Il GPL è libero, non selvaggio

Il rapporto con l'AdS...
...può essere solo basato sulla fiducia.L'AdS, per il sistema che gestisce, è Dio: può fare e disfare come gli pare e piace.Non c'è log che tenga: posso staccare il cavo di rete, copiare quello che mi serve, fare piazza pulita del server con una bella formattazione e reinstallare tutto, sistema, programmi e dati, prelevando anche dal backup ciò che serve. Se qualcuno chiede cos'è sucXXXXX, è sucXXXXX che il server è andato in XXXXX e ho dovuto reinstallare tutto, fine della fiaba. Il log riprenderà la sua funzione quando io lo deciderò. E mi ringrazieranno pure per la celerità del servizio.

Re: Il rapporto con l'AdS...
perfettoe come ogni rapporto con un dio, o ci credi o lasci perdere, non ci sono modi di controllare o sottomettere dio a te, a meno che non sia anche tu un dio, allora l'altro non è più dio, se lo sei anche tu...ovvero a meno di organizzazioni complesse in cui i controllori si controllino tra loro e siano ulteriormente controllati, un ads di un sistema isolato può fare qualsiasi cosa in quel sistema, con buona pace del garante e del titolare del trattamento, anche se l'ads non è un mago dell'informatica.per non parlare di tutte le assistenze da remoto, via vpn o semplicemente via web, dei quali accessi il titolare non ha e avrà mai ombra di notizia... "uno" dell'assistenza ha in mano il server... si spera sia un bravo ragazzo... posso anche farmi dare l'elenco di chi accede... utile! ma non è così che si gestisce la sicurezza...

Re: Il rapporto con l'AdS...
> per non parlare di tutte le assistenze da remoto,> via vpn o semplicemente via web, dei quali> accessi il titolare non ha e avrà mai ombra di> notizia... Scusa, perché? Risultano anche quelle dai log!P.S.: condivido in toto i forti dubbi dell'autore dell'articolo.

Re: Il rapporto con l'AdS...
certo, certo. intendevo fare una battuta nel senso che è normale che nelle realtà delle piccole imprese non si sappia minimamente "cosa stia succedendo" dal punto di vista informatico. la mia attività più importante, che poi è la buona intenzione iniziale del garante, è sempre stata quella di sensibilizzare la proprietà dell'azienda sulla sicurezza, di tutti i dati aziendali, ovviamente, non sono quelli personali. su questo c'era e purtroppo c'è ancora da piangere, solo chi è stato toccato da qualche incidente si rende conto, gli altri sono lontani, purtroppo.questo ultimo provvedimento ha lo scopo di sensibilizzare sul ruolo di una persona chiave della sicurezza dal punto di vista informatico, e questo va fatto, ma non credo di banalizzare adottando procedure che tengano conto della realtà aziendale. in una azienda tipica con 5-10 computer e un server, l'"amministratore di sistema" (che di sicuro è anche un normale utente, con altro account) sa fare i backup e configurare una stampante in rete... dal restore in su chiama il tecnico esterno che fa l'assistenza... gli accessi al sistema come ads sono uno o due al mese... in questo contesto se qualcuno(lui stesso?) raccoglie i log attivando nel sistema Win il "Controlla eventi di acXXXXX" fa qualcosa di coerente con il resto del sistema. un eventuale dolo potrebbe essere commesso tranquillamente come utente.ben altro contesto quello di una realtà aziendale più complessa, ma io mi confronto con casi semplici e a questi mi riferisco con le mie "semplificazioni".per la cronaca, tre clienti su quattro mi hanno fatto gli auguri di natale ma mi hanno detto che di questo provvedimento non gliene frega niente, hanno problemi più seri e importanti...

Re: Il rapporto con l'AdS...
intendevo "non solo quelli personali" !

Re: Il rapporto con l'AdS...
- Scritto da: ruppolo> ...può essere solo basato sulla fiducia.> L'AdS, per il sistema che gestisce, è Dio: può> fare e disfare come gli pare e> piace.non esattamente, con sistemi di mandatory access control e fs crittati è possibile limitare opportunamente quel che può fare l'ads oltrechè loggare tutto quello che fa, ma l'implementazione _seria_ di tali misure renderebbe enormemente piu' complicato e costosa la progettazione il delivery e l'amministrazione delle macchine in questione; senza contare che in giro non c'è un numero sufficiente di professionisti che conoscono la materia in rapporto al parco macchine da adeguare.

