








Studia grazie alle numerose risorse presenti su Docsity
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Prepara i tuoi esami
Studia grazie alle numerose risorse presenti su Docsity
Prepara i tuoi esami con i documenti condivisi da studenti come te su Docsity
Trova i documenti specifici per gli esami della tua università
Preparati con lezioni e prove svolte basate sui programmi universitari!
Rispondi a reali domande d’esame e scopri la tua preparazione
Riassumi i tuoi documenti, fagli domande, convertili in quiz e mappe concettuali
Studia con prove svolte, tesine e consigli utili
Togliti ogni dubbio leggendo le risposte alle domande fatte da altri studenti come te
Esplora i documenti più scaricati per gli argomenti di studio più popolari
Ottieni i punti per scaricare
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
EXTRA ESAME Sicurezza informatica (INF/01) L-31
Tipologia: Panieri
1 / 14
Questa pagina non è visibile nell’anteprima
Non perderti parti importanti!









Sicurezza informatica (INF/01) Piano Di Studi - Indirizzo Digital Transformation & Cybersecurity Laurea in Informatica per le Aziende Digitali L- Definizioni ESAME 2026 + EXTRA PANIERE Cos’è la sicurezza informatica? Insieme di principi e tecniche per proteggere sistemi, dati e comunicazioni. Obiettivi fondamentali della sicurezza. Riservatezza, Integrità, Disponibilità (CIA). Riservatezza: definizione. Accesso ai dati solo da soggetti autorizzati. Integrità: definizione. I dati non devono essere alterati indebitamente. Disponibilità: definizione. I servizi devono essere accessibili quando richiesti. Cos’è una minaccia? Evento potenziale che può causare un danno. Cos’è una vulnerabilità? Debolezza sfruttabile da una minaccia. Cos’è un rischio? Probabilità × impatto di una minaccia. Cos’è un attaccante? Entità che tenta di violare la sicurezza. Attaccante interno vs esterno. Interno ha accessi legittimi, esterno no. Cos’è un modello di minaccia? Descrizione strutturata di attori, asset e attacchi. Perché il threat modeling è cruciale? Perché guida le contromisure. Cos’è il principio del least privilege? Concedere solo i permessi strettamente necessari. Perché è fondamentale? Riduce la superficie di attacco. Cos’è la defense in depth? Difesa a più livelli indipendenti. Perché un solo meccanismo non basta? Perché ogni difesa può fallire. Cos’è l’autenticazione? Verifica dell’identità. Cos’è l’autorizzazione? Verifica dei permessi. Autenticazione vs autorizzazione. Prima chi sei, poi cosa puoi fare. Fattori di autenticazione. Qualcosa che sai, hai, sei.
Cos’è la MFA? Autenticazione a più fattori. Perché la MFA è efficace? Riduce l’impatto del furto di credenziali. Cos’è una password debole? Facilmente indovinabile o riutilizzata. Perché le password sono problematiche? Perché dipendono dal comportamento umano. Cos’è un hash crittografico? Funzione che mappa input a output fisso non invertibile. Proprietà di un buon hash. Resistenza a preimmagine, seconda preimmagine, collisioni. Perché non si salvano password in chiaro? Perché una violazione comprometterebbe tutto. Cos’è il salting? Aggiunta di valore casuale all’input dell’hash. Perché il salting è essenziale? Previene rainbow table. Cos’è il key stretching? Rendere l’hash computazionalmente costoso. Esempi di funzioni per password. bcrypt, scrypt, Argon2. Cos’è la crittografia? Tecnica per proteggere la riservatezza dei dati. Crittografia simmetrica. Stessa chiave per cifrare e decifrare. Crittografia asimmetrica. Coppia chiave pubblica/privata. Vantaggi della simmetrica. Veloce. Vantaggi dell’asimmetrica. Gestione sicura delle chiavi. Cos’è un algoritmo ibrido? Usa asimmetrica per scambiare chiavi simmetriche. Cos’è TLS? Protocollo per comunicazioni sicure. Cosa garantisce TLS? Riservatezza, integrità, autenticazione del server. Cos’è un certificato digitale? Associazione firmata tra chiave pubblica e identità. Cos’è una CA? Autorità che firma certificati. Cos’è un MITM attack? Intercettazione e manipolazione della comunicazione.
