Il GPL è libero, non selvaggio

Numerose società coinvolte per violazione di copyright: al centro della questione il programma BusyBox e 20 prodotti che non avrebbero rilasciato il codice sotto la necessaria licenza GPL

Roma – Il software Freedom Law Center ( SFLC ) ha fatto causa a 14 aziende che non rispetterebbero le clausole della GPLv2 in 20 differenti prodotti.

Al centro della questione il progetto open source BusyBox distribuito, appunto, sotto licenza GPL.

Fra gli imputati Best Buy, Samsung, Westinghouse e JVC: avrebbero utilizzato il codice protetto dalla licenza nei loro prodotti (tra cui lettori blue ray e TV HD) senza rispettare la clausola della viralità, cioè della necessità di rilasciare tutto il codice che ha sfruttato parti di origine GPL sotto la medesima licenza.

La SFLC, inoltre, riferisce di aver provato a risolvere la cosa privatamente, ma gli accusati li avrebbero sempre ignorati o non avrebbero risposto in maniera soddisfacente alla richieste. Per l’associazione no profit si tratta tra l’altro del caso più grande finora affrontato: un’ottima occasione per ribadire i principi di funzionamento delle licenze open source, ora che i software sempre più facilmente vengono utilizzati negli apparecchi elettronici.

Essendosi, finora, risolte con successo tutte le cause avviate dalla SFLC, ci si può attendere un accordo fra le parti prima che inizi il procedimento. A complicare la questione, tuttavia, potrebbe essere l’ intervento di Bruce Perens, creatore di BusyBox ma non più coinvolto nel progetto e non più possessore di alcun diritto sul codice che ormai non utilizza le parti sviluppate originariamente: ha dichiarato di essere stufo dell’atteggiamento degli attuali gestori del programma e ritiene di avere tuttora diritti sull’opera.

