Appunti Sistemi e Reti x Maturità

Sicurezza delle reti: il manuale che ti salva all'orale (e nel mondo reale)

Maturando Team
Maturando Team
9 min
Sicurezza delle reti: il manuale che ti salva all'orale (e nel mondo reale)

Guida completa alla sicurezza informatica per la maturità 2026: minacce cyber, crittografia, firewall, VPN e Zero Trust. Tutto quello che devi sapere per l'orale di Sistemi e Reti, con esempi pratici e trucchi per memorizzare.

Perché la sicurezza delle reti è il tema dell'orale che fa la differenza

Immagina di entrare nell'aula dell'esame. Il presidente della commissione ti fissa e chiede: "Ma secondo lei, studente, perché nel 2024 un'azienda italiana su tre ha subito un attacco ransomware?". Brutto inizio, vero? Eppure questo è lo scenario reale. La sicurezza delle reti non è più un argomento tecnico da nerd, ma una competenza civica fondamentale.

Nel Programma Ministeriale 2026 per l'indirizzo Informatica e Telecomunicazioni, la sicurezza occupa una posizione centrale. Non devi solo elencare i nomi dei virus, ma dimostrare di comprendere l'architettura difensiva di una rete moderna. Questo appunto ti guida passo dopo passo, dal livello fisico fino alle strategie aziendali più avanzate.

Il concetto chiave da tattooarti sul cervello: la sicurezza informatica si misura non sulla base di quanto sei protetto, ma su quanto velocemente puoi accorgerti che sei stato violato. Questo cambia tutto.

Le minacce: conosci il tuo nemico prima di combatterlo

Qui è dove la maggior parte degli studenti si confonde. Non esiste "il virus" come entità unica. Esiste un intero ecosistema di minacce, ognuna con un obiettivo specifico. Distinguerle correttamente all'orale dimostra maturità tecnica.

Malware: la famiglia allargata

Il termine malware (malicious software) è l'ombrello che include:

  • Virus: codice che si attacca a programmi legittimi e si attiva quando il programma ospite viene eseguito. Hanno bisogno dell'intervento umano per diffondersi.
  • Worm: si replicano autonomamente attraverso la rete, sfruttando vulnerabilità del sistema operativo. Non necessitano di un file ospite. Pensali come virus con la patente di guida.
  • Trojan: si mascherano da software utili, ma nascondono codice malevolo. Il nome deriva dal cavallo di Troia: il regalo che portava la rovina dentro.
  • Ransomware: la minaccia del momento. Crittografano i tuoi dati e chiedono un riscatto (spesso in Bitcoin) per restituirli. Nel 2024, il costo medio di un attacco ransomware per una PMI italiana ha superato i 50.000 euro.
  • Spyware/Keylogger: software che registrano le tue attività, rubano password e dati sensibili senza che tu te ne accorga.

Attacchi di rete: quando il problema non è il software, ma l'architettura

Oltre al malware, esistono minacce che sfruttano i protocolli di comunicazione:

  • Phishing: tecniche di ingegneria sociale per rubare credenziali. E-mail che sembrano provenire dalla banca o da Amazon. Il spear phishing è una versione mirata: studiano la vittima specifica.
  • Man-in-the-Middle (MITM): l'attaccante si posiziona tra te e il server con cui stai comunicando, intercettando e potenzialmente modificando i dati. Immagina qualcuno che apre le tue lettere prima che arrivino al destinatario.
  • DDoS (Distributed Denial of Service): sovraccaricano un server con milioni di richieste contemporanee (spesso da botnet), rendendolo irraggiungibile. Non rubano dati, ma bloccano il servizio, causando danni economici enormi.
  • SQL Injection: inseriscono codice maligno nelle query dei database attraverso campi di input non protetti.
Infografica tipologie di minacce informatiche
Figura 1: Le principali categorie di minacce cyber e i loro vettori di attacco
Trucco mnemonico per l'orale: ricorda la regola del "Chi, Come, Cosa". Chi attacca (hacker/cybercriminali), Come (vettore: e-mail, vulnerabilità, ingegneria sociale), Cosa (obiettivo: dati, denaro, sabotaggio).

Gli scudi digitali: come difendiamo una rete

Ora che conosci il nemico, impara l'arsenale difensivo. Una rete sicura non si costruisce con un solo strumento, ma con una difesa in profondità (Defense in Depth): strati multipli di sicurezza che si integrano.

Firewall: il portiere del sistema

Il firewall è un sistema hardware o software che controlla il traffico di rete in base a regole predefinite. Esistono due generazioni:

  • Firewall a livello di rete (Packet Filter): analizzano gli header dei pacchetti IP (indirizzo sorgente/destinazione, porte). Sono veloci ma "stupidi": non capiscono il contesto.
  • Firewall a livello applicativo (Application Layer Firewall): analizzano il contenuto dei pacchetti, capendo se una connessione HTTP è legittima o un tentativo di SQL injection. Più lenti, ma intelligenti.
  • Next-Generation Firewall (NGFW): integrano IPS (Intrusion Prevention System), filtraggio URL e analisi comportamentale.

