Dopo una prima lettura superficiale del testo del Garante della Privacy in materia di amministratori di sistema pubblicato in Gazzetta Ufficiale, ho chiesto in giro usando il web chi ne sapesse qualcosa.
Ricordiamo che l'amministratore di sistema e' colui che ha il controllo della macchina, banalizzando.
Un amministratore di sistema del ministero della Giustizia sottolineava i costi e l'inutilità di prevedere che l'amministratore si controlli di solo.
A parte questo, cosa si puo' fare per cercare di essere conformi al testo ?
Chi ha un sito in hosting
Prima di tutto ci e' stato chiesto se chi una sito in hosting puo' o deve nominare - indicare chi ci puo' mettere le mani.
Premesso che chi ha un servizio in hosting lascia la macchina sotto il controllo dell'azienda, trovo inconcepibile pretendere dall'azienda il nome di chi materialmente ci mette le mani. L'elenco dei dipendenti di un'altra azienda trovo sia la cosa piu' scorretta commercialmente, e' il titolare che risponde dei dipendenti, quindi indicare che il sito e' presso un servizio di hosting e' sicuramente una informazione utile e probabilmente e' sufficiente per essere a posto con il testo del Garante.
Chi ha un sito in housing
In questi casi c'e' sempre una gestione remota diretta da parte di chi configura la macchina, ma anche di chi la ospita o la concede in uso. Entrambi in caso di emergenza devono poter intervenire.
Normalmente si distinguono le competenze in gestione dell'hardware da parte del fornitore, e da parte del cliente nella gestione e configurazione della macchina. A volte, per controllare l'efficienza complessiva, e' necessario intervenire insieme.
Per questo di norma c'e' un rapporto di assistenza con persone di fiducia, prima che il Garante lo chiedesse. E' evidente.
In questi casi piu' d'uno ha accesso alle macchine, sia pure in modi diversi. Quindi ?
Cosa si fa normalmente per controllare i server
Chi ha il controllo di un server sa che deve guardare gli eventi di sistema, per intenderci nel concreto di un sistema basato su windows.
Gli eventi di sistema registrano, ad esempio, le applicazioni, gli accessi, e altre problematiche. Sono files con estensione .evt presenti nella cartella config all'interno della cartella system32 nella cartella windows.
Il formato evt e' qui ben descritto. (forsensic wiki).
Su Wikipedia ci si chiede se un file .evt puo' essere fonte di prova in giudizio. Una tesi sostenuta e' che lo possa essere, senza ulteriori esigenza di password o crittografia per intenderci, fino a diversa prova di manomissione.
Dai due link citati c'e' da prendere che allo stato dell'arte non sia necessario pensare di registrare gli eventi in un formato diverso per garantire la immodificabilità assoluta. Premesso che anche un problema fisico al disco puo' creare problemi, non e' questo il punto. Il punto e' se il formato evt sia modificabile con gli strumenti standard. La risposta e' no.
Ma il problema e' un altro.
Esclusi i dati contabili, e gli altri ?
Nessuno si e' preoccupato di questi files particolarmente in questi anni, a parte le organizzazioni che giustamente trattano dati importanti.
Sul tipo di dati trattati (il Garante esclude quelli di natura contabile, meno significativi) si deve aprire una spiegazione.
Se i dati contabili sono esclusi, si deve ritenere escluso ogni archivio che contenga meno dati di quelli contabili, per lo meno. Penso per esempio all'archivio interno di una newsletter gratuita per inviare informazioni generali sulle novità di un sito.
Certo che non sono dati che devono circolare, come quelli contabili, ma sarebbe assurdo prevedere adempimenti piu' stringenti per dati inferiori e talvolta uguali contenuti in quelli contabili.
Purtroppo il tema di distinguere il tipo di dato trattato e' introdotto dallo stesso testo. La legge prevede dati sensibili e dati personali, oltre agli anonimi ovviamente che non sono dati personali. Altre distinzioni non sono previste dalla legge delega, in ogni caso sono state introdotte.
Quindi non e' peregrino sostenere che chi ha solo dati contabili o in minore quantità (se non qualità), non sia soggetto alle nuove prescrizioni. Ma ...