Claudio Tamburrino

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • ilcumo scrive:
    è la solita legge inutile
    Fatta da incompetenti che sono chiamati a legiferare su cose di cui non hanno la minima cognizione. Così come tecnicamente è impossibile l'oscuramento di un sito, a meno di tagliare le connessioni internet di tutti i cittadini italiani, altrettanto è tecnicamente impossibile garantire l'inalterabilità dei log. Altrettanto inutile è la registrazione degli accessi degli amministratori, senza che vengano altresì loggati tutti i comandi che questi eseguono. Cosa altrettanto assurda, infattibile, inutile e priva di senso.Sono solamente leggi atte a cercare di controllare una situazione incontrollabile da parte di un governo ormai destinato a sparire che sta tentando di rimanere a galla nelle sabbie mobili che lui stesso si è cerato, generando solo confusione, inutili costi e ulteriori spese ad aziende che sono già al tracollo finanziario. Un po come fece Hitler alla fine della seconda guerra mondiale che volle portare con sè nella rovina tutta la Germania
    • Lemon scrive:
      Re: è la solita legge inutile
      - Scritto da: ilcumo
      Fatta da incompetenti che sono chiamati a
      legiferare su cose di cui non hanno la minima
      cognizione. Così come tecnicamente è impossibile
      l'oscuramento di un sito, a meno di tagliare le
      connessioni internet di tutti i cittadini
      italiani, altrettanto è tecnicamente impossibile
      garantire l'inalterabilità dei log. Altrettanto
      inutile è la registrazione degli accessi degli
      amministratori, senza che vengano altresì loggati
      tutti i comandi che questi eseguono. Cosa
      altrettanto assurda, infattibile, inutile e priva
      di
      senso.
      Sono solamente leggi atte a cercare di
      controllare una situazione incontrollabile da
      parte di un governo ormai destinato a sparire che
      sta tentando di rimanere a galla nelle sabbie
      mobili che lui stesso si è cerato, generando solo
      confusione, inutili costi e ulteriori spese ad
      aziende che sono già al tracollo finanziario. Un
      po come fece Hitler alla fine della seconda
      guerra mondiale che volle portare con sè nella
      rovina tutta la
      GermaniaInnanzi tutto non è una legge ma un provvedimento, secondo il Garante non è un organo del Governo, non direttamente almeno, infatti se cambia il Governo non è detto che cambino le cariche del Garante. Chiarito questo vorrei specificare che il provvedimento del Garante è destinato ad una sensibilizzazione del pericolo AdS, non a sostituire un capitolo della ISO17799 quindi ogni polemica sull'efficacia lascia il tempo che trova, non è quello lo scopo insomma.Inoltre, ad essere precisi, la maggior parte delle obbiezioni tecniche che vengono fatte al provvedimento, sono facilmente superabili ad un buon AdS lo dovrebbe già sapere. Ad esempio contestare che posso staccare un cavo o fermare un servizio sono sciocchezze, innanzi tutto perchè prima ancora che tu lo faccia è stato inviato il log del tuo acXXXXX ad un log server sul quale no hai acXXXXX (ad esempio), e poi una rete informatica di medio livello dovrebbe avre strumenti di monitoraggio tipo Nagios o altro che verificano e registrano le anomalie di sistema, se stacchi un cavo ad un client è un discorso, se lo stacchi ad un server la cosa dovrebbe essere controllata.Rimangono comunque le tue considerazioni sul fatto che si tratti di un provvedimento inutile: non sarò certo io a farti cambiare idea, ti dico solo di non vedere la cosa come un miglioramento della tua sicurezza di rete (non è quello lo scopo del provvedimento) bensì come prendere consapevolezza di chi accede ai dati personali e/o sensibili dell'azienda.
  • Lemon scrive:
    Senso generale del provvedimento
    Premetto che bastava parlare con il Garante o partecipare ad uno dei numerosi seminari che il Garante stesso ha svolto nel territorio per sapere quello che sto per scrivere, trovo quindi fuoriluogo gli stessi commenti polemici dell'articolo.Il Garante, molto semplicemente, ci vuole costringere a CONOSCERE/SAPERE chi sono i nostri amministratori di rete e quando si collegano ai sistemi (in modalità interattiva). Non vuole nella maniera più assoluta costruire un modello di security per le aziende italiane, in teoria chi ha delle problematiche di questo tipo dovrebbe già avere degli strumenti adeguati.Può sembrare strano che il Garante ci chieda questo, in realtà sapere chi sono i nostri AdS può sembrare ovvio ad una realtà medio/piccola, già le società più grandi con le loro catene di appalti e sub-appalti spesso non sanno chi mette mano ai loro server, attenzione che però il problema non sono i server, ma i DATI PERSONALI O SENSIBILI, e se permettete interessa anche a me sapere chi tratta i miei dati, a voi no?Altra cosa fondamentale: con il log di acXXXXX e chiusura sessione non è che il Garante vuole verificare se l'AdS ha fatto danni o si è collegato quando non doveva (questo lo dovete verificare voi se vi interessa!), ma ci COSTRINGE ad identificare in maniera univoca chi è l'AdS che si collega, lasciate perdere tutte le polemiche "ma il log si può sabotare" ecc ecc (che tra l'altro non è così semplice come potrebbe sembrare presi i dovuti accorgimenti), intanto siamo tutti costretti a censire gli AdS e profilare gli accessi in maniera univoca, a me da tecnico, questa cosa mi va più che bene, a me va bene sapere se in una macchina è entrato tizio o caio, a voi non so.Altra nota importante: il Garante richiede che gli AdS siano persone qualificate all'incarico! Ma quante volte ci siamo lamentati che il lavoro dell'AdS non viene riconosciuto e ripagato a sufficienza, se non altro questa è la prima volta che si sente dire a qualcuno che gli AdS non possono essere dei pinco palla qualunque ma persone con qualifiche ed esperienza. Il Garante non entra nei dettagli ma almeno dà una indicazione generale, vi pare poco? quindi questa cosa, secondo me, è importante anche per quelle PICCOLE/MEDIE aziende dove forse non ha molto senso avere i log del singolo amministratore, ma se non altro (in teoria) non sarà più il figlio del "paron" appassionato di informatica ma con la terza media presa al terzo tentativo.Il provvedimento poi lascia delle zone d'ombra, sicuramente seguiranno altri chiarimenti (almeno spero) ma credo che sia questa l'ottica con la quale inquadrarlo e non soffermarsi sull'aspetto tecnico di security.
  • red5lion scrive:
    Vi spiego come e cosa ho fatto io.
    Io ho messo in piedi una macchina che fa da syslog server kiwi.Ho installato su tutti i client windows un log agent open.Ho configurato in modo tale che questo agent windows vada a popolare la macchina server.Idem per quello che riguarda i log unix.Ad una certa ora prendo il file log.txt e lo rinomino in log"GG-MM-AAAA".txt in automatico.Lo zippo in automatico cambiando l'estensione.Sempre da riga di comando lo invio da una mia PEC alla PEC azienda.Crittografazione e non modificabilità sono vanto ed orgoglio di pec, giusto?Dopo di che il giorno dopo il tutto viene protocollato in maniera automatica dal protocollo informatico.Il tutto a costo ZERO.E mi hanno chiesto anche 4.000 annui per una soluzione simile...E voglio vedere se hanno qualcosa da ridire.
    • Lemon scrive:
      Re: Vi spiego come e cosa ho fatto io.
      - Scritto da: red5lion
      Io ho messo in piedi una macchina che fa da
      syslog server
      kiwi.
      Ho installato su tutti i client windows un log
      agent
      open.
      Ho configurato in modo tale che questo agent
      windows vada a popolare la macchina
      server.
      Idem per quello che riguarda i log unix.

