Payment Card Industry (PCI) Data Security Standard. Glossario, abbreviazioni e acronimi

Transcript

1 Payment Card Industry (PCI) Data Security Standard Glossario, abbreviazioni e acronimi

2 AAA Accounting Controllo degli accessi Harvesting degli account Numero account Acquirente AES ANSI Programma antivirus Applicazione Standard approvati Asset Audit log Autenticazione Authentication, Authorization, and Accounting. Protocollo di autenticazione, autorizzazione e accounting. Attività di monitoraggio delle risorse di rete degli utenti. Meccanismo in virtù del quale la disponibilità delle informazioni o le risorse che consentono di elaborare le informazioni è limitata ad applicazioni o a soggetti autorizzati. Processo che permette di identificare gli account utente esistenti procedendo per tentativi. [Nota: inserendo troppe informazioni nei messaggi di errore si rischia di rivelare all'autore dell'attacco quanto basta per penetrare nel sistema e comprometterlo (raccogliendo i dati).] Numero della carta di pagamento (di credito o di debito) che identifica il soggetto che emette la carta e l'account specifico del titolare. Un sinonimo è PAN: Primary Account Number, numero dell'account primario. Membro di un'associazione di servizi bancari che apre e mantiene i rapporti con gli esercenti che accettano le carte di pagamento. Advanced Encryption Standard. Standard di cifratura avanzato a blocchi adottato dal NIST nel novembre L'algoritmo è pubblicato in FIPS PUB 197. American National Standards Institute. Istituto Americano di Normalizzazione: è un'organizzazione privata non a fini di lucro che negli USA gestisce e coordina il sistema volontario di diffusione degli standard e di valutazione della conformità. Un tipo di programma capace di rilevare, rimuovere e neutralizzare il codice pericoloso (o malware) nelle sue svariate forme, ad esempio virus, worm, cavalli di Troia, spyware e adware. Termine che racchiude tutti i programmi o i gruppi di programmi software acquistati e personalizzati che sono destinati agli utenti finali, incluse le applicazioni interne ed esterne (Web). Algoritmi standardizzati (ad esempio, nei sistemi ISO e ANSI) e standard comuni disponibili in commercio (ad esempio, Blowfish) che rispondono a requisiti di crittografia forte. Esempi di standard approvati sono: AES (128 bit e oltre), TDES (due o tre chiavi indipendenti), RSA (1024 bit) ed ElGamal (1024 bit). Informazioni o risorse che consentono l'elaborazione delle informazioni in un'organizzazione. Registrazione cronologica delle attività di un sistema. Fornisce una traccia sufficiente per ricostruire e riesaminare la serie di ambienti e attività che hanno accompagnato o provocato un'operazione, una procedura o un evento in una transazione, dalle sue fasi preliminari all'esito finale. Talvolta è definito più specificamente Audit Trail di sicurezza. Processo di verifica dell'identità di un soggetto o di un processo. 2

3 Autorizzazione Backup Titolare della carta Dati del titolare della carta Ambiente dati dei titolari delle carte Valore o codice di validazione della carta Permesso di accesso o conferimento di altri diritti a un utente, un programma o un processo. Duplicato dei dati creato a scopo di archiviazione o per la protezione preventiva da danni o perdite. Cliente a cui viene rilasciata una carta o soggetto autorizzato a utilizzare la carta. Intera striscia magnetica o PAN più uno dei seguenti dati: Nome del titolare della carta Data di scadenza Codice di servizio Un'area della rete informatica in cui sono custoditi i dati dei titolari delle carte o i dati sensibili per l'autenticazione; quei sistemi e quei segmenti di rete che sono connessi, o forniscono direttamente, elaborazione, memorizzazione o trasmissione di tali dati. Un'adeguata segmentazione della rete, in cui i sistemi per la memorizzazione, elaborazione e trasmissione dei dati dei titolari delle carte siano sufficientemente isolati, può contribuire a ridurre le dimensioni dell'ambiente