Discussion:
Nuovi criteri del Garante per gli "amministratori di sistema"
(too old to reply)
Domenico Viggiani
2009-01-16 17:16:58 UTC
Permalink
Qui:
http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499
http://www.garanteprivacy.it/garante/doc.jsp?ID=1580831
si legge dei nuovi criteri del Garante per gli "amministratori di sistema".
Innanzitutto, sono molto interessato a conoscere cosa ne pensate.
Ci sono degli appigli per evitare tutto ciò? Come ci si uniforma a questi
criteri?

Poi, purtroppo, l'interpretazione che ne è stata fatta in azienda mi
costringe a valutare i metodi tecnici per la "Adozione di sistemi di
controllo che consentano la registrazione degli accessi effettuate dagli
amministratori di sistema ai sistemi di elaborazione e agli archivi
elettronici.
Le registrazioni devono comprendere i riferimenti temporali e la descrizione
dell'evento che le ha generate e devono essere conservate per un congruo
periodo, non inferiore a sei mesi".

Per sistemi Linux/Unix, mni sto orientando ad impedire l'accesso remoto con
user locali (generiche e applicative) e consentirlo solo attraverso
autenticazione centralizzata sul dominio Windows AD.
Ogni passaggio a "root" tramite "su" sarebbe, a quel punto, legato ad un
utente specifico. Rimarrebbe l'accesso a "root" da console, che non saprei
come regolare.
E per l'auditing di tutte le attività, qual'è la strada migliore?

Per i sistemi Windows?


Grazie
--
Domenico Viggiani

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Cesare
2009-01-19 20:02:30 UTC
Permalink
Post by Domenico Viggiani
http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499
http://www.garanteprivacy.it/garante/doc.jsp?ID=1580831
si legge dei nuovi criteri del Garante per gli "amministratori di sistema".
Innanzitutto, sono molto interessato a conoscere cosa ne pensate.
Ci sono degli appigli per evitare tutto ciò? Come ci si uniforma a questi
criteri?
Per quanto riguarda la necessità di tracciare le azioni sui sistemi
effettuate dagli amministratori dei sistemi (compresi coloro che
accedono al sistema come "semplici" utenti applicativi) inizialmente
abbiamo adottato l'unione di due applicativi freeware: sudo (per
l'accesso a comandi da "super-user" e/o per comandi applicativi
ritenuti importanti e all'interno delle prescrizioni del Garante) e
"sudosh2" (per tracciare sia i comandi che il relativo output
effettuati a terminale).

Poichè entrambi gli applicativi non rientravano pienamente nelle
prescrizioni (nel punto 4.5 dove recita che "Le registrazioni (access
log) devono avere caratteristiche di completezza, inalterabilità e
possibilità di verifica della loro integrità adeguate al
raggiungimento dello scopo di verifica per cui sono richieste") sono
stati presi a considerazione vari sistemi di registrazione e la scelta
è caduta su SysMark PowerBroker
(http://www.symark.com/products/pboverview.html).

Poichè in entrambe le situazioni la password dell'utente
amministrativo (diciamo "root") non è più necessaria se non in casi di
manutenzione da console, la medesima password è custodita da persone
non facenti parte del gruppo degli amministratori e l'utilizzo della
stessa è regolamentata attraverso procedure di utilizzo e di rinnovo
(ad esempio: si richiede l'utilizzo, si utilizza, viene poi
modificata).

Per quanto riguarda l'accesso alla macchina stessa, la scelta è caduta
attraverso il protocollo SSH con accesso OTP (ad esempio RSASecurId),
prossimamente con l'evoluzione Upek (accesso biometrico:
http://www.upek.com/solutions/rsa/), che non richiede modifiche
sostanziali sui sistemi ma solo un aggiornamento lato AccessServer.
Per quanto riguarda gli applicativi, sono stati portati su accesso OTP
(più velocemente se le applicazioni prevedono un utilizzo we-like
tramite WebAuthentication, con un'integrazione applicativa con le API
RSA oppure LDAP).