      Ad una certa ora prendo il file log.txt e lo
      rinomino in log"GG-MM-AAAA".txt in
      automatico.
      Lo zippo in automatico cambiando l'estensione.
      Sempre da riga di comando lo invio da una mia PEC
      alla PEC
      azienda.
      Crittografazione e non modificabilità sono vanto
      ed orgoglio di pec,
      giusto?
      Dopo di che il giorno dopo il tutto viene
      protocollato in maniera automatica dal protocollo
      informatico.
      Il tutto a costo ZERO.
      E mi hanno chiesto anche 4.000 annui per una
      soluzione
      simile...
      E voglio vedere se hanno qualcosa da ridire.La soluzione è abbastanza valida, solo una cosa: il server kiwi è a pagamento se non sbaglio. Io uso syslog-ng la versione open.Riguardo i soldi, i 4000 euro che ti hanno chiesto sono anche pochi, c'è gente che chiede almeno il doppio per medie aziende.
      • andrea scrive:
        Re: Vi spiego come e cosa ho fatto io.
        il problema resta sempre per i piccoli uffici. non mettono a budget nemmeno 400 euro, e non dico per il software ma almeno per chi gli realizzi il sistema. l'ads di una azienda con 5-10 pc e un server non esiste. è il fornitore / consulente esterno che lo fa, nella quasi totalità dei casi. e questi casi alla fine sono forse il 90% delle aziende (butto là un numero).vale porre l'attenzione al problema, ma la soluzione non è applicabile a basso costo stando alle disposizioni interpretare "seriamente" dal punto di vista tecnico.avrei da ridire sul costo ZERO... o il sig. red5lion lavora gratis o ha organizzato il sistema in tempo zero o è un dipendente, ed è quindi pagato... forse non ha acquistato qualcosa, ma per l'azienda l'adempimento rappresenta sempre un costo. e in considerazione del fatto che aumenta la sicurezza di una percentuale trascurabile (ad es. non viene registrato cosa faccia l'ads dopo il login, sapere che uno ha fatto un login vale poco), non è detto siano soldi spesi bene...
        • Lemon scrive:
          Re: Vi spiego come e cosa ho fatto io.
          - Scritto da: andrea
          il problema resta sempre per i piccoli uffici.
          non mettono a budget nemmeno 400 euro, e non dico
          per il software ma almeno per chi gli realizzi il
          sistema. l'ads di una azienda con 5-10 pc e un
          server non esiste. è il fornitore / consulente
          esterno che lo fa, nella quasi totalità dei casi.
          e questi casi alla fine sono forse il 90% delle
          aziende (butto là un
          numero).Ed il garante ha detto che in questo caso non serve.
          vale porre l'attenzione al problema, ma la
          soluzione non è applicabile a basso costo stando
          alle disposizioni interpretare "seriamente" dal
          punto di vista
          tecnico.
          Il Garante dice poco e niente di tecnico, vuole solo che alla fine i log raccolti non siano modificabili a piacimento, basta una masterizzazione o una firma con marca temporale (e tutti gli uffici ormai la hanno)
          avrei da ridire sul costo ZERO... o il sig.
          red5lion lavora gratis o ha organizzato il
          sistema in tempo zero o è un dipendente, ed è
          quindi pagato... forse non ha acquistato
          qualcosa, ma per l'azienda l'adempimento
          rappresenta sempre un costo. e in considerazione
          del fatto che aumenta la sicurezza di una
          percentuale trascurabile (ad es. non viene
          registrato cosa faccia l'ads dopo il login,
          sapere che uno ha fatto un login vale poco), non
          è detto siano soldi spesi
          bene...Questo è vero, del resto ci furono polemiche anche sulla 196 per degli obblighi tecnici che ad un buon AdS sembrano ridicoli (avere l'antivirus, il backup e password lunghe almeno 8 caratteri... eppure qualcuno più si lamentò!). Forse dovremmo innalzare la nostra idea di essere dei buoni AdS, forse, e dico forse, il buon AdS non è quello che cambia il toner ed aiuta gli utenti a fare le stampe unione e poi al primo problema ai server ed altri dispositici chiama la ditta esterna o il consulente, ma quello che si occupa dell'infrastrutta in modo serio, gli altri sono tecnici/operatori di primo livello, cosa dici?
          • andrea scrive:
            Re: Vi spiego come e cosa ho fatto io.
            - Scritto da: Lemon
            - Scritto da: andrea

            il problema resta sempre per i piccoli uffici.

            non mettono a budget nemmeno 400 euro, e non dico

            per il software ma almeno per chi gli realizzi il

            sistema. l'ads di una azienda con 5-10 pc e un

            server non esiste. è il fornitore / consulente

            esterno che lo fa, nella quasi totalità dei
            casi.

            e questi casi alla fine sono forse il 90% delle

            aziende (butto là un

            numero).

            Ed il garante ha detto che in questo caso non
            serve.no, ha detto che "le registrazioni devono avere caratteristiche ... adeguate al raggiungimento dello scopo di verifica per cui sono richieste", l'importante, come dicevo in un altro commento, è che siano "adeguate"... caratteristiche "semplici"? ok, purché adeguate :-)tieni presente che le faq non sono il provvedimento, non sono testo di legge. secondo me vale più giustificare una scelta "adeguata" che citare una faq, in caso di contestazione (da parte della gdf, magari)

            vale porre l'attenzione al problema, ma la

            soluzione non è applicabile a basso costo stando

            alle disposizioni interpretare "seriamente" dal

            punto di vista

            tecnico.



            Il Garante dice poco e niente di tecnico, vuole
            solo che alla fine i log raccolti non siano
            modificabili a piacimento, basta una
            masterizzazione o una firma con marca temporale
            (e tutti gli uffici ormai la
            hanno)conosco 1 cliente che ce l'ha...

            avrei da ridire sul costo ZERO... o il sig.

            red5lion lavora gratis o ha organizzato il

            sistema in tempo zero o è un dipendente, ed è

            quindi pagato... forse non ha acquistato

            qualcosa, ma per l'azienda l'adempimento

            rappresenta sempre un costo. e in considerazione

            del fatto che aumenta la sicurezza di una

            percentuale trascurabile (ad es. non viene

            registrato cosa faccia l'ads dopo il login,

            sapere che uno ha fatto un login vale poco), non

            è detto siano soldi spesi

            bene...


            Questo è vero, del resto ci furono polemiche
            anche sulla 196 per degli obblighi tecnici che ad
            un buon AdS sembrano ridicoli (avere l'antivirus,
            il backup e password lunghe almeno 8 caratteri...
            eppure qualcuno più si lamentò!). Forse dovremmo
            innalzare la nostra idea di essere dei buoni AdS,
            forse, e dico forse, il buon AdS non è quello che
            cambia il toner ed aiuta gli utenti a fare le
            stampe unione e poi al primo problema ai server
            ed altri dispositici chiama la ditta esterna o il
            consulente, ma quello che si occupa
            dell'infrastrutta in modo serio, gli altri sono
            tecnici/operatori di primo livello, cosa
            dici?certo (e io non sono un ads, se non della mia azienda), questo è auspicabile, ma dal punto di vista della realtà, le situazioni che ti trovi davanti sono quelle... e quelle devi gestire... almeno per dare i consigli "giusti" all'azienda... li seguirà? mah!...
    • Lanf scrive:
      Re: Vi spiego come e cosa ho fatto io.