Perché la sicurezza non è solo tecnica? Perché l’uomo è spesso l’anello debole. Cos’è una policy di sicurezza? Regole organizzative per proteggere i sistemi. Cos’è la sicurezza perimetrale? Difesa basata su confini di rete. Perché il perimetro non basta più? Cloud e mobilità lo dissolvono. Cos’è il modello zero trust? Non fidarsi mai, verificare sempre. Cos’è un IDS? Sistema di rilevamento intrusioni. IDS vs IPS. IDS segnala, IPS blocca. Cos’è un log di sicurezza? Registrazione di eventi rilevanti. Perché i log sono fondamentali? Per rilevamento e analisi post-attacco. Cos’è un incidente di sicurezza? Evento che compromette CIA. Fasi della gestione di un incidente. Preparazione, rilevamento, contenimento, recupero, analisi. Cos’è il security hardening? Riduzione della superficie di attacco. Esempio di hardening. Disabilitare servizi inutili. Cos’è una patch di sicurezza? Aggiornamento che corregge vulnerabilità. Perché il patching è critico? Molti attacchi sfruttano vulnerabilità note. Cos’è un asset? Qualsiasi risorsa che ha valore e va protetta. Perché identificare gli asset viene prima delle contromisure? Perché non tutto ha lo stesso valore. Cos’è la superficie di attacco? Insieme dei punti sfruttabili da un attaccante. Come si riduce la superficie di attacco? Rimuovendo funzionalità inutili e riducendo privilegi. Cos’è una trust boundary? Confine oltre il quale non ci si fida più. Perché individuare le trust boundary è cruciale? Perché lì servono controlli di sicurezza. Cos’è un secure design? Progettazione che assume l’attacco come inevitabile.
Security by design vs security by obscurity. La prima è strutturale, la seconda è fragile. Cos’è la security by obscurity? Affidarsi al segreto dell’implementazione. Perché è considerata debole? Perché il segreto prima o poi viene scoperto. Cos’è il principio del fail secure? In caso di errore, il sistema resta sicuro. Fail secure vs fail safe. Fail secure protegge i dati, fail safe protegge le persone. Cos’è un controllo preventivo? Blocca l’attacco prima che avvenga. Cos’è un controllo detective? Rileva l’attacco in corso o avvenuto. Cos’è un controllo correttivo? Ripristina lo stato dopo un incidente. Perché servono tutti e tre? Perché nessuna difesa è perfetta. Cos’è una vulnerabilità logica? Errore nel flusso applicativo, non nel codice basso livello. Esempio di vulnerabilità logica. Bypass di autorizzazione. Perché sono difficili da individuare? Perché il codice può essere “corretto”. Cos’è una race condition di sicurezza? Condizione di gara che consente violazioni. Esempio tipico. TOCTOU (time-of-check to time-of-use). Cos’è un TOCTOU? Controllo valido che diventa invalido prima dell’uso. Perché TOCTOU è subdolo? Perché dipende dal timing. Cos’è una sandbox? Ambiente isolato per eseguire codice non fidato. Limite delle sandbox. Bug di escape. Cos’è l’isolamento? Separazione forte tra componenti. Isolamento di processo vs container. Processo: kernel-level. Container: isolamento logico. Cos’è una VM? Macchina virtuale isolata a livello hardware. VM vs container in sicurezza. VM più isolate, container più leggere.