Cesare


--

Rita Rudner - "When I eventually met Mr. Right I had no idea that his
first name was Always."
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
mamo
2009-01-20 07:40:13 UTC
Permalink
[...]
Post by Cesare
Per quanto riguarda la necessità di tracciare le azioni sui sistemi
effettuate dagli amministratori dei sistemi (compresi coloro che
accedono al sistema come "semplici" utenti applicativi) inizialmente
abbiamo adottato l'unione di due applicativi freeware: sudo (per
l'accesso a comandi da "super-user" e/o per comandi applicativi
ritenuti importanti e all'interno delle prescrizioni del Garante) e
"sudosh2" (per tracciare sia i comandi che il relativo output
effettuati a terminale).
[...]

Tu probabilmente lavori in un Telco in cui queste richieste erano
presenti in precedenti provvedimenti.

Devo dire che trovo i tempi di implementazione di queste prescrizioni
molto "sfidanti". 4 mesi per fare queste cose in grandi contesti sono
decisamente pochi (considerando che non bisogna solo fare le cose, ma
anche convincere il top management che devono essere stanziati i
soldi, etc). 4 mesi per fare questre cose in piccoli contesti o in
contesti senza grosse disponibilità economica (e in questi tempi di
crisi economica non è difficile trovarne) mi sembra anche molto
difficile.

Secondo voi tra 4 mesi ci saranno tutte queste misure applicate?

Saluti,
Mamo
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Rissone Ruggero
2009-01-20 17:44:07 UTC
Permalink
-----Messaggio originale-----
Inviato: martedì 20 gennaio 2009 8.40
Oggetto: Re: [ml] Nuovi criteri del Garante per gli
"amministratori di sistema"
Tu probabilmente lavori in un Telco in cui queste richieste
erano presenti in precedenti provvedimenti.
Devo dire che trovo i tempi di implementazione di queste
prescrizioni molto "sfidanti". 4 mesi per fare queste cose
in grandi contesti sono decisamente pochi (considerando che
non bisogna solo fare le cose, ma anche convincere il top
management che devono essere stanziati i soldi, etc). 4 mesi
per fare questre cose in piccoli contesti o in contesti
senza grosse disponibilità economica (e in questi tempi di
crisi economica non è difficile trovarne) mi sembra anche
molto difficile.
Secondo voi tra 4 mesi ci saranno tutte queste misure applicate?
Saluti,
Mamo
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Mamo, il tracciamento delle attivita' era sicuramente un requisito per i sistemi delle Telco che trattano Dati di Traffico e/o Dati per la Magistratura.
Le modalita' di implementazione possono anche variare, la soluzione con sudoshell forse e' la meno robusta, pero' credo che su realta' medio piccole si riesca ad implementare in 4 mesi. Chi tra 4 mesi non rispondera' a questo requisito, semplicemente andra' a rimpinguare le casse del Garante....come gia' avviene per tutti i grandi operatori che puntualmente "pagano la tangente".
Imho credo che in realta' industriali particolarmente critiche (non necessariamente telco oriented), un tracciamento delle attivita' avrebbe dovuto essere un requirement progettuale a prescindere dai requisiti cogenti.

RR

Questo messaggio e i suoi allegati sono indirizzati esclusivamente alle persone indicate. La diffusione, copia o qualsiasi altra azione derivante dalla conoscenza di queste informazioni sono rigorosamente vietate. Qualora abbiate ricevuto questo documento per errore siete cortesemente pregati di darne immediata comunicazione al mittente e di provvedere alla sua distruzione, Grazie.