      Ad una certa ora prendo il file log.txt e lo
      rinomino in log"GG-MM-AAAA".txt in
      automatico.Con buona pace del log non modificabile vero?Lanf
      • Lemon scrive:
        Re: Vi spiego come e cosa ho fatto io.
        - Scritto da: Lanf

        Ad una certa ora prendo il file log.txt e lo

        rinomino in log"GG-MM-AAAA".txt in

        automatico.

        Con buona pace del log non modificabile vero?

        LanfA parte il fatto che non ha modificato il log ma il nome del file che lo contiene, in ogni caso il Garante dice che bisogna adottare accorgimenti "ragionevoli" e l'inalterabilità è prevista in fase di conservazione, cioè a log acquisito su supporto definitivo (masterizzato o criptato con firma ecc). Quello che vogliono far intendere in molti commerciali, cioè che il log deve essere l'originale di sistema e inviato in forma criptata ecc, è TUTTO falso.
        • Lanf scrive:
          Re: Vi spiego come e cosa ho fatto io.

          A parte il fatto che non ha modificato il log ma
          il nome del file che lo contiene, in ogni caso il
          Garante dice che bisogna adottare accorgimenti
          "ragionevoli" e l'inalterabilità è prevista in
          fase di conservazione, cioè a log acquisito su
          supporto definitivo (masterizzato o criptato con
          firma ecc). Quello che vogliono far intendere in
          molti commerciali, cioè che il log deve essere
          l'originale di sistema e inviato in forma
          criptata ecc, è TUTTO
          falso.Cito:"[...] Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo della verifica per cui sono richieste. [...]"Un file .txt non è inalterabile. D'accordo che una volta messo su un CD-ROM non riscrivibile non è più alterabile, ma prima lo è.Che sensa ha conservare in modo inalterabile un file che potrebbe essere stato modificato prima?Se in tribunale vogliono inch****ttare l'AdS lo fanno facile con una procedura così.Lanf
          • red5lion scrive:
            Re: Vi spiego come e cosa ho fatto io.
            Il log è inaleterato. Perchè il LOG non è il nome del file. ma il conenuto dello stesso.lI log sono le operazioni che vengono svolte. e quelle non sono modificate.Ma volendo potrei anche cambiare un pochino il procedimento e non rinominarlo.Occorre inoltre guardare allo spirito della legge.Comunque gli strumenti sono tutti free.Kiwi versione freesnare versione freesendemail versione freeInalterabilità e cifratura garantite dalla pec.
          • Lemon scrive:
            Re: Vi spiego come e cosa ho fatto io.

            Cito:
            "[...] Le registrazioni (access log) devono avere
            caratteristiche di completezza, inalterabilità e
            possibilità di verifica della loro integrità
            adeguate al raggiungimento dello scopo della
            verifica per cui sono richieste.
            [...]"

            Un file .txt non è inalterabile. D'accordo che
            una volta messo su un CD-ROM non riscrivibile non
            è più alterabile, ma prima lo
            è.TUTTO è alterabile prima, allora non loggiamo nulla...
            Che sensa ha conservare in modo inalterabile un
            file che potrebbe essere stato modificato
            prima?
            Se in tribunale vogliono inch****ttare l'AdS lo
            fanno facile con una procedura
            così.

            LanfNon sono dati da portare in tribunale, ricorda che se vuoi "inch****ttare" un AdS come dici tu, allora è chi accusa che deve avere l'onere della prova, deve dimostrare che l'AdS ha modificato il file prima del salvataggio definitivo.Comunque, lo ripeto, non è che il Garante vuole delle cose che hanno un riscontro in termini di sicurezza informatica, vuole solo un log di acXXXXX degli AdS che abbia un minimo di attendabilità ("adeguato al raggiungimento dello scopo" come dice lui)
          • Paolo M scrive:
            Re: Vi spiego come e cosa ho fatto io.
            - Scritto da: Lemon

            TUTTO è alterabile prima, allora non loggiamo
            nulla...No, esistono applicazioni che consentono di "duplicare" il log mentre vengono generati e renderli inalterabili e utilizzabili in caso di contestazione forense.
            Non sono dati da portare in tribunale, ricorda
            che se vuoi "inch****ttare" un AdS come dici tu,
            allora è chi accusa che deve avere l'onere della
            prova, deve dimostrare che l'AdS ha modificato il
            file prima del salvataggio
            definitivo.
            Comunque, lo ripeto, non è che il Garante vuole
            delle cose che hanno un riscontro in termini di
            sicurezza informatica, vuole solo un log di
            acXXXXX degli AdS che abbia un minimo di
            attendabilità ("adeguato al raggiungimento dello
            scopo" come dice
            lui)Leeggi bene il Provvedimento: punto 3. Segnalazione ai titolari di trattamenti relativa alle funzioni di amministratore di sistema richiama l'attenzione dei medesimi titolari sulla necessità di adottare idonee cautele volte a prevenire e ad accertare eventuali accessi non consentiti ai dati personali, in specie quelli realizzati con abuso della qualità di amministratore di sistema; Quindi l'utilizzo per il FINE è piuttosto chiaro.Inoltre la normativa del D.lgs 196/03 prevede nella maggior parte dei casi l'inversione dell'onere della prova, (Art. 2050 cc) quindi in caso di problemi solo avere prove producibili e incontestabili protegge l'AdS e l'impresa.Fermo restando la gradualità delle misure da prendere in funzione dei dati trattati, Si continua a sottovalutare quali implicazioni concrete si possono avere se ci sono problemi veri.
          • Lemon scrive:
            Re: Vi spiego come e cosa ho fatto io.
            - Scritto da: Paolo M
            - Scritto da: Lemon