Re: Il rapporto con l'AdS...
P.S. ovviamente implementando i suddetti sistemi, dato un gruppo di gestione sistemistica, serve comunque una figura che abbia la password dei fs crittati e di sblocco del sistema MAC, quindi alla fine dei giochi di qualcuno ci si deve fidare (come in ogni ambito, informatico o meno), ma si sposta il problema da N sistemisti (che spesso son consulenti che vanno e vengono) ad un'unica figura cui dar fiducia

Re: Il rapporto con l'AdS...
E tale figura la chiameremo Amministratore di Sistema (rotfl)

proroghe e leggi...
Vorrei capire come si possa pensare di fare delle precisazioni il giorno dell'entrata in funzione, è peggio del rinvio fatto, significa che il legislatore ha legiferato una cosa inapplicabile.Tutti i Comuni stavano semplicemente aspettando l'ennesima proroga e ben pochi si sono preoccupati della questione.Prima si fanno cose stringenti poi si scrive nelle faq che basta un log tipo quello generato dal s.o. windows?Ma tutti come giustamente ha rilevato l'articolo possono tranquillamente modificare i log.Quindi l'intento era di vendere sistemi a pagamento costosissimi, con quali soldi visto che riuscire ad avere risorse negli Enti Locali è spesso difficilissimo?Ma un Amministrazione per quale motivo dovrebbe buttare via 3-4mila euro che potrebbe investire in servizi innovativi utili alla cittadinanza?Oggi il sito era irraggiungibile... mi sfugge il motivo...Attendiamo ulteriori chiarimenti dal Garante...

Re: proroghe e leggi...
- Scritto da: Alex Mallozzi> Vorrei capire come si possa pensare di fare delle> precisazioni il giorno dell'entrata in funzione,> è peggio del rinvio fatto, significa che il> legislatore ha legiferato una cosa> inapplicabile.> Tutti i Comuni stavano semplicemente aspettando> l'ennesima proroga e ben pochi si sono> preoccupati della> questione.> Prima si fanno cose stringenti poi si scrive> nelle faq che basta un log tipo quello generato> dal s.o.> windows?> Ma tutti come giustamente ha rilevato l'articolo> possono tranquillamente modificare i> log.> Quindi l'intento era di vendere sistemi a> pagamento costosissimi, con quali soldi visto che> riuscire ad avere risorse negli Enti Locali è> spesso> difficilissimo?> Ma un Amministrazione per quale motivo dovrebbe> buttare via 3-4mila euro che potrebbe investire> in servizi innovativi utili alla> cittadinanza?> Oggi il sito era irraggiungibile... mi sfugge il> motivo...> Attendiamo ulteriori chiarimenti dal Garante...Non è così Alex, almeno non è tutto vero quel che dici. Innanzi tutto il Garante ha pubblicato la nota qualche giorno prima della scandenza, in secondo luogo ha specificato (ed è vero) che il risultato può essere ottenuto con software free ed/o open-source (ma comunque gratuito).Il problem aè che molti amministratori di sistema non sanno come farlo, e solo quello, a mio avviso, sarebbe sufficiente per fare una riflessione: ma che AdS sei se non sei capace di trovare una soluzione??

Re: proroghe e leggi...
Infatti i principali Comuni in Provincia di Parma hanno installato un log tracert gratuito sui server, log che saranno raccolti dal nostro Centro Servizi Provinciale.Le soluzioni si trovano, il punto è sul Legislatore vedi il rinvio di oggi della normativa sull'Albo Pretorio Online che doveva partire dal 1 di gennaio.

Ma questi sono fuori...
Ci crollano le montagne di fango addosso, la terra trema, le case vecchia e marce implodono. Ma questi qua non hanno qualcosa di piu serio da fare?E comunque di tutti quei DDL, DPR e XXXXXbubboli vari me ne frego altamente. Sono su un host shared, non sono io l'admin del sistema. Che vadano a mostrare i loro faldoni a Houston.Ma va a cagher...