IDS e IPS: i sorveglianti

  • IDS (Intrusion Detection System): rileva intrusioni e avvisa l'amministratore. È come un allarme antifurto: sente il rumore, ma non ferma il ladro.
  • IPS (Intrusion Prevention System): non solo rileva, ma previene attivamente, bloccando il traffico sospetto in tempo reale.

La Crittografia: l'arte dei messaggi segreti

Se il firewall è il muro di cinta, la crittografia è la cassaforte. Trasforma i dati in formato illeggibile senza la chiave corretta.

Crittografia simmetrica: usa la stessa chiave per cifrare e decifrare. Veloce (usata per grandi quantità di dati), ma problematica: come scambi la chiave in sicurezza? Esempi: AES (Advanced Encryption Standard), il re incontrastato dal 2001.

Crittografia asimmetrica (a chiave pubblica/privata): utilizza una coppia di chiavi matematicamente collegate. Quello che cifri con la pubblica, solo la privata può decifrare (e viceversa). Rivoluzionaria per Internet. Esempi: RSA, ECC (Elliptic Curve Cryptography).

Hashing: non è crittografia (è irreversibile), ma fondamentale. Trasforma un dato in una stringa fissa di lunghezza predefinita (digest). Serve per verificare l'integrità: se cambia un solo bit del file originale, l'hash cambia completamente. Esempi: SHA-256.

VPN: il tunnel sicuro

La VPN (Virtual Private Network) crea un tunnel cifrato attraverso una rete pubblica (Internet), garantendo confidenzialità e integrità. Protocolli principali:

  • IPsec: suite di protocolli a livello di rete, standard per VPN site-to-site (ufficio-ufficio).
  • SSL/TLS VPN: usate per accesso remoto client-to-site (tu da casa al server aziendale). Si integrano nel browser.
  • OpenVPN: soluzione open source basata su SSL/TLS, molto flessibile.
  • WireGuard: il nuovo standard dal 2020, più veloce e con codice più snello rispetto a IPsec e OpenVPN.

Protocolli di sicurezza e standard internazionali

Conoscere gli acronimi non basta. Devi capire COSA garantiscono e COME.

HTTPS e i Certificati Digitali

HTTP è in chiaro: chiunque sulla rete può leggere quello che scambi. HTTPS aggiunge uno strato SSL/TLS (Transport Layer Security, successore del deprecato SSL).

Il certificato digitale è rilasciato da una CA (Certification Authority) fidata (es. Let's Encrypt, DigiCert). Contiene la chiave pubblica del server e la firma digitale della CA. Il browser verifica la catena di fiducia: se il certificato è valido, compare il lucchetto verde.

Attenzione: HTTPS garantisce confidenzialità e integrità, ma non autenticità del contenuto. Un sito phishing può avere HTTPS perfettamente valido.

Sicurezza Wi-Fi: dal WEP al WPA3

La storia delle reti wireless è una gara tra difese e attacchi:

  1. WEP (Wired Equivalent Privacy): nato nel 1997, usava chiavi statiche di 40 o 104 bit. Rotto definitivamente nel 2004, oggi si cracka in minuti.
  2. WPA (Wi-Fi Protected Access): usa TKIP (Temporal Key Integrity Protocol) per cambiare chiave dinamicamente. Miglioramento temporaneo.
  3. WPA2: standard dal 2004, usa AES e CCMP. Ancora oggi ampiamente utilizzato, ma vulnerabile agli attacchi KRACK (2017) se non aggiornato.
  4. WPA3: l'attuale standard (dal 2018). Offre Perfect Forward Secrecy (anche se la chiave a lungo termine viene rubata, il traffico passato rimane sicuro) e protezione contro i dizionari offline.

ISO/IEC 27001: la sicurezza come processo

Non è un software, ma uno standard internazionale per la gestione della sicurezza delle informazioni (ISMS - Information Security Management System). Prescrive come un'organizzazione deve:

  • Valutare i rischi
  • Implementare controlli di sicurezza
  • Monitorare e migliorare continuamente

La certificazione ISO 27001 è il "bollino di qualità" che sempre più aziende richiedono ai propri fornitori IT.

Zero Trust, Cloud e IoT: la sicurezza nel 2025

Il perimetro tradizionale ("tutto dentro l'azienda è sicuro, tutto fuori è pericoloso") è morto. Lo smart working, il cloud e i dispositivi connessi lo hanno dissolto.

Zero Trust Architecture

Il paradigma "Zero Trust" (fiducia zero) opera sul principio "Never Trust, Always Verify". Non importa se la connessione arriva dall'interno o dall'esterno: ogni accesso deve essere autenticato, autorizzato e cifrato.