            TUTTO è alterabile prima, allora non loggiamo

            nulla...
            No, esistono applicazioni che consentono di
            "duplicare" il log mentre vengono generati e
            renderli inalterabili e utilizzabili in caso di
            contestazione
            forense.
            Si, una volta generati, ma se riesco a bloccare la generazione o modificarla tramite rootkit ad esempio? voglio dire, ci sarà sempre un qualcosa che supera la protezione a livello tecnico, saprai meglio di me che si tratta solo di un calcolo dei rischi. Infatti il garante non ci chiede assolutamente di avere software così evoluti per il suo scopo.
            Leeggi bene il Provvedimento: punto 3.
            Segnalazione ai titolari di trattamenti relativa
            alle funzioni di amministratore di
            sistema
            richiama l'attenzione dei medesimi
            titolari sulla necessità di adottare idonee
            cautele volte a prevenire e ad accertare
            eventuali accessi non consentiti ai dati
            personali, in specie quelli realizzati con abuso
            della qualità di amministratore di sistema;


            Quindi l'utilizzo per il FINE è piuttosto chiaro.
            Non mi risulta sia proprio così, credo sia discutibile la cosa. E' vero che lui la "spara" un pò grossa nella fase di PREMESSA (a parte il fatto che dice "richiama l'attenzione"), ma in fase attuativa non ripete lo scopo. Il fine del provvedimento è più generale credo, non solo quello spunto del punto 3. Ripeto, a me hanno dato questa interpretazione a voce, sia chi ha scritto il provvedimento, sia chi si occuperà dei controlli.
            Inoltre la normativa del D.lgs 196/03 prevede
            nella maggior parte dei casi l'inversione
            dell'onere della prova, (Art. 2050 cc) quindi in
            caso di problemi solo avere prove producibili e
            incontestabili protegge l'AdS e
            l'impresa.
            Questo è un provvedimento, non un D.lgs, non sono un esperto legale nella maniera più assoluta ma a me risulta siano due cose completamente diverse. Inoltre il punto è stato discusso con i rappresentati del Garante e mi è stato confermato che se si sospetta il dolo si deve avere la prova, e comunque il problema è di ha la titolarità del trattamento dei dati, non dell'AdS. loro faranno solo un controllo se le misure prese risultano "adeguate", capisco che la parola dice tutto e dice niente ma al contempo sicuramente non vuole dire che tutti devono avere controlli interni da FBI o CIA.
            Fermo restando la gradualità delle misure da
            prendere in funzione dei dati trattati, Si
            continua a sottovalutare quali implicazioni
            concrete si possono avere se ci sono problemi
            veri.Non capisco, fai qualche esempio. Io credo che questa cosa sia utile per censire un attimo gli AdS, ma anche per responsabilizzare le aziende in fase di assunzione o conferimento di incarico. Di certo non è una soluzione di sicurezza informatica.
    • Barney09 scrive:
      Re: Vi spiego come e cosa ho fatto io.