dati e quindi la portata della valutazione PCI. Elemento sulla striscia magnetica di una carta basato su un processo di crittografia sicuro, che protegge l'integrità dei dati sulla striscia e mette in evidenza eventuali tentativi di alterazione o contraffazione. I sinonimi sono: CAV, CVC, CVV o CSC, a seconda del tipo di carta di pagamento. Nel seguente elenco sono forniti i termini adottati dalle varie carte in commercio: CAV Card Authentication Value (carte di pagamento JCB) CVC Card Validation Code (carte di pagamento MasterCard) CVV Card Verification Value (carte di pagamento Visa e Discover) CSC Card Security Code (American Express) Nota: il secondo tipo di valore o codice di validazione della carta è un valore a tre cifre stampato a destra del numero della carta di credito, nell'area del riquadro della firma sul retro della carta. Per le carte American Express, il codice è un numero a quattro cifre non in rilievo, stampato sopra il numero della carta sul fronte di tutte le carte di pagamento. Il codice è associato in modo univoco alle singole tessere di plastica e lega il numero dell'account della carta alla tessera di plastica. Segue un elenco dei codici: CID Card Identification Number (carte di pagamento American Express e Discover) CAV2 Card Authentication Value 2 (carte di pagamento JCB) CVC2 Card Validation Code 2 (carte di pagamento MasterCard) CVV2 Card Verification Value 2 (carte di pagamento Visa) 3

4 Controlli compensativi CIS Compromissione Console Consumatore Cookie Crittografia Database Data Base Administrator (DBA) DBA (Doing Business As) Account predefiniti Password predefinita DES I controlli compensativi possono essere presi in considerazione quando, per legittimi vincoli tecnici o commerciali documentati, un'entità non può soddisfare un requisito nel modo inizialmente dichiarato e tuttavia ha posto in essere altri controlli ritenuti sufficienti a mitigare il rischio associato a tale requisito. I controlli compensativi devono obbligatoriamente 1) essere adeguati alle intenzioni e al rigore previsti dal requisito PCI DSS dichiarato in origine; 2) respingere ogni tentativo di compromissione con pari forza; 3) essere al di sopra e al di là di altri requisiti PCI DSS (non soltanto rispettarli); e 4) essere commisurati al rischio aggiuntivo dovuto alla mancata osservanza del requisito PCI DSS. Center for Internet Security. Ente non a fini di lucro il cui scopo è aiutare le organizzazioni a ridurre i rischi associati alle interruzioni del business e dei servizi di e-commerce, che risultino da controlli tecnici della sicurezza carenti. Attività di intrusione in un sistema informatico che fa sospettare la divulgazione, la modifica o la distruzione non autorizzate dei dati dei titolari delle carte. Schermo e tastiera usati per l'accesso e il controllo del server o del computer mainframe in un ambiente di rete. Un soggetto che acquista beni e/o servizi. Stringa di dati che viene scambiata tra il server Web e un browser Web per mantenere una sessione. I cookie possono includere le preferenze dell'utente e altre informazioni personali. Disciplina della matematica e dell'informatica che si occupa di sicurezza delle informazioni e di argomenti correlati (in particolare la cifratura e l'autenticazione) e delle sue applicazioni, come il controllo dell'accesso. Nell'ambito della sicurezza della rete e del sistema informatico, uno strumento per il controllo dell'accesso e della riservatezza delle informazioni. Formato strutturato che consente di organizzare e conservare le informazioni così da poterle recuperare facilmente. Esempi di semplici database sono le tabelle e i fogli di calcolo. Amministratore del database. Un soggetto responsabile della gestione e dell'amministrazione delle basi dati. Soggetto operante come. I livelli di validazione della conformità si basano sul volume delle transazioni di un DBA o di una catena di negozi (non di un'azienda che possiede varie catene). Un account predefinito per l'accesso al sistema che permette di eseguire il login la prima volta che il sistema entra in funzione. La password per gli account di servizio o amministrativi che viene preimpostata dal produttore. In genere è associata all'account predefinito. Gli account predefiniti e le relative password sono noti e pubblici. Data Encryption Standard. Standard di cifratura a blocchi ufficialmente scelto dagli Stati Uniti nel 1976 come standard federale per l'elaborazione delle informazioni (FIPS, Federal Information Processing Standard). Il suo successore è lo standard AES (Advanced Encryption Standard). 4