Componenti chiave:

  • MFA (Multi-Factor Authentication): non basta la password. Serve qualcosa che sai (password), qualcosa che hai (smartphone/token) o qualcosa che sei (impronta).
  • Microsegmentazione: la rete è divisa in piccole zone isolatissime. Se un server viene compromesso, l'attaccante non può muoversi lateralmente.
  • Least Privilege: ogni utente ha i minimi permessi necessari per svolgere il proprio compito, e solo per il tempo strettamente necessario.

Sicurezza nel Cloud

Il cloud computing (IaaS, PaaS, SaaS) sposta la responsabilità: il provider gestisce la sicurezza dell'infrastruttura, tu gestisci la sicurezza nell'infrastruttura (configurazioni, dati, accessi). Gli errori di configurazione (bucket S3 pubblici, database senza password) causano il 23% delle violazioni dati.

IoT: il tallone d'Achille

I dispositivi Internet of Things (telecamere, termostati, frigoriferi connessi) spesso hanno:

  • Password di default immutabili
  • Firmware non aggiornabili
  • Comunicazioni non cifrate

Sono la porta di servizio preferita dagli hacker. Un attacco DDoS famoso, Mirai (2016), ha usato migliaia di videocamere IP compromesse per abbattere Twitter, Netflix e Airbnb.

Schema architettura Zero Trust Network
Figura 2: Confronto tra modello perimetrale tradizionale e architettura Zero Trust

Schema riassuntivo: La Triade CIA + Difese

Per l'orale, organizza il discorso attorno alla Triade CIA:

PilastroSignificatoStrumenti di difesa
Confidentiality
(Riservatezza)		I dati sono accessibili solo agli autorizzatiCrittografia, VPN, Autenticazione forte, Controllo accessi
Integrity
(Integrità)		I dati non sono alterati durante la trasmissione o l'archiviazioneHashing (SHA), Firme digitali, Checksum, Backup versionati
Availability
(Disponibilità)		I sistemi sono operativi quando servonoBackup (3-2-1 rule), Disaster Recovery, Ridondanza, Anti-DDoS

Trucco per memorizzare i protocolli: pensa alla pila ISO/OSI. Livello 7 (Applicazione): HTTPS, SSH. Livello 4 (Trasporto): TLS/SSL. Livello 3 (Rete): IPsec. Livello 2 (Datalink): WPA3.

Collegamenti per l'orale: dove la sicurezza incontra il mondo

Per impressionare la commissione, collega la sicurezza informatica ad altre discipline:

  • Diritto e Economia: il GDPR (Regolamento UE 2016/679) impona sanzioni fino al 4% del fatturato mondiale globale per violazioni della sicurezza dati personali. Parla del Data Breach Notification (comunicazione entro 72 ore).
  • Inglese: i termini tecnici sono inglesi: patching (applicazione correzioni), hardening (indurimento sistema), penetration testing (test di intrusione etica).
  • Storia: la crittografia ha vinto la Seconda Guerra Mondiale (Enigma e Alan Turing). Oggi la guerra si combatte sui bit (cyberwarfare).
  • Fisica: la crittografia quantistica (BB84) minaccia di rendere obsoleti RSA e ECC con i computer quantistici. È il prossimo frontiera.

Vuoi metterti alla prova? Prova i nostri Quiz Maturità AI per testare le tue conoscenze, oppure simula un orale con la nostra AI per affinare la tua capacità di collegare questi concetti.

FAQ: Le domande che ti faranno all'orale

Qual è la differenza tra virus e worm?

Il virus ha bisogno di un file ospite per attivarsi e si diffonde tramite azione umana (aprire un allegato). Il worm è un programma autonomo che si replica attraverso la rete sfruttando vulnerabilità, senza bisogno di intervento umano.

Cosa significa che un algoritmo di hashing è deterministico?

Significa che lo stesso input produce sempre lo stesso output (digest). Questa proprietà permette di verificare l'integrità: se ricalcoli l'hash di un file e ottieni lo stesso valore, il file non è stato alterato.

Perché WPA3 è più sicuro di WPA2?

WPA3 introduce l'SAE (Simultaneous Authentication of Equals), resistente agli attacchi a forza bruta offline (anche se l'hacker cattura il traffico, non può provare password a caso sul proprio computer). Inoltre, offre Perfect Forward Secrecy: ogni sessione ha una chiave unica, quindi la compromissione della chiave principale non espone le comunicazioni passate.

Cos'è il Penetration Testing?

È un test di sicurezza autorizzato dove esperti (ethical hacker) tentano di violare i sistemi dell'azienda per scoprire vulnerabilità prima che lo facciano i criminali. È parte fondamentale della valutazione del rischio in ottica ISO 27001.

Perché i backup sono parte della sicurezza e non solo del ripristino dati?

Perché rappresentano l'ultima difesa contro il ransomware. Se hai un backup offline (air-gapped) e immutabile, puoi ignorare la richiesta di riscatto e ripristinare i sistemi. È la garanzia di Availability nella triade CIA.

Per approfondimenti e altri appunti, visita la nostra sezione Appunti Maturità.

Maturando Team
Scritto da

Maturando Team

Il team di Maturando ti aiuta a prepararti al meglio per l'esame di Maturità.