Riepilogo post nella categoria Sicurezza Informatica

Sono un Senior Backend Developer e System Administrator, con competenze approfondite in Cyber Security e messa in sicurezza di infrastrutture complesse. Ho maturato un’esperienza pluriennale nel campo della consulenza informatica su misura, operando su più livelli dello stack informatico: dallo sviluppo di soluzioni software tailor-made, alla gestione di sistemi Cloud aziendali nella sua interezza, specialmente in contesti ove l'hardening sistemistico è una priorità di etica più che di normativa, e vanto notevole esperienza in ambito di database security, risk assessment e incident response.

Lavoro sia in contesti Cloud che on-premises, adottando metodologie di Continuous Integration e Continuous Deployment per garantire cicli di rilascio rapidi e sicuri, in linea con le best practice previste dagli standard ISO/IEC 27001 e con i requisiti NIS2 in termini di sicurezza dei servizi essenziali.

Mi appassiona l’idea di fornire soluzioni integrate: dalla progettazione del software con metodi Secure by Design, all’hardening sistemistico basato su best practice ISO/IEC 27001, fino alla formazione del personale. Credo infatti che la sicurezza non sia solo una questione tecnica, ma anche culturale e organizzativa.


Competenze Tecniche Principali

Nel mio blog, divulgo contenuti tecnici e best practice su Cyber Security, DevOps e Compliance, con particolare attenzione alla Direttiva NIS2 e alle sue implicazioni per le aziende, in una collana di articoli denominata NIS2 Awareness.

  1. NIS2: Obblighi, Scadenze e Strategie per la Sicurezza Aziendale
  2. NIS2 Explained: Cybersecurity Compliance for European Organizations
  3. Conformità NIS2: Il Ruolo Strategico del Consulente Cybersecurity
  4. Competenze Tecniche e Sicurezza IT: Un Approccio Integrato alla Conformità NIS2
  5. Esigenze di Business e Affidabilità Tecnologica nell'Era Digitale

Mi piace pensare alle competenze tecniche come a un insieme organico di conoscenze, esperienze e metodologie che si combinano per dare forma a soluzioni concrete nel campo dell’Information Technology. In un contesto dove la Direttiva NIS2 assume un ruolo centrale per definire regole di sicurezza e requisiti di affidabilità, non è sufficiente conoscere alcuni strumenti isolati: è fondamentale avere una visione d’insieme, in cui ciascun tassello tecnologico si integra con gli altri per perseguire obiettivi comuni. Questa integrazione va oltre la scelta di un linguaggio di programmazione o di una piattaforma cloud; si estende al modo in cui progettiamo l’infrastruttura, all’attenzione che riponiamo nella fase di rilascio e monitoraggio, fino a come coinvolgiamo il personale attraverso programmi di formazione e sensibilizzazione.

Hai bisogno di un consulente informatico esperto in materia di Cyber Security? Contattami.

Linguaggi e Backend

Opero con diversi linguaggi e framework in modo trasversale, in particolare:

  • PHP (OOP, Laravel, Symfony)
  • Node.js e TypeScript
  • Python (scripting di sicurezza, automazioni, machine learning di base)
  • Java (microservizi, applicazioni enterprise)

Container, Cloud & DevSecOps

Ho un approccio DevSecOps, il che significa che la sicurezza viene integrata fin dalle prime fasi di sviluppo e rilascio del software. In particolare:

  • Docker e orchestrazione con Kubernetes per ambienti cloud e on-premises.
  • CI/CD con tool come Jenkins, GitLab CI e GitHub Actions.
  • Automazione e provisioning tramite Ansible o Terraform.
  • Conoscenza di AWS, Azure e Google Cloud, con focus su sicurezza (WAF, VPN, IAM, load balancing).

Hai bisogno di un consulente informatico esperto in materia di Cyber Security? Contattami.

Sistemistica e Hardening

La mia esperienza sistemistica si è consolidata su:

  • Linux (Debian, Ubuntu, Red Hat, Alma Linux) con focus su SELinux/AppArmor, patch management, firewall, VPN
  • Identity & Access Management (configurazione SSO, MFA, RBAC)
  • Infrastructure as Code (gestione e provisioning automatizzato di ambienti)
  • Intrusion Detection (Snort, Suricata), SIEM (Elastic Stack, Splunk)
  • Approccio a Zero Trust Architecture e Network Segmentation per ridurre al minimo la superficie di attacco.