Rispetta l'ambiente. Non stampare questa mail se non e' necessario.



www.avoicomunicare.it Ogni giorno, il tuo luogo di dialogo.
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Paolo Giardini
2009-01-20 09:07:15 UTC
Permalink
Premetto che l'argomento è più da "lex" che da "ml", ed infatti lo avevo
iniziato di la', ma non c'è stata risposta.
Rilancio l'argomento, se gli amministratori della lista passeranno
questo msg, per poi continuare in lex.
Post by Cesare
Per quanto riguarda la necessità di tracciare le azioni sui sistemi
effettuate dagli amministratori dei sistemi (compresi coloro che
accedono al sistema come "semplici" utenti applicativi) inizialmente
abbiamo adottato l'unione di due applicativi freeware: sudo (per
l'accesso a comandi da "super-user" e/o per comandi applicativi
ritenuti importanti e all'interno delle prescrizioni del Garante) e
"sudosh2" (per tracciare sia i comandi che il relativo output
effettuati a terminale).
Ecco, questo è il punto del quale vorrei discutere.

Il testo del provvedimento recita:

f) Registrazione degli accessi.
Devono essere adottati sistemi idonei alla registrazione degli accessi
logici (autenticazione informatica) ai sistemi di elaborazione e agli
archivi elettronici da parte degli amministratori
di sistema. Le registrazioni (access log) devono avere caratteristiche
di completezza, inalterabilità e possibilità di verifica della loro
integrità adeguate al raggiungimento dello scopo per cui sono richieste.
Le registrazioni devono comprendere i riferimenti temporali e la
descrizione dell'evento che le ha generate e devono essere conservate
per un congruo periodo, non inferiore a sei mesi.

Siamo certi che il provvedimento intenda "ogni operazione effettuata" o
non solamente "login e logout"?
Cosa si intende per "accessi"? Accesso al sistema o accesso ai file (ma
solo quelli contenenti dati personali?).
Il testo specifica "autenticazione informatica".

Che ne pensate?
--
Paolo Giardini | EUCIP Certified | WOT Notary | CCOS Regione Umbria
Privacy Officer AIP/ICTS | Iscritto Albo Consulenti Docenti FORMEZ
Resp.Relazioni Osservatorio Privacy e Sicurezza IT | www.aipnet.it
Socio A.I.P./ITCS | CLUSIT | GNU/LUG Perugia | AIPSI | ISSA | ILS
http://www.solution.it | Cel.337.652876 | Fax 075.93831174
twiz
2009-01-20 10:03:43 UTC
Permalink
On Tue, 20 Jan 2009 10:07:15 +0100
Post by Paolo Giardini
=20
f) Registrazione degli accessi.
Devono essere adottati sistemi idonei alla registrazione degli acce=
ssi
Post by Paolo Giardini
logici (autenticazione informatica) ai sistemi di elaborazione e ag=
li
Post by Paolo Giardini
archivi elettronici da parte degli amministratori
di sistema. Le registrazioni (access log) devono avere caratteristi=
che
Post by Paolo Giardini
di completezza, inalterabilit=E0 e possibilit=E0 di verifica della =
loro
Post by Paolo Giardini
integrit=E0 adeguate al raggiungimento dello scopo per cui sono
richieste.=20
Solo una cosa mi incuriosisce (chiedo scusa se gia' trattata, ho
guardato velocemente tra i thread e non l'ho vista): "Le registrazion=
i
devono avere caratteristiche di completezza, inalterabilita' e
possibilita' di verifica".