5 DMZ DNS DSS Controllo duale ECC Egress Cifratura FIPS Firewall FTP GPRS GSM Host Demilitarized Zone, zona demilitarizzata. La rete frapposta tra una rete privata e una rete pubblica per garantire un ulteriore livello di sicurezza. Domain Name System/Server, sistema o server dei nomi di dominio. Un sistema che memorizza le informazioni associate ai nomi di dominio in un database distribuito su reti quali Internet. Data Security Standard. Uso contestuale di due o più entità distinte (in genere, persone) che operano insieme per proteggere funzioni o informazioni sensibili. La responsabilità della protezione fisica dei materiali coinvolti in transazioni vulnerabili è ripartita equamente tra le due entità. Non è consentito l'accesso o l'uso dei materiali (ad esempio, la chiave crittografica) a un soggetto singolo. Per poter generare, trasmettere, caricare, conservare e recuperare la chiave manualmente, il controllo duale richiede una condivisione della conoscenza della chiave tra le entità. Vedere anche condivisione della conoscenza Elliptic Curve Cryptography, crittografia ellittica. Un algoritmo crittografico a chiave pubblica che prevede l'uso di curve ellittiche anziché campi finiti. Traffico in uscita da una rete attraverso un collegamento di comunicazione e diretto alla rete del cliente. Processo di conversione delle informazioni in una forma che è inintellegibile per tutti, tranne che per i detentori di una chiave crittografica specifica. L'uso della crittografia consente di proteggere le informazioni, prevenendo la loro divulgazione non autorizzata tra il processo della cifratura e il suo processo inverso, la decifratura. Federal Information Processing Standard. Componente hardware, software o di entrambi i tipi che protegge le risorse di una rete dai tentativi di intrusione dalle altre reti. In termini generali, un'impresa che possiede una rete Intranet e che consente ai propri dipendenti di accedere alla rete esterna Internet deve dotarsi di un firewall per impedire agli estranei di accedere alle proprie risorse interne di dati privati. File Transfer Protocol, protocollo di trasferimento dati. General Packet Radio Service. Servizio di dati mobili a disposizione degli utenti dei telefoni cellulari GSM, noto per l'uso efficiente di una larghezza di banda limitata. È particolarmente adatto all'invio e alla ricezione di piccole sequenze di dati, ad esempio la posta elettronica e la navigazione sul Web. Abbreviazione di Global System for Mobile Communications. Un popolare standard per telefoni cellulari. L'ubiquità del sistema globale per le comunicazioni mobili (GSM) ha reso estremamente comune il roaming internazionale tra gli operatori di telefonia mobile, che consentono ai loro abbonati di utilizzare i cellulari in molte parti del mondo. Computer principale sul quale è installato il software. 5