la soluzione è nel testo
la soluzione è nel testo del provvedimento...premesso che faccio consulenza in materia, da molti anni, condivido pienamente le perplessità dell'articolo, note a chi si occupa da sempre anche degli aspetti tecnico informatici, di hardening dei sistemi, ma suggerisco una possibile soluzione, che anche in altri casi ho individuato come "scappatoia" per tutte le realtà aziendali dove una soluzione "seria e completa" non ha reale motivazione... è nel testo in merito ai log, dove il provvedimento prevede che le registrazioni devono essere "adeguate al raggiungimento dello scopo di verifica per cui sono richieste".ecco là... una analisi adeguata dell'adeguatezza delle registrazioni giustifica la loro "non completezza, inalterabilità ecc.", considerato che il rapporto con l'ads, in tutte queste realtà aziendali, è quasi unicamente un rapporto di fiducia...quindi tornano buoni i log di windows, esportati ogni tanto e salvati magari su un cd (ma valgono sempre gli stessi discorsi, in merito alla loro integrità ecc.!!)almeno il titolare del trattamento dimostra la buona volontà e non butta i soldi dalla finestra per ottenere un beneficio pari a zero e un rispetto del dettato legslativo comunque sempre impugnabile.(mi riferisco sempre soprattutto alle piccole aziende)buon natale

Re: la soluzione è nel testo
Magari fosse così banalizzabile.E' un discorso talmente vasto e articolato che un commento non esaudirebbe neanche in minima parte quanto affermi.In primo luogo il provvedimento per molti aspetti si configura come probabile nuova "misura minima" (art 31) e quindi si valuta in relazione alla "idoneità" e nel contempo alla capacità di operare "riducendo al minimo i rischi (valutazione dei rischi ... ) e con l'adozione di "preventive misure" ... Inoltre l'altro decreto citato (Dlgs 231/01) per la verità veramente poco applicato e conosciuto, rende praticamente responsabile di danni e molto altro il Titolare di un impresa o ente se non ha organizzato l'entità in modo da evitare rischi di varia tipologia, compresi quelli di questo provvedimento, anche se il dano non è solo potenziale ... in molte circostanze .. Il resto ... ve lo lascio immaginare ... ad iniziare da chi potrebbe avere voglia o scopo di delazione .. .tanto per parlare di qualcosa che non va di moda ..

Re: la soluzione è nel testo
mi riferivo ad un contesto preciso, le piccole realtà di impresa, che dalle mie parti (treviso) sono la stragrande maggioranza.come ho scritto in un altro commento, senza drammatizzare il problema ritengo che l'attività più importante legata al D.Lgs 196/03 sia la sensibilizzazione della proprietà dell'azienda sulla sicurezza di tutti i dati aziendali (non solo quelli personali).su questo c'era e purtroppo c'è ancora da piangere, solo chi è stato toccato da qualche incidente si rende conto della problematica, gli altri sono lontani, purtroppo.questo ultimo provvedimento del garante ha lo scopo di porre l'attenzione sul ruolo di un elemento chiave della sicurezza dal punto di vista informatico, questo ritengo sia la cosa importante da fare, e non mi sembra di banalizzare adottando procedure che tengano conto della realtà aziendale.in una azienda tipica con 5-10 computer e un server, l'"amministratore di sistema" (che di sicuro è anche un normale utente, con altro account) sa fare i backup e configurare una stampante in rete... dal restore in su chiama il tecnico esterno che fa l'assistenza... gli accessi al sistema come ads sono uno o due al mese... in questo contesto se qualcuno raccoglie i log di sistema di windows (senza caratteristiche di inalterabilità ecc.), si fa qualcosa di coerente con il resto del sistema. dove il rapporto fiduciario è il fondamento dell'organizzazione e un eventuale dolo potrebbe essere commesso tranquillamente come utente.non dimentichiamo che si logga l'acXXXXX, non poi cosa fa uno dentro il sistema...ben altro contesto quello di una realtà aziendale più complessa, ma io mi confronto con casi semplici e a questi mi riferisco con le mie "semplificazioni".non vorrei passare per "dilettante"... applicare la teoria (la legge) alla realtà richiede sempre dei compromessi, l'importante è che siano intelligenti e utili.peraltro, a proposito di realtà, nei giorni scorsi tre clienti su quattro mi hanno fatto gli auguri di natale ma mi hanno detto che di questo provvedimento non gliene frega niente, hanno problemi più seri e importanti...

In caso di dubbio...
.... il server sarà esaminato dai RIS di Parma.... così siamo certi che l'AdS si bacca l'ergastolo !(rotfl)

Re: In caso di dubbio...
lol dirò a mia madre di portarmi le arance... e anche al titolare se non è in gabbia con me.