Ora, deduco che tutti gli amministratori di sistema debbano essere
tracciati, compreso l'amministratore di sistema che gestisce la
macchina dove finiscono i log. Ora, poiche' deve esserci
"inalterabilita'", sono necessarie almeno due macchine i cui rispetti=
vi
amministratori di sistema non sono in grado di accedere
vicendevolmente ? E in tutti i contesti dove c'e' un solo
amministratore o un solo team ?=20

Leggo su una mail :=20
Post by Paolo Giardini
Poich=E8 entrambi gli applicativi non rientravano pienamente nelle
prescrizioni (nel punto 4.5 dove recita che "Le registrazioni (acce=
ss
Post by Paolo Giardini
log) devono avere caratteristiche di completezza, inalterabilit=
=E0 e
Post by Paolo Giardini
possibilit=E0 di verifica della loro integrit=E0 adeguate al
raggiungimento dello scopo di verifica per cui sono richieste") son=
o
Post by Paolo Giardini
stati presi a considerazione vari sistemi di registrazione e la sce=
lta
Post by Paolo Giardini
=E8 caduta su SysMark PowerBroker
(http://www.symark.com/products/pboverview.html).
Okay, ACL/MAC e compagnia.=20
Oramai i sistemi "trusted" lo fanno regolarmente, ma quindi devo dedu=
rre
che "amministratore di sistema" sia sinonimo di "root" e non di "chi =
ha
accesso a una determinata risorsa" ?
Post by Paolo Giardini
Poich=E8 in entrambe le situazioni la password dell'utente
amministrativo (diciamo "root") non =E8 pi=F9 necessaria se non in =
casi di
Post by Paolo Giardini
manutenzione da console, la medesima password =E8 custodita da pers=
one
Post by Paolo Giardini
non facenti parte del gruppo degli amministratori e l'utilizzo dell=
a
Post by Paolo Giardini
stessa =E8 regolamentata attraverso procedure di utilizzo e di rinn=
ovo
Post by Paolo Giardini
(ad esempio: si richiede l'utilizzo, si utilizza, viene poi
modificata).
Okay, ma cio' non cambia la situazione. Qualcosa o qualcuno deve pote=
r
loggare e quindi quel demone ha permesso di auditing. Ora, qualcosa o
qualcuno ha configurato quel demone e gli ha dato quel permesso e
quindi puo' gestire quel "permesso" a piacimento.=20
Questo qualcosa o qualcuno non e' un "amministratore di sistema" ?
Occorre creare un secondo ambiente ad-hoc per loggare costui ? Mi
sembra l'unica soluzione "a norma di legge", per quanto orrenda.=20
Oppure sto completamente mancando il punto (cosa peraltro probabile) =
:-)

Sia chiaro, non sto discutendo la soluzione, sono solo capitato su
questo testo legislativo che, a prima lettura, mi e' sembrato
sufficientemente "curioso" da adottare. (senza dimenticare che creare
tutta sta complessita', secondo me, aiuta solo a rendere gli ambienti
meno mantenibili...)

Ciaps

=09 - twiz


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
stefano landucci
2009-01-20 21:39:30 UTC
Permalink
Post by twiz
On Tue, 20 Jan 2009 10:07:15 +0100
Post by Paolo Giardini
f) Registrazione degli accessi.
Devono essere adottati sistemi idonei alla registrazione degli accessi
logici (autenticazione informatica) ai sistemi di elaborazione e agli
archivi elettronici da parte degli amministratori
di sistema. Le registrazioni (access log) devono avere caratteristiche
di completezza, inalterabilità e possibilità di verifica della loro
integrità adeguate al raggiungimento dello scopo per cui sono richieste.
Solo una cosa mi incuriosisce (chiedo scusa se gia' trattata, ho
guardato velocemente tra i thread e non l'ho vista): "Le registrazioni
devono avere caratteristiche di completezza, inalterabilita' e
possibilita' di verifica".
Ora, deduco che tutti gli amministratori di sistema debbano essere
tracciati, compreso l'amministratore di sistema che gestisce la
macchina dove finiscono i log. Ora, poiche' deve esserci
"inalterabilita'", sono necessarie almeno due macchine i cui rispettivi
amministratori di sistema non sono in grado di accedere
vicendevolmente ? E in tutti i contesti dove c'e' un solo
amministratore o un solo team ?
Devono essere due entità separate; cioè chi gestisce il sistema di log
(qualsiasi tipo di soluzione si sia scelto) deve essere una persona o
un gruppo differente da chi gestisce le macchine su cui vengono
effettuate le operazioni.

