è la complessità delle policy. Se le regole sono troppe, incoerenti o scritte male, il sistema può diventare difficile da comprendere e amministrare. Inoltre la qualità degli attributi è fondamentale: decisioni basate su attributi errati producono autorizzazioni errate. Un buon modello ABAC richiede policy chiare, fonti affidabili di attributi, logging delle decisioni e strumenti di verifica. È potente, ma deve essere progettato con attenzione per evitare ambiguità e conflitti tra regole.

Concetti chiave da ricordare

 ABAC = decisione basata su attributi.  Attributi di soggetto, oggetto, azione e contesto.  Più flessibile di RBAC, ma più complesso.  Adatto a cloud, mobile e zero trust.

Possibili domande d’esame

34.Differenza tra RBAC e ABAC. 35.Fai un esempio di policy ABAC. 36.Quali rischi derivano da attributi non affidabili?

14. Crimini informatici

Spiegazione in prosa

I crimini informatici comprendono condotte illecite realizzate mediante sistemi informatici o dirette contro sistemi, dati e reti. Il computer può essere lo strumento del reato, come nelle frodi online, oppure il bersaglio, come nel danneggiamento di sistemi, accesso abusivo o diffusione di malware. Le categorie più frequenti includono accesso non autorizzato, intercettazione illecita, danneggiamento o alterazione di dati, frodi informatiche, furto di identità, phishing, estorsioni tramite ransomware e diffusione di contenuti illeciti. La caratteristica comune è la dimensione digitale, che spesso rende gli attacchi rapidi, scalabili e transnazionali. Dal punto di vista investigativo, il problema principale è preservare le prove digitali. Log, file, metadati, traffico di rete e immagini forensi devono essere acquisiti senza alterazioni, mantenendo catena di custodia e tracciabilità. Una prova digitale è fragile: può essere modificata involontariamente o intenzionalmente se non gestita con metodo. La prevenzione dei crimini informatici richiede misure tecniche e consapevolezza degli utenti. Molti attacchi sfruttano vulnerabilità tecnologiche, ma anche social engineering, disattenzione, credenziali deboli o procedure organizzative carenti.

Concetti chiave da ricordare

 Il computer può essere mezzo o bersaglio del reato.  Frodi, phishing, ransomware, accessi abusivi sono esempi tipici.  Le prove digitali richiedono preservazione e catena di custodia.  La dimensione transnazionale complica indagini e attribuzione.

Possibili domande d’esame

40.Differenza tra computer come mezzo e come bersaglio. 41.Perché la prova digitale è delicata? 42.Che ruolo ha il social engineering nei crimini informatici?

15. Malware

Spiegazione in prosa

Il malware è software progettato per svolgere attività dannose, non autorizzate o indesiderate su un sistema. Può mirare a distruggere dati, rubare informazioni, ottenere controllo remoto, spiare l’utente, cifrare file a scopo estorsivo o usare il sistema compromesso per ulteriori attacchi. Le principali famiglie comprendono virus, worm, trojan, backdoor, rootkit, spyware, adware, ransomware e bot. Ogni categoria si distingue per modalità di diffusione, persistenza, occultamento e obiettivo. Nella pratica moderna molti malware sono ibridi: un singolo campione può includere funzioni di trojan, backdoor, furto credenziali e cifratura ransomware. Il ciclo operativo di un malware può includere infezione, installazione, occultamento, comunicazione con un server di comando e controllo, esecuzione del payload e propagazione. Alcuni malware restano dormienti fino al verificarsi di una condizione, come una data, un comando remoto o un’azione dell’utente. La difesa richiede approccio multilivello: aggiornamenti, riduzione dei privilegi, antivirus/EDR, backup offline, filtro della posta, segmentazione di rete, formazione contro phishing e monitoraggio degli indicatori di compromissione. Nessuna misura singola è sufficiente contro malware moderni.

Concetti chiave da ricordare

 Malware = software malevolo o non autorizzato.  Categorie: virus, worm, trojan, ransomware, rootkit, spyware.  Spesso combina più funzioni.  Difesa multilivello: prevenzione, rilevamento, risposta.

Possibili domande d’esame

43.Che cos’è un malware? 44.Perché i malware moderni sono spesso ibridi? 45.Quali difese riducono il rischio ransomware?

17. Worm

Spiegazione in prosa

Il worm è un malware capace di propagarsi autonomamente attraverso reti e sistemi senza bisogno di infettare un file ospite. La sua caratteristica principale è l’autoreplicazione: una volta eseguito su un sistema, cerca altri bersagli vulnerabili e tenta di comprometterli automaticamente. I worm sfruttano vulnerabilità di rete, servizi esposti, configurazioni errate, credenziali deboli o condivisioni non protette. La loro pericolosità deriva dalla rapidità di diffusione: un singolo worm può generare traffico elevato, saturare reti, consumare risorse e aprire la strada a ulteriori payload dannosi. Alcuni worm trasportano moduli aggiuntivi, come backdoor, botnet agent o ransomware. In questi casi la propagazione è solo la prima fase: dopo l’infezione, il sistema compromesso può essere controllato da remoto o usato per attacchi DDoS, spam o furto dati. La difesa contro i worm richiede patching tempestivo, riduzione dei servizi esposti, segmentazione di rete, firewall, IDS/IPS e monitoraggio del traffico anomalo. La segmentazione è particolarmente importante perché limita il movimento laterale e impedisce che un’infezione si diffonda senza ostacoli in tutta l’organizzazione.

Concetti chiave da ricordare

 Worm = propagazione autonoma senza file ospite.  Sfrutta rete, vulnerabilità e credenziali deboli.  Può causare saturazione e movimento laterale.  Segmentazione e patching sono difese essenziali.

Possibili domande d’esame

49.Differenza tra worm e virus. 50.Perché i worm sono rapidi nella diffusione? 51.Come la segmentazione riduce l’impatto di un worm?

18. Trojan, backdoor e rootkit

Spiegazione in prosa

Un trojan è un software apparentemente legittimo che nasconde funzioni dannose. Non si replica necessariamente da solo: inganna l’utente o l’amministratore inducendolo a eseguirlo. Può presentarsi come programma utile, allegato, crack, aggiornamento fasullo o file ricevuto tramite social engineering. La backdoor è un meccanismo che consente accesso remoto non autorizzato o elusione delle normali procedure di autenticazione. Può essere installata da un trojan, da un attaccante dopo la compromissione o essere introdotta intenzionalmente in un software. Il suo scopo è mantenere persistenza e controllo sul sistema. Il rootkit è progettato per nascondere la presenza dell’attaccante o del malware. Può operare a livello utente, kernel, firmware o boot, alterando la visibilità di processi, file, connessioni e log. Più è basso il livello a cui agisce, più è difficile rilevarlo e rimuoverlo. Il rilevamento richiede controlli incrociati: scanner host-based, EDR, verifica dell’integrità, analisi dei log, confronto offline e monitoraggio di comportamento anomalo. La formazione degli utenti resta importante perché molti trojan iniziano con social engineering o esecuzione volontaria di file malevoli.

Concetti chiave da ricordare

 Trojan = inganno tramite software apparentemente legittimo.  Backdoor = accesso nascosto o non autorizzato.  Rootkit = occultamento e persistenza.  Rilevamento: controlli incrociati e analisi comportamentale.

Possibili domande d’esame

52.Differenza tra trojan e worm. 53.A cosa serve una backdoor? 54.Perché i rootkit sono difficili da rilevare?