Hai bisogno di un consulente informatico esperto in materia di Cyber Security? Contattami.

Data Security & Database

Gestisco database MySQL e PostgreSQL in scenari enterprise, occupandomi di replica, sharding e backup avanzati. Ho esperienza nella realizzazione di Data Lake scalabili integrati con soluzioni NoSQL (MongoDB, Cassandra, ElasticSearch), garantendo la cifratura dei dati a riposo e in transito, e implementando politiche di data classification e data retention.

  • MySQL, PostgreSQL (gestione di database enterprise, replica, sharding, backup avanzati, crittografia)
  • Data Lake (progettazione, integrazione con NoSQL – MongoDB, Cassandra, ElasticSearch)
  • Cifratura dei dati a riposo e in transito (TLS, SSL)
  • Data Retention & Data Classification (politiche di conservazione e classificazione dei dati sensibili)

Hai bisogno di un consulente informatico esperto in materia di Cyber Security? Contattami.

Cyber Security & Direttiva NIS2

La Direttiva NIS2 è il punto focale dei miei progetti in materia di compliance. Mi occupo di:

  • Secure Coding & DevSecOps: integrazione di analisi statiche e dinamiche (SAST, DAST) nelle pipeline CI/CD
  • Risk Assessment: analisi di vulnerabilità, definizione piani di remediation e risk management in linea con NIS2
  • Incident Response: definizione di procedure di patching e coordinamento con i team di sicurezza per incidenti gravi
  • Business Continuity & Disaster Recovery: piani di backup, DR site, HA & fault-tolerant architectures
  • Supply Chain Security: controllo dei fornitori (SLA di sicurezza, contratti, validazione librerie terze parti, SBOM)
  • Formazione Aziendale: progettazione di percorsi di cyber hygiene, simulazioni di attacchi di ingegneria sociale (phishing, pretexting)

Punti di Forza

  • Visione End-to-End: Ho una conoscenza che spazia dal backend development all’hardening sistemistico, il che consente soluzioni integrate e coerenti.
  • Formazione & Cyber Hygiene: Credo in una forte componente di awareness e training del personale, chiave per minimizzare il rischio di errori umani.
  • Adesione agli Standard di Riferimento: Faccio riferimento a OWASP Top 10, ISO/IEC 27001, NIST CSF e ovviamente alla normativa NIS2.
  • Orientamento al Rischio: Preferisco un approccio basato sulla valutazione del rischio (risk-based), in modo da concentrare risorse e budget dove serve davvero.

Hai bisogno di un consulente informatico esperto in materia di Cyber Security? Contattami.


Esperienza Rilevante per l’Adeguamento NIS2

Nel corso delle mie collaborazioni, ho avuto modo di effettuare una mappatura dei servizi essenziali all’interno di diverse realtà aziendali, identificando gli asset strategici e allestendo politiche di sicurezza in linea con gli obblighi della Direttiva. Ho curato l’hardening sistemistico di ambienti Linux, introducendo regole di firewall, VPN e segmentazione di rete per isolare sistemi critici, e ho supportato l’adozione di procedure di backup e Disaster Recovery con obiettivi RTO/RPO in linea con le aspettative di business.

A livello DevSecOps, ho integrato scanner di sicurezza (SAST, DAST) nelle pipeline CI/CD, riducendo sensibilmente i tempi di rilevamento delle vulnerabilità. Questo approccio mi ha permesso di affrontare al meglio gli obblighi di testing e valutazione previsti dalla NIS2, promuovendo anche la formazione del personale tecnico su come interpretare i risultati dei test e applicare tempestivamente le patch.

  1. Analisi e Mappatura dei Servizi Essenziali

    • Identificazione degli asset critici e dei servizi core su cui la Direttiva NIS2 impone misure più stringenti.
    • Catalogazione delle dipendenze e definizione di Service Level Objectives (SLO) in ottica di sicurezza.
  2. Sviluppo di Policy e Procedure di Sicurezza

    • Stesura di policy aziendali (IT Security Policy, Access Control Policy, Data Classification Policy, ecc.) in conformità alle linee guida NIS2 e agli standard ISO/IEC 27001.
    • Redazione di Procedure Operative a supporto del personale tecnico (patch management, change management).
  3. Hardening Sistemi e Reti