Cos’è l’OWASP Top 10? Classifica delle vulnerabilità web più comuni. Perché OWASP è importante? Riflette attacchi reali. Cos’è una SQL injection logica? Iniezione che altera il significato della query. Perché le injection esistono ancora? Errori umani e legacy. Cos’è una XSS? Iniezione di script nel browser della vittima. XSS stored vs reflected. Stored persistente, reflected immediata. Cos’è una CSRF? Abuso di una sessione autenticata. Difesa contro CSRF. Token anti-CSRF. Cos’è una session fixation? Forzare una sessione nota alla vittima. Cos’è una session hijacking? Furto di sessione. Cos’è un token di sessione sicuro? Casuale, imprevedibile, a scadenza. Cos’è il logging sensibile? Log che contengono dati riservati. Perché è pericoloso? I log sono spesso poco protetti. Cos’è un principio di minimizzazione dei dati? Raccogliere solo ciò che serve. Perché la privacy è sicurezza? Meno dati = meno impatto in caso di breach. Cos’è un data breach? Violazione con esposizione di dati. Perché il breach response è cruciale? Il danno dipende dalla reazione. Cos’è una disclosure responsabile? Comunicazione controllata delle vulnerabilità. Cos’è un bug bounty? Programma che incentiva la segnalazione di bug. Perché funzionano? Sfruttano la comunità come difesa. Cos’è il penetration testing? Test offensivo autorizzato. Pentest vs audit. Pentest simula attacchi, audit valuta controlli. Cos’è una red team? Squadra che simula attaccanti avanzati. Cos’è una blue team? Squadra difensiva.
Cos’è una purple team? Collaborazione tra red e blue. Cos’è un asset? Qualsiasi risorsa che ha valore e va protetta. Perché identificare gli asset viene prima delle contromisure? Perché non tutto ha lo stesso valore. Cos’è la superficie di attacco? Insieme dei punti sfruttabili da un attaccante. Come si riduce la superficie di attacco? Rimuovendo funzionalità inutili e riducendo privilegi. Cos’è una trust boundary? Confine oltre il quale non ci si fida più. Perché individuare le trust boundary è cruciale? Perché lì servono controlli di sicurezza. Cos’è un secure design? Progettazione che assume l’attacco come inevitabile. Security by design vs security by obscurity. La prima è strutturale, la seconda è fragile. Cos’è la security by obscurity? Affidarsi al segreto dell’implementazione. Perché è considerata debole? Perché il segreto prima o poi viene scoperto. Cos’è il principio del fail secure? In caso di errore, il sistema resta sicuro. Fail secure vs fail safe. Fail secure protegge i dati, fail safe protegge le persone. Cos’è un controllo preventivo? Blocca l’attacco prima che avvenga. Cos’è un controllo detective? Rileva l’attacco in corso o avvenuto. Cos’è un controllo correttivo? Ripristina lo stato dopo un incidente. Perché servono tutti e tre? Perché nessuna difesa è perfetta. Cos’è una vulnerabilità logica? Errore nel flusso applicativo, non nel codice basso livello. Esempio di vulnerabilità logica. Bypass di autorizzazione. Perché sono difficili da individuare? Perché il codice può essere “corretto”. Cos’è una race condition di sicurezza? Condizione di gara che consente violazioni.