Purtroppo non ho esperienza su ambienti dove sia presente un unico
amministratore o un unico team; anche se penso che in ambienti così
piccoli, chi gestisce le macchine ha tutto l'interesse a far sì che i
log abbiano le caratteristiche richieste dalla legge. Anche se, per
come è attualmente scritta, questa soluzione non la soddisfa.

Ciauz
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Roberto Tagliaferri - Tosnet srl
2009-01-21 16:27:40 UTC
Permalink
Post by stefano landucci
Devono essere due entità separate; cioè chi gestisce il sistema di log
(qualsiasi tipo di soluzione si sia scelto) deve essere una persona o
un gruppo differente da chi gestisce le macchine su cui vengono
effettuate le operazioni.
Purtroppo non ho esperienza su ambienti dove sia presente un unico
amministratore o un unico team; anche se penso che in ambienti così
piccoli, chi gestisce le macchine ha tutto l'interesse a far sì che i
log abbiano le caratteristiche richieste dalla legge. Anche se, per
come è attualmente scritta, questa soluzione non la soddisfa.
Ciauz
Eccomi qua...
Io sono il tecnico/amministratore di un piccolo provider e sui nostri
server ci sono dei dati personali (ovviamente!) ma non sensibili.
Ai db posso accedere sia tramite ssh direttamente sul server sia tramite
apposito tool di amministrazione dal mio client.
Essendo il solo e unico (tm) amministratore a chi potrei demandare la
gestione dei log "inalterabili"?
Come posso tracciare gli accessi del programmino di gestione
(pgsql/pgadmin3) ?

Per le piccole aziende come la mia mi sembra un po' eccessivo!
--
Roberto Tagliaferri
Responsabile Progettazione & Produzione
TosNet s.r.l. - Internet Service Provider
***@tosnet.it
www.tosnet.it

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Paolo Giardini
2009-01-21 10:35:31 UTC
Permalink
ma quindi devo dedurre
che "amministratore di sistema" sia sinonimo di "root" e non di "chi ha
accesso a una determinata risorsa" ?
No, il testo del provvedimento su questo è abbastanza chiaro.
Anche chi, ad esempio, si occupa delle copie, o chi custodisce le
credenziali di autenticazione, pur non avendo un ruolo prettamente
tecnico, rientra nella definizione.

Chi ha accesso ad una determinata risorsa, per svolgere la propria
attività lavorativa, dovrebbe essere un "incaricato".
--
Paolo Giardini | EUCIP Certified | WOT Notary | CCOS Regione Umbria
Privacy Officer AIP/ICTS | Iscritto Albo Consulenti Docenti FORMEZ
Resp.Relazioni Osservatorio Privacy e Sicurezza IT | www.aipnet.it
Socio A.I.P./ITCS | CLUSIT | GNU/LUG Perugia | AIPSI | ISSA | ILS
http://www.solution.it | Cel.337.652876 | Fax 075.93831174
Rissone Ruggero
2009-01-20 17:49:16 UTC
Permalink
-----Messaggio originale-----
Inviato: martedì 20 gennaio 2009 10.07
Ecco, questo è il punto del quale vorrei discutere.
f) Registrazione degli accessi.
Devono essere adottati sistemi idonei alla registrazione
degli accessi logici (autenticazione informatica) ai sistemi
di elaborazione e agli archivi elettronici da parte degli
amministratori di sistema. Le registrazioni (access log)
devono avere caratteristiche di completezza, inalterabilità
e possibilità di verifica della loro integrità adeguate al
raggiungimento dello scopo per cui sono richieste.
Le registrazioni devono comprendere i riferimenti temporali
e la descrizione dell'evento che le ha generate e devono
essere conservate per un congruo periodo, non inferiore a sei mesi.
Siamo certi che il provvedimento intenda "ogni operazione
effettuata" o non solamente "login e logout"?
Cosa si intende per "accessi"? Accesso al sistema o accesso
ai file (ma solo quelli contenenti dati personali?).
Il testo specifica "autenticazione informatica".
Che ne pensate?
Viste le potenzialita' di un sysadmin, in assenza di prodotti di sicurezza esterni che impediscono l'accesso a determinate directory o a determinati set di comandi (e che non siano disattivabili, modificabili dal syasdmin), credo che in ottica di protezione della infrastruttura, sia opportuno anche tracciare le attivita' effettuate...Ho qualche dubbio sull'ouput del comando eseguito, in quanto in alcuni contesti era proprio richiesto che questo non fosse visualizzato/tracciato.