Archiviare i file di evento in Windows
Io non sono di quelli a cui piace fare di tutto per disapplicare una legge.
Il Garante ha ragione: leggere gli eventi di sistema e' qualcosa che chiunque puo' fare per farsi delle domande e controllare il proprio server. Basta andare in pannello di controllo, strumenti di amministrazione, visualizzatore eventi, nel mondo windows.
E' qualcosa che si fa per verificare che non ci siano stupidi in giro.
Una delle applicazioni piu' pratiche e' disattivare manualmente i servizi che non servono, in modo che non possano essere attivati approfittando delle lacune dei sistemi operativi. I log delle applicazioni aiuteranno a capire quali servizi partono e quali non partono correttamente.
Pero' fino a ieri si copiava semplicemente il file di eventi "vecchio" in una cartella, e lo si lasciava li', nel formato evt o in altri formati utili all'elaborazione e manipolazione, svuotando poi quello in corso.
E' sufficiente questo copia a mano i file degli eventi ?
Se su server anche frequentati il rischio di riempimento dei log degli eventi e' basso, e puo' essere fatto manualmente, in altri server tuttavia l'attività potrebbe essere ben frequente e automatizzata.
In tali casi Microsoft offre delle informazioni online che non propongo nemmeno agli smanettoni. Da sembre la knowledge base di microsoft dice che qualcosa si puo' fare, ma quando cerchi di seguire passo passo, manca sempre qualcosa e non ci riesci.
Quindi restano programmi appositi per queste cose. Fra questi Log Parser 2.2 Overview che tuttavia e' un tool senza gui, decisamente ostico. Per fare cosa ? Elaborazione dei log.
Quindi puo' essere sufficiente un programma che copia i files .evt, li zippa, e svuota quelli in corso. Basterebbe un semplice (e glorioso) file batch (una sequenza di comandi inclusa in un file testuale), ma lo proveremo.
In ogni caso il formato .evt non e' facilmente modificabile, anzi. Non ho trovato nulla che permetta di farlo.
Quindi al momento sembrerebbe sufficiente, per chi non ha particolari problemi di log, realizzare le copie a mano.
Tuttavia e' bene sapere che in caso di attacchi informatici vengono prodotti cosi' tanti eventi che i log si riempono e non riescono piu' a tracciare i nuovi eventi dannosi. In quel momento il pirata si fa sotto e fa qualcosa di piu'.
Il testo normativa tocca chi si disinteressa dei dati. Imponendo pero' obblighi che presi alla lettera comunque non sarebbero sufficiente per garantire la sicurezza, se presi invece nello spirito impongono attenzione e verifica periodica degli accessi ai computer che gestiamo direttamente.
Se i computer invece sono gestiti da altri, come nel caso dell'hosting, chi ha un sito cosa puo' fare ? Niente, continuerà a delegare la sicurezza dell'intero sito a chi ha il controllo della macchina, e' giusto che chi e' in hosting non possa avere il controllo della macchina, danneggiando gli altri che la condividono. In questo caso si dira', come gia' si dice, chi ha accesso alle macchine, l'azienda con i suoi dipendenti tutti autorizzati agli interventi. Magari anche la Dell per la manutenzione dell'hardware.
Quindi: rientrando in un contesto di attenzione ai dati commisurata al valore dei dati, come il Garante introduce nel testo, non resta che non fasciarsi la testa se i dati trattati sono solo quelli legati agli adempimenti contabili.
In ogni caso andare a leggere gli eventi di sistema e farne copia per tenerne copia per un minimo di sei mesi e oggi obbligatorio per tutti quelli che possono accedere agli eventi di sistema. Indicheranno chi lo fa e salveranno i file in formato evt, magari con la data per riprenderli facilmente.
Il testo qui proposto non vuole essere esaustivo, ma visto che nessuno si degna di spiegare come applicare nella pratica il testo pubblicato in Gazzetta, noi vogliamo provare a darne una lettura pratica perche' si possa applicare.
Se avete altre proposte, o dubbi, scrivetemi. Pubblichero' le risposte.
Link utili:
- Testo del Garante della Privacy in materia di amministratori di sistema
- Il formato evt (forsensic wiki).
- Su Wikipedia se un file .evt puo' essere fonte di prova in giudizio.