Garante incompetente, inetto e rubasoldi
Inaudito. Io mi candido per produrre la medesima scatologia del garante a meta' prezzo....e magari faccio anche di meglio.La produzione di commi e' contraddittoria ed indecente. Io voglio solo sapere quanto hanno fatturato i testicoli che hanno prodotto questo disastro.Non ultimo il fatto che, ...alla fine, il comunicato del 12.12.09, nell'ultima riga diceva +o- "fate il padulo che volete"....ed i pochi testicoli che si erano adeguati...con svenamento...per mantenere i LOG illibati...nonostante l'ADS ( cosa che sa di miracolo )???.Solo i militari possono permettersi questo...tanto non hanno alcunche' da fare e cmq paga pantalone.Il garante, as usual, ha partorito una normativa immonda, riuscendo a dare il peggio di se. Ma cmq verra' pagato.Regalo a tutti pali turchi, se usati, per nobili motivi, con il garante ed i suo1 consulenti.Serenissimi Salutimartin-lutero

sono scemo (2)
seconda volta oggi chemi sento scemo.... preoccupantetrovo sconcertante la "tempestività" del chiarimento.io lo intepreto con il senno dell'uomo della strada: "ho fatto una legge giusta sul piano teorico e con ottimi fondamenti di cultura informatica. però me ne fotto se applicabile e quanto costa alle aziende....azzarola è una legge, me n'ero scordato.... ..azzarola è già ora?!?! beh dai fate un po' come vi pare...."la piccola impresa non capisce, nella grande le proporzioni di sistemi/complesità/licensing fanno schizzare i costi a decine/centinaia di migliaia di euro.per esperienza diretta e personale le piccole aziende neanche capiscono di cosa si sta parlando: usano l'equazione legge inutile = soldi persi = chi se ne fotteil CIO di un gruppo industriale molto grosso del nordest mi ha detto mentre cercavo di affrontare l'argomento: "non abbiamo soldi da spendere in queste caz-ate, sicuramente le vostre licenze costano il doppio della multa che potremmo dover pagare se mai faranno i controlli".

Vi spiego come e cosa ho fatto io.
Io ho messo in piedi una macchina che fa da syslog server kiwi.Ho installato su tutti i client windows un log agent open.Ho configurato in modo tale che questo agent windows vada a popolare la macchina server.Idem per quello che riguarda i log unix.Ad una certa ora prendo il file log.txt e lo rinomino in log"GG-MM-AAAA".txt in automatico.Lo zippo in automatico cambiando l'estensione.Sempre da riga di comando lo invio da una mia PEC alla PEC azienda.Crittografazione e non modificabilità sono vanto ed orgoglio di pec, giusto?Dopo di che il giorno dopo il tutto viene protocollato in maniera automatica dal protocollo informatico.Il tutto a costo ZERO.E mi hanno chiesto anche 4.000 annui per una soluzione simile...E voglio vedere se hanno qualcosa da ridire.

Re: Vi spiego come e cosa ho fatto io.
- Scritto da: red5lion> Io ho messo in piedi una macchina che fa da> syslog server> kiwi.> Ho installato su tutti i client windows un log> agent> open.> Ho configurato in modo tale che questo agent> windows vada a popolare la macchina> server.> Idem per quello che riguarda i log unix.> > Ad una certa ora prendo il file log.txt e lo> rinomino in log"GG-MM-AAAA".txt in> automatico.> Lo zippo in automatico cambiando l'estensione.> Sempre da riga di comando lo invio da una mia PEC> alla PEC> azienda.> Crittografazione e non modificabilità sono vanto> ed orgoglio di pec,> giusto?> Dopo di che il giorno dopo il tutto viene> protocollato in maniera automatica dal protocollo> informatico.> Il tutto a costo ZERO.> E mi hanno chiesto anche 4.000 annui per una> soluzione> simile...> E voglio vedere se hanno qualcosa da ridire.La soluzione è abbastanza valida, solo una cosa: il server kiwi è a pagamento se non sbaglio. Io uso syslog-ng la versione open.Riguardo i soldi, i 4000 euro che ti hanno chiesto sono anche pochi, c'è gente che chiede almeno il doppio per medie aziende.