Perché i rootkit sono difficili da rilevare? Perché alterano gli strumenti di controllo. Cos’è una botnet? Rete di dispositivi compromessi. A cosa serve una botnet? DDoS, spam, attacchi coordinati. Cos’è un attacco DDoS? Saturazione delle risorse di un servizio. Perché è difficile da difendere? Perché sfrutta molte fonti legittime. Cos’è un rate limiting? Limitazione del numero di richieste. Cos’è un WAF? Firewall applicativo web. Limite dei WAF. Non capiscono la logica applicativa. Cos’è la sicurezza applicativa? Protezione a livello di codice e logica. Cos’è l’OWASP Top 10? Classifica delle vulnerabilità web più comuni. Perché OWASP è importante? Riflette attacchi reali. Cos’è una SQL injection logica? Iniezione che altera il significato della query. Perché le injection esistono ancora? Errori umani e legacy. Cos’è una XSS? Iniezione di script nel browser della vittima. XSS stored vs reflected. Stored persistente, reflected immediata. Cos’è una CSRF? Abuso di una sessione autenticata. Difesa contro CSRF. Token anti-CSRF. Cos’è una session fixation? Forzare una sessione nota alla vittima. Cos’è una session hijacking? Furto di sessione. Cos’è un token di sessione sicuro? Casuale, imprevedibile, a scadenza. Cos’è il logging sensibile? Log che contengono dati riservati. Perché è pericoloso? I log sono spesso poco protetti. Cos’è un principio di minimizzazione dei dati? Raccogliere solo ciò che serve.
Perché la privacy è sicurezza? Meno dati = meno impatto in caso di breach. Cos’è un data breach? Violazione con esposizione di dati. Perché il breach response è cruciale? Il danno dipende dalla reazione. Cos’è una disclosure responsabile? Comunicazione controllata delle vulnerabilità. Cos’è un bug bounty? Programma che incentiva la segnalazione di bug. Perché funzionano? Sfruttano la comunità come difesa. Cos’è il penetration testing? Test offensivo autorizzato. Pentest vs audit. Pentest simula attacchi, audit valuta controlli. Cos’è una red team? Squadra che simula attaccanti avanzati. Cos’è una blue team? Squadra difensiva. Cos’è una purple team? Collaborazione tra red e blue. Cos’è una security culture? Consapevolezza diffusa della sicurezza. Perché la cultura è decisiva? Perché la tecnologia da sola non basta. Sicurezza informatica Disciplina che studia come proteggere sistemi, dati e comunicazioni da accessi, modifiche o interruzioni non autorizzate. Riservatezza Proprietà che garantisce che le informazioni siano accessibili solo a soggetti autorizzati. Integrità Garanzia che i dati non vengano alterati in modo non autorizzato o accidentale. Disponibilità Capacità di un sistema di essere operativo e accessibile quando necessario. Asset Qualsiasi risorsa che ha valore per un sistema e che deve essere protetta. Minaccia Evento o azione potenziale capace di causare un danno a un asset. Vulnerabilità Debolezza di un sistema che può essere sfruttata da una minaccia.
Certificato digitale Documento firmato che associa una chiave pubblica a un’identità. Attacco Man-in-the-Middle Attacco in cui l’attaccante intercetta e altera la comunicazione tra due parti. Malware Software progettato per compiere azioni malevole su un sistema. Ransomware Malware che cifra i dati e richiede un riscatto per ripristinarli. Phishing Attacco di ingegneria sociale volto a ottenere informazioni sensibili ingannando l’utente. Ingegneria sociale Tecniche che sfruttano il comportamento umano invece delle vulnerabilità tecniche. Buffer overflow Errore che permette di scrivere oltre i limiti di memoria assegnata. Sicurezza perimetrale Modello di difesa basato sulla protezione dei confini di rete. Zero Trust Modello di sicurezza che non presume fiducia implicita, nemmeno all’interno del sistema. Logging di sicurezza Registrazione di eventi rilevanti per il monitoraggio e l’analisi degli attacchi. Incidente di sicurezza Evento che compromette riservatezza, integrità o disponibilità. Hardening Riduzione della superficie di attacco attraverso configurazioni sicure. Patch di sicurezza Aggiornamento che corregge vulnerabilità note. Security by design Progettazione di sistemi che integrano la sicurezza fin dall’inizio. Sicurezza come gestione del rischio
Approccio che mira a ridurre l’impatto degli attacchi, non a eliminarli completamente. Cos’è una security culture? Consapevolezza diffusa della sicurezza. Perché la cultura è decisiva? Perché la tecnologia da sola non basta.