    • Configurazione avanzata di sistemi Linux (SELinux, AppArmor, firewall) e servizi (DNS, web server) per minimizzare la superficie d’attacco.
    • Segmentazione di rete (DMZ, VLAN, jump host) e Zero Trust per isolare porzioni critiche dell’infrastruttura.
  4. Implementazione Misure di Compliance NIS2

    • DevSecOps: introduzione di scanning automatici (SAST/DAST/IAST) nelle pipeline, con test di sicurezza a ogni rilascio.
    • Encryption in-transit e at-rest per dati sensibili (TLS 1.3, crittografia dischi e backup).
    • Audit Logging e Monitoring continuo su infrastrutture cloud e on-premise.
  5. Risk Assessment e Incident Response

    • Esecuzione di vulnerability assessment regolari e prioritizzazione delle patch.
    • Creazione di procedure di incident response (IRP), definizione dei ruoli (CSIRT interno/esterno) e simulazioni di attacco (tabletop exercises).
  6. Business Continuity e Disaster Recovery

    • Definizione di piani di BC/DR in ottica NIS2, con obiettivi RTO e RPO ben delineati.
    • Configurazione di ambienti HA (clustering, load balancer) e test periodici di ripristino dei servizi.
  7. Supply Chain Security

    • Verifica dell’affidabilità dei fornitori, introduzione di contratti e SLA di sicurezza (obblighi di notifica e standard minimi).
    • Adozione di tool e metodologie per la validazione di componenti open source (SBOM, policy di code signing).
  8. Formazione e Cyber Hygiene

    • Percorsi formativi su phishing, malware, best practice di sicurezza per personale non tecnico e team IT.
    • Produzione di manuali e video tutorial incentrati sulle misure minime richieste da NIS2 (autenticazione robusta, gestione sicura delle password, classificazione dei dati).

Hai bisogno di un consulente informatico esperto in materia di Cyber Security? Contattami.


Approccio all’Adeguamento NIS2

Preferisco un metodo iterativo che parta da una Gap Analysis e arrivi a un Piano di Implementazione ben definito. La sicurezza, secondo me, non è un singolo progetto ma un processo continuo, perciò insisto molto sulla revisione periodica e sulla formazione costante del personale. In questo contesto, curo anche l’aspetto legato alla supply chain, integrando contratti e SLA di sicurezza con i fornitori, e monitorando nel tempo la loro conformità.

  1. Gap Analysis: analisi dell’infrastruttura, dei processi e delle competenze esistenti per identificare le lacune rispetto alle prescrizioni NIS2 (Art. 21, 23).
  2. Piano di Remediation: definizione di priorità e tempi di esecuzione per garantire la messa a norma in modo graduale.
  3. Implementazione Tecnica: hardening dei sistemi, introduzione di controlli di sicurezza (WAF, IDS/IPS, SSO, MFA, network segmentation).
  4. Formazione del Personale: workshop e sessioni pratiche per aumentare la consapevolezza delle minacce e la capacità di risposta agli incidenti.
  5. Monitoraggio & Testing: esecuzione periodica di audit e pentest per verificare l’efficacia delle misure adottate e rispondere agli obblighi di testing previsti dalla NIS2 (Art. 21(2)(g)).
  6. Manutenzione Continua: aggiornamento costante di documentazione, procedure e soluzioni tecniche in funzione dell’evoluzione delle minacce e delle novità normative.

Hai bisogno di un consulente informatico esperto in materia di Cyber Security? Contattami.


Riepilogo Punti di Forza

  • Competenza Trasversale: dalla progettazione di architetture backend sicure, all’hardening sistemistico, fino allo sviluppo di policy e procedure in linea con le normative europee.
  • Esperienza con Ambienti Cloud & On-Prem: configurazione di infrastrutture ibride e multi-cloud, con focus su sicurezza (IAM, WAF, logging).
  • Adozione di Standard e Best Practice: ISO/IEC 27001, OWASP Top 10, NIST CSF, e allineamento alle prescrizioni NIS2.
  • Formazione e Cyber Hygiene: abitudine a condurre percorsi formativi e di awareness, con simulazioni di attacco e monitoraggio risultati.
  • Orientamento al Rischio: capacità di mappare gli asset critici e implementare un risk-based approach per concentrare gli sforzi sulle aree a maggior impatto.