RR

Questo messaggio e i suoi allegati sono indirizzati esclusivamente alle persone indicate. La diffusione, copia o qualsiasi altra azione derivante dalla conoscenza di queste informazioni sono rigorosamente vietate. Qualora abbiate ricevuto questo documento per errore siete cortesemente pregati di darne immediata comunicazione al mittente e di provvedere alla sua distruzione, Grazie.

Rispetta l'ambiente. Non stampare questa mail se non e' necessario.



www.avoicomunicare.it Ogni giorno, il tuo luogo di dialogo.
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Stefano Zanero
2009-01-21 12:14:11 UTC
Permalink
Post by Paolo Giardini
f) Registrazione degli accessi.
Devono essere adottati sistemi idonei alla registrazione degli accessi
logici (autenticazione informatica) ai sistemi di elaborazione e agli
archivi elettronici da parte degli amministratori
di sistema. Le registrazioni (access log) devono avere caratteristiche
di completezza, inalterabilità e possibilità di verifica della loro
integrità adeguate al raggiungimento dello scopo per cui sono richieste.
Le registrazioni devono comprendere i riferimenti temporali e la
descrizione dell'evento che le ha generate e devono essere conservate
per un congruo periodo, non inferiore a sei mesi.
Siamo certi che il provvedimento intenda "ogni operazione effettuata" o
non solamente "login e logout"?
Veramente a me pare di una chiarezza lapalissiana che il Garante voglia
la registrazione degli ACCESSI, non delle singole operazioni. Lo dice 3
volte !
--
Cordiali saluti,
Stefano Zanero

Politecnico di Milano - Dip. Elettronica e Informazione
Via Ponzio, 34/5 I-20133 Milano - ITALY
Tel. +39 02 2399-4017
Fax. +39 02 2399-3411
E-mail: ***@elet.polimi.it
Web: http://home.dei.polimi.it/zanero/
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Claudio Telmon
2009-01-21 15:39:48 UTC
Permalink
Post by Paolo Giardini
Siamo certi che il provvedimento intenda "ogni operazione effettuata" o
non solamente "login e logout"?
Cosa si intende per "accessi"? Accesso al sistema o accesso ai file (ma
solo quelli contenenti dati personali?).
Il testo specifica "autenticazione informatica".
Concordo sul fatto che i dubbi interpretativi andrebbero chiariti
prima su lex. A parte questo, io sarei dell'idea che si tratti dei
"login e logout" e non (o non necessariamente, vedi seguito) di
tutte le operazioni. Il provvedimento precisa chiaramente che con
accessi logici si riferisce alle attività di autenticazione, che le
registrazioni si riferiscono a questi accessi e precisa
ulteriormente con il termine access log, che con la notevole
eccezione dei server web si riferisce abitualmente al file in cui
sono registrati inizio e fine degli accessi. L'uso di un termine in
inglese nel provvedimento secondo me sta proprio a riferirsi all'uso
comune in ambito sistemistico del termine.

Il dubbio, IMO può essere al limite sull'accesso diretto ai file di
un db invece che tramite interfacce di gestione (che a loro volta
dovrebbero registrare gli accessi).