6 Provider di hosting HTTP ID IDS/IPS IETF Information Security Sistema informativo Ingresso Sistema di rilevamento delle intrusioni IP Indirizzo IP IP Spoofing IPSEC Un fornitore di svariati servizi destinati ai commercianti e agli altri provider di servizi. I servizi offerti variano da semplici a complessi: dallo spazio condiviso su un server a un'ampia gamma di opzioni per lo shopping online, dalle applicazioni per i pagamenti alle connessioni con payment gateway e processor, fino ad arrivare all'hosting dedicato a un solo cliente per server. HyperText Transfer Protocol. Un protocollo Internet aperto per il trasferimento o la trasmissione delle informazioni sul World Wide Web. Identità Intrusion Detection System/Intrusion Prevention System. Un sistema che consente di rilevare o segnalare i tentativi di intrusione nel sistema o nella rete. È costituito da alcuni sensori che generano eventi di sicurezza; una console che consente di monitorare gli eventi e gli allarmi e di controllare i sensori; un motore centrale che registra in un database gli eventi rilevati dai sensori. Gli allarmi vengono generati sulla base di un sistema di regole specifico in risposta agli eventi di sicurezza rilevati. Un sistema IPS esegue il passo successivo, che consiste nel bloccare il tentativo di intrusione. Internet Engineering Task Force. Una grande comunità internazionale aperta, costituita da progettisti di rete, operatori, fornitori e ricercatori che si preoccupa di seguire l'evoluzione dell'architettura di Internet e di assicurarne il funzionamento senza ostacoli. La comunità è aperta a tutti i soggetti interessati. Protezione delle informazioni per assicurare la riservatezza, l'integrità e l'accessibilità delle stesse. Un insieme discreto di risorse di dati strutturate e organizzate ai fini della raccolta, l'elaborazione, la manutenzione, l'uso, la condivisione, la divulgazione o l'eliminazione delle informazioni. Traffico in entrata nella rete attraverso un collegamento di comunicazione e proveniente dalla rete del cliente. Vedere la voce IDS. Internet Protocol. Protocollo del livello rete contenente informazioni sugli indirizzi e alcune informazioni di controllo che consentono l'instradamento dei pacchetti. L'IP è il principale protocollo del livello rete tra tutti i protocolli Internet. Un codice numerico che identifica in modo univoco un particolare computer in Internet. Una tecnica utilizzata da un hacker per ottenere l'accesso non autorizzato ai computer. L'hacker invia messaggi ingannevoli a un computer utilizzando un indirizzo che indica il messaggio come proveniente da un host fidato (trusted host). Abbreviazione di Internet Protocol Security. Uno standard che rende più sicure le comunicazioni IP ricorrendo alla cifratura e/o all'autenticazione di tutti i pacchetti IP. La sicurezza fornita dallo standard IPSEC è al livello della rete. 6

7 ISO ISO 8583 Chiave L2TP LAN LPAR MAC Dati sulla striscia magnetica (dati su traccia) Malware Monitoraggio MPLS NAT Rete International Organization for Standardization. Un'organizzazione non governativa costituita da una rete di istituti nazionali di normalizzazione sparsi in oltre 150 Paesi; ha un rappresentante per ogni Paese e un segretariato centrale con sede a Ginevra (Svizzera) che espleta funzioni di coordinamento. Uno standard consolidato per la comunicazione tra sistemi finanziari. In crittografia, la chiave è il valore di un algoritmo che viene applicato a un testo non cifrato per produrre un testo cifrato. La lunghezza della chiave determina in genere il grado di difficoltà richiesto per decifrare il testo in un dato messaggio. Layer 2 Tunneling Protocol. Un protocollo di secondo livello utilizzato a sostegno delle reti private virtuali (VPN). Local Area Network. Una rete informatica che copre una piccola area, spesso un edificio o un gruppo di edifici. Logical Partition, partizione logica. Una sezione di un disco che non è una delle partizioni primarie. È definita in un blocco di dati a cui rimanda la partizione estesa. Message Authentication Code, codice di autenticazione dei messaggi. I dati codificati nella striscia magnetica, che vengono utilizzati per autorizzare le transazioni alla presentazione della carta. Le entità sono tenute a non conservare i dati sulla striscia magnetica dopo l'autorizzazione per una transazione. Nello specifico, dopo l'autorizzazione è obbligatorio eliminare i codici di servizio, i dati discrezionali/cvv (Valore di verifica della carta)/cvc (Codice di validazione della carta) e i valori riservati