Grazie a una visione integrata di sviluppo backend, cybersecurity e compliance normativa, offro consulenza specializzata per l’adeguamento ai requisiti NIS2, accompagnando le aziende in tutte le fasi: analisi del rischio, definizione delle policy, implementazione tecnica e formazione del personale.

Attenzione! Questo contenuto è vecchioQuesto articolo risale al 2017, quindi i contenuti e le operazioni qui consigliate potrebbero essere diventate obsolete nel corso del tempo.

Nei lontani anni 80, le password erano qualcosa che la maggior parte degli esseri umani non conosceva proprio come concetto. Oggigiorno, pensateci un attimo, avete una password per praticamente qualsiasi cosa legato al mondo tecnologico, dei computer, dei pagamenti, della previdenza sociale, e chissà per quanti altri utilizzi.

Purtroppo però, le password non vengono utilizzate in maniera corretta dalla maggior parte degli utenti. Vengono talvolta viste addirittura come una scocciatura, un passaggio in più prima di raggiungere l'obiettivo, che sia un login o un accesso ad un sistema gestionale. In realtà il concetto di password - e più in generale di crittografia - è cruciale, e permette a tutti quanti di poter avere una vita sui social, un conto in banca, un sistema di pagamento sempre a disposizione.

Ora, soffermiamoci un attimo sul concetto di password, collegato ad un presumibile account su un forum che chiameremo, senza molta fantasia, Voragine. Faremo finta, in questo viaggio, di essere "Aldo", un utente medio di internet.

Aldo si è iscritto su Voragine circa 8 anni fa, creando un nuovo utente "aldo.rossit" con password "13gennaio1978". Aldo è assiduo frequentatore di questo forum, e funziona sempre tutto alla perfezione.

Nel frattempo, in questi 8 anni, Aldo si è reso conto che la password "13gennaio1978" è veramente facile da ricordare, ed è molto compiaciuto con se stesso della difficoltà della sua password, che comprende lettere e numeri. Quindi, compiaciuto, Aldo comincia ad utilizzare la stessa password per molti altri servizi online. Adesso Aldo ha un account di Facebook, uno di Twitter, un indirizzo email su Gmail, e svariate altre utenze su siti ecommerce che utilizzano la stessa password. Aldo si registra dappertutto, inoltre, utilizzando sempre lo stesso indirizzo mail di Gmail, "aldo.rossit12@gmail.com", creato con la password "13gennaio1978" di prima.

Ora, fermiamoci un secondo, analizzando criticamente la questione, e poniamola a confronto su qualcosa di più concreto rispetto ad una "password" e un "nome utente". Aldo si sta comportando come se, in tanti anni, avesse dato le proprie chiavi di casa ( con l'indirizzo di casa propria scritto sopra ) a tanti amici, senza mai cambiare la serratura di casa.

Ma chi ci garantisce che, ammessa la buona fede dei suoi amici, e ammesso che la porta di casa di Aldo è difficile da scassinare, un ladro non vada proprio a rubare in casa di un suo amico? Se così fosse, e questo ladro riuscisse a trovare le chiavi di casa di Aldo, sarebbero guai seri.

Fondamentalmente, nel mondo del web, funziona alla stessa identica maniera. Aldo sta condividendo tra più amici la stessa identica chiave di casa. Cosa significa questa affermazione?

Quando Aldo si registrò su Voragine 8 anni fa, non sapeva che Voragine usava un sistema per "conservare" le password che non era stato pensato per evitare i ladri. Nel nostro esempio di prima, è come se gli amici di Aldo, che stavano conservando le chiavi di casa di Aldo in casa loro, stessero tenendo appunto le chiavi in un luogo davvero banale e troppo semplice da individuare. Portato questo esempio nel mondo della tecnologia attuale, invece, ogni "sito web" / applicazione / social dove è possibile inserire un username e una password, ha alla base un sistema informatico che deve per forza di cose conservare l'account da qualche parte, spesso all'interno di un database, assieme a tutti gli altri dati sensibili del'account in questione. Quando si effettua un login, il sistema informatico controlla lo username inserito, e se la password "combacia" con quella appena scritta, allora è permesso entrare.

Il punto focale della questione è nella frase "se la password combacia con quella appena scritta". Molti utenti non sanno che le password sono conservate "in chiaro", cioè non decifrate, all'interno dei database dei siti su cui si effettua registrazione. Questo vuol dire che sia gli amministratori dei siti web, sia i programmatori che ci lavorano all'interno, possono leggere le password specificate in fase di registrazione. E se gli amministratori e i programmatori possono avere accesso a queste informazioni in lettura, lo possono fare purtroppo anche malintenzionati hacker che dovessero mettere le mani su questi database pieni di credenziali di accesso.