      Ad una certa ora prendo il file log.txt e lo
      rinomino in log"GG-MM-AAAA".txt in
      automatico.chi garantisce che prima della certa ora il file non venga da te modificato?L'unico modo sarebbe la scrittura in tempo reale dei log su un server remoto sul quale l'ads non puo' avere acXXXXX. Questa sarebbe l'unica soluzione sensata, ma anche in questo caso bisognerebbe poter garantire che l'amministratore non possa interrompere/alterare l'invio dei file di log....insomma, una soluzione tecnicamente perfetta ha costi improponibili.Personalmente ho previsto piu' copie al giorno di tutti i log sul pc del titolare eseguite da un software che gira sul PC del titolare, che volendo puo' eseguire manualmente in modo imprevedibile il prelievo dei file di log. In questo modo l'ads ha non puo' avere la certezza di farla franca, a differenza di un sistema che fa prelievi di log con tempistiche e modalità stabilite dall'amministratore stesso.Pero' queste sono pippe mentali, il garante, come detto già in altri interventi vuole mettere il titolare e gli utenti della rete a conoscenza dei poteri dell'amministratore...
      • red5lion scrive:
        Re: Vi spiego come e cosa ho fatto io.
        Garantisce il cartellino. Non lavoro alle 23.30.Comunque è possibile disabilitare l'acXXXXX remoto a quella macchina e tenerla in un armadio rack di cui l'admin non ha le chiavi.Le possibilità di mettere in sicurezza sono infinite, o meglio indefinite. Il tutto ovviamente deve essere "commisurato" alla realtà aziendale.Altimenti è sempre possibile, o quasi, alterare dei dati. In somma, hanno bucato aziende come microsoft, sun, fbi, ecc... Io credo di aver realizzato una procedura abbastanza attendibile e con un costo ridotto.Volevo semplicemente condividere la cosa. magari qualcun altro la può trovare interessante ed implementarla senza dover spendere migliaia e migliaia di euro per un provvedimento voluto da qualcuno che evidentemente non ha le idee chiare sull'argomento.
  • elg22 scrive:
    sono scemo (2)
    seconda volta oggi chemi sento scemo.... preoccupantetrovo sconcertante la "tempestività" del chiarimento.io lo intepreto con il senno dell'uomo della strada: "ho fatto una legge giusta sul piano teorico e con ottimi fondamenti di cultura informatica. però me ne fotto se applicabile e quanto costa alle aziende....azzarola è una legge, me n'ero scordato.... ..azzarola è già ora?!?! beh dai fate un po' come vi pare...."la piccola impresa non capisce, nella grande le proporzioni di sistemi/complesità/licensing fanno schizzare i costi a decine/centinaia di migliaia di euro.per esperienza diretta e personale le piccole aziende neanche capiscono di cosa si sta parlando: usano l'equazione legge inutile = soldi persi = chi se ne fotteil CIO di un gruppo industriale molto grosso del nordest mi ha detto mentre cercavo di affrontare l'argomento: "non abbiamo soldi da spendere in queste caz-ate, sicuramente le vostre licenze costano il doppio della multa che potremmo dover pagare se mai faranno i controlli".
  • Martin Lutero scrive:
    Garante incompetente, inetto e rubasoldi
    Inaudito. Io mi candido per produrre la medesima scatologia del garante a meta' prezzo....e magari faccio anche di meglio.La produzione di commi e' contraddittoria ed indecente. Io voglio solo sapere quanto hanno fatturato i testicoli che hanno prodotto questo disastro.Non ultimo il fatto che, ...alla fine, il comunicato del 12.12.09, nell'ultima riga diceva +o- "fate il padulo che volete"....ed i pochi testicoli che si erano adeguati...con svenamento...per mantenere i LOG illibati...nonostante l'ADS ( cosa che sa di miracolo )???.Solo i militari possono permettersi questo...tanto non hanno alcunche' da fare e cmq paga pantalone.Il garante, as usual, ha partorito una normativa immonda, riuscendo a dare il peggio di se. Ma cmq verra' pagato.Regalo a tutti pali turchi, se usati, per nobili motivi, con il garante ed i suo1 consulenti.Serenissimi Salutimartin-lutero
  • Valter Garlini scrive:
    In caso di dubbio...
    .... il server sarà esaminato dai RIS di Parma.... così siamo certi che l'AdS si bacca l'ergastolo !(rotfl)
  • andrea scrive:
    la soluzione è nel testo
    la soluzione è nel testo del provvedimento...premesso che faccio consulenza in materia, da molti anni, condivido pienamente le perplessità dell'articolo, note a chi si occupa da sempre anche degli aspetti tecnico informatici, di hardening dei sistemi, ma suggerisco una possibile soluzione, che anche in altri casi ho individuato come "scappatoia" per tutte le realtà aziendali dove una soluzione "seria e completa" non ha reale motivazione... è nel testo in merito ai log, dove il provvedimento prevede che le registrazioni devono essere "adeguate al raggiungimento dello scopo di verifica per cui sono richieste".ecco là... una analisi adeguata dell'adeguatezza delle registrazioni giustifica la loro "non completezza, inalterabilità ecc.", considerato che il rapporto con l'ads, in tutte queste realtà aziendali, è quasi unicamente un rapporto di fiducia...quindi tornano buoni i log di windows, esportati ogni tanto e salvati magari su un cd (ma valgono sempre gli stessi discorsi, in merito alla loro integrità ecc.!!)almeno il titolare del trattamento dimostra la buona volontà e non butta i soldi dalla finestra per ottenere un beneficio pari a zero e un rispetto del dettato legslativo comunque sempre impugnabile.(mi riferisco sempre soprattutto alle piccole aziende)buon natale
    • Paolo M. scrive:
      Re: la soluzione è nel testo
      Magari fosse così banalizzabile.E' un discorso talmente vasto e articolato che un commento non esaudirebbe neanche in minima parte quanto affermi.In primo luogo il provvedimento per molti aspetti si configura come probabile nuova "misura minima" (art 31) e quindi si valuta in relazione alla "idoneità" e nel contempo alla capacità di operare "riducendo al minimo i rischi (valutazione dei rischi ... ) e con l'adozione di "preventive misure" ... Inoltre l'altro decreto citato (Dlgs 231/01) per la verità veramente poco applicato e conosciuto, rende praticamente responsabile di danni e molto altro il Titolare di un impresa o ente se non ha organizzato l'entità in modo da evitare rischi di varia tipologia, compresi quelli di questo provvedimento, anche se il dano non è solo potenziale ... in molte circostanze .. Il resto ... ve lo lascio immaginare ... ad iniziare da chi potrebbe avere voglia o scopo di delazione .. .tanto per parlare di qualcosa che non va di moda ..
      • andrea scrive:
        Re: la soluzione è nel testo