Re: Vi spiego come e cosa ho fatto io.
il problema resta sempre per i piccoli uffici. non mettono a budget nemmeno 400 euro, e non dico per il software ma almeno per chi gli realizzi il sistema. l'ads di una azienda con 5-10 pc e un server non esiste. è il fornitore / consulente esterno che lo fa, nella quasi totalità dei casi. e questi casi alla fine sono forse il 90% delle aziende (butto là un numero).vale porre l'attenzione al problema, ma la soluzione non è applicabile a basso costo stando alle disposizioni interpretare "seriamente" dal punto di vista tecnico.avrei da ridire sul costo ZERO... o il sig. red5lion lavora gratis o ha organizzato il sistema in tempo zero o è un dipendente, ed è quindi pagato... forse non ha acquistato qualcosa, ma per l'azienda l'adempimento rappresenta sempre un costo. e in considerazione del fatto che aumenta la sicurezza di una percentuale trascurabile (ad es. non viene registrato cosa faccia l'ads dopo il login, sapere che uno ha fatto un login vale poco), non è detto siano soldi spesi bene...

Re: Vi spiego come e cosa ho fatto io.
- Scritto da: andrea> il problema resta sempre per i piccoli uffici. > non mettono a budget nemmeno 400 euro, e non dico> per il software ma almeno per chi gli realizzi il> sistema. l'ads di una azienda con 5-10 pc e un> server non esiste. è il fornitore / consulente> esterno che lo fa, nella quasi totalità dei casi.> e questi casi alla fine sono forse il 90% delle> aziende (butto là un> numero).Ed il garante ha detto che in questo caso non serve.> vale porre l'attenzione al problema, ma la> soluzione non è applicabile a basso costo stando> alle disposizioni interpretare "seriamente" dal> punto di vista> tecnico.> Il Garante dice poco e niente di tecnico, vuole solo che alla fine i log raccolti non siano modificabili a piacimento, basta una masterizzazione o una firma con marca temporale (e tutti gli uffici ormai la hanno)> avrei da ridire sul costo ZERO... o il sig.> red5lion lavora gratis o ha organizzato il> sistema in tempo zero o è un dipendente, ed è> quindi pagato... forse non ha acquistato> qualcosa, ma per l'azienda l'adempimento> rappresenta sempre un costo. e in considerazione> del fatto che aumenta la sicurezza di una> percentuale trascurabile (ad es. non viene> registrato cosa faccia l'ads dopo il login,> sapere che uno ha fatto un login vale poco), non> è detto siano soldi spesi> bene...Questo è vero, del resto ci furono polemiche anche sulla 196 per degli obblighi tecnici che ad un buon AdS sembrano ridicoli (avere l'antivirus, il backup e password lunghe almeno 8 caratteri... eppure qualcuno più si lamentò!). Forse dovremmo innalzare la nostra idea di essere dei buoni AdS, forse, e dico forse, il buon AdS non è quello che cambia il toner ed aiuta gli utenti a fare le stampe unione e poi al primo problema ai server ed altri dispositici chiama la ditta esterna o il consulente, ma quello che si occupa dell'infrastrutta in modo serio, gli altri sono tecnici/operatori di primo livello, cosa dici?

Re: Vi spiego come e cosa ho fatto io.
> Ad una certa ora prendo il file log.txt e lo> rinomino in log"GG-MM-AAAA".txt in> automatico.Con buona pace del log non modificabile vero?Lanf

Re: Vi spiego come e cosa ho fatto io.
- Scritto da: Lanf> > Ad una certa ora prendo il file log.txt e lo> > rinomino in log"GG-MM-AAAA".txt in> > automatico.> > Con buona pace del log non modificabile vero?> > LanfA parte il fatto che non ha modificato il log ma il nome del file che lo contiene, in ogni caso il Garante dice che bisogna adottare accorgimenti "ragionevoli" e l'inalterabilità è prevista in fase di conservazione, cioè a log acquisito su supporto definitivo (masterizzato o criptato con firma ecc). Quello che vogliono far intendere in molti commerciali, cioè che il log deve essere l'originale di sistema e inviato in forma criptata ecc, è TUTTO falso.