dall'emittente, mentre è possibile estrarre e trattenere il numero dell'account, la data di scadenza, il nome e il codice di servizio, se necessari per l'attività commerciale. Unione dei termini "malicious" e "software". Un software dannoso ideato per infiltrarsi in un sistema informatico e danneggiarlo all'insaputa del proprietario e senza il suo consenso. Controllo costante dei sistemi di una rete informatica, in modo da individuare rallentamenti e arresti e avvertire l'utente in caso di blocchi o altri problemi. Multi Protocol Label Switching. Network Address Translation. Altri sinonimi sono network masquerading o IPmasquerading. È la sostituzione di un indirizzo IP utilizzato in una rete con un altro indirizzo IP noto in un'altra rete. Due o più computer collegati tra loro per condividere le risorse. Componenti della rete Tra gli altri, ma non solo: firewall, switch, router, access point di tipo wireless, dispositivi di rete e altri dispositivi di sicurezza. 7

8 Scansione della sicurezza via rete NIST Utenti non consumatori NTP OWASP Ambiente dei titolari della carte di pagamento PAN Password Pad PAT Patch PCI Penetrazione Strumento automatizzato che controlla in remoto i sistemi degli esercenti e dei provider di servizi per individuarne le vulnerabilità. I test non intrusivi comprendono, ad esempio, il sondaggio dei sistemi rivolti verso l'esterno basati su indirizzi IP esterni e l'elaborazione di report sui servizi disponibili per la rete esterna (in altre parole, i servizi disponibili per Internet). Le scansioni consentono di identificare le eventuali vulnerabilità nei sistemi operativi, nei servizi e nei dispositivi che potrebbero essere sfruttate dagli hacker per colpire la rete privata dell'azienda. National Institute of Standards and Technology. Un'agenzia federale priva di poteri normativi e interna alla U.S. Commerce Department's Technology Administration, la cui missione è promuovere la competitività industriale e l'innovazione statunitensi attraverso il progresso della scienza della misura, degli standard e della tecnologia per favorire la sicurezza economica e migliorare la qualità della vita. Qualunque soggetto, ad eccezione dei clienti consumatori, tra cui dipendenti, amministratori, terze parti e non solo. Protocollo per la sincronizzazione degli orologi dei sistemi informatici attraverso reti di dati a latenza variabile di tipo packet-switched. Open Web Application Security Project (visitare il sito La porzione della rete che detiene i dati sul titolare della carta o informazioni di autenticazione sensibili. Primary Account Number, numero della carta di pagamento (di credito o di debito) che identifica il soggetto che emette la carta e l'account specifico del titolare. Un sinonimo è Numero account. Una stringa di caratteri che consente di autenticare l'utente. Packet Assembler/Disassembler. Un dispositivo di comunicazione che formatta i dati in uscita e stralcia i dati dai pacchetti in entrata. In crittografia il PAD onetime è un algoritmo di cifratura contenente testo combinato con una chiave casuale, o "pad", che deve avere la stessa lunghezza del testo semplice e deve essere utilizzata una sola volta. Inoltre, se la chiave è veramente random, non viene mai riutilizzata e rimane segreta, il pad one-time è inviolabile. Port Address Translation. Funzionalità di un dispositivo NAT grazie alla quale le connessioni dei protocolli TCP e UDP verso un host e una porta di una rete esterna possono essere tradotte per un host e una porta in una rete interna. Letteralmente significa "toppa", cioè una riparazione rapida di una parte del software. Se nella fase di beta testing, nel periodo di prova o persino dopo il rilascio ufficiale di un prodotto software vengono rilevati problemi, viene fornita rapidamente una patch agli utenti. Payment Card Industry. L'operazione con la quale si superano i meccanismi di protezione e si ottiene l'accesso a un sistema informatico. 8