        mi riferivo ad un contesto preciso, le piccole realtà di impresa, che dalle mie parti (treviso) sono la stragrande maggioranza.come ho scritto in un altro commento, senza drammatizzare il problema ritengo che l'attività più importante legata al D.Lgs 196/03 sia la sensibilizzazione della proprietà dell'azienda sulla sicurezza di tutti i dati aziendali (non solo quelli personali).su questo c'era e purtroppo c'è ancora da piangere, solo chi è stato toccato da qualche incidente si rende conto della problematica, gli altri sono lontani, purtroppo.questo ultimo provvedimento del garante ha lo scopo di porre l'attenzione sul ruolo di un elemento chiave della sicurezza dal punto di vista informatico, questo ritengo sia la cosa importante da fare, e non mi sembra di banalizzare adottando procedure che tengano conto della realtà aziendale.in una azienda tipica con 5-10 computer e un server, l'"amministratore di sistema" (che di sicuro è anche un normale utente, con altro account) sa fare i backup e configurare una stampante in rete... dal restore in su chiama il tecnico esterno che fa l'assistenza... gli accessi al sistema come ads sono uno o due al mese... in questo contesto se qualcuno raccoglie i log di sistema di windows (senza caratteristiche di inalterabilità ecc.), si fa qualcosa di coerente con il resto del sistema. dove il rapporto fiduciario è il fondamento dell'organizzazione e un eventuale dolo potrebbe essere commesso tranquillamente come utente.non dimentichiamo che si logga l'acXXXXX, non poi cosa fa uno dentro il sistema...ben altro contesto quello di una realtà aziendale più complessa, ma io mi confronto con casi semplici e a questi mi riferisco con le mie "semplificazioni".non vorrei passare per "dilettante"... applicare la teoria (la legge) alla realtà richiede sempre dei compromessi, l'importante è che siano intelligenti e utili.peraltro, a proposito di realtà, nei giorni scorsi tre clienti su quattro mi hanno fatto gli auguri di natale ma mi hanno detto che di questo provvedimento non gliene frega niente, hanno problemi più seri e importanti...
  • Mario Rossi scrive:
    Ma questi sono fuori...
    Ci crollano le montagne di fango addosso, la terra trema, le case vecchia e marce implodono. Ma questi qua non hanno qualcosa di piu serio da fare?E comunque di tutti quei DDL, DPR e XXXXXbubboli vari me ne frego altamente. Sono su un host shared, non sono io l'admin del sistema. Che vadano a mostrare i loro faldoni a Houston.Ma va a cagher...
  • Alex Mallozzi scrive:
    proroghe e leggi...
    Vorrei capire come si possa pensare di fare delle precisazioni il giorno dell'entrata in funzione, è peggio del rinvio fatto, significa che il legislatore ha legiferato una cosa inapplicabile.Tutti i Comuni stavano semplicemente aspettando l'ennesima proroga e ben pochi si sono preoccupati della questione.Prima si fanno cose stringenti poi si scrive nelle faq che basta un log tipo quello generato dal s.o. windows?Ma tutti come giustamente ha rilevato l'articolo possono tranquillamente modificare i log.Quindi l'intento era di vendere sistemi a pagamento costosissimi, con quali soldi visto che riuscire ad avere risorse negli Enti Locali è spesso difficilissimo?Ma un Amministrazione per quale motivo dovrebbe buttare via 3-4mila euro che potrebbe investire in servizi innovativi utili alla cittadinanza?Oggi il sito era irraggiungibile... mi sfugge il motivo...Attendiamo ulteriori chiarimenti dal Garante...
    • Lemon scrive:
      Re: proroghe e leggi...
      - Scritto da: Alex Mallozzi
      Vorrei capire come si possa pensare di fare delle
      precisazioni il giorno dell'entrata in funzione,
      è peggio del rinvio fatto, significa che il
      legislatore ha legiferato una cosa
      inapplicabile.
      Tutti i Comuni stavano semplicemente aspettando
      l'ennesima proroga e ben pochi si sono
      preoccupati della
      questione.
      Prima si fanno cose stringenti poi si scrive
      nelle faq che basta un log tipo quello generato
      dal s.o.
      windows?
      Ma tutti come giustamente ha rilevato l'articolo
      possono tranquillamente modificare i
      log.
      Quindi l'intento era di vendere sistemi a
      pagamento costosissimi, con quali soldi visto che
      riuscire ad avere risorse negli Enti Locali è
      spesso
      difficilissimo?
      Ma un Amministrazione per quale motivo dovrebbe
      buttare via 3-4mila euro che potrebbe investire
      in servizi innovativi utili alla
      cittadinanza?
      Oggi il sito era irraggiungibile... mi sfugge il
      motivo...
      Attendiamo ulteriori chiarimenti dal Garante...Non è così Alex, almeno non è tutto vero quel che dici. Innanzi tutto il Garante ha pubblicato la nota qualche giorno prima della scandenza, in secondo luogo ha specificato (ed è vero) che il risultato può essere ottenuto con software free ed/o open-source (ma comunque gratuito).Il problem aè che molti amministratori di sistema non sanno come farlo, e solo quello, a mio avviso, sarebbe sufficiente per fare una riflessione: ma che AdS sei se non sei capace di trovare una soluzione??
      • Alex Mallozzi scrive:
        Re: proroghe e leggi...
        Infatti i principali Comuni in Provincia di Parma hanno installato un log tracert gratuito sui server, log che saranno raccolti dal nostro Centro Servizi Provinciale.Le soluzioni si trovano, il punto è sul Legislatore vedi il rinvio di oggi della normativa sull'Albo Pretorio Online che doveva partire dal 1 di gennaio.
  • ruppolo scrive:
    Il rapporto con l'AdS...
    ...può essere solo basato sulla fiducia.L'AdS, per il sistema che gestisce, è Dio: può fare e disfare come gli pare e piace.Non c'è log che tenga: posso staccare il cavo di rete, copiare quello che mi serve, fare piazza pulita del server con una bella formattazione e reinstallare tutto, sistema, programmi e dati, prelevando anche dal backup ciò che serve. Se qualcuno chiede cos'è sucXXXXX, è sucXXXXX che il server è andato in XXXXX e ho dovuto reinstallare tutto, fine della fiaba. Il log riprenderà la sua funzione quando io lo deciderò. E mi ringrazieranno pure per la celerità del servizio.
    • andrea scrive:
      Re: Il rapporto con l'AdS...
      perfettoe come ogni rapporto con un dio, o ci credi o lasci perdere, non ci sono modi di controllare o sottomettere dio a te, a meno che non sia anche tu un dio, allora l'altro non è più dio, se lo sei anche tu...ovvero a meno di organizzazioni complesse in cui i controllori si controllino tra loro e siano ulteriormente controllati, un ads di un sistema isolato può fare qualsiasi cosa in quel sistema, con buona pace del garante e del titolare del trattamento, anche se l'ads non è un mago dell'informatica.per non parlare di tutte le assistenze da remoto, via vpn o semplicemente via web, dei quali accessi il titolare non ha e avrà mai ombra di notizia... "uno" dell'assistenza ha in mano il server... si spera sia un bravo ragazzo... posso anche farmi dare l'elenco di chi accede... utile! ma non è così che si gestisce la sicurezza...
      • reXistenZ scrive:
        Re: Il rapporto con l'AdS...