Re: Vi spiego come e cosa ho fatto io.
> A parte il fatto che non ha modificato il log ma> il nome del file che lo contiene, in ogni caso il> Garante dice che bisogna adottare accorgimenti> "ragionevoli" e l'inalterabilità è prevista in> fase di conservazione, cioè a log acquisito su> supporto definitivo (masterizzato o criptato con> firma ecc). Quello che vogliono far intendere in> molti commerciali, cioè che il log deve essere> l'originale di sistema e inviato in forma> criptata ecc, è TUTTO> falso.Cito:"[...] Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo della verifica per cui sono richieste. [...]"Un file .txt non è inalterabile. D'accordo che una volta messo su un CD-ROM non riscrivibile non è più alterabile, ma prima lo è.Che sensa ha conservare in modo inalterabile un file che potrebbe essere stato modificato prima?Se in tribunale vogliono inch****ttare l'AdS lo fanno facile con una procedura così.Lanf

Re: Vi spiego come e cosa ho fatto io.
> Ad una certa ora prendo il file log.txt e lo> rinomino in log"GG-MM-AAAA".txt in> automatico.chi garantisce che prima della certa ora il file non venga da te modificato?L'unico modo sarebbe la scrittura in tempo reale dei log su un server remoto sul quale l'ads non puo' avere acXXXXX. Questa sarebbe l'unica soluzione sensata, ma anche in questo caso bisognerebbe poter garantire che l'amministratore non possa interrompere/alterare l'invio dei file di log....insomma, una soluzione tecnicamente perfetta ha costi improponibili.Personalmente ho previsto piu' copie al giorno di tutti i log sul pc del titolare eseguite da un software che gira sul PC del titolare, che volendo puo' eseguire manualmente in modo imprevedibile il prelievo dei file di log. In questo modo l'ads ha non puo' avere la certezza di farla franca, a differenza di un sistema che fa prelievi di log con tempistiche e modalità stabilite dall'amministratore stesso.Pero' queste sono pippe mentali, il garante, come detto già in altri interventi vuole mettere il titolare e gli utenti della rete a conoscenza dei poteri dell'amministratore...

Re: Vi spiego come e cosa ho fatto io.
Garantisce il cartellino. Non lavoro alle 23.30.Comunque è possibile disabilitare l'acXXXXX remoto a quella macchina e tenerla in un armadio rack di cui l'admin non ha le chiavi.Le possibilità di mettere in sicurezza sono infinite, o meglio indefinite. Il tutto ovviamente deve essere "commisurato" alla realtà aziendale.Altimenti è sempre possibile, o quasi, alterare dei dati. In somma, hanno bucato aziende come microsoft, sun, fbi, ecc... Io credo di aver realizzato una procedura abbastanza attendibile e con un costo ridotto.Volevo semplicemente condividere la cosa. magari qualcun altro la può trovare interessante ed implementarla senza dover spendere migliaia e migliaia di euro per un provvedimento voluto da qualcuno che evidentemente non ha le idee chiare sull'argomento.

Senso generale del provvedimento
Premetto che bastava parlare con il Garante o partecipare ad uno dei numerosi seminari che il Garante stesso ha svolto nel territorio per sapere quello che sto per scrivere, trovo quindi fuoriluogo gli stessi commenti polemici dell'articolo.Il Garante, molto semplicemente, ci vuole costringere a CONOSCERE/SAPERE chi sono i nostri amministratori di rete e quando si collegano ai sistemi (in modalità interattiva). Non vuole nella maniera più assoluta costruire un modello di security per le aziende italiane, in teoria chi ha delle problematiche di questo tipo dovrebbe già avere degli strumenti adeguati.Può sembrare strano che il Garante ci chieda questo, in realtà sapere chi sono i nostri AdS può sembrare ovvio ad una realtà medio/piccola, già le società più grandi con le loro catene di appalti e sub-appalti spesso non sanno chi mette mano ai loro server, attenzione che però il problema non sono i server, ma i DATI PERSONALI O SENSIBILI, e se permettete interessa anche a me sapere chi tratta i miei dati, a voi no?Altra cosa fondamentale: con il log di acXXXXX e chiusura sessione non è che il Garante vuole verificare se l'AdS ha fatto danni o si è collegato quando non doveva (questo lo dovete verificare voi se vi interessa!), ma ci COSTRINGE ad identificare in maniera univoca chi è l'AdS che si collega, lasciate perdere tutte le polemiche "ma il log si può sabotare" ecc ecc (che tra l'altro non è così semplice come potrebbe sembrare presi i dovuti accorgimenti), intanto siamo tutti costretti a censire gli AdS e profilare gli accessi in maniera univoca, a me da tecnico, questa cosa mi va più che bene, a me va bene sapere se in una macchina è entrato tizio o caio, a voi non so.Altra nota importante: il Garante richiede che gli AdS siano persone qualificate all'incarico! Ma quante volte ci siamo lamentati che il lavoro dell'AdS non viene riconosciuto e ripagato a sufficienza, se non altro questa è la prima volta che si sente dire a qualcuno che gli AdS non possono essere dei pinco palla qualunque ma persone con qualifiche ed esperienza. Il Garante non entra nei dettagli ma almeno dà una indicazione generale, vi pare poco? quindi questa cosa, secondo me, è importante anche per quelle PICCOLE/MEDIE aziende dove forse non ha molto senso avere i log del singolo amministratore, ma se non altro (in teoria) non sarà più il figlio del "paron" appassionato di informatica ma con la terza media presa al terzo tentativo.Il provvedimento poi lascia delle zone d'ombra, sicuramente seguiranno altri chiarimenti (almeno spero) ma credo che sia questa l'ottica con la quale inquadrarlo e non soffermarsi sull'aspetto tecnico di security.