9 Test di penetrazione PIN Politiche POS Procedura Protocollo Rete pubblica PVV RADIUS RFC Re-keying Analisi dei rischi Router RSA Sondaggio di un sistema informatico o di una rete per valutarne la sicurezza e cercare i punti vulnerabili che potrebbero essere sfruttati per eventuali attacchi. Oltre a sondare i punti vulnerabili, alcuni test possono effettuare veri e propri tentativi di penetrare nel sistema. L'obiettivo dei test di penetrazione è individuare i punti vulnerabili e proporre miglioramenti della sicurezza. Personal Identification Number. Regole estese a tutta l'organizzazione per regolamentare un uso accettabile delle risorse informatiche e delle prassi per garantire la sicurezza e per indirizzare lo sviluppo delle procedure operative. Point of Sale. Descrizione dettagliata di una politica. La procedura spiega "come" attuare una politica. Metodo concordato con cui avvengono le comunicazioni tra le reti. Una specifica che descrive le regole e le procedure a cui devono conformarsi i prodotti informatici per poter svolgere attività in una rete. Una rete posta in essere e gestita da un provider di telecomunicazioni o da un'azienda privata riconosciuta, il cui scopo precipuo è fornire al pubblico un servizio di trasmissione dei dati. Per la trasmissione su reti pubbliche è necessariamente richiesta la cifratura dei dati, in quanto è noto che gli hacker possono facilmente intercettare, modificare e/o deviare i dati in transito. Nell'ambito dello standard PCI DSS, le reti pubbliche utilizzate sono, ad esempio, Internet e le reti GPRS GSM. PIN Verification Value. Un valore di controllo codificato nella striscia magnetica della carta di pagamento. Remote Authentication and Dial-In User Service. Un sistema di autenticazione e accountng. Dapprima verifica la correttezza delle informazioni (ad esempio, nome utente e password) che vengono trasmesse al server RADIUS e quindi autorizza o meno l'accesso al sistema. Request For Comments. Un processo che cambia le chiavi crittografiche in modo da limitare la quantità di dati che devono essere cifrati con la stessa chiave. Un processo che identifica in modo sistematico le risorse di valore del sistema e le possibili minacce; quantifica le probabilità di perdita (potenziale di perdita) attraverso una stima dei costi e della frequenza con cui il sistema è esposto; e (facoltativo) suggerisce come allocare le risorse per le contromisure che ridurrebbero l'esposizione totale. Un sinonimo è "valutazione dei rischi". Un componente hardware o software che collega tra loro due o più reti. Svolge una funzione di selezionatore e interprete, in quanto cerca gli indirizzi e trasmette i bit di dati alle destinazioni opportune. I router software sono anche detti "gateway". Un algoritmo crittografico a chiave pubblica descritto nel 1977 da Ron Rivest, Adi Shamir e Len Adleman del MIT (Massachusetts Institute of Technology). Le lettere RSA sono le iniziali dei loro cognomi. 9

10 Sanitizzazione SANS Responsabile della sicurezza Politiche sulla sicurezza Dati sensibili di autenticazione Separazione delle competenze Server Codice di servizio Provider di servizi SHA SNMP Un'operazione con cui i dati sensibili vengono cancellati da un file, un dispositivo o un sistema oppure vengono modificati e resi inservibili in caso di attacco. SysAdmin, Audit, Network, Security Institute (visitare il sito Il principale soggetto che ha la responsabilità di gestire i compiti concernenti la sicurezza in un'organizzazione. L'insieme di leggi, norme e pratiche che regolamentano il modo in cui un'organizzazione gestisce, protegge e distribuisce informazioni sensibili. Informazioni riguardanti la sicurezza (CVC/CVV, dati completi su traccia, PIN e blocchi PIN) che vengono utilizzate per l'autenticazione dei titolari delle carte e che sono disponibili in chiaro o in un'altra forma non protetta. Queste informazioni potrebbero essere divulgate, alterate o distrutte con conseguenze serie per la sicurezza di un dispositivo crittografico, di un sistema di informazioni