Questa pratica, scorretta sia dal punto di vista della trasparenza, sia dal punto di vista prettamente tecnico e di sicurezza informatica, fa sì che Aldo sarà presto hackerato.

Infatti, alcuni hacker sono riusciti a "bucare" il forum di Voragine. Già che c'erano, sono riusciti a scaricare una copia completa di tutto il forum, con tutti i post, i commenti, e anche i profili degli utenti. Assieme ai profili degli utenti, sono anche riusciti a copiare il database ( la lista completa ) di username e password. Purtroppo, il forum di Voragine conservava tutte le password dei propri utenti "in chiaro" senza nessun tipo di crittografia al loro interno. Ovvero, Voragine aveva implementato a livello tecnico un database di "utenti" con tutte le informazioni leggibili senza problemi così come è possibile leggere questo articolo in questo momento.

Cosa succede quindi adesso? Questi hacker ( i ladri che hanno rubato le chiavi di casa, nell'esempio di prima ) sono a conoscenza di informazioni fortemente delicate. Gli hacker sanno che le informazioni trafugate possono portare loro maggior profitto, e quindi iniziano a fare alcuni tentativi "al buio" per vedere se riescono ad hackerare qualcos'altro con i dati a disposizione.

Sanno che Aldo adesso usa una email di Gmail che si chiama "aldo.rossit12@gmail.com", perchè sono riusciti a leggerlo dal profilo di Aldo sui dati scaricati poco fa in maniera illecita. Sanno anche la password che Aldo usava su Voragine per effettuare l'accesso. Quindi, perchè non provare ad effettuare un login su Gmail con "aldo.rossit12@gmail.com" e con la password "13gennaio1978" che usava Aldo sul forum? Purtroppo per Aldo, gli hacker hanno fatto un ragionamento corretto. Ora gli hacker sono riusciti ad entrare nella sua casella di posta elettronica.

E così si chiude il cerchio. Ora gli hacker hanno a disposizione un account email completo, non solo di Aldo, ma di tutti gli utenti di Voragine che purtroppo utilizzavano questo sistema scorretto di condivisione della stessa password dappertutto. Gli hacker sanno che un account di email, come quello di Aldo, conterrà moltissime informazioni critiche al suo interno, come ad esempio tutte le email di registrazione a tutti gli altri servizi online di Aldo, ad esempio Paypal, Amazon, Ebay, con tutti i nomi utente per effettuare il login dentro i rispettivi servizi ( ogni email di conferma registrazione contiene infatti almeno una informazione di questo tipo ). Quindi, gli hacker proveranno ad effettuare degli altri tentativi di login, sempre supponendo che Aldo stia continuando ad usare sempre la stessa famigerata password dappertutto. E infatti, così è. Gli hacker riescono ad entrare praticamente ovunque.
Quindi, Aldo, ignaro di tutto quanto, continua a vivere la sua vita online "tranquillo" dal punto di vista della sicurezza perchè presume che la sua password sia presumibilmente complicata da individuare. Però non sa che, grazie ad una falla di un sito nel quale era stato registrato, ora i suoi dati online sono messi pericolosamente a rischio.

Ecco spiegato, grazie al povero Aldo nel nostro esempio, un prototipo di "hacking tipo" che viene effettuato grazie ad hacking fatto su altro sito terzo, che porta poi alla scoperta di altre informazioni critiche sugli utenti, che sono di fatto vittime "ignare" di questo processo, perchè non possono essere nè a conoscenza delle grosse falle di implementazione dei sistemi di login dei siti sui quali effettuano registrazione, nè possono conoscere il fatto che alcuni hacker hanno appena trafugato dati da un sito su cui sono registrati.

Con questo articolo, volevo porre all'attenzione il problema della "condivisione di password identiche tra siti differenti". Il taglio dell'articolo è stato molto poco tecnico, di proposito, per permettere a chiunque di capire la gravità del problema.

Su questo sito, nella categoria "Sicurezza Informatica" troverete altri articoli importanti e interessanti per capire cosa fare e cosa non fare con le vostre credenziali di login in giro per la rete.