è la solita legge inutile
Fatta da incompetenti che sono chiamati a legiferare su cose di cui non hanno la minima cognizione. Così come tecnicamente è impossibile l'oscuramento di un sito, a meno di tagliare le connessioni internet di tutti i cittadini italiani, altrettanto è tecnicamente impossibile garantire l'inalterabilità dei log. Altrettanto inutile è la registrazione degli accessi degli amministratori, senza che vengano altresì loggati tutti i comandi che questi eseguono. Cosa altrettanto assurda, infattibile, inutile e priva di senso.Sono solamente leggi atte a cercare di controllare una situazione incontrollabile da parte di un governo ormai destinato a sparire che sta tentando di rimanere a galla nelle sabbie mobili che lui stesso si è cerato, generando solo confusione, inutili costi e ulteriori spese ad aziende che sono già al tracollo finanziario. Un po come fece Hitler alla fine della seconda guerra mondiale che volle portare con sè nella rovina tutta la Germania

Re: è la solita legge inutile
- Scritto da: ilcumo> Fatta da incompetenti che sono chiamati a> legiferare su cose di cui non hanno la minima> cognizione. Così come tecnicamente è impossibile> l'oscuramento di un sito, a meno di tagliare le> connessioni internet di tutti i cittadini> italiani, altrettanto è tecnicamente impossibile> garantire l'inalterabilità dei log. Altrettanto> inutile è la registrazione degli accessi degli> amministratori, senza che vengano altresì loggati> tutti i comandi che questi eseguono. Cosa> altrettanto assurda, infattibile, inutile e priva> di> senso.> Sono solamente leggi atte a cercare di> controllare una situazione incontrollabile da> parte di un governo ormai destinato a sparire che> sta tentando di rimanere a galla nelle sabbie> mobili che lui stesso si è cerato, generando solo> confusione, inutili costi e ulteriori spese ad> aziende che sono già al tracollo finanziario. Un> po come fece Hitler alla fine della seconda> guerra mondiale che volle portare con sè nella> rovina tutta la> GermaniaInnanzi tutto non è una legge ma un provvedimento, secondo il Garante non è un organo del Governo, non direttamente almeno, infatti se cambia il Governo non è detto che cambino le cariche del Garante. Chiarito questo vorrei specificare che il provvedimento del Garante è destinato ad una sensibilizzazione del pericolo AdS, non a sostituire un capitolo della ISO17799 quindi ogni polemica sull'efficacia lascia il tempo che trova, non è quello lo scopo insomma.Inoltre, ad essere precisi, la maggior parte delle obbiezioni tecniche che vengono fatte al provvedimento, sono facilmente superabili ad un buon AdS lo dovrebbe già sapere. Ad esempio contestare che posso staccare un cavo o fermare un servizio sono sciocchezze, innanzi tutto perchè prima ancora che tu lo faccia è stato inviato il log del tuo acXXXXX ad un log server sul quale no hai acXXXXX (ad esempio), e poi una rete informatica di medio livello dovrebbe avre strumenti di monitoraggio tipo Nagios o altro che verificano e registrano le anomalie di sistema, se stacchi un cavo ad un client è un discorso, se lo stacchi ad un server la cosa dovrebbe essere controllata.Rimangono comunque le tue considerazioni sul fatto che si tratti di un provvedimento inutile: non sarò certo io a farti cambiare idea, ti dico solo di non vedere la cosa come un miglioramento della tua sicurezza di rete (non è quello lo scopo del provvedimento) bensì come prendere consapevolezza di chi accede ai dati personali e/o sensibili dell'azienda.