o dei dati del titolare della carta, oppure potrebbero essere utilizzate in una transazione fraudolenta. Una pratica che prevede la ripartizione dei vari passi di una funzione tra soggetti diversi, impedendo di fatto che un soggetto da solo possa minare il processo. Un computer che fornisce un servizio ad altri computer, ad esempio l'elaborazione delle comunicazioni, la memorizzazione dei file o l'accesso a un dispositivo di stampa. I server possono essere di vari tipi ad esempio: Web, database, autenticazione, DNS, posta, proxy e NTP. Un numero composto da tre o quattro cifre, stampato sulla striscia magnetica, che specifica i requisiti per l'accettazione e le limitazioni per una transazione con lettura della striscia magnetica. Un soggetto commerciale che non è né un membro dell'ente che rilascia la carta di pagamento, né un commerciante direttamente coinvolto nell'elaborazione, la memorizzazione, la trasmissione e lo scambio dei dati della transazione e dei dati del titolare della carta o di entrambi. Rientrano in questa definizione anche le società che forniscono servizi a commercianti, provider di servizi o membri che controllano o potrebbero influire sulla sicurezza dei dati del titolare della carta. Esempi possono essere i Managed Service Provider che forniscono Managed Firewall, IDS e altri servizi, nonché i provider di hosting e altre entità. Sono escluse entità quali le società di telecomunicazioni, che forniscono soltanto i collegamenti per le comunicazioni senza accesso al livello dell'applicazione per tale collegamento. Secure Hash Algorithm. Una famiglia o un insieme di funzioni crittografiche di indirizzamento casuale, o "hash". La funzione più comunemente utilizzata è SHA-1. L'uso di un valore salt (valore casuale) univoco nella funzione di hash riduce le probabilità di una conflitto del valore hash. Simple Network Management Protocol. Supporta il monitoraggio dei dispositivi collegati alla rete, in modo da rilevare particolari condizioni che richiedono l'attenzione dell'amministratore. 10

11 Split knowledge SQL Iniezione SQL SSH SSID SSL Crittografia forte Componenti del sistema TACACS Tamper-resistance TCP Una condizione in cui due o più entità detengono separatamente i componenti della chiave. Presi singolarmente, tali componenti non consentono di risalire alla chiave crittografica. Structured Query Language. Un linguaggio informatico utilizzato per creare, modificare e recuperare i dati dai sistemi di gestione dei database relazionali. Una forma di attacco che colpisce i siti Web basati sui database. L'autore dell'attacco esegue comandi SQL non autorizzati sfruttando le debolezze del codice utilizzato nel sistema collegato a Internet. Gli attacchi definiti Iniezione SQL servono per rubare informazioni da un database alle quali, in condizioni normali, non si avrebbe accesso e/o per violare i computer host di un'organizzazione passando per il computer che ospita il database. Secure Shell. Una suite di protocolli che garantiscono la cifratura per servizi di rete quali il login remoto o il trasferimento di file remoto. Service Set Identifier. Il nome assegnato alle reti WiFi o IEEE di tipo wireless. Secure Sockets Layer. Uno standard industriale consolidato che esegue la cifratura del canale tra un browser Web e un server Web, così da garantire la riservatezza e l'integrità dei dati trasmessi attraverso il canale in questione. Un termine generico per indicare una crittografia estremamente ostica alla criptoanalisi. In pratica, noto il metodo crittografico (algoritmo o protocollo), la chiave crittografica o i dati protetti non sono esposti. La forza è data dalla chiave crittografica utilizzata. Per essere efficace, la chiave deve avere almeno le stesse dimensioni raccomandate per le chiavi di forze equiparabili. Per quanto riguarda la nozione di "forza minima equiparabile", è possibile trovare un riferimento nella pubblicazione speciale del NIST , di agosto 2005 ( o in altri sistemi che rispondono ai seguenti