        per non parlare di tutte le assistenze da remoto,
        via vpn o semplicemente via web, dei quali
        accessi il titolare non ha e avrà mai ombra di
        notizia... Scusa, perché? Risultano anche quelle dai log!P.S.: condivido in toto i forti dubbi dell'autore dell'articolo.
        • andrea scrive:
          Re: Il rapporto con l'AdS...
          certo, certo. intendevo fare una battuta nel senso che è normale che nelle realtà delle piccole imprese non si sappia minimamente "cosa stia succedendo" dal punto di vista informatico. la mia attività più importante, che poi è la buona intenzione iniziale del garante, è sempre stata quella di sensibilizzare la proprietà dell'azienda sulla sicurezza, di tutti i dati aziendali, ovviamente, non sono quelli personali. su questo c'era e purtroppo c'è ancora da piangere, solo chi è stato toccato da qualche incidente si rende conto, gli altri sono lontani, purtroppo.questo ultimo provvedimento ha lo scopo di sensibilizzare sul ruolo di una persona chiave della sicurezza dal punto di vista informatico, e questo va fatto, ma non credo di banalizzare adottando procedure che tengano conto della realtà aziendale. in una azienda tipica con 5-10 computer e un server, l'"amministratore di sistema" (che di sicuro è anche un normale utente, con altro account) sa fare i backup e configurare una stampante in rete... dal restore in su chiama il tecnico esterno che fa l'assistenza... gli accessi al sistema come ads sono uno o due al mese... in questo contesto se qualcuno(lui stesso?) raccoglie i log attivando nel sistema Win il "Controlla eventi di acXXXXX" fa qualcosa di coerente con il resto del sistema. un eventuale dolo potrebbe essere commesso tranquillamente come utente.ben altro contesto quello di una realtà aziendale più complessa, ma io mi confronto con casi semplici e a questi mi riferisco con le mie "semplificazioni".per la cronaca, tre clienti su quattro mi hanno fatto gli auguri di natale ma mi hanno detto che di questo provvedimento non gliene frega niente, hanno problemi più seri e importanti...
        • andrea scrive:
          Re: Il rapporto con l'AdS...
          intendevo "non solo quelli personali" !
    • mattomattom atto scrive:
      Re: Il rapporto con l'AdS...
      - Scritto da: ruppolo
      ...può essere solo basato sulla fiducia.
      L'AdS, per il sistema che gestisce, è Dio: può
      fare e disfare come gli pare e
      piace.non esattamente, con sistemi di mandatory access control e fs crittati è possibile limitare opportunamente quel che può fare l'ads oltrechè loggare tutto quello che fa, ma l'implementazione _seria_ di tali misure renderebbe enormemente piu' complicato e costosa la progettazione il delivery e l'amministrazione delle macchine in questione; senza contare che in giro non c'è un numero sufficiente di professionisti che conoscono la materia in rapporto al parco macchine da adeguare.
      • mattomattom atto scrive:
        Re: Il rapporto con l'AdS...
        P.S. ovviamente implementando i suddetti sistemi, dato un gruppo di gestione sistemistica, serve comunque una figura che abbia la password dei fs crittati e di sblocco del sistema MAC, quindi alla fine dei giochi di qualcuno ci si deve fidare (come in ogni ambito, informatico o meno), ma si sposta il problema da N sistemisti (che spesso son consulenti che vanno e vengono) ad un'unica figura cui dar fiducia
        • advange scrive:
          Re: Il rapporto con l'AdS...
          E tale figura la chiameremo Amministratore di Sistema (rotfl)
          • Lemon scrive:
            Re: Il rapporto con l'AdS...
            - Scritto da: advange
            E tale figura la chiameremo Amministratore di
            Sistema
            (rotfl)No, ha ragione "mattomattom atto", ci sono diversi modi di limitare il potere degli AdS e controllare il loro operato
          • advange scrive:
            Re: Il rapporto con l'AdS...

            No, ha ragione "mattomattom atto", ci sono
            diversi modi di limitare il potere degli AdS e
            controllare il loro operatoEsattamente "No" a cosa? A una battuta?E su cosa ha ragione "mattomattom atto"? Perché dice un po' tutto e il contrario di tutto.
          • pippuz scrive:
            Re: Il rapporto con l'AdS...
            [OT] http://punto-informatico.it/b.aspx?i=2768369&m=2774088#p2774088
          • Lemon scrive:
            Re: Il rapporto con l'AdS...
            - Scritto da: pippuz
            [OT]
            http://punto-informatico.it/b.aspx?i=2768369&m=277GRAZIE!!! non avevo più guardato, grazie mille!
Chiudi i commenti