Questa interpretazione è secondo me avvalorata dai numerosi
riferimenti all'adeguatezza delle misure e alla due diligence,
adeguatezza che del resto è l'appiglio che il Garante ha nel codice
per questa prescrizione. Dobbiamo considerare che si tratta di un
provvedimento generale, che si applica a (quasi) tutti: è chiaro
secondo me che per taluni trattamenti il requisito di registrare
ogni operazione ed evitare ogni possibile canale di manomissione
sarebbe sproporzionato al tipo di dati e di trattamento.
Per lo stesso motivo, eviterei di discutere quale sia "la
soluzione": ce ne saranno diverse, a seconda del contesto.

Quello che sicuramente può essere utile quasi dappertutto è evitare
di avere come unica figura il sistemista onnipotente, ma utilizzare
i diversi livelli di privilegio che i sistemi ci offrono. Questo già
di per sè escluderebbe buona parte dei sistemisti dalla possibilità
di manomettere i log.

Come ultima considerazione, di nuovo sulla questione del registrare
o meno tutte le operazioni: mentre è utile discutere qui delle
interpretazioni e delle soluzioni, eviterei di "spaventare" clienti,
utenti o datori di lavoro prima di aver sentito il parere di qualche
giurista credibile: fra le tanti cause della poca credibilità di cui
ha goduto per tanto tempo la normativa, vanno anche comprese le
interpretazioni personali e fantasiose di noi informatici ;)

Nel frattempo, provo a mandare una mail su lex sottolineando il dubbio.

ciao

- Claudio
--
Claudio Telmon
***@telmon.org
http://www.telmon.org

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
NetExpress
2009-01-23 13:58:49 UTC
Permalink
Intanto proviamo a riportare la discussione su lex che è il terreno
migliore

Secondo me bisogna fare una premessa, tutti noi siamo abituati a
considerare sistemi server, datacenter o ced più o meno grandi con più
o meno amministratori, e tipicamente si da per scontato che si parla
solo di sistemi unix (root)

a mio avviso il testo della legge va letto per quello che è, ovvero
rivolto a:
- sistemi server e desktop
- sistemi windows, linux, cisco etc e appliance varie
- database server e application server

E qui di spono degli interrogativi:
- Devo loggare l'attività/l'accesso dell'amministrotore di dominio al
desktop del dipendente? a mio avviso si ma i sistemi Windows non
dispongono di un sistema di logging efficiente (manca l'ip sorgente da
cui accede per esempio)
- Se un utente finale (amministraizione o magazzino per esempio )
desktop/notebook per qualche motivo è amministratore della propria
macchina, lo devo nominare amministarore ? secondo me si
- Il Dba che accede con il suo programmino al db
oracle/mssql/postgress/mysql etc.. come lo registro? dove tecnicamente
possibile il DB mi crea un file di auditing locale che è assolutamente
modificabile, e non remotizzato, idem per l'accesso alla conosole
amministrativa di un application server qualsiasi websphere, tomcat,
weblogic et... come la mettiamo?

Mi sembra scontato il fatto che a questo punto tutti i sistemi pc,
server, apparati di rete e appliance debbano remotizzare gli accessi
degli amministratori, il problema è che la tecnologia non permette di
isolare l'evento "accesso amministratore" ma nel migliore dei casi
permette solo di isolare gli eventi di accesso al sistema. Di
conseguenza mi troverei un log con gli accessi dell'amministratore e dei
vari programmatori: gli accessi che non riguardano gli amministratori
che vincoli hanno a livello normativo?

Con tutto il rispetto per il garante e i suoi collaboratori, ma non
potrebbero avvalersi di commissioni di studio tecniche o di un comitato
scientifico come quello del clusit prima di uscire con provvedimenti il
cui impatto tecnico e organizzativo non è banale?

Saluti

Continue reading on narkive:
Loading...