requisiti minimi di sicurezza: 80 bit per i sistemi a chiave segreta (ad esempio, TDES) modulo a 1024 bit per gli algoritmi a chiave pubblica basati sulla fattorizzazione (ad esempio, RSA) 1024 bit per il logaritmo discreto (ad esempio, Diffie-Hellman) con una lunghezza minima di 160 bit di un grande sottogruppo (ad esempio, DSA) 160 bit per la crittografia ellittica (ad esempio, ECDSA) Qualunque componente, server o applicazione della rete facente parte o collegato all'ambiente dati dei titolari delle carte. Terminal Access Controller Access Control System. Un protocollo di autenticazione remota. Un termine inglese per indicare un'elevata resistenza agli attacchi, anche fisici, contro un sistema. Transmission Control Protocol. 11

12 TDES TELNET Minaccia TLS Token Dati della transazione Troncatura Autenticazione a due fattori UDP UserID Virus VPN Vulnerabilità Scansione delle vulnerabilità WEP Triple Data Encription Standard. I sinonimi sono DES triplo o 3DES. Cifratura a blocchi realizzata utilizzando per tre volte la cifratura DES. Abbreviazione di Telephone Network Protocol. Un protocollo orientato agli utenti e generalmente utilizzato per fornire sessioni di login dalla riga di comando tra gli host in Internet. In origine il programma era stato sviluppato per emulare un singolo terminale collegato all'altro computer. Una condizione per cui le informazioni o le risorse per l'elaborazione delle informazioni potrebbero essere intenzionalmente o accidentalmente perdute, modificate, esposte, rese inaccessibili o in altro modo compromesse a scapito dell'organizzazione. Transport Layer Security. Uno standard progettato con l'obiettivo di garantire la sicurezza e l'integrità dei dati tra due applicazioni di comunicazione. Lo standard TLS è il successore dello standard SSL. Un dispositivo che esegue l'autenticazione dinamica. Dati riguardanti il pagamento elettronico. Una pratica che prevede la rimozione di un segmento di dati. Quando i numeri degli account vengono troncati, di solito vengono omesse le prime 12 cifre e vengono lasciate le ultime 4. Una procedura di autenticazione forte, che richiede agli utenti l'immissione di due credenziali per poter accedere al sistema. Le credenziali sono costituite da qualcosa che l'utente ha (ad esempio, una smartcard o un token hardware) e qualcosa che l'utente sa (ad esempio, una password). Per conseguire l'accesso al sistema, l'utente è costretto a fornire entrambi i fattori. User Datagram Protocol. Una stringa di caratteri che identifica in modo univoco ciascun utente di un sistema. Un programma o una stringa di codice in grado di replicarsi e causare un'alterazione o la distruzione di software o dati. Virtual Private Network. Una rete privata che si appoggia a una rete pubblica. Un punto debole nelle procedure di sicurezza, nella progettazione, nell'implementazione del sistema o nei suoi controlli interni che potrebbe essere sfruttato per violare le politiche di sicurezza del sistema stesso. Le scansioni utilizzate per identificare le vulnerabilità nei sistemi operativi, nei servizi e nei dispositivi che potrebbero essere sfruttate dagli hacker per colpire la rete privata dell'azienda. Wired Equivalent Privacy. Un protocollo che previene le intercettazioni accidentali e che nelle intenzioni dovrebbe assicurare una riservatezza analoga a quella delle reti cablate tradizionali. Non fornisce tuttavia un livello di sicurezza sufficiente contro le intercettazioni intenzionali (ad esempio, contro la criptoanalisi). 12

13 WPA XSS WiFi Protected Access (WPA e WPA2). Un protocollo di sicurezza per le reti wireless (WiFi). È stato creato per rimediare a numerose e gravi debolezze del protocollo WEP. Cross-Site Scripting. Un tipo di vulnerabilità della sicurezza che è tipicamente riscontrato nelle applicazioni Web. Può essere utilizzato dall'autore di un attacco per acquisire privilegi di accesso al contenuto sensibile di una pagina, ai cookie di una sessione e a una serie di altri oggetti. 13